Madame X, pour X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 10 octobre 2022, à la suite du refus opposé par le directeur général de la caisse nationale des allocations familiales (CNAF) à sa demande de communication des documents suivants relatifs à « l'algorithme de scoring (profilage) utilisé par la CNAF dans le cadre de sa politique de contrôle » :
1) le détail de la formule du calcul du score de risque, c’est à dire la nature des variables utilisées et les coefficients associés ;
2) les précédentes versions de l’algorithme ;
3) l'intégralité des courriers échangés avec la CNIL concernant cet algorithme.

1. Sur la communication des documents mentionnés aux points 1) et 2) de la demande :

La commission comprend que la demande porte sur les fichiers informatiques constituant la partie finale du code source du traitement de données à caractère personnel mis en œuvre par la CNAF afin de détecter les dossiers des allocataires présentant les plus forts risques d’indus proposés en priorité pour un contrôle ultérieur. Ces éléments, qui ont été portés à sa connaissance, correspondent à la liste des variables utilisées et à leur pondération, dont la combinaison fournit le détail de la formule de calcul du score de risque du modèle de datamining.

La commission relève que les documents sollicités ont été produits par la CNAF dans le cadre de sa mission de service public. Ils revêtent, dès lors, le caractère de document administratif au sens de l'article L300-2 du code des relations entre le public et l’administration (avis de partie II, n° 20144578, du 8 janvier 2015 ; avis n° 20161989, du 23 juin 2016).

La commission précise, ensuite, que la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a renforcé la transparence de l’action publique, d’une part, en créant au profit des personnes faisant l’objet d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique, un droit d’accès aux règles définissant ce traitement et aux principales caractéristiques de sa mise en œuvre (article L311-3-1 du code des relations entre le public et l’administration) et, d’autre part, en imposant aux administrations de publier en ligne les règles gouvernant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions, lorsqu’ils fondent des décisions individuelles (article L312-1-3 du code des relations entre le public et l’administration). La commission relève, toutefois, que ces dispositions concernent uniquement les traitements algorithmiques fondant des décisions individuelles et ne consacrent pas un droit d’accès à l’algorithme lui-même, mais seulement à certaines informations le concernant, qui sont précisées à l’article R311-3-1-2 du code précité. En outre, ces obligations s’exercent dans la limite des secrets protégés au 2° de l’article L311-5 du code des relations entre le public et l’administration.

La commission précise, à cet égard, que le g) du 2° de l’article L311-5 exclut du droit à communication les documents administratifs dont la consultation ou la communication porterait atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature.

Il ressort de la jurisprudence du Conseil d’État rendue en matière fiscale, que sont notamment couvertes par cette réserve les mentions relatives aux critères retenus par l'administration pour sélectionner les dossiers afin d’entreprendre des opérations de contrôle (CE, 12 octobre 1992, n° 100036). Par ailleurs, il résulte des travaux parlementaires attachés à la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, que la réserve prévue par le g) du 2° de l’article L311-5 du code des relations entre le public et l’administration concerne désormais toutes les procédures répressives, qu’il s’agisse des procédures pénales ou des procédures administratives susceptibles de conduire au prononcé d’une sanction, ou encore des procédures de sanction en matière disciplinaire. Comme elle l’a fait dans son avis de partie II, n° 20215795, du 16 décembre 2021, la commission précise que cette exception a pour objet de préserver, en toute hypothèse, l’efficacité des contrôles, de sorte qu’il n’y a pas lieu de différencier selon la plus ou moins grande sophistication des méthodes employées, ni selon que le document met en cause la recherche d’une infraction donnée ou pourrait de manière générale porter atteinte au contrôle de l’application d’une législation. La commission déduit de ce qui précède que la solution dégagée par le Conseil d’État est transposable à la politique de contrôle mise en œuvre par la CNAF afin de détecter des situations d’indu, frauduleux ou non, et dans une moindre mesure de rappel, du fait d’erreurs affectant les données déclaratives des dossiers des allocataires.

En l’espèce, la commission relève que la communication de l’algorithme de l’outil de datamining permettant d’attribuer un score de risque aux dossiers allocataires reviendrait à dévoiler les variables prises en compte à ce titre ainsi que les coefficients associés et se traduirait en conséquence par la divulgation des critères retenus pour cibler les contrôles réalisés dans l’ensemble de la branche famille par les caisses d’allocations familiales (CAF). Dans leurs observations écrites et lors de leur audition par la CADA à la séance du 15 décembre 2022, les représentants de la CNAF ont indiqué que dans la mesure où les prestations sociales sont versées sur une base déclarative, cette communication pourrait inciter certains allocataires à minimiser leur score de risque afin d’éviter un contrôle. En outre et surtout, ils craignent qu’elle favorise un système de fraude organisée à enjeux. La commission prend note de ces risques qui présentent un caractère suffisant de vraisemblance pour être tenus pour acquis.

Elle considère, toutefois, qu’une distinction doit être opérée entre, d’une part, les variables et les coefficients du modèle de datamining actuel et d’autre part, ceux se rapportant aux versions antérieures du modèle. Elle estime, en effet, que si les premiers sont au nombre des éléments dont la divulgation porterait atteinte à la politique de lutte contre la fraude sociale mise en œuvre par la CNAF ainsi que plus généralement, à l’efficacité des contrôles, il n’en est pas de même des seconds, utilisés dans les modèles qui ne sont plus en vigueur et sur le fondement desquels ne reposent pas les contrôles actuels et à venir.

La commission estime, dès lors, que la communication du détail de la formule du calcul du score de risque mentionné au point 1) est de nature à porter atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature, au sens et pour l'application du g) du 2° de l'article L311-5 du code des relations entre le public et l'administration. Elle émet donc un avis défavorable sur ce point. Elle émet, en revanche, un avis favorable à la demande en son point 2).

2. Sur la communication des documents mentionnés au point 3) de la demande :

En l’espèce, la commission rappelle que les documents soumis à la CNIL par les responsables de traitements dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978, de même que les décisions prises par cette commission au terme de ces procédures, font l'objet d'un régime particulier de communication, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration.

Les documents qui ne sont pas échangés avec la CNIL dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978 constituent en revanche des documents administratifs communicables à toute personne qui en fait la demande, sous réserve de l'occultation préalable des mentions protégées par les dispositions des articles L311-5 et L311 6 du code des relations entre le public et l'administration.

La commission émet, sous ces réserves et dans cette seule mesure, un avis favorable à la demande. L'article L342-2 du code des relations entre le public et l’administration n'ayant pas étendu ses compétences au régime d’accès prévu par la loi du 6 janvier 1978, elle ne pourrait en revanche que se déclarer incompétente pour le surplus.