Avis 202307342 Séance du 11/01/2024

Monsieur X, pour X, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 1 décembre 2023, à la suite du refus opposé par le directeur de la Caisse nationale d'assurance vieillesse (CNAV) à sa demande de communication, par courrier électronique ou en lui indiquant une adresse de téléchargement, dans un format numérique, ouvert et réutilisable, des documents relatifs aux traitements algorithmiques utilisés par la Caisse nationale d'assurance vieillesse (CNAV) à des fins de contrôles identifiés : 1) la liste des programmes de datamining et de profilage utilisés à des fins de contrôle par la CNAV, accompagnée d’un bref descriptif pour chacun d’entre eux ; 2) pour chacun des traitements algorithmiques ainsi listés : a) l’ensemble des documents produits ou détenus par la CNAV relatifs à ces programmes, notamment s'ils existent a1) l’ensemble des documents internes et de travail qui n’auraient pas déjà fait l’objet d’une publication, notamment la documentation interne et les comptes rendus de réunions portant sur ces programmes ; a2) les documents produits lors d’éventuelles phases d’expérimentation de ces modèles ; a3) les échanges des groupes de travail et des équipes travaillant ou ayant travaillé à leur développement ; a4) les documents de présentations des travaux liés aux programmes de datamining ; a5) les échanges avec la CNIL dans les limites rappelées par l’avis n° 20226179 et le conseil n° 20225787 de la CADA ; a6) les études d’impact sur la protection des données ; a7) la liste des éventuelles entreprises privées ou d’administrations publiques ayant contribué au développement de l’algorithme ainsi que les échanges avec celles-ci ; b) la documentation technique de chaque algorithme, qui comprend : b1) l’ensemble de la documentation technique relative au développement et à l’utilisation de ces traitements algorithmiques ; b2) les manuels d’utilisation de ces traitements algorithmiques ; b3) les formules de calcul des score de risques ainsi que les programmes associés utilisés pour la préparation des variables et des bases de données utilisées pour le calcul des scores de risques, portant conformément à l’avis n° 20226179 et le conseil n° 20225787 de la CADA précités, sur les versions précédentes des algorithmes, c’est-à-dire à l’exclusion des formules utilisées pour la version actuellement utilisée. Ces programmes doivent être lisibles et compréhensibles : les noms de variables et les divers acronymes doivent, en particulier, être expliqués et ces programmes doivent comprendre la liste exhaustive des données (variables d’entrée) utilisées pour son calcul (par exemple : revenus, âge, etc.) ; b4) le détail de chaque variable utilisée (nom, découpage, seuils, etc.), de manière à être à même de comprendre clairement le modèle ainsi que son impact/pondération (estimation du coefficient, écart-type et éventuellement, pour le cas par exemple d’une régression logistique, odds ratio) ; c) La liste exhaustive des informations relatives à l’entraînement et la sélection des modèles finaux, ainsi qu’aux éventuelles phases d’expérimentation de ces derniers, incluant : c1) les programmes utilisés pour sélectionner ces modèles (préparations des variables, critères de sélection des modèles, étapes d’itérations) ; c2) la liste des variables utilisées lors de la phase d’entraînement du modèle, même si ces dernières n’ont pas été retenues pour le modèle final ; c3) le détail des modèles non sélectionnés ; c4) les documents produits (comptes rendus de réunions, documents d’évaluations, présentations, rapports, etc.) lors des phases d’entraînements et d’expérimentation de ces modèles. La commission relève, à titre liminaire, que les documents sollicités ont été produits par la CNAV dans le cadre de sa mission de service public. Ils revêtent, dès lors, le caractère de document administratif au sens de l'article L300-2 du code des relations entre le public et l’administration (CRPA), soumis au droit d’accès ouvert par le livre III de ce code. En réponse à la demande qui lui a été adressée, le directeur de la CNAV a informé la commission qu’une procédure de contrôle est actuellement engagée devant la CNIL et qu’il estimait que la communication des documents sollicités serait de nature à faire obstacle à son bon déroulement. La commission relève, toutefois, que les dispositions du f) du 2° de l’article L311-5 du code des relations entre le public et l’administration font obstacle à la transmission des documents administratifs dont la communication porterait atteinte au déroulement d’une procédure engagée devant une juridiction et non au déroulement d’une procédure initiée par une autorité administrative indépendante, dans le cadre de ses fonctions administratives de contrôle. Elle estime, dès lors, qu’une telle atteinte n’est pas caractérisée en l’espèce et ne peut justifier légalement un refus de communication de l’ensemble des documents sollicités. I. En ce qui concerne le point 1) : La commission estime que le document sollicité au point 1), s’il existe en l’état ou est susceptible d’être obtenu par un traitement automatisé d’usage courant, est librement communicable à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. Elle relève d’ailleurs qu’en réponse à la demande qui lui a été adressée, le directeur de la CNAV a précisé que deux traitements ont été identifiés comme correspondant à l’objet de la demande, à savoir, d’une part, l’outil de ciblage des dossiers à contrôler (OCDC) et, d’autre part, les travaux de data science réalisés par la direction statistiques, prospectives et recherche, étroitement liés à l’OCD, car permettant d’enrichir l’algorithme utilisé par cet outil. Elle émet un avis favorable sur ce point. II. En ce qui concerne les documents sollicités aux points 2) a5) et 2) a6) : En premier lieu, s’agissant du point 2) a6), la commission prend note des observations du directeur de la CNAV lui indiquant que l’analyse d’impact en lien avec les traitements qui ont été identifiés comme correspondant à l’objet de la demande est en cours d’élaboration. N’ayant connaissance d’aucune autre analyse d’impact susceptible d’être transmise par ailleurs au demandeur, la commission émet, dès lors, un avis défavorable à la communication de ce document, qui revêt à ce stade un caractère inachevé. En second lieu, s’agissant du point 2) a5), la commission estime que les échanges en lien avec la procédure en cours devant la CNIL évoquée dans les écritures de la CNAV revêtent un caractère préparatoire et ne sont, pour ce motif, pas communicables en l’état. S’agissant des autres documents que détiendrait la CNAV, la commission rappelle que les documents soumis à la CNIL par les responsables de traitements dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978, de même que les décisions prises par cette commission au terme de ces procédures, font l'objet d'un régime particulier de communication, qui échappe au champ d'application du livre III du code des relations entre le public et l’administration. Les documents qui ne sont pas échangés avec la CNIL dans le cadre des formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978 constituent en revanche des documents administratifs communicables à toute personne qui en fait la demande, sous réserve de l'occultation préalable des mentions protégées par les dispositions des articles L311-5 et L311-6 du CRPA. Dans l’hypothèse où le directeur de la CNAV détiendrait des échanges intervenus avec la CNIL en dehors des procédures de formalités préalables, la commission émettrait un avis favorable à leur communication, sous ces réserves. L'article L342-2 du CRPA n'ayant pas étendu ses compétences au régime d’accès prévu par la loi du 6 janvier 1978, elle ne pourrait en revanche que se déclarer incompétente pour le surplus.  III. En ce qui concerne les autres documents : 1. Principes de communication : La commission rappelle, en premier lieu, que la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a renforcé la transparence de l’action publique, d’une part, en créant au profit des personnes faisant l’objet d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique, un droit d’accès aux règles définissant ce traitement et aux principales caractéristiques de sa mise en œuvre (article L311-3-1 du CRPA) et, d’autre part, en imposant aux administrations de publier en ligne les règles gouvernant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions, lorsqu’ils fondent des décisions individuelles (article L312-1-3 du CRPA). La commission relève, toutefois, que ces dispositions concernent uniquement les traitements algorithmiques fondant des décisions individuelles et ne consacrent pas un droit d’accès à l’algorithme lui-même, mais seulement à certaines informations le concernant, qui sont précisées à l’article R311-3-1-2 du code précité. En outre, ces obligations s’exercent dans la limite des secrets protégés au 2° de l’article L311-5 du CRPA. Comme elle l’a fait dans son avis de partie I n° 20213847 du 13 janvier 2022, la commission précise, en deuxième lieu, que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du CRPA. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du CRPA, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des systèmes d’information. La commission précise qu’il en est de même de tout document révélant des informations sur ces fragments de code. Elle rappelle, enfin, que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter l’article L311-1 du CRPA, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. La commission rappelle, en deuxième lieu, que le g) du 2° de l’article L311-5 exclut du droit à communication les documents administratifs dont la consultation ou la communication porterait atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature. Elle ajoute que le Conseil d’État a jugé, dans sa décision du 24 juillet 2023, n° 462778, que ces dispositions font « obstacle à la communication des documents administratifs présentant les critères utilisés par une autorité administrative chargée de rechercher des infractions à des obligations légales ou contractuelles pour sélectionner les personnes qu’elle envisage de contrôler, tel que le code-source d’un modèle algorithmique de ciblage des contrôles sur la base d’un profilage des personnes concernées ». Il ressort de la jurisprudence du Conseil d’État rendue en matière fiscale, que sont notamment couvertes par cette réserve les mentions relatives aux critères retenus par l'administration pour sélectionner les dossiers afin d’entreprendre des opérations de contrôle (CE, 12 octobre 1992, n° 100036). Par ailleurs, il résulte des travaux parlementaires attachés à la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, que la réserve prévue par le g) du 2° de l’article L311-5 du CRPA concerne désormais toutes les procédures répressives, qu’il s’agisse des procédures pénales ou des procédures administratives susceptibles de conduire au prononcé d’une sanction, ou encore des procédures de sanction en matière disciplinaire. Comme elle l’a fait dans son avis de partie II n° 20215795 du 16 décembre 2021, la commission précise que cette exception a pour objet de préserver, en toute hypothèse, l’efficacité des contrôles, de sorte qu’il n’y a pas lieu de différencier selon la plus ou moins grande sophistication des méthodes employées, ni selon que le document met en cause la recherche d’une infraction donnée ou pourrait de manière générale porter atteinte au contrôle de l’application d’une législation. La commission déduit de ce qui précède que la solution dégagée par le Conseil d’État est transposable à la politique de contrôle mise en œuvre par la CNAV afin de détecter des situations de fraude. Comme elle l’a fait dans son conseil n° 20225787 et son avis n° 20226179 du 15 décembre 2022, la commission précise que la liste des variables utilisées par un algorithme pour détecter des dossiers d’allocataires présentant des risques d’indus afin de les proposer en priorité pour un contrôle ultérieur, ainsi que les coefficients associés à ces variables, relèvent du champ de la réserve prévue par le g) du 2° de l’article L311-5 du CRPA. La commission ajoute qu’il en est de même des fragments de code source ainsi que de tout document qui révèleraient la nature ou la méthode de construction des variables utilisées. La commission précise, toutefois, que dans l’hypothèse où le modèle utilisé fait l’objet de versions successives, seules les variables utilisées dans le modèle actuel sont protégées, à l’exclusion des variables se rapportant aux versions antérieures du modèle. Elle estime qu’il en irait en revanche différemment pour les modèles faisant l’objet de mise à jour régulière. En troisième et dernier lieu, la commission rappelle qu’aux termes de l’article L311-6 du CRPA, ne sont pas communicables aux tiers les informations dont la communication porterait atteinte à la protection de la vie privée, portant une appréciation ou un jugement de valeur sur une personne physique désignée ou identifiable ainsi que les mentions révélant le comportement d’une personne et dont la divulgation lui porterait préjudice. S’agissant de la protection de la vie privée, la commission relève que dans un avis n° 20230314 du 30 mars 2023, elle a estimé que la divulgation des modèles d’apprentissage spécifiquement entraînés par la Cour de cassation dans le cadre de la mise en œuvre de son logiciel de pseudonymisation des décisions de justice étaient de nature à porter atteinte à la protection de la vie privée des personnes intéressées au sens du 1° de l'article L311-6 du CRPA. Eu égard à la finalité et aux spécificités de l’algorithme de reconnaissance d’entités nommées concerné, la commission a estimé que le risque allégué de reconstitution des données occultées dans les décisions de justice constituant le jeu de données utilisé pour entraîner le modèle présente, en l’état actuel des connaissances scientifiques, un caractère suffisant de vraisemblance pour être tenu pour acquis. Elle précise que le risque d’atteinte à la vie privée allégué doit être suffisamment étayé pour être tenu pour établi, en application des principes dégagés dans cet avis. 2. Application au cas d’espèce : La commission estime que les documents sollicités sont librement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du code des relations entre le public et l’administration. Ce droit doit toutefois s’exercer dans le respect des intérêts protégés par les articles L311-5 et L311-6 du CRPA. Par ailleurs, la commission rappelle qu’aux termes de l’article L311-7 : « Lorsque la demande porte sur un document comportant des mentions qui ne sont pas communicables en application des articles L311-5 et L311-6 mais qu'il est possible d'occulter ou de disjoindre, le document est communiqué au demandeur après occultation ou disjonction de ces mentions ». 2.1. En ce qui concerne la réserve tenant à la protection de la vie privée : N’ayant pas pris connaissance des documents sollicités, la commission précise, s’agissant des échanges mentionnés aux points 2) a3) et 2) a6), que doivent être préalablement occultées, en application du 1° de l’article L311-6 du CRPA, les mentions couvertes par le secret de la vie privée (coordonnées personnelles des émetteurs et destinataires des messages notamment). La commission précise ensuite, s’agissant des variables utilisées lors de la phase d’entraînement du modèle mentionnées au point 2) c2), que s’il s’agissait de données réelles, ces dernières seraient alors susceptibles d’être couvertes par le secret de la vie privée en application des principes dégagés dans l’avis n° 20230314 du 30 mars 2023 Elle comprend toutefois de la réponse de la CNAV que tel n’est pas le cas. 2.2. En ce qui concerne l’atteinte à la sécurité des systèmes d’information : La commission indique que devront être préalablement disjoints ou occultés de l’ensemble des documents, en application du d) du 2° de l’article L311-5 du CRPA, les éléments dont la communication porterait atteinte à la sécurité des systèmes d’information de la CNAV, appréciée strictement conformément aux principes qui ont été précédemment développés. La commission estime, par exemple, que les documents généraux détaillant les objectifs d’un algorithme utilisé par l’administration, tout comme ou la liste des entités publiques ou privées participant à son développement, n'entrent pas dans le champ de cette réserve et sont dès lors, en principe, librement communicables. 2.3. En ce qui concerne l’atteinte à la recherche des infractions : En premier lieu, s’agissant des points 2) b3) et 2) b4), la commission comprend que la même version du modèle, enrichie au fil de l’eau, est utilisée depuis 2016. Elle en déduit qu’il n’est en l’espèce pas possible de distinguer des versions successives du modèle. La commission estime, par suite, que la liste des variables utilisées par le modèle, ainsi que les coefficients associés à ces variables relèvent intégralement du champ de la réserve prévue par le g) du 2° de l’article L311-5 du CRPA et ne sont, dès lors, pas communicables aux tiers. Elle émet, dès lors, un avis défavorable à la communication de ces documents. En second lieu, la commission précise que les mentions des autres documents qui révéleraient la nature ou la méthode de construction des variables utilisées dans le modèle actuel doivent être préalablement occultées au titre du g) du 2° de l’article L311-5 du CRPA. En troisième lieu, s’agissant des points 2) c2) et 2) c3), la commission estime, en revanche, que la liste des variables utilisées lors de la phase d’entraînement et qui n’ont jamais été retenues dans le modèle mis en œuvre depuis 2016, tout comme les modèles non sélectionnés, n’entrent pas dans le champ des documents protégés par le g) du 2° de l’article L311-5 du CRPA et sont donc librement communicables. La commission émet donc un avis favorable à leur communication.