Octroi de crédit et données personnelles : la CNIL publie une recommandation structurante pour les établissements financiers

7/5/26
👈 les autres actualités

Ce qui s'est passé

Le 7 mai 2026, la CNIL a publié sa recommandation formelle encadrant le traitement des données personnelles lors de l'évaluation de la solvabilité des demandeurs de crédit. Ce document s'adresse aux professionnels du secteur financier — banques, sociétés de crédit à la consommation, plateformes de financement participatif — et couvre l'ensemble du cycle de vie des données utilisées pour décider d'accorder ou de refuser un crédit.

La recommandation porte sur trois axes majeurs : la transparence envers les demandeurs, l'encadrement des pratiques de collecte et d'analyse des données, et le renforcement des droits des personnes concernées. Elle fait écho à la publication simultanée d'un guide pratique destiné aux consommateurs, expliquant comment leurs données sont utilisées et quels droits ils peuvent exercer.

Pourquoi c'est important — contexte RGPD

L'octroi de crédit repose souvent sur des algorithmes de profilage et de scoring automatisé, qui croisent des dizaines de variables pour estimer le risque de défaut de paiement. Ces mécanismes entrent directement dans le champ de l'article 22 du RGPD sur les décisions individuelles automatisées, qui impose des garanties spécifiques dès lors qu'une décision produit un effet juridique significatif — comme le refus d'un prêt.

Jusqu'ici, les pratiques du secteur étaient hétérogènes : certains établissements communiquaient peu sur les variables utilisées dans leur scoring, d'autres rendaient difficile l'exercice du droit d'opposition ou du droit à l'explication. La recommandation de la CNIL vient combler ce vide en posant un cadre précis, avec des obligations claires pour chaque étape du traitement.

Ce mouvement s'inscrit dans une tendance de fond des autorités de protection des données européennes : après l'ICO britannique, qui avait durci sa définition du contrôle humain dans les décisions automatisées, la CNIL prend à son tour position sur un secteur clé où l'automatisation est massive.

Ce que ça change pour les organisations

Transparence renforcée : les établissements doivent désormais expliquer clairement aux demandeurs quelles données sont utilisées dans l'évaluation de leur dossier, selon quelles logiques et avec quelles conséquences. Les mentions d'information dans les formulaires de demande de crédit devront être révisées pour atteindre ce niveau de détail.

Encadrement du scoring : l'utilisation de données sensibles ou de proxys pouvant révéler indirectement des données sensibles (comme le code postal associé à une origine ethnique) doit être justifiée et documentée. Les algorithmes de scoring font l'objet d'une vigilance particulière sur leur conformité au principe de minimisation des données.

Droits des personnes effectivement accessibles : la recommandation insiste sur l'effectivité du droit d'accès, du droit d'opposition et du droit à une intervention humaine en cas de décision automatisée défavorable. Pour les credit managers confrontés au RGPD au quotidien, cela signifie des procédures internes à mettre en place ou à renforcer pour traiter ces demandes dans les délais légaux.

Documentation à jour : les registres de traitement, analyses d'impact (AIPD) et politiques de conservation devront être revisités à l'aune de cette recommandation, qui constitue désormais un référentiel sectoriel opposable.

Ce que Leto pense de cette décision

Cette recommandation arrive à point nommé. L'évaluation de la solvabilité est l'un des domaines où la tension entre efficacité algorithmique et droits fondamentaux est la plus vive. En publiant un cadre sectoriel précis, la CNIL offre aux établissements financiers ce dont ils manquaient : une feuille de route claire pour mettre en conformité leurs pratiques sans attendre une mise en demeure.

Pour les DPO du secteur financier, c'est l'occasion de passer à l'action. La recommandation n'est pas contraignante au sens formel, mais elle constitue un standard que la CNIL utilisera comme grille de lecture lors de ses contrôles. Autrement dit : ne pas s'y conformer, c'est prendre le risque d'être en porte-à-faux dès la prochaine inspection.

Sources : Recommandation CNIL — Octroi de crédit (cnil.fr) · Guide pratique demandeurs de crédit (cnil.fr)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026