Violation du RGPD : L'algorithme de notation de la CAF attaqué devant le Conseil d'Etat

L'algorithme de notation de la Caisse nationale aux allocations familiales (CNAF), la branche "Famille" de la Sécurité sociale gérée au travers du réseau formé par la centaine de caisses d'allocations familiales, est attaqué devant le Conseil d'Etat par 15 organisations. Il s'agit notamment de la Quadrature du Net, Amnesty International France, le Groupe d'information et de soutien aux immigrés, l'Association nationale des assistants de service social ainsi que du Syndicat des avocats de France.

Plus précisément, elles attaquent la décision du 16 septembre 2024 du directeur de la CNAF qui a rejeté la demande d’abrogation de la décision, révélée par différents documents et communications, de mise en oeuvre d'un traitement de données visant à établir un score de risque pour chaque allocataire en vue de cibler les contrôles des Caisses d’allocations familiales (CAF). C'est le silence gardé sur la demande de la Quadrature du Net envoyée en juillet 2024 d'abroger ce traitement algorithmique qui a fait naître une décision implicite de rejet.

Les données de plus de 32 millions d'allocataires analysées

Cet algorithme attribue à chaque allocataire "un score de suspicion" dont la valeur comprise entre 0 et 1 est utilisée pour sélectionner les personnes devant faire l'objet d'un contrôle, expliquent les organisations devant le Conseil d'Etat. Plus la valeur est élevée, plus la probabilité d'être contrôlée est grande. En pratique, précisent-elles, chaque mois, l'algorithme analyse les données personnelles "des plus de 32 millions de personnes vivant dans un foyer recevant une prestation CAF" et calcule "plus de 13 millions de scores".

Parmi les facteurs pris en compte dans ce calcul, on trouve les "caractéristiques déclarées par l’allocataire sur sa situation familiale, sa situation professionnelle, sa situation financière et sa résidence", ainsi que "des données internes aux Caf relatives à la gestion des dossiers des allocataires, notamment les données relatives aux prestations reçues, les données concernant la gestion du dossier, les éléments sur l’historique du dossier, les déclarations de changement de situation, l’existence d’éventuels contentieux et des caractéristiques sociaux-économiques sur la commune de résidence de l’allocataire".

Sont notamment pris en compte dans le calcul le fait d’avoir de faibles revenus, d’être au chômage, de bénéficier du Revenu de solidarité active (RSA) ou de l’Allocation adulte handicapé (AAH). Ce qui fait dire aux organisations que "les personnes en difficulté se retrouvent surcontrôlées par rapport au reste de la population".

La CNAF violerait l'article 22 du RGPD

Les requérants estiment que cet algorithme de notation viole le Règlement général sur la violation des données (RGPD). Ils expliquent dans leur recours que cet algorithme constitue un traitement des données personnelles, dont certaines pourraient être qualifiées de données sensibles, celles relatives à la situation de handicap de l'allocataire. A ce titre, le RGPD doit être respecté.

C'est l'article 22 du texte qui serait méconnu par la CNAF, écrivent les organisations. Il prévoit qu'une personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. "Il faut préciser que ce score est calculé de manière entièrement automatisée, écrivent les requérants. Il s’agit de l’application stricte des variables et de leurs pondérations définies dans le traitement algorithmique, sans évaluation humaine."

Un précédent européen sur le credit scoring

Pour appuyer leur raisonnement, ils citent un arrêt rendu par la justice européenne le 7 décembre 2023 par laquelle elle avait décidé que l'établissement automatisé d'une valeur de probabilité relative à la capacité de remboursement d'un crédit fondé sur les données personnelles constitue une décision individuelle automatisée. Le litige opposait un citoyen allemand à la société Schufa qui opère dans le milieu bancaire et fournit aux banques des informations concernant la solvabilité des personnes tierces. Cette dernière avait établi un score de la solvabilité du requérant qui s'était vu ensuite refuser un crédit par sa banque.

Sur un second plan, les 15 organisations estiment que le traitement algorithmique litigieux est trop attentatoire à la vie privée et qu'il est possible de "poursuivre la finalité de récupération d'indus par des moyens" moins intrusifs. Elles ajoutent que l'algorithme ne traite pas que les données de l'allocataire mais également celles de ses proches (situation des enfants...).

Pour se défendre, racontent les requérants, la CNAF avait déclaré que les contrôles issus du "datamining" ne représentaient que 6% des contrôles sur pièce et sur place alors qu'ils permettent de récupérer 25% des indus. Ce faisant, "la CNAF tente de cacher en agrégeant ces différentes catégories de contrôles, le fait que d’autres méthodes de ciblage des contrôles sont plus efficaces, sans induire une surveillance aussi massique que le traitement litigieux, donc que celui-ci ne remplit pas l’exigence de nécessité".

Cesser le traitement de scoring et supprimer les données collectées

Face à cette situation, les requérants demandent au Conseil d'Etat d'annuler la décision attaquée, d'enjoindre la CNAF de cesser d'utiliser un traitement de scoring en vue de cibler ses contrôles sous astreindre de 1024 euros par jour de retard à compter du prononcé de la décision à venir ainsi que de l'enjoindre à supprimer les données collectées jusqu'ici, toujours sous astreinte.

Sélectionné pour vous

"Sur l'IA, la France n'a absolument pas à rougir", Amaury Delplancq, VP Europe du Sud de Dataiku

La FTC enquête sur l'impact des chatbots développés par les Big Tech sur les plus jeunes

Une organisation sur deux a déjà écarté une solution IT pour des raisons de souveraineté