Extraits de l'article de  Rachel Knaebel pour Basta !

En tant qu’allocataire du RSA, vous avez plus de chances d’essuyer un contrôle de la Caf si vous avez moins de 34 ans ou si vous avez un enfant à charge de plus de 12 ans. C’est le principe des « scores de risque » établis par la Caf de manière automatisée. En 2022, la Caisse nationale des allocations familiales (Cnaf), qui regroupe les Caf, annonçait qu’elle avait effectué 28,3 millions de contrôles « automatisés » sur l’année. Pour cela, elle utilise depuis les années 2010 un algorithme afin de repérer automatiquement les cas possibles d’indus ou de fraude, et engager ainsi des contrôles des allocataires du RSA, de l’aide au logement ou de l’allocation aux adultes handicapés (AAH).

Un algorithme pour contrôler

En moulinant des millions de données, cet algorithme attribue un score de risque aux allocataires. Ce score note la probabilité que la personne ait touché un indu ou commis une fraude. Cette notation déclenche ensuite des contrôles de l’organisme. En 2023, l’association La Quadrature du Net avait obtenu le code source d’anciennes versions de l’algorithme utilisé par la Cnaf. La Cnaf a refusé la communication de la dernière version.

Le décryptage des anciennes versions du code source, utilisées jusqu’en 2018, réalisé par La Quadrature du Net, avait toutefois mis au jour certains critères qui augmentaient le score de risque. Le Monde l’expliquait alors dans une enquête sur le sujet.

(...)

32 millions de personnes concernées

Le recours devant le Conseil d’État porte sur deux aspects : le droit à la protection des données personnelles et le principe de non-discrimination. « Nous rappelons que l’algorithme de la Cnaf traite les données des allocataires et de leurs proches, ce qui fait que près de la moitié de la population française est concernée (32,3 millions de personnes, dont 13,5 millions d’enfants d’après les chiffres de la Cnaf de 2023). Nous rappelons également que les données traitées pour calculer le score sont nombreuses et relatives à des informations très précises de la vie des personnes. Or, au regard de la finalité du traitement (identifier des dossiers dans lesquels il est probable de trouver un indu en cas de contrôle), ce traitement traite trop de données personnelles. Il est donc disproportionné », fait valoir la requête des associations au Conseil d’État.

Selon les organisations, l’algorithme contrevient en ce sens au Règlement européen de protection des données personnelles, le « RGPD ». Car le RGPD interdit par principe, à son article 22, les traitements de données qui prennent des décisions automatisées. C’est pourtant ce que fait l’algorithme de la Caf : il conduit à une décision de contrôler une personne de manière automatique. « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire », stipule le RGPD.

(...)