Avis 202400550 Séance du 07/03/2024

Monsieur X a saisi la Commission d'accès aux documents administratifs, par courrier enregistré à son secrétariat le 23 janvier 2024, à la suite du refus opposé par le directeur général des finances publiques à sa demande de communication, sous forme électronique, dans un standard ouvert, réutilisable et exploitable, des codes source utilisés pour exploiter les données donnant lieu à des contrôles fiscaux, dans le cadre du programme mis en place par le ministère depuis 2018. A titre liminaire, la commission, qui a pris connaissance de la réponse exprimée par le directeur général des finances publiques, comprend, à partir de divers documents publiquement disponibles, que la demande a pour objet la communication des codes source relatifs aux outils applicatifs utilisés depuis 2018 dans le cadre de la lutte contre la fraude fiscale. Si Monsieur X ne précise pas le nom de ces outils, la commission considère qu'il ne peut s'agir que des applications intégrées dans le projet de pilotage et d’analyse du contrôle ("PILAT"), effectivement initié en 2018. La commission relève que ce projet inclut des applications de traitement et d'analyse de masse de données, formant le programme CFVR (ciblage de la fraude et valorisation des requêtes), lequel alimente l'application GALAXIE, autorisée par un arrêté du 11 mars 2022, permettant aux agents habilités de l’administration fiscale de programmer et de mettre en œuvre le contrôle fiscal des particuliers et des professionnels et d'assurer le recouvrement des impositions et des pénalités. La commission en déduit que la demande porte sur les codes source de ces deux traitements de données. En premier lieu, la commission rappelle que la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a renforcé la transparence de l’action publique, d’une part, en créant au profit des personnes faisant l’objet d’une décision administrative individuelle prise sur le fondement d’un traitement algorithmique, un droit d’accès aux règles définissant ce traitement et aux principales caractéristiques de sa mise en œuvre (article L311-3-1 du CRPA) et, d’autre part, en imposant aux administrations de publier en ligne les règles gouvernant les principaux traitements algorithmiques utilisés dans l’accomplissement de leurs missions, lorsqu’ils fondent des décisions individuelles (article L312-1-3 du CRPA). La commission relève, toutefois, que ces dispositions concernent uniquement les traitements algorithmiques fondant des décisions individuelles et ne consacrent pas un droit d’accès à l’algorithme lui-même, mais seulement à certaines informations le concernant, qui sont précisées à l’article R311-3-1-2 du code précité. En outre, ces obligations s’exercent dans la limite des secrets protégés au 2° de l’article L311-5 du CRPA. En deuxième lieu, la commission précise que le g) du 2° de l’article L311-5 exclut du droit à communication les documents administratifs dont la consultation ou la communication porterait atteinte à la recherche et à la prévention, par les services compétents, d'infractions de toute nature. La commission précise que le Conseil d’État a jugé, dans sa décision du 24 juillet 2023, n° 462778, que ces dispositions font « obstacle à la communication des documents administratifs présentant les critères utilisés par une autorité administrative chargée de rechercher des infractions à des obligations légales ou contractuelles pour sélectionner les personnes qu’elle envisage de contrôler, tel que le code-source d’un modèle algorithmique de ciblage des contrôles sur la base d’un profilage des personnes concernées ». La commission ajoute qu’il ressort de la jurisprudence du Conseil d’État rendue en matière fiscale, que sont notamment couvertes par cette réserve les mentions relatives aux critères retenus par l'administration pour sélectionner les dossiers afin d’entreprendre des opérations de contrôle (CE, 12 octobre 1992, n° 100036). Comme elle l’a fait dans son avis de partie II n° 20215795 du 16 décembre 2021, la commission précise que cette exception a pour objet de préserver, en toute hypothèse, l’efficacité des contrôles, de sorte qu’il n’y a pas lieu de différencier selon la plus ou moins grande sophistication des méthodes employées, ni selon que le document met en cause la recherche d’une infraction donnée ou pourrait de manière générale porter atteinte au contrôle de l’application d’une législation. En l'espèce, la commission estime, d'une part, s'agissant de la demande de communication de documents en lien avec le traitement CFVR, mis en œuvre par l’administration fiscale pour améliorer l’efficacité des activités de ciblage des dossiers des contribuables, en amont des opérations de contrôle, et qui repose sur les techniques d’apprentissage automatique, comme elle l'a déjà fait en dernier lieu dans son avis n° 20235199 du 12 octobre 2023, que la liste des critères utilisés par les algorithmes d’identification des infractions fiscales, ainsi que les coefficients associés à ces variables, relèvent du champ de la réserve prévue par le g) du 2° de l’article L311-5 du CRPA et ne sont, dès lors, pas communicables. La commission ajoute qu’il en est de même des fragments de code source ainsi que de tout document qui révéleraient la nature ou la méthode de construction des variables utilisées. La commission précise que si le code source était transmis dans une version occultée, l’analyse des fonctions mathématiques et informatiques employées et l’enchaînement des lignes de codes et des différents scripts pourraient permettre de reconstituer les données qui ont été occultées. Des opérations de rétro-ingénierie pourraient également permettre de contourner les algorithmes afin d’échapper aux contrôles. Ce risque serait facilité par le fait qu’une grande partie des schémas de données utilisées est publique. La commission rappelle, à cet égard, que dans un avis n° 20230314, du 30 mars 2023, elle a estimé s’agissant d’un logiciel reposant sur un algorithme de reconnaissance d’entités nommées ayant été entraîné grâce à la technique de l’apprentissage automatique, qu’eu égard à la finalité et aux spécifiés de cet algorithme, le risque allégué de reconstitution des données occultées dans les décisions de justice constituant le jeu de données utilisé pour entraîner le modèle présente, en l’état actuel des connaissances scientifiques, un caractère suffisant de vraisemblance pour être tenu pour acquis. D'autre part, en ce qui concerne la demande de communication de documents en lien avec l’application métier GALAXIE, la commission relève qu'alimentée par les données issues du traitement CFVR, cette dernière a également pour finalité la facilitation de la détection des schémas de fraude fiscale et l'aide à la détermination des coresponsabilités dans l'organisation de la fraude. Les codes sources qui s'y rapportent sont dès lors également, pour les mêmes motifs et aux mêmes conditions, couverts par la réserve prévue par le g) du 2° de l'article L311-5 du CRPA et ne sont, par suite, pas communicables. En l’état des informations portées à sa connaissance, eu égard en particulier à la sensibilité et à la finalité de ces deux traitements, mis en œuvre par l’administration fiscale pour améliorer l’efficacité des activités de contrôle fiscal, et à leurs spécificités, liées à l’utilisation de techniques d’apprentissage automatique, la commission estime que les documents sollicités entrent dans le champ de la réserve prévue par le g) du 2° de l’article L311-5 du CRPA. Elle émet, dès lors, un avis défavorable à leur communication.