Octroi de crédit : la CNIL publie sa recommandation sur l’utilisation de données personnelles pour l’évaluation de la solvabilité

L’évaluation de la solvabilité consiste à vérifier si une personne est en mesure de remplir ses obligations et rembourser un crédit. Elle vise à éviter les prêts inadaptés et les situations de surendettement.

Dans un contexte où les algorithmes jouent un rôle croissant dans les décisions prises par les établissements financiers, la recommandation de la CNIL vise notamment à renforcer la transparence et la responsabilité des acteurs.

L’octroi de crédit : une activité à grande échelle qui impacte de nombreux Français

L’octroi de crédit est une activité à grande échelle qui impacte de nombreux Français. Elle génère un volume important de plaintes et de questions auprès de la CNIL concernant notamment, l’alimentation et l’exploitation du fichier national des incidents de remboursement des crédits aux particuliers (FICP), la transparence des traitements ou encore sur la prise en compte des difficultés rencontrées par les demandeurs dans le remboursement de précédents crédits.

Par ailleurs, l’octroi de crédit implique aujourd’hui la mise en œuvre de traitements de données personnelles toujours plus complexes. En particulier, l’évaluation de la capacité de remboursement du demandeur (le scoring) est souvent partiellement ou totalement automatisée et implique, dans certains cas, l’usage de systèmes d’intelligence artificielle.

Ces enjeux, ainsi que l’actualité jurisprudentielle, en particulier les arrêts prononcés par la Cour de justice de l’Union européenne (CJUE) dans les affaires C-634/21 et C-203/22, justifient la mise à jour des recommandations de la CNIL. En effet, ces décisions sont venues confirmer qu’un scoring est une décision automatisée lorsqu’il joue un rôle déterminant dans l’octroi de crédit et consacrent un droit à l’explication sur le fonctionnement du mécanisme qui a conduit à une prise de décision.

L’objectif est de fournir un cadre clair et actualisé pour accompagner les acteurs et renforcer la transparence sur les décisions prises par les organismes financiers, dans le respect des droits des personnes concernées.

Des recommandations pour une meilleure conformité à la réglementation

Les objectifs de la recommandation

La recommandation de la CNIL s’adresse aux organismes privés qui accordent des crédits, ainsi qu’aux intermédiaires en opérations de banque et en services de paiement. Elle concerne les crédits à la consommation et les crédits immobiliers encadrés par le Code de la consommation.

Elle se concentre sur les traitements mis en œuvre à des fins d’évaluation de la solvabilité des demandeurs, c’est-à-dire de leur capacité à rembourser leur crédit. Elle remplace l’autorisation unique en vigueur avant l’entrée en application du RGPD (AU-005).

Les recommandations de la CNIL rappellent les obligations légales et ont un rôle de guide pratique ayant pour objectif d’éclairer les acteurs concernés sur les règles applicables. Il est possible de s’écarter des conseils donnés, sous réserve de justifier des choix retenus, notamment en cas de contrôle de la CNIL.

Limiter les données à celles qui sont pertinentes et strictement nécessaires.

La recommandation identifie les données susceptibles d’être traitées pour évaluer la capacité à rembourser du demandeur de crédit, dans le respect du principe de minimisation des données.

Encadrer la prise en compte de précédents incidents de remboursement

Les établissements peuvent tenir compte des manquements contractuels passés (par exemple, incidents de remboursement concernant de précédents crédits).

La recommandation en encadre l’utilisation : elle précise les données pertinentes, rappelle la nécessité d’utiliser des informations objectives et renforce l’information des personnes pour qu’ils puissent mieux comprendre l’influence de ces informations sur l’évaluation de leur capacité à rembourser de nouveaux crédits.

Définir et encadrer les durées de conservation

La recommandation précise les durées de conservation des données recueillies pour la demande de crédit ainsi que celle relative aux manquements contractuels passés du demandeur déjà client.

Clarifier le cadre applicable aux décisions entièrement automatisées d’octroi ou de refus de crédit

Dans le prolongement des arrêts de la CJUE, la recommandation précise dans quelles conditions une décision de crédit peut reposer sur un traitement entièrement automatisé et les garanties associées : transparence, intervention humaine et explicabilité de la décision pour les personnes concernées.

Lire la recommandation

La CNIL propose également une liste de points à vérifier, issue de sa recommandation, à destination des organismes accordant des crédits et les intermédiaires (délégués à la protection des données, référents conformité, équipes juridiques…). Cette liste vise à assurer que, dès le départ, les principes du RGPD sont correctement mis en œuvre : finalité, minimisation, sécurité, information, droits des personnes, transparence et gouvernance.

Télécharger la liste de vérifications

Des recommandations enrichies par une consultation publique

Des contributions riches d’acteurs variés

La CNIL a conduit une concertation avec les principales associations professionnelles du secteur financier concernées au sein du « club conformité » banque de la CNIL, rassemblant les principaux acteurs du secteur financier.

Le projet de recommandation issu de ces échanges a ensuite été soumis à consultation publique, en mai 2025, pour recueillir les avis de l’ensemble des parties prenantes, qu’elles soient issues du secteur associatif, du grand public ou des milieux professionnels.

La CNIL a ainsi reçu des contributions émanant d’associations représentatives d’acteurs du secteur financier, d’un syndicat professionnel représentatif de très petites et moyennes entreprises, de prestataires de paiements ou spécialisés dans le système bancaire ouvert (open banking), de professionnels du secteur du conseil ou encore d’un consommateur.

• Lire la synthèse des contributions à la consultation

Un projet enrichi par la consultation publique

Les contributions reçues lors de la consultation publique ont permis de faire évoluer la compréhension de la CNIL et d’enrichir sa recommandation.

Ainsi, la CNIL a fait évoluer sa recommandation et apporté plusieurs clarifications :

• La version définitive de la recommandation permet aux acteurs de fonder leurs traitements de données sur l’obligation légale, au sens de l’article 6 du RGPD. En effet, le Code de la consommation impose à ces acteurs d’évaluer la solvabilité du demandeur de crédit.
   
• La CNIL apporte des précisions sur les données qui peuvent être traitées pour évaluer la solvabilité des demandeurs ainsi que sur les personnes qui peuvent accéder aux données personnelles.
   
• Elle apporte des précisions sur les durées de conservation des données notamment sur la possibilité de conserver certaines données à des fins probatoire en cas de contentieux en archivage. Elle permet également une prise en compte des manquements contractuels passés plus adaptée aux besoins des professionnels en tenant compte du niveau de gravité de l’incident et du profil de risque du demandeur.
   
• Elle met également à jour la recommandation pour anticiper l’entrée en application, en novembre 2026, d’une autorisation légale pour les décisions entièrement automatisées pour les crédits à la consommation, en rappelant les garanties qui y sont attachées.

Les prochaines étapes

La CNIL accompagnera ces prochains mois les associations professionnelles du « club conformité » banque, notamment à travers un webinaire (inscriptions à venir). L’objectif est que les professionnels s’approprient au mieux les règles et garanties précisées dans la recommandation et qu’ils puissent mettre en œuvre les mesures nécessaires pour assurer leur respect effectif.

La CNIL veillera ensuite, dans le cadre de ses missions de contrôles à venir, au respect des règles applicables dans ce domaine.