Avis 20235200 Séance du 12/10/2023

Monsieur XX, a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 17 juillet 2023, à la suite du refus opposé par le directeur général de la caisse nationale des allocations familiales (CNAF) à sa demande de communication, en sa qualité de journaliste, par courrier électronique des documents suivants, relatifs à la conception et aux performances de l'algorithme de calcul du score de risque utilisé par la caisse nationale des allocations familiales (CNAF) dans le cadre de sa politique de contrôle : 1) le cahier des charges, ou tout autre document préliminaire exposant les objectifs des algorithmes du programme ; 2) le code source complet de l’algorithme utilisé actuellement pour cibler les fraudes et ses versions précédentes ; 3) le modèle de machine learning entraîné, c’est-à-dire : les fichiers des poids d’entrainement (weights), les paramètres et hyperparamètres ou tout autre fichier de configuration nécessaires à l’entraînement, la validation ou l’inférence du modèle ; 4) tous les documents décrivant les variables utilisées, leur mode de collecte et/ou leur calcul ; 5) tous les éléments de documentation du système ; 6) tous les documents s'apparentant à des modes d’emploi du système pour les utilisateurs finaux ; 7) les éventuels fichiers de données fictives générées à des fins d'entraînement, de test ou d’évaluation du système ; 8) tous les rapports, présentations ou autres documents visant à évaluer ou tester le système ou à décrire ses éventuels biais ; 9) tous les rapports, présentations ou autres documents visant à formuler des recommandations pour améliorer le fonctionnement de ce simulateur ; 10) l’intégralité des courriers échangés avec la CNIL concernant cet outil ; 11) toutes les correspondances (notamment les courriers, courriels, SMS…) reçues et envoyées par Monsieur X, directeur de la CNAF, qui mentionnent l'algorithme de calcul du score de risque des APL entre le 1er novembre 2022 et le 31 janvier 2023, période marquée par la publication de plusieurs articles de presse pointant des dysfonctionnements des systèmes d’information de la CAF ; 12) toutes les correspondances (notamment les courriers, courriels, SMS…) reçues et envoyées par Monsieur X, ancien directeur « contrôle et lutte contre la fraude », qui mentionnent l'algorithme de calcul du score de risque des APL ; 13) le contrat encadrant le développement de ce système conclu avec SAS France ; 14) les livrables produits par SAS France dans le cadre du développement de ce système. La commission relève, à titre liminaire, que les documents sollicités ont été produits par la CNAF dans le cadre de sa mission de service public. Ils revêtent, dès lors, le caractère de document administratif au sens de l'article L300-2 du code des relations entre le public et l’administration (CRPA), soumis au droit d’accès ouvert par le livre III de ce code (avis de partie II n° 20144578 du 8 janvier 2015 ; avis n° 20161989 du 23 juin 2016). 1. En ce qui concerne les points 6), 7), 9), 10) et le point 12) en tant qu’il concerne les courriels : Le directeur général de la CNAF a précisé que les documents cités aux points 6), 9) et 10) n’existent pas. Il a également indiqué que les données mentionnées au point 7) ne sont pas des données fictives mais des données réelles, lesquelles sont au demeurant couvertes par le secret de la vie privée. Enfin, s’agissant des correspondances mentionnées au point 12), il a précisé que la CNAF a supprimé le compte et la boîte aux lettres de Monsieur X lors de son départ et qu'il n'est donc plus possible d'avoir accès à ses mails professionnels. La commission déclare, par suite, la demande d’avis sans objet sur ces points en tant que portant sur des documents inexistants ou détruits. Elle relève que Monsieur X a pris note de l’inexistence des documents cités au point 10). 2. En ce qui concerne les points 11) et 12) : Contrairement à ce que soutient le directeur général de la CNAF, la commission estime que la demande en son point 11), par son libellé, met l'administration saisie en mesure d'identifier précisément et sans recherche approfondie les documents susceptibles d'y répondre. Elle rappelle, ensuite, que les correspondances ainsi que les minimessages textes (SMS) et les courriers électroniques émanant des autorités administratives ou de leurs services constituent des documents administratifs communicables à toute personne qui en fait la demande, sous réserve de l'occultation des mentions protégées par les articles L311-5 et L311-6 du CRPA. En l’espèce, elle estime que doivent en particulier être occultées les mentions couvertes par le secret de la vie privée et celles susceptibles de porter atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature. Elle émet, sous ces réserves, un avis favorable. Enfin, eu égard à la période limitée à deux mois sur laquelle porte la demande des documents sollicités, il n'apparait pas à la commission, en l'état des éléments dont elle dispose, que le travail d’occultation rendu en l’espèce nécessaire représenterait pour la CNAF une charge de travail disproportionnée au regard des moyens dont elle dispose. S’agissant du point 12), si les correspondances électroniques (courriels et SMS) de Monsieur X ont été détruites, tel n'est vraisemblablement pas le cas des lettres et correspondances papier, qui sont communicables sous les mêmes réserves que celles évoquées ci-dessus. Elle émet donc, sous ces réserves, un avis favorable sur ce point. 3. En ce qui concerne les points 13) et 14) : La commission rappelle, s’agissant du point 13), que les contrats de la commande publique et les documents qui s’y rapportent sont des documents administratifs soumis au droit d'accès institué par le livre III du CRPA. Ce droit de communication, dont bénéficient tant les entreprises non retenues que toute autre personne qui en fait la demande, doit toutefois s'exercer dans le respect du secret des affaires, protégé par les dispositions de l’article L311-6 de ce code. Sont notamment visées par cette réserve les mentions relatives aux moyens techniques et humains, à la certification de système qualité, aux certifications tierces parties ainsi qu'aux certificats de qualification concernant la prestation demandée, ainsi que toute mention concernant le chiffre d'affaires, les coordonnées bancaires et les références autres que celles qui correspondent à des contrats publics. La commission estime que ces contrats sont communicables à toute personne qui en fait la demande, en application de l'article L311-1 du CRPA, sous réserve de l’occultation des mentions couvertes par le secret des affaires. La commission estime, s’agissant du point 14), que les documents remis par l’attributaire dans le cadre de l’exécution d’un contrat de la commande publique sont des documents administratifs communicables, sous réserve des secrets protégés en application des articles L311-5 et L311-6 du CRPA. Elle émet donc un avis favorable à la communication de ces documents, sous ces réserves. La commission émet, sous ces réserves, un avis favorable à la communication des documents cités aux points 13) et 14). Elle prend note de de la réponse du directeur général de la CNAF s’engageant à adresser au demandeur les documents qui auront été retrouvés. 4. En ce qui concerne le point 1) : La commission estime que les documents mentionnés au point 1) sont librement communicables à toute personne qui en font la demande en application de l’article L311-1 CRPA. 5. En ce qui concerne les points 2), 3), 4), 5) et 8) : En premier lieu, la commission rappelle que la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a renforcé la transparence de l’action publique, d’une part, en créant au profit des personnes faisant l’objet d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique, un droit d’accès aux règles définissant ce traitement et aux principales caractéristiques de sa mise en œuvre (article L311-3-1 du CRPA) et, d’autre part, en imposant aux administrations de publier en ligne les règles gouvernant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions, lorsqu’ils fondent des décisions individuelles (article L312-1-3 du CRPA). La commission relève, toutefois, que ces dispositions concernent uniquement les traitements algorithmiques fondant des décisions individuelles et ne consacrent pas un droit d’accès à l’algorithme lui-même, mais seulement à certaines informations le concernant, qui sont précisées à l’article R311-3-1-2 du code précité. En outre, ces obligations s’exercent dans la limite des secrets protégés au 2° de l’article L311-5 du CRPA. Comme elle l’a fait dans son avis de partie I n° 20213847 du 13 janvier 2022, la commission précise, en deuxième lieu, que les codes sources des administrations devraient en principe être librement et intégralement communicables à toute personne qui en fait la demande, en application de l’article L311-1 du CRPA. Si la sécurité des systèmes d’information ne devrait en principe pas pouvoir être opposée aux fragments du code traduisant la mise en œuvre de l’algorithme, c’est-à-dire la manière dont sont prises les décisions administratives, en revanche, les vulnérabilités des fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure sont vecteurs de risque pour la sécurité des systèmes d’information. Sont en particulier visés les secrets cryptographiques et les éléments de configuration des systèmes assurant la sécurité des systèmes informatiques utilisés, tels que ceux permettant de sécuriser la transmission des données avec les serveurs de l’administration. La divulgation de ces éléments est de nature à faciliter l’exploitation des failles de sécurité du système d’information développé et, par suite, à favoriser des intrusions informatiques ou des situations dangereuses, telles que des contournements ou des interférences dans le fonctionnement du système. La commission constate donc qu’en pratique, la libre communication de l’intégralité des codes sources des administrations est, à un instant donné, intrinsèquement liée à la qualité des systèmes d’information développés et des codes sources correspondants. La commission estime, dès lors, que doivent être occultés ou disjoints avant toute communication, en application du d) du 2° de l’article L311-5 du CRPA, les fragments du code décrivant techniquement l’ensemble des éléments déployés pour la sécurité et la gestion fonctionnelle de l’infrastructure dans la mesure où ils sont vecteurs de risque pour la sécurité des systèmes d’information. La commission précise qu’il en est de même de tout document révélant des informations sur ces fragments de code. Elle rappelle, enfin, que cette réserve, par nature temporaire, les administrations devant se mettre en situation de respecter l’article L311-1 du CRPA, le cas échéant progressivement et en tout état de cause dans les meilleurs délais, doit être appréciée strictement, à partir d’éléments circonstanciés fournis par les administrations. En l’espèce, il ne ressort pas de la réponse du directeur général de la CNAF que les documents sollicités comporteraient des mentions relevant de cette réserve. En troisième lieu, la commission précise que le g) du 2° de l’article L311-5 exclut du droit à communication les documents administratifs dont la consultation ou la communication porterait atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature. La commission précise que le Conseil d’État a jugé, dans sa décision du 24 juillet 2023, n° 462778, que ces dispositions font « obstacle à la communication des documents administratifs présentant les critères utilisés par une autorité administrative chargée de rechercher des infractions à des obligations légales ou contractuelles pour sélectionner les personnes qu’elle envisage de contrôler, tel que le code-source d’un modèle algorithmique de ciblage des contrôles sur la base d’un profilage des personnes concernées ». Il ressort de la jurisprudence du Conseil d’État rendue en matière fiscale, que sont notamment couvertes par cette réserve les mentions relatives aux critères retenus par l'administration pour sélectionner les dossiers afin d’entreprendre des opérations de contrôle (CE, 12 octobre 1992, n° 100036). Par ailleurs, il résulte des travaux parlementaires attachés à la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, que la réserve prévue par le g) du 2° de l’article L311-5 du CRPA concerne désormais toutes les procédures répressives, qu’il s’agisse des procédures pénales ou des procédures administratives susceptibles de conduire au prononcé d’une sanction, ou encore des procédures de sanction en matière disciplinaire. Comme elle l’a fait dans son avis de partie II, n° 20215795, du 16 décembre 2021, la commission précise que cette exception a pour objet de préserver, en toute hypothèse, l’efficacité des contrôles, de sorte qu’il n’y a pas lieu de différencier selon la plus ou moins grande sophistication des méthodes employées, ni selon que le document met en cause la recherche d’une infraction donnée ou pourrait de manière générale porter atteinte au contrôle de l’application d’une législation. La commission déduit de ce qui précède que la solution dégagée par le Conseil d’État est transposable à la politique de contrôle mise en œuvre par la CNAF afin de détecter des situations d’indu, frauduleux ou non, et dans une moindre mesure de rappel, du fait d’erreurs affectant les données déclaratives des dossiers des allocataires. Comme elle l’a fait dans son conseil n° 20225787 et son avis n° 20226179 du 15 décembre 2022, la commission précise que la liste des variables utilisées par un algorithme pour détecter des dossiers d’allocataires présentant des risques d’indus afin de les proposer en priorité pour un contrôle ultérieur, ainsi que les coefficients associés à ces variables, relèvent du champ de la réserve prévue par le g) du 2° de l’article L311-5 du CRPA. Ces mentions doivent, dès lors, être occultées avant toute communication. La commission ajoute qu’il en est de même des fragments de code source ainsi que de tout document qui révéleraient la nature ou la méthode de construction des variables utilisées. La commission précise, enfin, que dans son conseil n° 20225787, elle a opéré une distinction entre, d’une part, les variables et les coefficients du modèle de datamining actuel et d’autre part, ceux se rapportant aux versions antérieures du modèle, incluant les variables qui seraient reprises dans le modèle actuel, en estimant que si les premiers sont au nombre des éléments dont la divulgation porterait effectivement atteinte à la politique de lutte contre la fraude sociale mise en œuvre par la CNAF ainsi que plus généralement, à l’efficacité des contrôles, il n’en est pas de même des seconds, utilisés dans les modèles antérieurs et sur le fondement desquels ne reposent plus les contrôles actuels et à venir. En l’espèce, la commission comprend que la demande vise les documents se rapportant à la version actuelle de l’algorithme de calcul du score de risque utilisé par la CNAF dans le cadre de sa politique de contrôle. En application des principes rappelés ci-dessus, la commission émet un avis favorable à la communication des documents sollicités aux points 5) et 8), sous réserve de l’occultation des mentions protégées au titre du g) du 2° de l’article L311-5 du CRPA. La commission prend note de l’intention de la CNAF de communiquer ces documents au demandeur dans une version occultée des mentions non communicables. Elle émet en revanche un avis défavorable à la communication des documents sollicités aux points 3) et 4), qui décrivent les variables utilisées dans le modèle actuel et leur pondération. Enfin, en ce qui concerne le point 2), la commission émet un avis défavorable à la communication du code source complet de l’algorithme utilisée. Elle estime, en effet, que ce document ne peut être communiqué au demandeur que dans une version occultée des fragments relevant du g) du 2° de l’article L311-5 du CRPA. Elle émet, dans cette mesure et sous ces réserves, un avis favorable à la communication du code source sollicité au point 2).