Avis 202307323 Séance du 11/01/2024

Madame X, pour X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 1 décembre 2023, à la suite du refus opposé par le président du Conseil départemental de la Seine-Saint-Denis à sa demande de communication, par publication en ligne en lui communiquant les liens où ils seront mis à disposition du public, des documents suivants concernant l'algorithme utilisé par le conseil départemental de la Seine-Saint Denis pour l'orientation des allocataires du revenu de solidarité active (RSA), évoqué page 44 du rapport de la Cour des Comptes sur le RSA publié en janvier 2022 (lien https://www.ccomptes.fr/system/files/2022-01/20220113-synthese-cahiers-territoriaux-RSA.pdf) : 1) le code source dudit algorithme faisant apparaître : a) la liste exhaustive des données (variables d'entrée) utilisées pour son calcul (décile de revenu, âge, fréquence d'interaction avec la CAF....) avec le détail de chaque variable (nom, découpage, seuils etc ) et pour chacune de ces variables, leur impact/pondération (estimation du coefficient, écart-type et éventuellement odds ratio dans le cadre d'une régression logistique) ; b) pour chacune de ces variables, leur impact sur la prise de décision ; c) l'ensemble des opérations opérées sur les variables utilisées (recodage, segmentation, gestion des valeurs manquantes...) ; 2) si plusieurs versions de l'algorithme ont existé, le code source pour chaque version ; 3) les principaux documents relatifs à l'entraînement et à sa construction, incluant les comptes rendus, notes, présentations ayant conduit à la construction de cet algorithme ; 4) l'étude d'impact associée à cet algorithme telle que prévue par l'article 35 du RGPD ; 5) la fiche associée extraite du registre des traitements automatisés tel que prévu par l'article 30 du RGPD, comprenant : a) le cas échéant, le nom et les coordonnées du responsable conjoint du traitement mis en œuvre ; b) les finalités du traitement, l’objectif en vue duquel la conseil département a collecté ces données ; c) les catégories de personnes concernées (client, prospect, employé, etc.) ; d) les catégories de données personnelles (exemples : identité, situation familiale, économique ou financière, données bancaires, données de connexion, donnés de localisation, etc.) ; e) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les sous-traitants recourus ; f) les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale et, dans certains cas très particuliers, les garanties prévues pour ces transferts ; g) les délais prévus pour l’effacement des différentes catégories de données, c’est-à-dire la durée de conservation, ou à défaut les critères permettant de la déterminer dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles mises en œuvre ; h) les fondements juridiques de la mise en œuvre du traitement (délibérations CNIL, déclarations...). En l’absence de réponse de l’administration à la date de sa séance, la commission rappelle que les documents sollicités, produits ou reçus par le conseil départemental de la Seine-Saint-Denis dans le cadre de sa mission de service public, revêtent le caractère de document administratif au sens de l'article L300-2 du code des relations entre le public et l’administration (CRPA), soumis au droit d’accès ouvert par le livre III de ce code. I. En ce qui concerne les points 1) à 3) : La commission rappelle, en premier lieu, que la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a renforcé la transparence de l’action publique, d’une part, en créant au profit des personnes faisant l’objet d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique, un droit d’accès aux règles définissant ce traitement et aux principales caractéristiques de sa mise en œuvre (article L311-3-1 du CRPA) et, d’autre part, en imposant aux administrations de publier en ligne les règles gouvernant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions, lorsqu’ils fondent des décisions individuelles (article L312-1-3 du CRPA). La commission relève, toutefois, que ces dispositions concernent uniquement les traitements algorithmiques fondant des décisions individuelles et ne consacrent pas un droit d’accès à l’algorithme lui-même, mais seulement à certaines informations le concernant, qui sont précisées à l’article R311-3-1-2 du code précité. En outre, ces obligations s’exercent dans la limite des secrets protégés au 2° de l’article L311-5 du CRPA. En deuxième lieu, comme elle l’a fait dans son avis de partie I n°20213847 du 13 janvier 2022, la commission précise que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du CRPA. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du CRPA, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des systèmes d’information. La commission précise qu’il en est de même de tout document révélant des informations sur ces fragments de code. Elle rappelle, enfin, que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter l’article L311-1 du CRPA, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. En troisième lieu, la commission rappelle que le g) du 2° de l’article L311-5 exclut du droit à communication les documents administratifs dont la consultation ou la communication porterait atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature. Elle ajoute que le Conseil d’État a jugé, dans sa décision du 24 juillet 2023, n° 462778, que ces dispositions font « obstacle à la communication des documents administratifs présentant les critères utilisés par une autorité administrative chargée de rechercher des infractions à des obligations légales ou contractuelles pour sélectionner les personnes qu’elle envisage de contrôler, tel que le code source d’un modèle algorithmique de ciblage des contrôles sur la base d’un profilage des personnes concernées ». Eu égard à l’objet de l’algorithme visé par la demande, à savoir un outil destiné à orienter les bénéficiaires du RSA vers un parcours d’accompagnement adapté à leur situation, destiné à leur permettre de retrouver un emploi, la commission estime que l’atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature, prévue par le g) du 2° de l’article L311-5, n’est en l’espèce pas susceptible de faire obstacle à la communication des documents sollicités, notamment les variables et coefficients du modèle. En quatrième et dernier lieu, la commission rappelle qu’aux termes de l’article L311-6 du CRPA, ne sont pas communicables aux tiers les informations dont la communication porterait atteinte à la protection de la vie privée, portant une appréciation ou un jugement de valeur sur une personne physique désignée ou identifiable ainsi que les mentions révélant le comportement d’une personne et dont la divulgation lui porterait préjudice. S’agissant de la protection de la vie privée, la commission relève que dans un avis n° 20230314 du 30 mars 2023, elle a estimé que la divulgation des modèles d’apprentissage spécifiquement entraînés par la Cour de cassation dans le cadre de la mise en œuvre de son logiciel de pseudonymisation des décisions de justice étaient de nature à porter atteinte à la protection de la vie privée des personnes intéressées au sens du 1° de l'article L311-6 du CRPA. Eu égard à la finalité et aux spécificités de l’algorithme de reconnaissance d’entités nommées concerné, la commission a estimé que le risque allégué de reconstitution des données occultées dans les décisions de justice constituant le jeu de données utilisé pour entraîner le modèle présente, en l’état actuel des connaissances scientifiques, un caractère suffisant de vraisemblance pour être tenu pour acquis. Elle précise que le risque d’atteinte à la vie privée allégué doit être suffisamment étayé pour être tenu pour établi, en application des principes dégagés dans cet avis. En l’espèce, la commission ne dispose d’aucune information lui laissant penser que le modèle utilisé a été entrainé sur des données réelles et non fictives. Elle estime, par suite, que les documents sollicités aux points 1) a) et 3) n’entrent pas dans le champ des documents protégés par l’article L311-6 du code précité. En conclusion, et en l’état des informations dont elle dispose, la commission estime que les documents sollicités aux points 1), 2) et 3), sont librement communicables à Madame X, sous réserve de l’occultation éventuelle des seules mentions dont la communication porterait atteinte à la sécurité des systèmes d’information, appréciée strictement conformément aux principes développés ci-dessus. Elle émet, sous cette réserve, un avis favorable sur ces points. II. En ce qui concerne les points 4) et 5) : La commission relève que la demande porte sur l’étude d’impact associée à l’algorithme utilisé pour orienter des allocataires du revenu de solidarité active, ainsi que sur la fiche associée, extraite du registre des traitements automatisés. La commission rappelle, en premier lieu, que l'article 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement général sur la protection des données (RGPD), prévoit que chaque responsable d'un traitement de données à caractère personnel et, le cas échéant, son représentant, tiennent, sous forme écrite, y compris électronique, un registre des activités de traitement effectuées sous leur responsabilité. Ce registre précise notamment le nom et les coordonnées du responsable du traitement, les finalités du traitement, une description des catégories de personnes concernées et des catégories de données à caractère personnel, les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, ou encore, dans la mesure du possible, les délais prévus pour l'effacement des différentes catégories de données. Il résulte du 5 de l'article 30 du RGPD que l'obligation de tenir un tel registre s'impose de manière générale aux entreprises et organisations comptant au moins 250 employés. Elle peut également s'appliquer aux entreprises et organisation de taille moindre, en fonction de la nature des traitements de données à caractère personnel qu'elles réalisent. La commission en déduit qu'un tel registre est un document de recensement et d’analyse permettant de documenter les traitements qu'une organisation soumise à sa tenue applique aux données personnelles qu'elle collecte. Au regard de ces éléments, la commission estime que le registre des activités de traitement tenu par un conseil départemental en application de l'article 30 du RGPD est un document administratif communicable à toute personne qui en fait la demande, en application de l'article L311-1 du code des relations entre le public et l'administration, après occultation, le cas échéant, de toute information dont la divulgation pourrait porter atteinte aux secrets protégés par la loi, et notamment à la sécurité des systèmes d’information ou à la protection de la vie privée. Elle émet donc, dans cette mesure, un avis favorable à la demande concernant le document mentionné au point 5). En second lieu, la commission rappelle que l’article 35 du RGPD prévoit l’obligation pour un responsable de traitement d’effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel, « lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». L’article 36 du même règlement définit les cas dans lesquels le responsable du traitement est tenu de consulter l’autorité de contrôle et de lui transmettre l’analyse effectuée. L’article 90 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, pour sa part, que : « Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, (données sensibles) le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel. / Si le traitement est mis en œuvre pour le compte de l’État, cette analyse d'impact est adressée à la Commission nationale de l'informatique et des libertés avec la demande d'avis prévue à l'article 33. / Dans les autres cas, le responsable de traitement ou son sous-traitant consulte la Commission nationale de l'informatique et des libertés préalablement à la mise en œuvre du traitement de données à caractère personnel, qui se prononce également dans les délais prévus à l'article 34 : / 1° Soit lorsque l'analyse d'impact relative à la protection des données indique que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas de mesures pour atténuer le risque ; / 2° Soit lorsque le type de traitement, en particulier en raison de l'utilisation de nouveaux mécanismes, technologies ou procédures, présente des risques élevés pour les libertés et les droits des personnes concernées. » La commission a déduit de ces dispositions qu’une analyse d’impact relative à la protection des données, portant sur un traitement mis en œuvre par ou pour le compte de l’une des personnes visées à l’article L300-2 du code des relations entre le public et l’administration, constitue un document administratif au sens de cet article, communicable par cette autorité administrative à toute personne qui en fait la demande sur le fondement du code des relations entre le public et l’administration en application de l’article L311-1 du code des relations entre le public et l’administration, sous les réserves prévues par les articles L311-5 et L311-6 du même code (conseil de partie II n° 20183041 du 8 novembre 2018), et à condition qu’elle n’ait pas été transmise à la CNIL dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978 (avis de partie II n°20223598 du 3 novembre 2022). La commission émet donc, sous ces réserves, un avis favorable à la demande en son point 4).