La commission d'accès aux documents administratifs a examiné lors de sa séance du 15 décembre 2022 votre demande de conseil relative à la communication de documents relatifs à l'algorithme de calcul du score de risque utilisé par la caisse nationale des allocations familiales (CNAF) dans le cadre de sa politique de contrôle.

La commission relève, à titre liminaire, qu’en réponse à une première demande de communication, la CNAF a transmis à X le code source du logiciel actuellement utilisé, occulté des éléments dont la divulgation serait de nature à porter atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature, au sens et pour l'application du g) du 2° de l'article L311-5 du code des relations entre le public et l'administration. La commission déduit de la nouvelle demande de communication présentée ultérieurement ainsi que de sa saisine que cette transmission ne satisfait pas X, eu égard aux occultations auxquelles la CNAF a procédé.

La commission constate que la demande de conseil porte sur le caractère communicable des documents sollicités en dernier lieu par X. Cette demande a été examinée à la même séance dans son avis de partie I n° 20226179, dont elle rappellera la portée et auquel elle ne peut que renvoyer.

1. Communication du détail de la formule du calcul du score de risque, c’est à dire la nature des variables utilisées et les coefficients associés :

Dans son avis n° 20226179, la commission a analysé la demande de X comme tendant à la communication des fichiers informatiques constituant la partie finale du code source du traitement mis en œuvre par la CNAF afin de détecter les dossiers des allocataires présentant les plus forts risques d’indus proposés en priorité pour un contrôle ultérieur. Ces éléments correspondent en effet à la liste des variables utilisées et à leur pondération, dont la combinaison fournit le détail de la formule de calcul du score de risque du modèle de datamining.

Elle a relevé, dans son avis, que la communication de l’algorithme de l’outil de datamining permettant d’attribuer un score de risque aux dossiers allocataires reviendrait à dévoiler les variables prises en compte à ce titre ainsi que les coefficients associés et se traduirait en conséquence par la divulgation des critères retenus pour cibler les contrôles réalisés dans l’ensemble de la branche famille par les caisses d’allocations familiales (CAF). Elle a estimé que le risque de développement de la fraude individuelle et surtout organisée à enjeux, s’attachant à la divulgation de ces éléments, évoqué par les représentants de la CNAF dans leurs observations écrites et lors de leur audition à la séance du 15 décembre 2022, présente un caractère suffisant de vraisemblance pour être tenu pour acquis.

Elle a toutefois opéré une distinction entre, d’une part, les variables et les coefficients du modèle de datamining actuel et d’autre part, ceux se rapportant aux versions antérieures du modèle en estimant que si les premiers sont au nombre des éléments dont la divulgation porterait effectivement atteinte à la politique de lutte contre la fraude sociale mise en œuvre par la CNAF ainsi que plus généralement, à l’efficacité des contrôles, il n’en est pas de même des seconds, utilisés dans les modèles antérieurs et sur le fondement desquels ne reposent plus les contrôles actuels et à venir.

Au regard de ce qui précède, la commission a estimé, s’agissant du modèle actuellement utilisé, que doivent être occultés, au titre de la réserve prévue par le g) du 2° de l’article L311-5 du code des relations entre le public et l’administration, la liste des variables de l’algorithme de calcul du score de risque et leurs coefficients associés. En supposant que la demande de X soit analysée par la CNAF comme tendant à la communication de l’intégralité du code source, comme le suggère la demande de conseil, elle précise que devrait alors également être occulté l’ensemble des fragments du code source qui révéleraient la nature ou la méthode de construction des variables utilisées. Elle considère, en revanche, que les fichiers informatiques se rapportant aux précédentes versions de l’algorithme sont désormais intégralement communicables.

2. Communication des documents échangés avec la CNIL :

La commission relève que la demande de conseil porte sur le caractère communicable des fiches de traitement RGPD et des analyses d’impact relatives à la protection des données (AIPD) en lien avec les traitements mis en œuvre par la CNAF dans le cadre de sa politique de lutte contre la fraude ainsi que, plus généralement, des documents échangés avec la CNIL.

La commission rappelle, en premier lieu, que les documents soumis à la CNIL par les responsables de traitements dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978, de même que les décisions prises par cette commission au terme de ces procédures, font l'objet d'un régime particulier de communication, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration. Les documents qui ne sont pas échangés avec la CNIL dans le cadre de ces formalités préalables constituent en revanche des documents administratifs entrant dans le champ d'application du livre III du code des relations entre le public et l’administration.

La commission rappelle, en deuxième lieu, que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité.

Ce registre précise notamment, pour chaque traitement sous la forme d’une fiche, le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Le 4. de l'article 30 du RGPD prévoit que le registre est mis à disposition de l’autorité de contrôle sur demande. Il résulte en outre du 5. du même article que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisations de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent.

La commission en déduit qu'un tel registre est un document de recensement et d’analyse permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte.

Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par une administration en application de l'article 30 du RGPD, en ce compris les fiches de traitement qui le composent, est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi.

La commission précise, en troisième et dernier lieu, qu'elle a déduit des dispositions des articles 35 du RGPD et 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constituait un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (avis n° 20183041 du 8 novembre 2018).

En application de ces principes, la commission estime que les documents sur lesquels vous l’interrogez, à condition qu’ils n’aient pas été transmis à la CNIL dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978, constituent des documents administratifs librement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 et le cas échéant dans les conditions prévues à l'article L311-7 du même code.

En application de ces dispositions, doivent notamment être disjointes ou occultées, sauf à ce que ces disjonctions ou occultations privent d'intérêt la communication de ces documents, les mentions dont la communication porterait atteinte à la sécurité des systèmes d’information et à la protection de la vie privée. La commission rappelle que toutes les données à caractère personnel ne sont pas nécessairement couvertes par le secret de la vie privée, au sens des dispositions précitées. Elle considère en particulier que le nom des agents publics n’a, en principe, pas à faire l’objet d'une occultation. Eu égard à l’objet des traitements concernés, doivent également être occultées, en l’espèce, les éventuelles mentions qui porteraient atteinte à la recherche et à la prévention, par les services compétents, d’infractions de toute nature. Cette réserve devant être appréciée conformément aux principes ci-dessus rappelés.