Scoring secret : noyb attaque CRIF, l'agence qui note des millions d'Autrichiens

9/6/26
👈 les autres actualités

Une agence dont presque personne n'a entendu parler attribue en secret un « score » à des millions d'Autrichiens — et pour neuf personnes sur dix, ce score ne repose sur aucune donnée financière. L'ONG noyb lance une action collective contre CRIF et invite les personnes concernées à la rejoindre. Derrière ce dossier autrichien, c'est tout le modèle du scoring opaque et de l'« intérêt légitime » revendiqué par les data brokers qui se trouve sur la sellette.

Ce qui s'est passé

CRIF GmbH est une agence de renseignement commercial qui détient les données personnelles de millions de personnes en Autriche : nom, date de naissance, adresse du domicile. Sur demande d'une entreprise, CRIF attribue à chaque individu une note comprise entre 250 et 700, censée refléter sa solvabilité.

Le problème mis en lumière par noyb : pour près de 90 % des personnes fichées, CRIF ne dispose d'aucune information financière. Le score est alors calculé uniquement à partir de l'âge, du sexe et de l'adresse — autrement dit, des critères qui n'ont qu'un lien très ténu avec la capacité réelle d'une personne à honorer ses engagements. noyb dénonce un véritable « registre fantôme » privé, que les entreprises peuvent consulter et sur lequel elles s'appuient pour décider d'accorder, ou non, un contrat.

noyb estime cette collecte illégale à plusieurs titres. Une partie des données proviendrait de courtiers en adresses comme AZ Direct (groupe Bertelsmann), Compass Verlag ou DPIT — des sources qui, selon la réglementation commerciale autrichienne et plusieurs décisions de justice, ne peuvent être exploitées qu'à des fins de marketing, et non pour évaluer un crédit. La quasi-totalité des personnes concernées n'a jamais consenti à figurer dans cette base ni à y être notée, et l'obligation d'information n'est, dans les faits, presque jamais respectée.

Pourquoi c'est important

CRIF se défend en invoquant un « intérêt légitime » à constituer une base couvrant l'ensemble de la population, et soutient que la note ne serait pas « décisive » dans les décisions des entreprises — et ne nécessiterait donc pas de consentement. noyb adopte la position inverse : dès lors qu'un score est consulté et utilisé pour prendre une décision contractuelle, il produit bel et bien des effets juridiques ou significatifs sur la personne.

Ce débat touche au cœur du RGPD. Le scoring de solvabilité relève du profilage encadré par le RGPD, et lorsqu'une décision repose de manière déterminante sur un traitement automatisé, l'article 22 du RGPD impose des garanties spécifiques : information claire, droit d'obtenir une intervention humaine, droit de contester la décision. L'argument de CRIF — « le score n'est pas décisif » — est précisément celui que les autorités examinent de plus en plus à la loupe. L'ICO britannique l'a illustré en brisant l'illusion du contrôle humain dans le recrutement par IA : concevoir l'outil ne suffit pas, encore faut-il que le contrôle s'exerce réellement sur la décision.

En France, le sujet n'a rien d'abstrait. La CNIL a publié une recommandation structurante sur l'usage des données personnelles dans l'octroi de crédit, doublée d'une note fixant le standard d'information attendu par les demandeurs de crédit. Le message est convergent des deux côtés du Rhin : transparence sur le scoring, masquage des informations non pertinentes, explication compréhensible des décisions automatisées et effectivité des droits.

Ce que ça change pour les organisations

Pour tout responsable de traitement qui collecte, achète ou exploite des scores, l'affaire CRIF est un signal d'alerte concret. Trois réflexes s'imposent.

D'abord, vérifier la base légale réelle de chaque profilage : un « intérêt légitime » revendiqué ne tient pas s'il n'a jamais fait l'objet d'un test de mise en balance documenté, et il s'effondre si les données ont été détournées de leur finalité d'origine (une adresse vendue pour du marketing ne peut pas alimenter un scoring crédit). Ensuite, cartographier la provenance des données : acheter un fichier à un data broker n'exonère de rien — le responsable reste comptable de la licéité de la source et de l'information des personnes. Enfin, sécuriser les droits article 22 : information préalable, possibilité d'obtenir une intervention humaine et voie de contestation effective, faute de quoi le traitement est attaquable.

Les DPO qui s'appuient sur des scores externes — banque, assurance, e-commerce, recouvrement — ont tout intérêt à exiger de leurs fournisseurs la documentation de conformité (base légale, finalité, dispositif d'information) plutôt que de présumer que le prestataire « a fait le nécessaire ».

Ce que Leto pense de cette décision

L'action de noyb met le doigt sur l'angle mort le plus persistant du scoring : on regarde la précision du modèle, rarement la légitimité des données qui l'alimentent. Un score calculé à 90 % sur l'âge, le sexe et l'adresse n'est pas un outil de solvabilité, c'est une discrimination statistique habillée en mathématiques. L'« intérêt légitime » ne peut pas servir de passe-partout pour ficher une population entière sans son accord. Les organisations qui consomment ce type de données feraient bien de ne pas attendre la prochaine sanction pour auditer leurs chaînes d'approvisionnement en données — c'est exactement le genre de dossier qui, une fois tranché, redéfinit les pratiques de tout un secteur.

Sources : noyb — Notation secrète : Rejoignez l'action collective du CRIF

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026