55logo mikael le bot avocat

Octroi de crédit et scoring : la CNIL renforce la transparence et le droit à explication (Délib. n° 2026-047 du 2 avril 2026)

  • Crédit à la consommation, Droit bancaire, Responsabilité du banquier
La CNIL a publié, le 7 mai 2026, une recommandation très attendue sur l’utilisation des données personnelles dans le cadre de l’évaluation de la solvabilité des candidats à un crédit. Le texte abroge l’ancienne autorisation unique AU-005 de 2008, devenue obsolète depuis l’entrée en application du RGPD, et instaure un cadre détaillé pour les pratiques de scoring. Trois apports majeurs pour les emprunteurs : un renforcement de la transparence sur les données utilisées et leur durée de conservation, un encadrement strict des décisions entièrement automatisées de refus de crédit, et la consécration d’un véritable droit à l’explication et au réexamen humain. La recommandation anticipe également l’entrée en vigueur, en novembre 2026, d’une autorisation légale spécifique pour les décisions automatisées dans le crédit à la consommation. Pour les victimes de refus de crédit obscurs et les personnes inscrites au FICP, c’est un nouvel arsenal qui s’ouvre.

CNIL, délibération n° 2026-047 du 2 avril 2026 — Recommandation concernant l’évaluation de la solvabilité dans le cadre de l’octroi de crédit (publication 7 mai 2026)

🔑 Points clés à retenir

  • La recommandation abroge l’autorisation unique AU-005 du 9 juillet 2008, devenue caduque depuis le RGPD.
  • Elle s’adresse à tous les organismes privés qui accordent des crédits, ainsi qu’aux intermédiaires en opérations de banque et en services de paiement.
  • Elle couvre les crédits à la consommation et les crédits immobiliers encadrés par le code de la consommation.
  • Le principe de minimisation des données est réaffirmé : seules les données pertinentes et strictement nécessaires peuvent être traitées.
  • Les durées de conservation sont strictement encadrées, y compris pour les manquements contractuels passés (incidents de remboursement).
  • S’appuyant sur les arrêts SCHUFA (CJUE, 7 décembre 2023, C-634/21) et C-203/22, la recommandation consacre que le scoring constitue une décision automatisée lorsqu’il joue un rôle déterminant, ouvrant le droit à l’explication.
  • Elle anticipe l’entrée en vigueur en novembre 2026 d’une autorisation légale pour les décisions entièrement automatisées dans le crédit à la consommation, en rappelant les garanties associées : transparence, intervention humaine, explicabilité.
  • Pour les emprunteurs : nouveaux leviers en cas de refus de crédit (demande d’explication détaillée, contestation, demande de réexamen humain).
Sommaire

Pourquoi cette recommandation arrive-t-elle maintenant ?

L’évaluation de la solvabilité des candidats à un crédit est un mécanisme intime du système financier : en quelques secondes, un algorithme classe un demandeur de crédit, accepte ou refuse, propose un taux, fixe une garantie. Et derrière ces décisions, des dizaines de variables — revenus, charges, historique de remboursement, fichage Banque de France, parfois données comportementales — sont collectées, traitées, parfois revendues. Pour le candidat, l’opération est largement opaque : il ignore quelles données sont utilisées, comment elles sont pondérées, et pourquoi sa demande a été acceptée ou refusée.

La CNIL avait, en 2008, encadré ces pratiques par une autorisation unique (l’AU-005), aujourd’hui dépassée. L’entrée en application du RGPD en 2018, la généralisation des techniques d’intelligence artificielle dans le scoring, et — surtout — la jurisprudence de la Cour de justice de l’Union européenne ont rendu indispensable une mise à jour. C’est la mission que la CNIL s’était fixée en mai 2025 en ouvrant une consultation publique sur un projet de recommandation. La version définitive, adoptée le 2 avril 2026 et publiée le 7 mai 2026, vient stabiliser le cadre.

Pour les emprunteurs, l’enjeu est immédiat : cette recommandation, bien qu’elle ne soit pas « prescriptive » au sens strict, constitue le standard interprétatif que la CNIL appliquera lors de ses futurs contrôles et que les juridictions saisies de litiges relatifs au crédit prendront en considération. Tout écart d’un établissement à ces lignes directrices devra être justifié.

Qui est concerné par la recommandation ?

Le périmètre est large :

  • Tous les organismes privés qui accordent des crédits : banques, établissements de crédit spécialisés, sociétés de financement, organismes captifs des constructeurs automobiles, plateformes en ligne.
  • Les intermédiaires en opérations de banque et en services de paiement : courtiers, mandataires, comparateurs ayant une dimension transactionnelle.
  • Le périmètre matériel couvre les crédits à la consommation et les crédits immobiliers encadrés par le code de la consommation. Sont exclus, à ce stade : les crédits professionnels purs, les opérations interbancaires.
📖 Définition — Évaluation de la solvabilité
L’évaluation de la solvabilité est l’opération par laquelle le prêteur vérifie la capacité du demandeur à rembourser le crédit sollicité. Elle est imposée par le code de la consommation (articles L. 312-16 pour la consommation et L. 313-16 pour l’immobilier) et constitue une obligation positive du prêteur. Son non-respect ouvre, en cas de défaillance ultérieure de l’emprunteur, une action en responsabilité de la banque pour défaut de mise en garde ou pour octroi déraisonnable du crédit.

Quels sont les principaux apports ?

La minimisation des données traitées

Premier pilier, conforme à l’article 5.1.c du RGPD : les prêteurs ne peuvent collecter et traiter que les données « pertinentes et strictement nécessaires » à l’évaluation de la solvabilité. La recommandation identifie de manière détaillée les catégories de données admissibles : identité, situation familiale et professionnelle, revenus, charges récurrentes, patrimoine, historique de remboursement des crédits antérieurs.

Les données dites « sensibles » au sens de l’article 9 du RGPD (origine, opinions politiques, état de santé, etc.) sont en principe exclues, sauf exception très limitée. Les données comportementales tirées du open banking (analyse fine des relevés de compte) sont admissibles mais dans un cadre strict : information de la personne, finalité limitée, durée de conservation courte.

L’encadrement des incidents de remboursement passés

Les établissements peuvent tenir compte des manquements contractuels passés du candidat — par exemple, incidents de remboursement concernant de précédents crédits. Mais la recommandation encadre cette prise en compte :

  • Les données utilisées doivent être objectives (montant, date, durée de l’incident, régularisation éventuelle) et non simplement déclaratives ou interprétatives.
  • L’information de la personne sur l’usage qui est fait de ces données et leur poids dans l’évaluation doit être renforcée.
  • La gravité de l’incident et le profil de risque global du demandeur doivent être pris en compte de manière proportionnée : un incident ancien et isolé ne peut pas être traité comme un défaut systémique.

Cette dernière précision, ajoutée à la version définitive après consultation publique, est importante : elle ouvre un terrain de contestation pour les emprunteurs dont la demande de crédit serait refusée sur la base d’un incident ancien, mineur ou totalement régularisé.

Les durées de conservation

La recommandation précise les durées de conservation maximales applicables aux données recueillies pour la demande de crédit ainsi qu’à celles relatives aux manquements contractuels passés. La règle générale est que ces données ne peuvent être conservées au-delà de ce qui est strictement nécessaire à la finalité poursuivie. La version définitive a introduit une nuance importante : la possibilité de conserver certaines données à des fins probatoires en cas de contentieux, en archivage spécifique et avec accès restreint.

Que change la recommandation sur le scoring ?

L’apport décisif de l’arrêt SCHUFA

La recommandation s’inscrit dans le prolongement direct de deux arrêts décisifs de la Cour de justice de l’Union européenne :

  • CJUE, 7 décembre 2023, SCHUFA, C-634/21 : la Cour juge qu’un scoring automatisé constitue une « décision individuelle automatisée » au sens de l’article 22 du RGPD dès lors qu’il joue un rôle déterminant dans la décision finale d’octroi de crédit. Conséquence : la personne dispose, à ce titre, du droit à une intervention humaine, du droit d’exprimer son point de vue, et du droit de contester la décision.
  • CJUE, 2024, C-203/22 : consacre, dans le prolongement, un droit à l’explication sur le fonctionnement du mécanisme qui a conduit à la prise de décision ; cette explication doit être suffisamment précise pour permettre à la personne de comprendre et, le cas échéant, de contester.

La CNIL transpose ces principes en recommandant que tout dispositif de scoring jouant un rôle déterminant dans l’octroi ou le refus de crédit soit accompagné :

  1. D’une information claire de la personne sur le recours au scoring et sur les conséquences de celui-ci.
  2. D’une possibilité effective d’intervention humaine permettant de revoir la décision.
  3. D’une explicabilité du résultat : la personne doit pouvoir obtenir les principaux facteurs ayant conduit au score retenu et au refus, dans un langage compréhensible.

Le droit à l’explication consacré

📖 Définition — Droit à l’explication
Le droit à l’explication est le droit, pour toute personne ayant fait l’objet d’une décision automatisée, d’obtenir des informations utiles sur la logique sous-jacente à cette décision, ainsi que sur son importance et ses conséquences. Il découle directement de l’article 22 et de l’article 15 du RGPD. La recommandation de la CNIL en précise le contenu opérationnel : principaux facteurs ayant influencé le score, importance relative de chacun de ces facteurs, explication en langage clair. Il s’agit de l’un des droits les plus puissants — et les moins exercés en pratique — du RGPD.

Ce droit à l’explication change fondamentalement la donne pour les personnes confrontées à un refus de crédit. Jusqu’à présent, la réponse standard du prêteur était une formule générique du type « votre demande ne correspond pas à notre politique de risque ». Cette formule ne suffit plus. Le candidat refusé peut désormais exiger, sur le fondement du RGPD lu à la lumière de la jurisprudence SCHUFA et de la recommandation de la CNIL, des éléments concrets sur les facteurs ayant conduit au refus.

Comment se prépare la généralisation des décisions automatisées de novembre 2026 ?

La recommandation anticipe une évolution législative majeure : l’entrée en application, en novembre 2026, d’une autorisation légale spécifique pour les décisions entièrement automatisées dans le crédit à la consommation. Cette évolution répond à une demande forte du secteur, qui souhaite pouvoir industrialiser le traitement des demandes de petits crédits sans intervention humaine systématique.

Le passage à des décisions entièrement automatisées n’est admissible, juridiquement, que si l’article 22 du RGPD est respecté. La nouvelle autorisation légale française permettra de fonder ce traitement, mais elle ne réduit pas les garanties : elle les encadre simplement de manière explicite.

Les trois garanties associées

Quel que soit le degré d’automatisation, trois garanties sont obligatoires :

1. La transparence

L’établissement doit informer le candidat, avant la décision et au moment où elle est rendue, du caractère automatisé du traitement, des données utilisées, et de la logique générale appliquée.

2. L’intervention humaine

La personne doit pouvoir obtenir, sur demande, le réexamen de sa demande par un opérateur humain habilité à modifier ou à confirmer la décision. Ce réexamen n’est pas une simple vérification formelle : l’humain doit pouvoir effectivement reprendre l’analyse, intégrer des éléments contextuels non saisis par l’algorithme, et statuer sur cette base.

3. L’explicabilité

Le résultat de la décision automatisée doit pouvoir être expliqué dans des termes accessibles à la personne concernée. Cela suppose, en pratique, que l’établissement dispose d’outils techniques permettant d’extraire les facteurs explicatifs de chaque décision individuelle — y compris lorsque le scoring repose sur des modèles complexes (forêts aléatoires, réseaux de neurones, gradient boosting).

Le droit au réexamen humain

Le droit au réexamen humain est, dans la pratique, un levier puissant. Il permet à la personne refusée de relancer le dossier dans un cadre formel, en versant des pièces complémentaires (justificatifs de revenus actualisés, explications sur un incident isolé, attestation patronale précisant la stabilité de l’emploi). Le réexamen doit aboutir à une décision motivée, qui peut, le cas échéant, infirmer le refus initial.

Quels nouveaux leviers pour les emprunteurs ?

En cas de refus de crédit

Pour toute personne confrontée à un refus de crédit après mai 2026, plusieurs démarches sont désormais à portée de main :

  1. Demander par écrit les motifs détaillés du refus : l’établissement doit, sur le fondement de l’article 15 du RGPD et de la recommandation CNIL, fournir les principaux facteurs ayant conduit à la décision. Une réponse purement formulaire est insuffisante.
  2. Demander l’identité des données utilisées : revenu retenu, charges retenues, score attribué, données externes consultées (FICP, FCC, scoring d’organismes tiers).
  3. Demander un réexamen humain : si la décision repose sur un dispositif automatisé jouant un rôle déterminant, la personne dispose du droit à un réexamen par un opérateur humain.
  4. En cas de blocage : saisir la CNIL (procédure de plainte simplifiée), ou engager une action en responsabilité contre l’établissement (réparation du préjudice né d’un refus non motivé ou d’un traitement non conforme).

Pour les personnes inscrites au FICP

La recommandation accorde une attention particulière au Fichier national des incidents de remboursement des crédits aux particuliers (FICP), qui est l’une des principales sources de plaintes auprès de la CNIL. Pour les personnes inscrites :

  • Le droit d’accès et de rectification doit être effectif (la Banque de France gère le fichier ; l’établissement déclarant doit pouvoir justifier la déclaration).
  • Une inscription ancienne, isolée ou régularisée ne peut pas être traitée par les prêteurs comme un défaut systémique automatique.
  • Le refus de crédit fondé sur le seul motif de l’inscription au FICP n’est pas, en lui-même, illicite ; mais il doit être motivé et le candidat doit pouvoir comprendre la pondération qui lui a été appliquée.

Que faire en pratique ?

Pour les emprunteurs comme pour leurs conseils, la recommandation de la CNIL offre un cadre opérationnel précieux. Trois réflexes :

1. Documenter par écrit toutes les demandes de crédit refusées

Conserver la lettre ou le mail de refus, demander immédiatement par lettre recommandée les motifs détaillés et les facteurs ayant conduit à la décision. La recommandation impose à l’établissement de répondre de manière substantielle.

2. Exercer les droits du RGPD avec précision

L’article 15 (droit d’accès) et l’article 22 (décisions automatisées) sont les fondements à mobiliser. Une demande générique du type « Quelles données avez-vous sur moi ? » est moins efficace qu’une demande ciblée : « Veuillez me communiquer, en application de l’article 15 RGPD et conformément à la recommandation CNIL n° 2026-047 du 2 avril 2026, les principaux facteurs ayant conduit au refus de ma demande, la pondération qui leur a été attribuée, et l’identité des données externes éventuellement consultées ».

3. Articuler RGPD et code de la consommation

Le RGPD ouvre des leviers nouveaux qui peuvent être combinés avec les obligations classiques du code de la consommation (évaluation de la solvabilité, devoir de mise en garde, information loyale et claire). Cette combinaison est particulièrement puissante dans les contentieux d’octroi déraisonnable : démontrer que la banque a utilisé des données non pertinentes ou non actualisées pour fonder un crédit voué à l’échec renforce la qualification de manquement.

Conclusion

La recommandation de la CNIL du 7 mai 2026 marque une étape importante dans la professionnalisation du scoring bancaire et dans la protection des candidats à un crédit. En consacrant le droit à l’explication, en encadrant les décisions automatisées, en imposant la possibilité d’un réexamen humain, elle redonne aux personnes refusées des leviers concrets pour comprendre et, le cas échéant, contester les décisions prises à leur encontre.

Le cabinet, qui défend régulièrement des emprunteurs confrontés à des refus de crédit obscurs, à des inscriptions au FICP contestables ou à des octrois déraisonnables de crédit, intègre dès à présent ce nouveau référentiel dans la préparation des dossiers. La combinaison entre les outils du RGPD (droit d’accès, droit à l’explication, action en cessation de traitement) et les fondements classiques du code de la consommation (devoir de mise en garde, obligation d’évaluation, octroi déraisonnable) ouvre un terrain d’argumentation particulièrement riche.

Si vous avez essuyé un refus de crédit que vous estimez injustifié, si vous êtes inscrit au FICP de manière contestée, ou si vous avez été victime d’un octroi de crédit que la banque n’aurait jamais dû consentir au regard de votre situation, n’hésitez pas à faire le point avec un avocat. La cartographie des moyens d’action est plus large qu’on ne le pense, et elle s’est encore enrichie avec cette recommandation.

FAQ — Questions fréquentes

Une recommandation CNIL est-elle vraiment opposable aux banques ?
Une recommandation n’a pas la valeur d’un règlement : elle n’est pas « prescriptive ». Mais elle constitue le standard interprétatif que la CNIL appliquera lors de ses contrôles et que les juridictions prendront en considération. Un établissement peut s’en écarter, mais il devra alors justifier ses choix. Dans la pratique, cette recommandation aura une portée normative très forte : c’est elle qui fixera le seuil de la conformité dans le secteur du crédit pour les années à venir.
Comment savoir si la décision sur mon crédit est entièrement automatisée ?
Vous devez le demander directement à l’établissement, par écrit. Sur le fondement de l’article 22 du RGPD, il est tenu de vous informer du caractère automatisé du traitement et de ses conséquences. Si vous n’obtenez pas de réponse claire, vous pouvez saisir la CNIL par une procédure de plainte simplifiée. Dans la pratique, la plupart des décisions sur les petits crédits à la consommation (jusqu’à quelques milliers d’euros) reposent sur des dispositifs majoritairement automatisés, même si une vérification humaine finale est parfois ajoutée.
Mon refus de crédit semble basé sur mon FICP : que puis-je faire ?
Plusieurs démarches sont possibles. Vérifiez d’abord l’exactitude de votre inscription auprès de la Banque de France (consultation gratuite). Si l’inscription est erronée ou si l’incident est régularisé sans que la mise à jour ait été effectuée, demandez la radiation immédiate. Ensuite, demandez à l’établissement qui a refusé votre crédit les motifs détaillés : une inscription ancienne, mineure ou régularisée ne peut pas justifier à elle seule un refus mécanique. Si la décision repose sur un facteur unique non actualisé, vous disposez d’un terrain de contestation solide.
Puis-je demander à voir mon score de crédit ?
Oui, en application de l’article 15 du RGPD et de la recommandation de la CNIL. La banque doit vous communiquer non seulement votre score, mais aussi les principaux facteurs qui l’ont déterminé. Une réponse purement formulaire ne suffit pas. Si l’établissement refuse ou tarde à répondre, vous pouvez saisir le délégué à la protection des données (DPO) de l’établissement, puis la CNIL en cas de blocage persistant.
Le droit au réexamen humain est-il vraiment effectif ?
La recommandation insiste sur ce point : le réexamen ne doit pas être une simple vérification formelle, mais une véritable reprise de l’analyse par un opérateur habilité à modifier la décision. Dans la pratique, certaines banques traitent ce droit avec sérieux ; d’autres se contentent d’une réponse stéréotypée. Si vous estimez que le réexamen n’a pas été effectivement mené (réponse en moins de 24 heures, formulation identique à la décision initiale, absence de prise en compte des pièces complémentaires que vous avez transmises), cela constitue un manquement supplémentaire qui peut être utilement signalé à la CNIL.
Quel est le lien avec l’octroi déraisonnable de crédit ?
Le lien est étroit. Si la banque a accordé un crédit en utilisant des données non pertinentes, périmées ou tronquées, et si ce crédit s’avère ensuite voué à la défaillance, l’emprunteur peut combiner deux fondements : la responsabilité civile pour manquement au devoir de mise en garde (fondement classique du code de la consommation), et la responsabilité pour traitement de données non conforme au RGPD et à la recommandation CNIL. Cette double action renforce considérablement la position de l’emprunteur, notamment dans les contentieux où la banque tente d’opposer le caractère « averti » de l’emprunteur.
Quel impact pour les acteurs du open banking ?
L’open banking permet à un prêteur d’accéder, avec le consentement du client, à ses relevés bancaires détaillés pour évaluer sa solvabilité. La recommandation encadre cette pratique : information renforcée du client, finalité limitée à l’évaluation, durée de conservation courte, interdiction d’usages dérivés. Pour les plateformes utilisant ces données pour proposer des crédits express, cela impose une refonte des parcours utilisateurs et une transparence accrue. À défaut, ces acteurs s’exposent à des sanctions importantes de la CNIL.
1521 2281 max

Besoin de conseils juridiques personnalisés ?

Ne restez pas seul face à vos questions. Un avocat peut vous rappeler gratuitement pour faire le point sur votre situation.

Être recontacté par un avocat

Besoin de conseils juridiques personnalisés ?

RGPD :

Articles similaires

assets task 01jx05vcemetna0vzmvyjsc7ad 1749131663 img 0

Paiement d’une dette prescrite : comment se faire rembourser ? – Cass. 1ère civ., 26 novembre 2025, n° 23-21.121

Dans un arrêt de principe rendu le 26 novembre 2025 (n° 23-21.121) et publié au bulletin, la première chambre civile de la Cour de cassation ...

assets task 01jxmprh3cfw5bz9bjfbpmt6sn 1749820484 img 1

Faux conseiller bancaire : la Caisse d’Épargne condamnée à rembourser 6 000 € et le préjudice moral (CA Bordeaux, 9 juin 2026, n° 23/05481)

Un appel téléphonique d’un faux conseiller, un mot de passe réinitialisé sous la pression, et 6 000 euros qui s’évaporent : c’est le scénario, devenu ...

résolution et contrat de crédit immobilier

La résolution du contrat de crédit immobilier : portée de l’interdépendance contractuelle (Civ. 1ère, 2 avril 2025, 23-19.513, Inédit)

Le contrat de crédit immobilier est, par essence, lié à l’opération qu’il finance, le plus souvent l’acquisition d’un bien immobilier. Cette interdépendance contractuelle est un ...