Le Prof. Dr. Boris Paal, M.Jur. (Oxford) définit le « scoring » comme « une procédure standardisée, basée sur une analyse statistique et mathématique de données à caractère personnel, visant à prévoir le comportement de groupes de personnes et d'individus présentant certaines caractéristiques » [1]. Le scoring bancaire concerne donc spécifiquement le fait de prévoir si un emprunteur potentiel est solvable, permettant de s’assurer de sa capacité à rembourser un crédit.

Le « scoring » bancaire existe depuis le début des années 1800 et vient à l’origine des Etats-Unis. Cependant, il n’a été appliqué aux particuliers qu’à partir de 1950 avec l’émergence de nouvelles connaissances statistiques et l’essor des crédits à la consommation. Outre Atlantique, Bill Fair et Earl Isaac, les fondateurs d’une société d’analyse de données nommée Fair Isaac Corporation (FICO) [2], sont les premiers à l’avoir codifié et posé en rouage essentiel de décisions d’octroi du crédit. 

Du côté européen, le score de solvabilité s’est largement développé comme outil au sein des banques dans une majorité de pays membres de l’Union européenne telle que la France. Seule figure d’exception à cette utilisation interne : l’Allemagne qui a externalisé cette pratique des banques et l’a élevé en maillon essentiel de la chaîne de décision d’octroi de crédit. (Voir le développement infra partie I)

Certains Etats ont ainsi influencé la rédaction du règlement général sur la protection des données (RGPD) uniformisant le droit de la protection des données personnelles avec leurs pratiques nationales : le « scoring » pour l’Allemagne. L’insertion de cette pratique au sein du RGPD émanait de la seule volonté de l’Allemagne qui disposait déjà d’un système économique stable avec les agences d’analyse de solvabilité. 

L’Allemagne a profité des marges de manœuvres que laisse le RGPD pour légiférer davantage à ce sujet dans la Bundesdatenschutzgesetz (BDSG) tandis que la France a placé le RGPD dans la continuité de la loi informatique et libertés de 1978, modifiée ensuite par la loi relative à la protection des données personnelles de 2018, sans rien ajouter au RGPD. 

Le « Scoring » bancaire a été codifié sous le terme de « profilage », défini à l’article 4 alinéa 4 RGPD comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. » [3] 

Cet article couplé à l’article 22 du même règlement, pose les bases d’un encadrement du « scoring » au niveau européen. Cependant, la pratique nationale du « credit-scoring » s’évertue à en redéfinir les contours. 

Dans quelle mesure les systèmes juridiques français et allemand ont-ils consacré l’utilisation de données personnelles pour évaluer la solvabilité d’un particulier par le biais du « credit-scoring » ?

L’application des articles 4, alinéa 4, et 22 du RGPD pour évaluer la solvabilité d’un particulier présente trois enjeux clés. Tout d’abord, les critères d’octroi de crédit varient selon les systèmes juridiques, influençant ainsi l’approche du “scoring” bancaire (I). Ensuite, la qualification du scoring en tant que “décision individuelle automatisée”, obtenue après d’intenses débats, et les réglementations nationales intéressées légalisent le traitement des données personnelles à des fins de “scoring” (II). Enfin, en cas de traitement illégal des données au regard de l’article 22 du RGPD, il convient d’apprécier la perte de contrôle des données personnelles ainsi que les modalités de réparation envisageables (III).

1. Les critères pour l’obtention d’un crédit : différence franco-allemande

Les crédits sont accordés par les banques traditionnelles après analyse de la personne de l’emprunteur. Cette analyse s’effectue différemment en France et en Allemagne. En France, selon la Commission Nationale de l’Informatique et des Libertés (CNIL), qui veille au respect de la vie privée et des libertés individuelles dans le traitement des données à caractère personnel, les décisions relatives à l’octroi ou au refus d’un emprunt se fondent sur les données que l’emprunteur confie à l’établissement tels que : l’âge, la situation matrimoniale, la nationalité, la situation au regard de l’emploi, les revenus et charges, le fonctionnement du compte bancaire, les cautions éventuelles. L’établissement de crédit vérifie également dans ses fichiers internes les informations relatives aux transactions ou aux engagements du potentiel emprunteur. En effet, les établissements conservent durant 6 mois les informations relatives aux refus de crédit. Ils vérifient également si l’emprunteur potentiel est inscrit au Fichier national des Incidents de remboursement des Crédits aux Particuliers (FICP) ou au Fichier Central des Chèques (FCC). Toutes ces données personnelles sont transmises par l’emprunteur à l’établissement de crédit dans le but de conclure un contrat de prêt ou à disposition de ses établissements par une institution nationale supérieure telle que la Banque de France. [4]

En Allemagne, les données sont également transmises, en partie, par le futur emprunteur. Cependant, un score de solvabilité (Bonität ou Kreditwürdigeit) est ajouté et participe activement à l’octroi du crédit par l’établissement de crédit. Ce score de solvabilité est calculé par une société privée : la « Schutzgemeinschaft für allgemeine Kreditversicherung » (SCHUFA) pouvant être traduit comme l’association pour la protection générale de l'assurance-crédit.

La SCHUFA est donc une entreprise qui analyse de nombreuses valeurs d'expérience de paiement pour les comparer avec des personnes qui ont des comportements financiers similaires. Ainsi, un score est émis en fonction des données positives ou négatives récoltées. 

Une décision du tribunal d’instance de Cologne expose que des données sont, par exemple, collectées à la conclusion d’un contrat de téléphonie mobile [5]. Dans cette affaire, un requérant a demandé la réparation d’un préjudice moral à une société de téléphonie mobile « freenet » qui aurait transmis des données personnelles issues de leur relation contractuelle à la société SCHUFA AG qui, après analyse de ces données, donne des scores de solvabilité. 

En résumé, en Allemagne, le travail de compilation et le traitement des données personnelles pour en prédire le comportement de l’usager sont sous-traités à des sociétés telle que la SCHUFA alors qu’en France, la solvabilité est directement évaluée par les établissements de crédit lorsqu’une demande de prêt est effectuée. 

2. Le traitement des données personnelles à des fins de « scoring » bancaire 

Le traitement des données personnelles à des fins de « scoring » bancaire : entre difficulté d’appréciation de cette pratique comme décision individuelle automatisée (A) et intérêts des réglementations nationales (B). 

1. Le « scoring », une décision individuelle automatisée 

Le score établi par la SCHUFA aurait un très grand impact sur des personnes dont le mauvais score serait uniquement déterminé par la décision d’un algorithme informatique. Une décision individuelle automatisée se définit comme une décision prise par le biais d’algorithmes sur ses données personnelles et cela, sans qu'un être humain n’intervienne. 

La caractérisation du « scoring » en “décision individuelle automatisée” a fait débat dans le monde juridique. Bien qu’il n’ait pas pris place en France, puisque cette pratique est très peu utilisée à des fins bancaires, de nombreux articles de doctrine français retracent le contentieux qui s’est développé à ce sujet en Allemagne. [6]

En effet, la qualification de « credit-scoring » en tant que décision individuelle automatisée entraîne l’application du régime de l’article 22 du RGPD. 

Le traitement des données personnelles automatisé, s’il produit des effets juridiques ou affecte de manière significative de façon similaire la personne concernée, n’est pas autorisé. Il existe cependant des exceptions prévues à l’alinéa 2 de ce même article, soit « lorsque la décision : est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement ; est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis […]; ou est fondée sur le consentement explicite de la personne concernée. » [7]

La Cour de Justice de l’Union Européenne dans un arrêt du 7 décembre 2023, a interprété cet article 22 [8]. La difficulté d’interprétation résidait dans la personne du décideur : une société de « scoring » telle que la SCHUFA, qui se limite à faire parvenir des informations par score de solvabilité à ses partenaires contractuels contre rémunération, prend-elle des décisions ayant un impact ou affectant de manière significative le demandeur du crédit ? 

La SCHUFA considérait dans cette affaire qu’elle ne prenait aucune décision significative, car la décision prise par l’établissement de crédit de refuser un prêt sur la base du score de solvabilité était la décision ayant des effets juridiques sur le particulier. Le score n’était donc pas à proprement parler une « décision » automatisée, et donc ne devrait pas subir le régime de l’article 22 du RGPD et ses restrictions. 

La CJUE, en rappelant les conditions cumulatives d’application à l’article 22 que sont la présence d’une « décision », qui doit être « fondée exclusivement sur un traitement automatisé », et qui se distingue par des « effets d’une particulière gravité » [9], a donné un rappel de la définition même de « décision ». Ainsi la Cour ajoute « par.44 : Sur la première question (préjudicielle)[…].Il ressort cependant du libellé même de cette disposition que cette notion (décision) renvoie non seulement à des actes qui produisent des effets juridiques concernant la personne en cause mais également des actes qui affectent celle-ci de manière significative de façon similaire.» [10]

Par conséquent, l’article 22 du RGPD doit être interprété comme constituant une décision individuelle automatisée : « l’établissement automatisé, par une société fournissant des informations commerciales, d’une valeur de probabilité fondée sur des données à caractère personnel relatives à une personne et concernant la capacité de celle-ci à honorer des engagements de paiement à l’avenir » [11]. 

En conclusion, si les établissements de crédit accordent au « scoring » d’une entreprise tierce un rôle décisif dans leurs décisions d’octroi ou de refus d’un prêt, alors la décision est inique car elle ne respecterait pas les conditions posées à l’article 22 relatif aux décisions individuelles automatisées.

En tout état de cause, l'Allemagne a dû revoir sa pratique pour se conformer auxdits articles. Dorénavant, les scores de la Schufa, seuls, ne peuvent plus être décisifs de l'octroi d'un crédit, sinon la décision est illicite. Ils devront également intégrer une révision humaine. 

2. La législation nationale encadrant le « scoring », des règles intéressées ?  

Il a paru important aux législateurs français et allemand de poser des limites d’utilisation et de champ d’actions aux sociétés de « scoring » pour protéger les particuliers et leurs données personnelles. Ces précisions inscrites au sein des législations nationales favorisent-elles la pratique effective du « scoring » et l'émergence ou la prospérité de toute une branche d’activité ? 

En France, le « scoring », en tant que décision individuelle automatisée ou profilage, est défini et encadré par le RGPD dans ses articles 4 n°4 et 22. Ces articles s'alignent sur la législation nationale déjà en vigueur : la loi informatique et libertés. Plus précisément, dès lors que les données à caractère personnel collectées par des établissements de crédit font l’objet d’un traitement automatisé, la loi informatique et liberté s’applique.

Outre-Rhin, l’article 31 du Bundesdatenschutzgesetz (BDSG) complète le RGPD et précise les modalités d’utilisation des données personnelles pour le « scoring-bancaire ». 

Le traitement automatisé est défini à l’article 2 al. 3 de la loi informatique et liberté. Cette loi interdit l’utilisation de données sensibles telles que des données personnelles qui ne sont pas collectées pour « cette finalité déterminée, explicite et légitime » qu’est le « scoring »[12]. De plus, « Les données doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées » [13]. Tout comme en Allemagne, où les données récoltées pour le « scoring » doivent être pertinentes « pour le calcul de la probabilité du comportement déterminé » [14]. 

La législation allemande donne expressément une marche à suivre pour quelques données personnelles spécifiques telles que les données d’adresse ou de créance. Il est, ainsi, interdit d’allouer aux adresses postales un score déterminé. Si l’adresse d’une personne concernée venait à être utilisée, elle devrait en être informée avant le traitement de ces données.

Sur les « credit-scoring », l’alinéa 2 de l’article 31 BDSG précise également qu’en plus de remplir les conditions du paragraphe premier, d’autres sont nécessaires pour assurer la validité du score de solvabilité contenant des informations sur les créances. Dans ce cas précis, pour faire partie du score d’insolvabilité, les créances doivent être « constatées par un jugement définitif ou déclaré exécutoire par provision ou pour lesquelles il existe un titre de créance » [15]. Cette créance ne doit pas avoir été contestée par le débiteur mais expressément reconnue. Pour cela, il doit recevoir « au moins deux rappels écrits après l'échéance de la créance », « une première mise en demeure datée d’au moins quatre semaines », « première mise en demeure contenant l’information d’une utilisation éventuelle par une agence de renseignements. » [16]

S’agissant des données personnelles pouvant être collectées en France, elles sont de facto bien plus restreintes car elles doivent être à la fois adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées tandis qu’en Allemagne, excepté certains cas particuliers telles que les adresses postales ou les données portant sur des créances, les données doivent juste être pertinentes pour le calcul de la probabilité du comportement déterminé. 

Un autre principe consacré en France à l’article 32 de la loi Informatique et Liberté, et applicable, en tout état de cause au « scoring » bancaire est que chaque traitement automatisé de données personnelles doit faire l’objet d’une déclaration et d’une autorisation de la CNIL. En effet, le traitement est susceptible « d’exclure les personnes concernées du bénéfice d’un droit, mais également d’une prestation ou d’un contrat » [17] . Ainsi le recours au « scoring » n’est possible que sur la base d’une autorisation unique relative aux traitements automatisés d’aide à la décision qui s’appuient sur des modèles de score [18]. Pour l’obtenir, le responsable de traitement doit présenter une déclaration de conformité par laquelle il s’engage à respecter les conditions de l’autorisation. 

Dans cette autorisation unique n°AU-005 sont énumérées les catégories de traitement autorisées, les informations pouvant être concernées, les destinataires, les rapprochements, interconnexions ou toute autre forme de mise en relation de ces informations pouvant être concernés par le traitement de « credit-scoring » [19]. 

La loi informatique et liberté et l’obligation de l’autorisation unique protègent les données personnelles de la personne concernée. En France, il est important de noter que les futurs emprunteurs doivent être informés par écrit des finalités de traitements que peuvent subir les informations qu’ils donnent à cette fin. 

Ainsi, avec sa législation nationale, la France encadre plus strictement en amont le « scoring » avec la procédure de l’autorisation unique et en aval avec un encadrement des données pouvant être utilisées tandis que la législation allemande permet une utilisation des données plus larges et n’encadre strictement que certains cas. 

Dans un monde où le « scoring » à la française serait appliqué en Allemagne, cela signifierait très certainement la disparition ou du moins l’amoindrissement de tout un secteur d’activité d’analyse de score de solvabilité. 

3. L’utilisation des données personnelles pour l’évaluation de la solvabilité : un risque de perte de contrôle et un droit de réparation mal interprété. 

Dans le cas où les données personnelles seraient utilisées à des fins de « scoring-bancaire » alors que leur traitement est illégal au sens de l’article 22 RGPD et des législations nationales, cela caractériserait une perte de contrôle des données personnelles pour le particulier. Dans ce cas, une perte de contrôle de ses données personnelles seule peut-elle entraîner une réparation ? 

L’article 82 RGPD sur le droit à la réparation et la responsabilité a fait l’objet d’interprétations divergentes en France et en Allemagne. En France, le moindre dommage matériel ou moral du fait d’une violation du RGPD, même minime, doit être réparé par le responsable du traitement ou du sous-traitant. En Allemagne, la théorie du « Bagatellschaden » ou « seuil de minimis » est appliquée : des dommages trop minimes ne sont pas considérés comme tels en droit allemand.  Cette interprétation allemande de l’article 82 du RGPD a été mise en cause par la CJUE, qui n’a pas approuvé l’application d’une condition supplémentaire qu’est le seuil de minimis. [20]

Pour rappel, les conditions mentionnées à l’article 82 RGPD pour obtenir réparation sont une violation du RGPD, l’existence d’un dommage et un lien de causalité entre les deux. Les Allemands ont, dans un premier temps, considéré qu’une perte de contrôle des données personnelles pouvait s’apparenter à un dommage résultant d’une violation du règlement. La Cour de justice de l’Union européenne est revenue sur cela dans une décision reprise par le tribunal d’instance de Cologne dans son arrêt du 23 octobre 2024. Le requérant estime qu’il a subi un préjudice indemnisable au sens de l'article 82 du RGPD car la société SCHUFA aurait conservé et traité des données personnelles. Ces données du requérant étaient seulement stockées par la SCHUFA et aucun dommage résultant de ce stockage n’a été avéré. La Cour a statué sur le fait « qu’il n'existe, selon une appréciation raisonnable, aucune raison de s'attendre à la survenance future d'un préjudice matériel ou moral, toutes les craintes relatives à l'évolution future du préjudice étant de nature purement théorique » [21]. Pour résumer, une perte de contrôle seule ne serait pas de nature à justifier un préjudice moral ou matériel selon le droit européen. 

Malgré cet encadrement qui peut sembler ferme dans les deux législations, la manière dont sont calculés les scores de solvabilité reste très floue pour les particuliers. Par exemple, en Allemagne, dans de nombreuses affaires [22], la réponse de la SCHUFA aux sollicitations de clarification sur le calcul du score est souvent évasive ou se cache derrière le droit des affaires. Le droit du secret des affaires est réglementé au niveau européen par une directive du 8 juin 2016 (Directive (EU) 2016/943) [23] et peut être défini comme une protection des données relatives au savoir-faire et à l’activité technique. 

Les particuliers peuvent-ils, malgré ce manque de transparence, être assurés du respect de leurs droits ? 

Notes de bas de page :

[1] Prof. Dr. Boris P. Paal, „Schufa-Scoring und Schadensersatz bei Übermittlung von Positivdaten“ NJW 2024, 1689

[2] Lien du site internet de FICO : https://www.fico.com/en/about-us , consulté le 10 janvier 2025. 

[3] Article 4 par. 4 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données -RGPD).

[4] CNIL, « Le refus de crédit en questions », 10 juillet 2018, https://www.cnil.fr/fr/le-refus-de-credit-en-questions, lien consulté le 10 janvier 2025

[5] Arrêt du tribunal d’instance de Cologne du 23 octobre 2024 (LG Köln (17. Zivilkammer), Urteil vom 23.10.2024 – 17 O 3/24C4)

[6] GALICHET Charlotte, “Le scoring bancaire est une « décision individuelle automatisée »au sens de l’article 22, paragraphe 1, du RGPD, Dalloz IP/IT, Juin 2024, pp. 362 à 365. « Scoring de crédit : la CJUE confirme le rôle du RGPD dans la régulation de l’IA », AJDA, 11 mars 2024, N°9/2024, pp. 471 à 474 ; E.N. « Quand la force de conviction du scoring bancaire provoque sa chute. L’interprétation extensive, par le CJUE, de la prohibition des décisions entièrement automatisées », RTDcom, avril-juin 2024, pp. 342 à 348 ; BISCARRAT Marie, « Crédit scoring : la délivrance d’un score à une banque peut constituer une décision individuelle automatisée interdite par le RGPD », Lexis Veille, https://www.lexisveille.fr/credit-scoring-la-delivrance-dun-score-une-banque-peut-constituer-une-decision-individuelle, consulté le 10 janvier 2025. 

[7] Article 22 par.2., a,b,c du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.(règlement général sur la protection des données -RGPD)

[8] CJUE, 7 déc.2023, Schufa Holding AG, aff. C-634/21

[9] E.N., « Quand la force de conviction du scoring bancaire provoque sa chute. L’interprétation extensive, par le CJUE, de la prohibition des décisions entièrement automatisées », RTDcom, avril-juin 2024.

[10] CJUE, 7 déc. 2023, SCHUFA Holding, aff. C-634/21

[11] Arrêt de la Cour (première chambre) du 7 décembre 2023 (demande de décision préjudicielle du Verwaltungsgericht Wiesbaden - Allemagne) – OQ / Land Hessen, [Affaire C-634/211 , SCHUFA Holding (Scoring)]

[12] CARRE Stéphanie, „Les difficultés du Scoring“, dans « le crédit » (dir. Jerôme Capdeville, Michel Storck), Dalloz, Thèmes et commentaires Actes, ed. mai 2012, P.140

[13] Ibid

[14] Article 31 par.1 Nr° 2 du Bundesdatenschutzgesetz (loi fédérale relative à la protection des données), du 30 juin 2017 – BDSG, intitulé « Protection des transactions économiques en cas de “scoring” et de renseignements sur la solvabilité »

[15] Article 31 par.2 Nr.1 du Bundesdatenschutzgesetz (loi fédérale relative à la protection des données), du 30 juin 2017 – BDSG

[16] Article 31 par.2 Nr.4, a,b,c,d du Bundesdatenschutzgesetz (loi fédérale relative à la protection des données), du 30 juin 2017 – BDSG

[17] CARRE Stéphanie, „Les difficultés du Scoring“, dans « le crédit » (dir. Jerôme Capdeville, Michel Storck), Dalloz, Thèmes et commentaires Actes, ed. mai 2012, P.143

[18] Délibération n° 2008-198 du 9 juillet 2008 modifiant l'autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit ; Délibération no 2006-019 du 2 février 2006 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit (décision d’autorisation unique no AU-005)

[19] Article 33 de la loi n°78 -17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

[20] La notion de minimis, cité dans le dispositif de l’arrêt de la Cour (troisième chambre), 14 décembre 2023 (demande de décision préjudicielle du Landgericht Ravensburg — Allemagne) — VX, AT / Gemeinde Ummendorf, affaire C-456/22

[21] Arrêt du tribunal d’instance de Cologne du 23 octobre 2024, ( LG Köln (17. Zivilkammer) du 23.10.2024 (17 O 3/24C4))

[22] ibid 

[23] Directive (UE) 2016/943, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites. 

Bibliographie :

Ouvrages généraux :

• CARRE Stéphanie, „Les difficultés du Scoring“, dans « Le crédit » (dir. Jérôme Capdeville, Michel Storck), Dalloz, Thèmes et commentaires Actes, éd. mai 2012, pp. 140, 143.

Revues juridiques :

• BISCARRAT Marie, « Crédit scoring : la délivrance d’un score à une banque peut constituer une décision individuelle automatisée interdite par le RGPD », Lexis Veille,https://www.lexisveille.fr/credit-scoring-la-delivrance-dun-score-une-banque-peut-constituer-une-decision-individuelle, consulté le 10 janvier 2025.
• E.N. « Quand la force de conviction du scoring bancaire provoque sa chute. L’interprétation extensive, par le CJUE, de la prohibition des décisions entièrement automatisées », RTDcom, avril-juin 2024, pp. 342 à 348.
• GALICHET Charlotte, “Le scoring bancaire est une « décision individuelle automatisée » au sens de l’article 22, paragraphe 1, du RGPD”, Dalloz IP/IT, Juin 2024, pp. 362 à 365.
• Prof. Dr. Boris P. Paal, „Schufa-Scoring und Schadensersatz bei Übermittlung von Positivdaten“, NJW 2024, 1689.
• « Scoring de crédit : la CJUE confirme le rôle du RGPD dans la régulation de l’IA », AJDA, 11 mars 2024, N°9/2024, pp. 471 à 474.

Législations et réglementations :

• Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). (Articles 4, 22, 82)
• Directive (UE) 2016/943, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.
• Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (articles 32 et 33)
• Loi fédérale relative à la protection des données (Bundesdatenschutzgesetz), du 30 juin 2017 – BDSG. (Article 31)
• Délibération no 2006-019 du 2 février 2006 portant autorisation unique de certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l’évaluation et à la sélection des risques en matière d’octroi de crédit (décision d’autorisation unique no AU-005).
• Délibération n° 2008-198 du 9 juillet 2008 modifiant l'autorisation unique n° AU-005 relative à certains traitements de données à caractère personnel mis en œuvre par les établissements de crédit pour aider à l'évaluation et à la sélection des risques en matière d'octroi de crédit. 

Décisions juridiques :

• Arrêt du tribunal d’instance de Cologne (LG Köln (17. Zivilkammer) du 23.10.2024 (17 O 3/24C4) 
• L’arrêt de la Cour (troisième chambre), 14 décembre 2023 (demande de décision préjudicielle du Landgericht Ravensburg — Allemagne) — VX, AT / Gemeinde Ummendorf, affaire C-456/22.
• L’arrêt de la Cour (première chambre) du 7 décembre 2023 (demande de décision préjudicielle du Verwaltungsgericht Wiesbaden - Allemagne) – OQ / Land Hessen, [Affaire C-634/211 , SCHUFA Holding (Scoring)]

Site internet :

• CNIL, « Le refus de crédit en questions », 10 juillet 2018, https://www.cnil.fr/fr/le-refus-de-credit-en-questions, lien consulté le 10 janvier 2025.