Actualités
RGPD

Scoring, octroi de crédit et IA : décryptage et plan d'action face aux exigences de la CNIL

Stéphane ASTIER - Associé exécutif de NODAL AVOCATS
Stéphane Astier
Barreau de Paris
6/18/2026
07 min.
Retour
En vous abonnant, vous acceptez nos Privacy Policy.
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Résumé : Par sa délibération n° 2026-047 du 2 avril 2026, la CNIL encadre strictement le scoring de crédit : minimisation des données, transparence algorithmique et contrôle humain effectif au titre de l'article 22 du RGPD. Couplé à l'AI Act, ce cadre fait du scoring un traitement à haut risque exposant à des sanctions majeures.

La publication par la CNIL de sa recommandation sur l'évaluation de la solvabilité — adoptée par la délibération n° 2026-047 du 2avril 2026 et publiée au Journal officiel le 7 mai 2026 — marque un tournant pour le secteur bancaire et, plus largement, pour le déploiement de l'intelligence artificielle (IA) en entreprise. En abrogeant l'ancienne autorisation unique AU-005 (délibération n° 2008-198), ce référentiel sonne la fin d'une tolérance historique : le recours aux algorithmes de scoring devient un traitement à haut risque strictement encadré.

Cet article propose aux Directions juridiques, DPO, DSI et C-Level une synthèse opérationnelle pour auditer leurs pratiques, anticiper les contrôles et sécuriser leurs algorithmes décisionnels.

I. Le resserrement du cadre réglementaire sur le scoring de crédit

Le régulateur impose un retour rigoureux aux principes fondamentaux du RGPD, qui se traduit par des limites techniques et opérationnelles claires imposées aux modèles de scoring. La base légale du traitement est désormais clarifiée : l'obligation d'évaluation de solvabilité posée par le Code de la consommation peut fonder le traitement au sens de l'article 6 du RGPD.

A. Quelles données peut-on encore collecter pour un scoring conforme ?

La collecte massive de données destinée à alimenter les algorithmes est sanctionnable. Le principe de minimisation (article 5 du RGPD)commande de ne traiter que les données strictement pertinentes au regard de la finalité d'évaluation du risque de défaillance.

À ce titre, plusieurs bonnes pratiques de place se dégagent, que les établissements ont intérêt à documenter dans leur registre et leur AIPD:

  • Sources  de données : les données issues des réseaux sociaux sont à proscrire, faute de pertinence et de fiabilité pour mesurer une solvabilité.
  • Profondeur  d'historique : l'analyse de l'historique des transactions bancaires doit  être proportionnée et limitée à une fenêtre temporelle restreinte, le client pouvant en demander l'extension pour lisser une situation atypique.
  • Variables géographiques : l'usage du « département de résidence » ou du code postal comme variable de score doit être spécifiquement justifié par une stratégie documentée, sous peine de constituer une discrimination indirecte prohibée.
  • Durées  de conservation : la CNIL retient une logique de durée raisonnable et proportionnée à la gravité de l'incident et au profil de risque du demandeur. Les manquements contractuels passés ne peuvent peser indéfiniment sur un nouveau score ; en cas de refus, les données de la demande ne doivent pas être conservées en base active au-delà de la durée nécessaire, un archivage à des fins probatoires restant possible en cas de contentieux.

B. Comment garantir la transparence et le contrôle humain au titre de l'article 22 du RGPD ?

Dès lors qu'une décision d'octroi de crédit produit des effets juridiques ou affecte significativement une personne, elle relève de l'article 22 du RGPD. Sur ce point, l'arrêt de référence est désormais incontournable : dans son arrêt SCHUFA Holding (C-634/21) du 7 décembre 2023,la CJUE a jugé que l'établissement automatisé d'une valeur de probabilité de solvabilité constitue, à lui seul, une décision individuelle automatisée — même lorsque la décision finale est formellement prise par un tiers (la banque).

Deux obligations structurantes s'imposent en conséquence aux Directions juridiques et aux DPO :

  • Une     AIPD obligatoire : l'Analyse d'Impact relative à la Protection des Données     (article 35 du RGPD) est incontournable pour tout dispositif de scoring.  Elle doit documenter explicitement les risques de biais discriminatoires  et les mesures d'atténuation déployées.
  • Une intervention humaine effective : lorsque l'outil n'est qu'une aide à la décision, l'établissement doit démontrer que l'agent dispose d'une réelle marge de manœuvre (le temps, la compétence et l'indépendance nécessaires ) pour s'écarter de la recommandation algorithmique sans pression hiérarchique. À défaut, l'« intervention humaine » est fictive et le traitement bascule dans le champ de l'article 22. En cas de refus  automatisé, la personne doit pouvoir solliciter un réexamen humain et     faire valoir ses observations.

L'opacité algorithmique n'est plus opposable : le demandeur est en droit d'obtenir la logique sous-jacente du traitement, illustrée par des exemples concrets et les éléments déterminants de son score (par exemple le ratio d'endettement retenu).

II. De la conformité opérationnelle à la gouvernance des risques IA

Les Directions juridiques et DPO doivent transposer ces principes dans leurs parcours clients et s'en servir de matrice pour encadrer le déploiement de tout système d'IA prédictive au sein de leur organisation.

A. Pratique conforme ou pratique sanctionnable : où passe la frontière ?

La ligne de partage entre une pratique « Privacy by Design »et une pratique exposant l'établissement à des sanctions est désormais nettement tracée. Le tableau ci-dessous synthétise les arbitrages opérationnels.

Critère Pratique sanctionnable Pratique conforme (Privacy by Design)
Historique bancaire Aspiration de 12 mois de relevés par défaut Fenêtre restreinte et proportionnée, extension à la demande du client
Variables géographiques Croisement systématique avec le code postal Usage justifié et documenté, ou exclusion du score
Décision Refus 100 % automatisé, sans recours Réexamen humain effectif et droit aux observations
Transparence Service client incapable d'expliquer le score Variables déterminantes explicitées (ex. ratio d'endettement)
Conservation Données du refus conservées 5 ans à des fins commerciales Durée raisonnable, archivage probatoire limité au contentieux
Accès aux données Accès large et non tracé Habilitations selon le besoin d'en connaître

B. Quelles sanctions et quelle articulation avec l'AI Act?

Le non-respect de ces exigences expose les entreprises aux pouvoirs répressifs de la CNIL, pouvant aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, souvent assortis d'une publication préjudiciable pour l'image de marque.

Au-delà du seul crédit, cette recommandation doit être lue à la lumière du règlement européen sur l'intelligence artificielle (AI Act, règlement (UE) 2024/1689). Les systèmes de scoring « dopés » à l'IA — quel que soit le secteur (bancaire, e-commerce, RH, industrie) et la finalité (crédit, évaluation RH, profilage CRM) — relèvent en effet d'un régime à haut risque emportant des obligations renforcées.

Exigence AI Act Ce que cela implique concrètement
1. Auditer les données d'entraînement Vérifier l'absence de biais discriminatoires et le respect de la minimisation dès la conception du modèle.
2. Exiger l'explicabilité Bannir les solutions « boîte noire » dont le fonctionnement ne peut être justifié face à un client ou un collaborateur.
3. Prouver le contrôle humain (Human in the loop) Documenter, statistiquement et qualitativement, que l'humain supervise réellement l'IA et corrige ses erreurs, évitant le biais d'automatisation.

Conclusion

La convergence de la recommandation CNIL et de l'AI Act installe un standard de conformité élevé : minimisation dès la conception, explicabilité opposable et contrôle humain démontrable ne sont plus des options, mais des conditions de licéité. Pour les DSI, DPO et Directions juridiques, l'enjeu dépasse le seul crédit : il s'agit de bâtir une gouvernance transversale de l'IA prédictive, défendable face à un contrôle comme devant un juge.

Cette mise en conformité gagne à être pilotée en amont, via une approche Legal Ops outillée (cartographie des traitements de scoring, modèles d'AIPD réutilisables, procédures de réexamen humain documentées) plutôt que dans l'urgence d'un contentieux.

Vous souhaitez plus d'informations concernant la mise en conformité de vos traitements à haut risque ? contactez Nodal Avocats

Pour aller plus loin :

Nos actualités du même registre

IA
1/27/2026

Comment piloter votre conformité à l’AI ACT ?

Comprendre les enjeux de la mise en conformité à l'IA ACT pour votre organisation
En savoir plus
Cyber
2/26/2026

Crise cyber : la mallette administrative, la mesure de résilience vitale (et pourtant oubliée)

L'outil de résilience indispensable pour maintenir la gouvernance juridique et assurer l'indemnisation après une cyberattaque.
En savoir plus
Stratégie
1/27/2026

Quel ROI pour le pilotage juridique des enjeux cyber ?

Comment générer du retour sur investissement autour de la cyber compliance ?
En savoir plus
Toutes nos actualités

Nodal Avocats

Place son expertise au cœur de vos décisions stratégiques, pour transformer vos contraintes juridiques en levier de croissance et vecteur de confiance.

Discutons de vos besoins