Un algorithme décide si vous obtenez votre crédit. Peu de gens le savent. Encore moins connaissent leurs droits. La CNIL publie en mai 2026 une recommandation sur le scoring bancaire : elle fixe les règles que les banques doivent respecter lorsqu’elles collectent vos données pour évaluer votre solvabilité. Quelles informations peuvent-elles utiliser ? Combien de temps les conservent-elles ? Pouvez-vous contester une décision automatisée ? Ce texte apporte des réponses concrètes aux emprunteurs comme aux établissements financiers.
Sommaire :
- Qu’est-ce que le scoring bancaire et pourquoi la CNIL intervient-elle ?
- Quelles données personnelles les banques peuvent-elles utiliser pour le scoring bancaire ?
- Combien de temps les banques conservent-elles vos données dans le cadre du scoring bancaire ?
- Le scoring bancaire automatisé : quelles règles s’appliquent sous le RGPD ?
- Quels droits les emprunteurs peuvent-ils exercer face au scoring bancaire ?
- L’analyse d’impact, outil clé de conformité du scoring bancaire
À retenir – Scoring bancaire : la CNIL encadre la protection de vos données
- La CNIL encadre le scoring bancaire dans une recommandation publiée en mai 2026.
- Les banques ne collectent que les données strictement nécessaires à l’évaluation de la solvabilité.
- Un dossier de crédit rejeté ne se conserve pas plus de six mois en base active.
- Tout emprunteur peut demander un réexamen humain de son dossier en cas de refus automatisé.
- Une analyse d’impact AIPD est obligatoire dès qu’un score de crédit intervient dans la décision.
Qu’est-ce que le scoring bancaire et pourquoi la CNIL intervient-elle ?
Un outil omniprésent dans l’accès au crédit
Le scoring bancaire, c’est la note que votre banque vous attribue avant de décider si elle vous accorde un prêt. Concrètement, un algorithme analyse vos revenus, vos charges, votre historique bancaire, votre situation professionnelle et vos éventuels incidents de paiement. En quelques secondes, il produit un résultat qui peut conditionner l’octroi ou le refus de votre crédit immobilier ou à la consommation.
La CNIL définit cet outil comme « une analyse qui vise notamment à prévenir les pratiques de prêts irresponsables et les situations de surendettement et permet de vérifier la probabilité que le consommateur remplisse ses obligations au terme du contrat de crédit. »
Autrement dit, le scoring bancaire sert autant à protéger l’emprunteur contre le surendettement qu’à protéger la banque contre le risque d’impayé. C’est précisément pour cette raison que la CNIL s’y intéresse. La recommandation de mai 2026 cible les banques, établissements de crédit et intermédiaires en opérations de banque (IOBSP) pour tous les crédits immobiliers et à la consommation encadrés par le Code de la consommation (articles L. 312-1 à L. 312-95 et L. 313-1 à L. 313-64).
Une recommandation non contraignante, mais structurante
La CNIL le précise d’emblée : ce texte n’a pas de valeur contraignante. Les établissements peuvent donc s’en écarter. Pourtant, ce serait une erreur de l’ignorer. En effet, quiconque s’en écarte doit justifier et documenter les mesures alternatives mises en place. Or, la CNIL peut contrôler à tout moment le respect de ces règles. En pratique, ce texte constitue le référentiel de conformité que tout établissement financier a intérêt à suivre.
L’IA dans le scoring bancaire : un double cadre réglementaire
De nombreux modèles de score utilisent aujourd’hui des techniques d’intelligence artificielle. Or, ces systèmes entrent potentiellement dans le champ du règlement européen sur l’IA (RIA), entré en vigueur en 2024. Dès lors, le scoring bancaire alimenté par l’IA se trouve soumis à un double cadre réglementaire : celui du RGPD d’un côté, celui du RIA de l’autre. La CNIL invite explicitement les établissements à consulter ses recommandations sur l’application du RGPD aux systèmes d’IA. Un signal fort à ne pas négliger.
Quelles données personnelles les banques peuvent-elles utiliser pour le scoring bancaire ?
Le principe de minimisation au cœur du dispositif
Premier argument clé de la recommandation : les banques ne peuvent pas collecter n’importe quelle donnée. L’article 5.1.c du RGPD pose le principe de minimisation. Concrètement, la banque ne peut utiliser que les données pertinentes et strictement nécessaires pour évaluer votre solvabilité. Rien de plus. Les réseaux sociaux, eux, restent clairement exclus du périmètre. Une banque n’a donc pas le droit de consulter votre compte Facebook ou votre profil LinkedIn pour décider de vous accorder, ou non, un crédit.
En pratique, les données exploitables couvrent cinq grandes catégories :
L’historique de transactions : une fenêtre limitée à trois mois
La CNIL fixe une limite claire sur l’analyse de vos relevés bancaires. En règle générale, la banque ne peut remonter qu’à trois mois de transactions. Toutefois, cette fenêtre peut être élargie jusqu’à douze mois, mais uniquement à la demande de l’emprunteur lui-même. C’est notamment utile pour les travailleurs indépendants ou saisonniers, dont les revenus sont irréguliers et dont une analyse sur trois mois serait peu représentative.
Le département de résidence : une donnée sous haute surveillance
C’est l’un des points les plus sensibles de la recommandation. La banque peut-elle utiliser votre département de résidence pour noter votre dossier ? En principe, non.
La CNIL est explicite : « cette donnée ne peut être traitée que si le responsable du traitement démontre que cette information est nécessaire à une stratégie géographique particulière, propre à répondre aux besoins ou spécificités de certains territoires et tenant compte du type de crédit concerné. »
En clair : sans justification documentée, utiliser le département de résidence dans le scoring bancaire est présumé discriminatoire. Le risque est évident — pénaliser un emprunteur parce qu’il habite dans une zone géographique jugée à risque constituerait une discrimination territoriale.
Les manquements contractuels passés : des règles strictes
Vous avez eu un incident de paiement par le passé avec votre banque ? Elle peut en tenir compte pour analyser votre nouvelle demande de crédit. Néanmoins, la CNIL encadre cette pratique strictement. Seuls les incidents répondant à des conditions objectives définies au préalable par l’établissement peuvent être pris en compte. Par ailleurs, l’établissement doit évaluer le contexte : le manquement était-il contesté ? Y a-t-il eu plusieurs incidents ? Une procédure judiciaire est-elle en cours ? Ces éléments peuvent modifier l’appréciation du risque.
Combien de temps les banques conservent-elles vos données dans le cadre du scoring bancaire ?
Un principe clair : conserver le minimum nécessaire
Combien de temps votre banque peut-elle garder vos données après une demande de crédit ? L’article 5.1.e du RGPD est clair : pas plus longtemps que nécessaire. La CNIL traduit ce principe en durées concrètes, selon votre situation.
Le cas le plus courant d’abord : si votre demande est rejetée et que vous n’êtes pas encore client de l’établissement, vos données ne doivent pas rester en base active plus de six mois à compter du dépôt du dossier. Passé ce délai, elles peuvent être archivées à des fins probatoires, mais leur accès doit être strictement limité.
Un délai de 24 mois pour les incidents passés
Pour les clients existants ayant eu des incidents de paiement, la CNIL recommande de ne pas dépasser vingt-quatre mois de conservation, que l’incident ait été régularisé ou non. Ce délai n’est pas figé : il doit être ajusté à la gravité de l’incident et au profil de risque du demandeur. Un incident mineur et ancien ne justifie pas la même durée de conservation qu’un impayé récent et important. Enfin, si une décision judiciaire définitive conclut à l’absence de manquement, les données doivent cesser immédiatement d’être utilisées.
Le scoring bancaire automatisé : quelles règles s’appliquent sous le RGPD ?
L’article 22 du RGPD s’applique au scoring bancaire
C’est l’un des enjeux centraux de la recommandation. L’article 22 du RGPD interdit, en principe, qu’une décision produisant des effets juridiques importants sur une personne repose exclusivement sur un traitement automatisé. Or, c’est précisément ce qui se passe lorsqu’un algorithme de scoring bancaire accepte ou refuse un crédit sans qu’aucun humain n’examine vraiment le dossier.
Deux cas où la décision automatisée reste licite
Néanmoins, la décision entièrement automatisée n’est pas interdite. Elle reste possible dans deux situations :
- Si elle est autorisée par la loi, avec des garanties appropriées (article 22.2.b du RGPD). C’est notamment le cas pour les crédits à la consommation, dans le cadre de l’article L. 312-16, VIII du Code de la consommation — applicable à compter du 20 novembre 2026.
- Si elle est nécessaire à la conclusion du contrat de crédit, au regard des obligations précontractuelles (article 22.2.a du RGPD). Dans ce cas, l’établissement doit être en mesure de démontrer cette nécessité. Il ne peut pas simplement invoquer la commodité ou la rapidité.
Les outils de scoring : des systèmes d’IA à haut risque ?
Au-delà du RGPD, les algorithmes de scoring bancaire peuvent également être qualifiés de systèmes d’IA à haut risque au sens du règlement européen sur l’IA. Cette qualification n’est pas anodine : elle implique des obligations renforcées en matière de transparence, de documentation technique et de supervision humaine. L’autorité de surveillance compétente au titre du RIA reste seule habilitée à se prononcer sur cette qualification au cas par cas.
Quels droits les emprunteurs peuvent-ils exercer face au scoring bancaire ?
Le droit au réexamen humain du dossier
Votre demande de crédit a été refusée par un algorithme ? Vous pouvez demander qu’un être humain réexamine votre dossier. C’est un droit, pas une faveur. Dès la réception de leur demande, les emprunteurs doivent être informés de cette possibilité. Ce réexamen peut prendre la forme d’un entretien — y compris à distance pour les établissements sans réseau d’agences. L’emprunteur peut y présenter ses observations sur sa situation financière personnelle.
Le droit d’accès au score et à sa logique
Autre droit fondamental : savoir comment vous avez été noté. En vertu de l’article 15 du RGPD, vous avez le droit d’obtenir votre score, les notes minimales et maximales permettant d’obtenir le crédit, ainsi que les principales variables qui ont pesé sur la décision.
Pourtant, la CNIL pose une limite claire à ce que les banques peuvent considérer comme une explication suffisante. Elle est catégorique : « une formule mathématique complexe, telle qu’un algorithme, ou une description détaillée de toutes les étapes d’une prise de décision entièrement automatisée ne suffisent donc pas dans la mesure où aucune de ces modalités ne constituerait une explication suffisamment concise et compréhensible. »
En clair : vous envoyer un algorithme brut ne suffit pas. L’explication doit être compréhensible par un non-spécialiste. Une bonne pratique selon la CNIL : mettre à disposition un outil de simulation où l’emprunteur peut modifier ses données et voir l’impact sur le résultat. La CJUE a précisé l’interprétation de ce droit d’accès dans l’arrêt CK contre Magistrat der Stadt Wien / Dun & Bradstreet Austria GmbH (C-203/22, 27 février 2025).
Les droits de rectification, limitation et effacement
Lorsque vos données sont inexactes, vous disposez d’un droit de rectification, prévu par l’article 16 du RGPD, afin d’en demander la correction. Si vous contestez leur utilisation, il est également possible de solliciter une limitation temporaire du traitement, le temps que les vérifications nécessaires soient effectuées, conformément à l’article 18 du RGPD. Enfin, dans certaines situations, vous pouvez demander l’effacement de vos données, sur le fondement de l’article 17 du RGPD.
Information en cas de refus fondé sur le FICP ou le FCC
Si votre demande est refusée à la suite de la consultation du Fichier national des incidents de remboursement des crédits aux particuliers (FICP), la banque est obligée de vous en informer (articles L. 312-16 et L. 313-6 du Code de la consommation).
La CNIL rappelle d’ailleurs un point souvent méconnu : « l’inscription d’une personne concernée au sein du FICP n’emporte pas interdiction de délivrer un crédit. » Être fiché au FICP ne signifie donc pas automatiquement un refus.
En revanche, pour le Fichier Central des Chèques (FCC) et les fichiers internes d’impayés, l’information reste une simple recommandation — mais la CNIL l’encourage vivement pour harmoniser les pratiques.
L’analyse d’impact, outil clé de conformité du scoring bancaire
Une AIPD obligatoire pour les traitements de scoring
L’article 35 du RGPD impose aux établissements de réaliser une analyse d’impact sur la protection des données (AIPD) dès lors que leurs traitements présentent un risque élevé pour les droits des personnes. Le scoring bancaire en fait partie. Pourquoi ? Parce qu’il implique un profilage pouvant conduire à l’exclusion d’une personne du bénéfice d’un crédit. L’enjeu est donc direct et concret.
L’AIPD doit notamment documenter les mesures prises pour prévenir les biais discriminatoires de l’algorithme. Elle doit aussi démontrer que l’intervention humaine dans la décision finale est réelle — et non purement formelle.
Neuf questions pour évaluer la réalité de l’intervention humaine
C’est l’une des parties les plus opérationnelles de la recommandation. La CNIL propose neuf questions concrètes, organisées en trois axes, pour évaluer si l’intervention humaine dans le processus de scoring bancaire est effective ou illusoire :
Intelligibilité de l’outil
- Les sorties de l’algorithme sont-elles fournies dans un format clair et exploitable ?
- L’outil est-il documenté (marges d’erreur, types de cas difficiles) ?
- Les données fournies à l’agent humain lui permettent-elles de contrebalancer le résultat ?
Gouvernance de la décision
- Une procédure de contrôle qualité de l’intervention humaine est-elle en place ?
- Les rôles respectifs de l’outil et de l’agent humain sont-ils clairement définis ?
Compétence et indépendance de l’agent humain
- L’agent dispose-t-il du pouvoir réel de ne pas suivre le résultat de l’algorithme ?
- A-t-il accès à toutes les données pertinentes et dispose-t-il du temps nécessaire pour les analyser ?
- Est-il formé à comprendre les limites et les biais de l’outil ?
- L’établissement recense-t-il les situations où la décision finale diverge de la recommandation algorithmique ?
Sécurité des données : des mesures techniques obligatoires
Au-delà de la conformité RGPD, la CNIL insiste sur la sécurité technique des données collectées dans le cadre du scoring bancaire. Trois mesures sont notamment recommandées. D’abord, l’utilisation de canaux chiffrés pour le transport et la conservation des données, conformément au référentiel de sécurité de l’ANSSI. Ensuite, la protection des documents collectés par des filigranes numériques, pour réduire les risques d’usurpation d’identité ou de fraude documentaire. Enfin, si une violation de données survient, l’organisme doit en informer la CNIL dans un délai de 72 heures, conformément à l’article 33 du RGPD. Lorsque cette violation présente un risque élevé pour les personnes concernées, il doit aussi les prévenir directement, comme le prévoit l’article 34 du RGPD.
