Un dossier complet, des bulletins de salaire, trois ans d'historique bancaire. Et une seule ligne en retour : « votre demande n'a pas été retenue ». Aucun motif. Aucun chiffre. Aucune explication. La banque a calculé un score sur vos données et ce score a tranché. Vous avez le droit de savoir comment.
La CNIL vient de le rappeler clairement. Le 7 mai 2026, l'autorité française a publié deux documents sur l'évaluation de solvabilité par les établissements de crédit : une page d'information à destination des particuliers et une recommandation aux professionnels. Le message tient en quelques mots : le scoring de crédit est encadré par le RGPD et les banques doivent l'expliquer.
Ce que la banque fait vraiment avec votre dossier
Quand vous demandez un prêt, l'établissement collecte bien plus que vos trois derniers bulletins. Relevés bancaires, charges, profession, situation familiale, historique d'incidents éventuels, parfois consultation du Fichier des incidents de remboursement des crédits aux particuliers (FICP) géré par la Banque de France. L'ensemble alimente un calcul interne qui produit un score, traduit ensuite en décision : accord, refus ou renégociation des conditions.
Ce calcul n'est pas neutre. Il pondère, classe, projette une probabilité de défaut. La CNIL est claire : seules les données strictement nécessaires à l'évaluation de votre solvabilité doivent être utilisées. Pas de démarchage commercial recyclé sur les données du dossier. Pas de profilage marketing déguisé en analyse de risque.
Quand le scoring devient une décision automatisée
C'est le point dur et il vient d'une décision européenne qui a tout changé. En décembre 2023, la Cour de justice de l'Union européenne a tranché dans l'affaire SCHUFA (C-634/21) : quand un score produit par un algorithme joue un rôle déterminant dans la décision finale, c'est une décision automatisée au sens de l'article 22 du RGPD, même si formellement un employé clique sur « valider ». La Cour l'a redit dans l'affaire C-203/22 en 2025.
Conséquence directe : vous avez droit à une intervention humaine réelle, au droit d'exprimer votre point de vue et au droit de contester la décision. Et surtout, vous avez droit à une explication compréhensible de la logique sous-jacente. Pas le code source de l'algorithme mais les critères principaux, leur pondération générale, ce qui vous a positionné défavorablement.
Vos droits concrets après un refus
Quatre leviers existent et ils sont rarement utilisés parce qu'on ignore qu'ils existent.
D'abord, le droit d'accès. L'article 15 du RGPD permet d'écrire au délégué à la protection des données de la banque (DPO, généralement listé en bas de la politique de confidentialité du site) pour réclamer l'intégralité des données traitées dans le dossier de crédit, leur source, leur durée de conservation et l'existence d'une décision automatisée. L'établissement a alors un mois pour répondre, trois en cas de complexité justifiée.
Ensuite, le droit à l'explication. La même demande peut inclure les éléments qui ont conduit au refus : variables prises en compte, poids relatif, raisons concrètes du rejet. Selon la CNIL et la jurisprudence européenne, une réponse aussi vague que « notre algorithme ne valide pas votre profil » ne satisfait pas l'exigence d'explicabilité posée par l'article 22 du RGPD.
Puis, le droit à un réexamen humain. L'article 22 paragraphe 3 du RGPD permet de demander explicitement qu'un agent reprenne le dossier sans s'en remettre au score. Cette demande doit être traitée, pas écartée d'un revers.
Enfin, la plainte CNIL si la banque ne répond pas ou si la réponse reste manifestement évasive. Le dépôt se fait en ligne et alimente une statistique publique que les banques surveillent.
Côté FICP, vous pouvez également consulter directement vos inscriptions auprès de la Banque de France. Une inscription erronée ou non levée alors qu'elle aurait dû l'être est une cause fréquente de refus opaque.
La part d'opacité qui reste
Il faut le dire franchement : exercer ces droits ne garantit pas une réponse limpide. Beaucoup d'établissements répondent par formulaires types, renvoient à des politiques générales et évitent les chiffres précis. La position de la CNIL et la jurisprudence européenne donnent l'outil, pas la garantie d'application immédiate. La vraie bascule viendra des décisions de sanction quand des banques refuseront systématiquement de jouer le jeu.
Le scoring algorithmique est devenu la couche invisible entre vous et l'accès au crédit, à la location, parfois à l'assurance. Tant que l'explication reste une faveur consentie et non un réflexe automatique, le rapport de force ne bascule pas. La recommandation CNIL est un appui, à condition de s'en servir.
Ce qui transforme un refus opaque en décision argumentée
Concrètement, le parcours tient en quelques gestes. Demander le motif par écrit dès la notification du refus. Si la réponse est vide, envoyer un courrier au DPO de la banque, idéalement en recommandé avec accusé de réception, en citant le RGPD, l'article 22 et l'arrêt SCHUFA C-634/21. Conserver l'ensemble des échanges, parce qu'ils étayent une plainte éventuelle. Au bout d'un mois sans réponse satisfaisante, une plainte peut être déposée sur le site de la CNIL. Le tout prend une heure étalée sur quelques semaines.