CJUE SCHUFA vs ICO: l’article 22, interdiction ou droit ?

Excerpt — La CJUE a qualifié le credit scoring d’« automated individual decision‑making » au sens de l’article 22 RGPD (arrêt SCHUFA, 07/12/2023). L’EDPB maintient une lecture « interdiction avec exceptions », quand l’ICO britannique présente plutôt un « droit » à activer. Enjeux directs pour les algorithmes RH, crédit et fraude opérés depuis le Luxembourg.

L’affaire

Le 7 décembre 2023, la Cour de justice de l’UE a rendu deux arrêts « SCHUFA ». Dans l’affaire C‑634/21 (Scoring), la CJUE juge que l’établissement automatisé, par une agence de crédit, d’une valeur de probabilité relative à la capacité d’une personne à honorer ses engagements « constitue une prise de décision individuelle automatisée » au sens de l’article 22 RGPD, « lorsqu’un tiers s’appuie fortement sur cette valeur pour établir, exécuter ou mettre fin à une relation contractuelle ». La Cour précise en outre que ce type de décision est, par principe, prohibé sauf si l’une des trois exceptions de l’article 22(2) s’applique et que des sauvegardes adéquates sont mises en place. Référence officielle: communiqué de presse de la CJUE et texte de l’arrêt du 07/12/2023 (SCHUFA Scoring). Voir CJUE, CP 186/23, 7 décembre 2023; Curia, C‑634/21 SCHUFA Holding (Scoring). curia.europa.eu

Côté luxembourgeois, le texte de l’article 22 RGPD est repris tel quel par la CNPD: « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. » Exceptions: nécessité contractuelle, base légale spécifique, ou consentement explicite, avec droit à l’intervention humaine, à exprimer son point de vue et à contester (art. 22(3) et 22(4)). Voir CNPD — Chapitre III, article 22. cnpd.public.lu. Pour un rappel pratique du cadre, voir le RGPD et le contexte de la conformité CNPD au Luxembourg.

Le raisonnement juridique

Base légale et structure de l’article 22

• Article 22(1) consacre, selon la lettre du texte, « le droit de ne pas être soumis » à une décision exclusivement automatisée ayant des effets juridiques ou similaires significatifs.
• Article 22(2) énumère des exceptions strictes: a) nécessaire au contrat; b) autorisée par le droit de l’UE ou d’un État membre prévoyant des garanties appropriées; c) fondée sur le consentement explicite.
• Article 22(3) impose des sauvegardes minimales: intervention humaine, possibilité d’exprimer son point de vue, droit de contester.
• Article 22(4) prohibe l’usage de données sensibles (art. 9(1)) sauf 9(2)(a) ou (g) et garanties appropriées. Texte CNPD (reprise officielle du RGPD). cnpd.public.lu

Position EDPB (lignes directrices endossées)

Le Comité européen (EDPB) a formellement endossé les lignes directrices du G29 WP251 rev.01 « Automated individual decision‑making and Profiling » (2018). Celles‑ci lisent l’article 22 comme une interdiction de principe des décisions « fondées exclusivement sur un traitement automatisé » produisant des effets juridiques ou similaires, sauf exceptions limitatives. Elles détaillent l’exigence d’une « véritable » intervention humaine, informée et dotée du pouvoir de modifier la décision, ainsi que la documentation AIPD. Voir EDPB — Endorsed WP29 Guidelines; WP251 rev.01 (pdf). edpb.europa.eu — cnpd.public.lu

Apport CJUE SCHUFA

La Cour confirme qu’un score automatisé « peut » relever de l’article 22 lorsqu’il déclenche en pratique la décision d’un tiers (p. ex., refus de crédit). Elle renforce ainsi la portée matérielle de l’article 22 et invalide toute tentative nationale d’assouplir l’équilibre de l’article 6(1)(f) via l’exception 22(2)(b). Voir CJUE — CP 186/23; extraits Curia. curia.europa.eu

Position divergente de l’ICO (Royaume‑Uni, post‑Brexit)

Le régulateur britannique présente de manière récurrente l’article 22 comme « un droit » des personnes, à activer et encadrer, plutôt qu’une interdiction générale avec exceptions. Le site de l’ICO précise: « Article 22 de la (UK) GDPR donne aux individus le droit de ne pas être soumis à une décision exclusivement automatisée produisant des effets juridiques ou des effets similaires significatifs », et oriente l’analyse vers la mise en œuvre des sauvegardes et une AIPD si le traitement est à haut risque, tout en précisant que l’applicabilité dépend du caractère « solely automated » et des effets. Voir: ICO — What does the UK GDPR say about automated decision‑making and profiling?; ICO — What else do we need to consider if Article 22 applies?; ICO — Rights related to automated decision making including profiling. ico.org.uk

En synthèse: l’EDPB (et la CJUE) raisonnent en « interdiction de principe + exceptions encadrées » et exigent une intervention humaine réelle et traçable; l’ICO cadre davantage l’article 22 comme un droit opérationnel à gérer (avec DPIA, information et recours), ce qui rend la bascule vers l’exception ou l’atténuation plus praticable au Royaume‑Uni.

Ce que ça change concrètement au Luxembourg

• Les responsables luxembourgeois doivent se conformer à la lecture CJUE/EDPB:
  • Éviter, par défaut, les décisions « exclusivement » automatisées produisant des effets juridiques ou similaires significatifs (recrutement sans entretien humain, refus de crédit/assurance basé sur un score, gel automatique d’un compte par un moteur antifraude, déréférencement automatique d’un annonceur, etc.). Si une telle décision est « nécessaire au contrat », documenter précisément en quoi l’objectif contractuel imposerait l’automatisme total et pourquoi une révision humaine ex ante n’est pas réaliste. Voir CNPD — Article 22. cnpd.public.lu
  • Si vous entendez vous prévaloir d’une exception (22(2)a, b ou c), mettez en place les garanties minimales (22(3)) et, en pratique, une AIPD (art. 35) avec une « véritable » revue humaine: personne compétente, dotée d’un pouvoir de réexamen, disposant des données, des règles et des seuils du modèle. Voir EDPB — WP251 rev.01. cnpd.public.lu
  • Pour le scoring crédit, l’affectation de la décision à un tiers n’évacue pas l’article 22: si ce tiers « s’appuie fortement » sur votre score, vous entrez dans le champ. Contractualisez et auditez l’usage du score par les destinataires. Voir CJUE — SCHUFA Scoring. infocuria.curia.europa.eu
• Attention aux programmes IA/ML « assistés »: Ajouter un « clic d’approbation » mécanique ne suffit pas. Une « intervention humaine » exige un contrôle effectif, informé et contestable de la décision. Tracez la revue (qui, quand, sur quoi) et définissez des critères de re‑décision. C’est la ligne EDPB/WP29, reprise par la CJUE. cnpd.public.lu. Pour structurer vos pratiques, explorez notre offre IA conforme et gouvernance IA.
• Transparence renforcée: L’article 13/14 et 15(1)(h) imposent d’expliquer l’existence d’une ADM, la logique sous‑jacente, l’importance et les conséquences. Les pages CNPD dédiées aux droits des personnes reflètent ces exigences. Préparez des fiches d’explication modèle‑spécifiques (features importantes, seuils, taux d’erreur). Voir CNPD — Droits et ADM. cnpd.public.lu

Pièges fréquents

1. Croire qu’un « humain clique » annule l’automatisation. Si l’intervention est cosmétique, l’algorithme reste décisionnaire au sens de l’article 22. Décrivez la capacité de l’humain à infirmer la recommandation, et mesurez la part de décisions réellement modifiées. Voir EDPB — WP251 rev.01. cnpd.public.lu
2. Externaliser le score pour « sortir » du RGPD. L’arrêt SCHUFA neutralise ce raisonnement: si un tiers se fonde fortement sur votre score, on retombe dans l’article 22; la responsabilité peut être partagée (contrôleur commun, destinataire). infocuria.curia.europa.eu
3. Invoquer trop vite la « nécessité contractuelle ». Elle doit être démontrée, non simplement « pratique ». Demandez‑vous: une revue humaine aléatoire ou ciblée est‑elle techniquement et économiquement possible ? Si oui, l’exception devient fragile. Voir CNPD — Texte RGPD; EDPB — Endorsed guidelines. edpb.europa.eu
4. Oublier l’interdiction liée aux données sensibles (art. 22(4)). Le scoring santé ou l’analyse indirecte d’un handicap via des variables proxy exigent une base 9(2)(a) ou (g) et des garanties. Vérifiez systématiquement l’absence de proxies sensibles dans les features. Voir CNPD — Article 22. cnpd.public.lu
5. Copier la doctrine ICO. Utile pour l’ingénierie de l’explicabilité, mais non transposable tel quel: au Luxembourg, l’arbitrage doit suivre CJUE/EDPB. Référez‑vous aux sources européennes et aux pages CNPD. Voir ICO; EDPB. ico.org.uk

Sources officielles

• CJUE — Communiqué de presse n° 186/23 (7 décembre 2023): arrêts SCHUFA (C‑634/21; C‑26/22 et C‑64/22). curia.europa.eu
• Curia — C‑634/21, SCHUFA Holding (Scoring): analyse de l’article 22 RGPD et du scoring. infocuria.curia.europa.eu
• EDPB — Endorsed WP29 Guidelines: WP251 rev.01 (Automated decision‑making and Profiling). edpb.europa.eu
• Texte WP251 rev.01 (hébergé par la CNPD). cnpd.public.lu
• CNPD — RGPD, Chapitre III, art. 22 (FR/EN). cnpd.public.lu
• CNPD — Dossier thématique IA. cnpd.public.lu
• ICO — What does the UK GDPR say about automated decision-making and profiling? ico.org.uk
• ICO — What else do we need to consider if Article 22 applies? cy.ico.org.uk

Remarque pour les directions: à la date du 25 juin 2026, l’état du droit applicable au Luxembourg est celui fixé par le RGPD, interprété par la CJUE et les lignes directrices endossées par l’EDPB. Les lectures plus « souples » de l’ICO éclairent la mise en œuvre technique (explicabilité, DPIA), mais ne modifient pas vos obligations dans l’UE. Pour structurer votre gouvernance et vos analyses d’impact, notre mandat DPO peut accompagner la mise en conformité.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.