Crédit et données personnelles : la CNIL trace le standard d'information attendu par les demandeurs

7/5/26
👈 les autres actualités

En miroir de sa recommandation aux établissements financiers publiée le 7 mai 2026, la CNIL met en ligne une note pédagogique destinée cette fois aux demandeurs de crédit : que deviennent vos données, quels sont vos droits, et comment les faire respecter face à un scoring de solvabilité. Pour les DPO du secteur bancaire, ce document est précieux : il fixe le niveau d'information que vos clients sont désormais en droit d'attendre.

Ce que dit la CNIL aux particuliers

L'autorité française rappelle un principe simple : il n'existe pas de droit automatique au prêt bancaire en France, et l'évaluation de la solvabilité repose nécessairement sur un volume important de données personnelles — relevés bancaires, situation professionnelle, historique de crédit. Cette analyse n'est pas un confort des établissements : c'est une obligation légale destinée à prévenir le surendettement.

Mais la CNIL trace clairement les lignes rouges. Les données collectées doivent être strictement nécessaires à l'évaluation. Elles ne peuvent pas être réutilisées pour d'autres finalités incompatibles, comme le démarchage commercial. Et surtout, le demandeur doit comprendre comment sa situation est évaluée — pas seulement savoir qu'elle l'est.

Pourquoi cette publication compte pour les DPO

La note destinée au public n'est pas un texte normatif, mais elle institue un standard d'attente côté personnes concernées. Trois exigences ressortent et doivent être confrontées à votre dispositif actuel.

L'information préalable doit être propre à la situation du demandeur. Lors d'un exercice du droit d'accès, la CNIL juge insuffisant de transmettre une copie générique des mentions d'information article 13 RGPD. Le demandeur doit recevoir le score obtenu, les notes minimales et maximales du barème, et le résultat de la consultation du FICP s'il a eu lieu. C'est une marche significative pour les établissements qui se contentent aujourd'hui d'un copier-coller de la politique de confidentialité.

Le masquage par le client est légitime. La CNIL valide explicitement la possibilité de fournir des justificatifs en masquant les informations non pertinentes (numéro de sécurité sociale notamment) ou en les filigranant. L'établissement peut refuser un document illisible, mais il doit motiver son refus et proposer une alternative. Conséquence opérationnelle : vos workflows de KYC et vos chargés d'études doivent être formés à accepter ces documents partiellement masqués, sans rejet automatique.

L'information doit être répétée. Pour les incidents de paiement passés, la CNIL recommande une information du client à trois moments : au moment de l'incident, avant l'inscription au dossier interne, et à chaque nouvelle demande de crédit. Une logique de redondance qui se justifie par l'impact long terme de ces inscriptions sur la vie financière du demandeur.

Ce que ça change concrètement

Le scoring automatisé, encadré par l'article 22 du RGPD, sort renforcé de cette publication. La CNIL réaffirme que le demandeur a droit à une explication compréhensible — pas une copie d'algorithme, mais une description de la logique, des principes appliqués et des conséquences. Il a aussi le droit de contester la décision, de demander un réexamen humain et d'exprimer son point de vue, généralement lors d'un entretien à distance ou en agence.

Pour les DPO, trois chantiers émergent rapidement :

  • Auditer les modèles de réponse au droit d'accès pour vérifier qu'ils contiennent bien le score, sa fourchette et la consultation des fichiers Banque de France quand elle a eu lieu.
  • Documenter une procédure d'intervention humaine effective post-décision automatisée — nos confrères britanniques de l'ICO ont récemment souligné que beaucoup d'organisations sous-estiment le moment où leur outil devient une décision automatisée au sens de l'article 22.
  • Mettre à jour les mentions d'information clients pour intégrer la traçabilité des incidents de paiement et le délai de conservation associé.

Cette publication s'adresse certes aux particuliers, mais elle constitue aussi le miroir de la recommandation CNIL adressée aux professionnels du crédit : le ton change, l'exigence reste identique. Pour bien comprendre la mécanique, le guide Leto sur le profilage et la conformité RGPD reprend les obligations applicables aux décisions de scoring, et notre guide sur l'exercice du droit d'accès détaille le niveau de granularité attendu dans les réponses.

Ce que Leto pense de cette décision

Cette double publication CNIL — pro le matin, public l'après-midi — n'est pas anodine. Elle préfigure le mode de contrôle à venir : les contrôleurs CNIL viendront avec en main ce que les particuliers savent désormais qu'ils peuvent exiger. Le delta entre les attentes raisonnables d'un demandeur et le niveau réel d'information délivré par votre établissement deviendra le principal angle d'attaque en cas de plainte. Les DPO du secteur ont quelques semaines pour rapprocher leurs procédures de ce nouveau standard, avant que les premiers contentieux ne le testent en pratique.

Sources : CNIL — Demandes de crédit : comprendre l'utilisation de vos données et vos droits (7 mai 2026) · CNIL — Recommandation octroi de crédit (7 mai 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026