Le 7 mai 2026, la CNIL a publié sa recommandation sur le scoring crédit et l’utilisation des données personnelles dans l’évaluation de la solvabilité. Ce texte encadre la façon dont les banques et les établissements financiers peuvent utiliser les données personnelles de leurs clients — et celles qu’ils ne peuvent pas utiliser — pour accorder ou refuser un crédit à la consommation ou un crédit immobilier.
Concrètement, elle vient préciser quelles données peuvent être utilisées, pendant combien de temps, comment les décisions sont prises et ce qu’il faut expliquer aux clients.
Ce texte n’est pas une loi, mais il sert de référence : en cas de contrôle, la CNIL s’en servira pour vérifier si les pratiques sont conformes, et chaque écart devra être justifié.
Scoring bancaire et solvabilité : quels organismes sont concernés ?
La recommandation vise les organismes qui ont le droit d’accorder des crédits (banques, établissements de crédit, certains établissements spécialisés) ainsi que les intermédiaires comme les IOBSP.
Elle ne s’applique que à un cas précis : l’évaluation de la solvabilité pour les crédits à la consommation et les crédits immobiliers, c’est-à-dire la vérification de la capacité d’une personne à rembourser un prêt. Sont exclus d’emblée d’autres traitements, même s’ils concernent aussi des crédits : la lutte contre la fraude, le blanchiment, le recouvrement des impayés ou l’assurance.
La CNIL se concentre donc ici sur un sujet : la décision d’accorder ou non un crédit et la façon dont les données personnelles sont utilisées pour cette décision.
Arrêt SCHUFA et RGPD : pourquoi la CNIL encadre maintenant le scoring crédit
Depuis plusieurs années, la justice européenne s’est penchée sur les outils de scoring utilisés pour évaluer les personnes, notamment pour la capacité à rembourser un crédit.
Dans un arrêt important (affaire SCHUFA), la Cour de justice de l’Union européenne a considéré que le calcul d’un score pouvait être assimilé à une décision automatisée lorsqu’il joue un rôle déterminant dans le résultat (par exemple un refus de crédit). La Cour a aussi renforcé le droit des personnes à obtenir une explication individualisée : il ne suffit plus de décrire en général comment l’outil fonctionne, il faut pouvoir expliquer à une personne donnée comment sa propre situation a été évaluée.
La CNIL traduit aujourd’hui ces exigences dans le contexte français du crédit à la consommation et du crédit immobilier.
Sur quelle base juridique reposent ces traitements ?
La CNIL recommande de fonder ces traitements sur l’obligation légale.
En effet, le Code de la consommation impose aux prêteurs de vérifier la solvabilité avant d’accorder un crédit : ils n’ont donc pas vraiment le choix, ils doivent traiter certaines données pour respecter la loi.
Cela ne veut pas dire que tout est permis : les données collectées pour évaluer la solvabilité ne peuvent pas être réutilisées librement pour d’autres objectifs, par exemple la prospection commerciale, sans informer clairement la personne et, le cas échéant, sans recueil du consentement lorsque c’est nécessaire.
Quelles données peuvent être utilisées (et lesquelles sont interdites) ?
La recommandation rappelle le principe de minimisation : ne collecter que ce qui est réellement nécessaire pour vérifier si la personne pourra rembourser son crédit.
La CNIL liste ainsi plusieurs catégories de données jugées pertinentes : situation personnelle (par exemple situation familiale), situation professionnelle, situation bancaire et financière, caractéristiques du crédit (montant, durée, type de prêt) et, le cas échéant, informations sur les garants.
Certaines sources sont clairement exclues : les réseaux sociaux, par exemple, ne peuvent pas servir de base à une évaluation de solvabilité. L’utilisation du département de résidence est aussi encadrée de manière stricte, car elle peut entraîner des discriminations géographiques ; si un établissement souhaite l’utiliser, il doit être capable de le justifier et de démontrer qu’il maîtrise ce risque.
Pour l’historique des opérations bancaires, la CNIL admet en principe un usage sur trois mois, avec une possibilité d’étendre à douze mois lorsque c’est la personne elle-même qui en fait la demande (par exemple pour montrer un historique plus long).
Durée de conservation des données bancaires : que prévoit la recommandation CNIL ?
La recommandation précise aussi les durées de conservation, un sujet souvent sous-estimé mais très sensible.
Pour un demandeur qui n’est pas encore client et dont la demande est rejetée, les données ne peuvent rester en base active que six mois à compter du dépôt de la demande. Pour les clients existants qui ont eu des manquements contractuels (par exemple des incidents de paiement), la CNIL recommande de ne pas conserver ces informations plus de vingt-quatre mois après la régularisation, ou, si la régularisation n’intervient pas, pas au-delà de la prescription de la créance.
L’idée est d’éviter que des informations dépassées continuent de peser sur les décisions, et de limiter l’accumulation de données sensibles sur de longues périodes.
Quand parle-t-on de décision automatisée ?
La recommandation vient préciser les conditions dans lesquelles un octroi ou un refus de crédit peut reposer exclusivement sur un traitement automatisé, c’est-à-dire quand c’est vraiment la machine qui décide.
Elle anticipe notamment une ordonnance du 3 septembre 2025, qui prévoit une base légale spécifique pour certaines décisions automatisées liées aux crédits à la consommation.
Dans l’attente de cette base légale pour certains cas, et pour les crédits immobiliers, la justification repose plutôt sur la nécessité contractuelle : le traitement est présenté comme nécessaire pour exécuter le contrat ou les mesures précontractuelles.
Mais dans tous les cas, si la décision est prise uniquement par un algorithme, on se rapproche du champ de l’article 22 du RGPD, qui encadre les décisions individuelles automatisées.
Transparence : mieux expliquer les décisions de crédit
La CNIL insiste particulièrement sur le droit d’accès, c’est-à-dire le droit, pour une personne, de demander quelles données ont été utilisées et comment elles ont été exploitées pour prendre une décision.
Pour les outils de scoring, cela signifie que l’établissement doit être capable de communiquer le score, les seuils utilisés (par exemple le score minimum pour obtenir le crédit), la liste des variables qui ont le plus pesé, voire de simuler l’effet d’une modification de certains paramètres.
L’enjeu principal n’est pas tant l’information générale donnée au moment de la collecte (la fameuse “notice d’information”), mais l’organisation de procédures internes capables de produire une explication claire, individualisée et fidèle au fonctionnement réel de l’outil.
En pratique, cela suppose un travail commun entre les équipes métiers, les data scientists, la conformité et le DPO pour documenter les modèles et préparer des réponses standardisées mais personnalisables.
IA et scoring crédit : quelles obligations sous le Règlement européen sur l’IA ?
Lorsque les outils de scoring reposent sur des techniques d’intelligence artificielle, ils peuvent entrer dans le champ du Règlement européen sur l’IA (RIA), qui classe certains systèmes comme “à haut risque”.
Les systèmes utilisés pour évaluer la solvabilité et accorder des crédits font partie des cas expressément visés comme potentiellement à haut risque, avec des obligations supplémentaires en matière de gestion des risques, de gouvernance, de transparence et de qualité des données.
La CNIL invite les acteurs concernés à se rapprocher de l’autorité de surveillance de marché compétente pour clarifier la qualification de leurs outils et les mesures à mettre en place.
Un texte non contraignant… mais très influent
Même si cette recommandation n’a pas la force d’une loi, elle a un poids important : lors d’un contrôle, la CNIL s’y référera pour apprécier les pratiques, et chaque écart non documenté pourra être analysé comme un risque.
Les établissements ont donc intérêt à se l’approprier rapidement, à mettre à jour leurs outils et leurs procédures, et à documenter leurs choix, notamment lorsqu’ils s’en écartent pour des raisons spécifiques.
Pour les personnes concernées, cette recommandation ouvre la voie à des décisions de crédit plus transparentes et mieux encadrées, avec la possibilité de comprendre et, le cas échéant, de contester la façon dont leurs données ont été utilisées pour évaluer leur solvabilité.
