La CNIL a lancé une consultation publique ouverte jusqu’au 18 juillet 2025 concernant un projet de référentiel encadrant le traitement des données personnelles utilisées pour évaluer la solvabilité des personnes physiques. Ce texte vise à sécuriser juridiquement les pratiques des professionnels du crédit dans un contexte où le traitement algorithmique de données financières se généralise.

Un contexte de forte automatisation du crédit

Les offres de crédit en ligne se sont fortement développées ces dernières années, notamment avec les outils de scoring automatisé et les décisions instantanées. Cette automatisation repose sur l’analyse de données personnelles telles que les revenus, charges, antécédents de remboursement ou historiques bancaires.

Or, plusieurs contrôles récents ont mis en évidence des manquements à la réglementation : collecte excessive, durée de conservation injustifiée, ou décisions prises sans intervention humaine réelle. D’où la volonté de la CNIL de proposer un cadre juridique précis et adapté aux nouvelles pratiques.

Ce que contient le référentiel proposé

Le référentiel proposé rappelle les grands principes du RGPD et fixe des lignes directrices claires :

• Limitation des finalités : seules les évaluations liées à l’octroi ou au suivi d’un crédit sont autorisées.

• Minimisation des données : seules les données strictement nécessaires peuvent être utilisées, à l’exclusion des données sensibles (état de santé, opinions, etc.).

• Durée de conservation encadrée : par exemple, les incidents de paiement pourraient être conservés cinq ans maximum, sauf dispositions légales contraires.

• Transparence : obligation d’informer clairement les personnes concernées, y compris sur l’existence d’un traitement automatisé.

• Droits renforcés : droit d’accès, de rectification, d’opposition et de demander une réévaluation humaine des décisions automatisées.

Qui est concerné ?

Tous les professionnels du crédit, y compris :

• Les banques et établissements de crédit,

• Les fintechs et plateformes de prêt,

• Les assureurs dans le cadre d’une évaluation préalable à une souscription,

• Les entreprises de e-commerce ou de paiement fractionné proposant des solutions de crédit à leurs clients.

Même les entreprises qui ne se perçoivent pas comme “financières” peuvent être concernées si elles mettent en œuvre des mécanismes d’évaluation automatisée de la solvabilité.

Ce que les entreprises doivent faire en juillet 2025

1. Analyser le projet de référentiel disponible sur le site de la CNIL.

2. Participer à la consultation publique avant le 18 juillet, notamment si certaines pratiques spécifiques méritent d’être clarifiées.

3. Vérifier leurs pratiques actuelles : durée de conservation des données, modalités de profilage, documentation du traitement, clauses contractuelles, etc.

4. Anticiper les ajustements nécessaires pour se mettre en conformité une fois le référentiel finalisé (prévu à l’automne 2025).

Une norme future de référence pour les contrôles

Même si ce référentiel n’a pas encore de valeur obligatoire, il est amené à devenir la norme de référence utilisée par la CNIL pour ses contrôles à partir de 2026. Les entreprises ont donc tout intérêt à s’y conformer dès maintenant pour réduire leur exposition au risque juridique.