Le scoring est le fait d’attribuer une note à un client ou un prospect, en fonction de différents critères. La note est ensuite utilisée pour établir le profil d’une  personne et de déterminer sa capacité d’achat.

Dans le cas qui nous intéresse, il s’agit d’une société dont l’activité consiste à fournir à ses clients des informations concernant la solvabilité de personnes tierces. Dans ce cadre, elle a fourni à un établissement de crédits un score concernant un personne et ces informations ont servi de base au refus de crédit demandé par celle-ci.

Analyse de Roger Grass

Jeudi dernier, la CJUE, saisie par la Cour administrative suprême bulgare sur l’interprétation du règlement général sur la protection des données (RGPD), a jugé que la crainte d’un potentiel usage abusif de données personnelles peut, à elle seule, constituer un dommage moral.

L’Agence nationale des recettes publiques bulgare (NAP), rattachée au ministre des Finances, est chargée de l’identification, de la sécurisation et du recouvrement des créances publiques et responsables du traitement de données à caractère personnel. En 2019, les médias ont rapporté une cyberattaque à la NAP, révélant que des données de millions de citoyens avaient été publiées sur Internet. De nombreuses personnes ont assigné en justice la NAP pour obtenir réparation du préjudice moral que leur causeraient les craintes d’une potentielle utilisation abusive de leurs données (C-340/21 – 14 décembre 2023).

Roger Grass, Magistrat honoraire, ancien greffier de la Cour de Justice de l’Union européenne, ancien conseiller à la cour de Cassation et membre du Comité Expert « Europe » de l’Institut, fait ci-dessous une synthèse de la décision de la CJUE. L’arrêt de la Cour est joint à son analyse.