Les contrôles de la CAF : réflexions sur les traitements RGPD connexes

L’article en question ne présente pas grand intérêt car il dépasse largement les missions de la Quadrature pour dériver vers un propos politique (auquel on adhère ou pas) qui n’est pas l’objet de la présente chronique. Le sujet véritable est de savoir si la CAF est légitime à mettre en place des algorithmes (que la Quadrature nomme « IA » mais qui sont de « simples » corrélations de données) pour contrôler les prestations sociales et les éventuelles fraudes à ces prestations ?

La question est loin d’être triviale. Considérons par exemple un traitement RGPD classique mis en place absolument partout : le traitement RH de la carrière et la paye des agents. On a bien des données traitées (les données RH), un destinataire (la DRH), une finalité (la gestion de la carrière et de la paye), une base légale (une obligation réglementaire) et un certain nombre de dispositions pour sécuriser le traitement (essentiellement une politique d’habilitation aux données). Soit. Sauf que là on a juste la base légale du traitement paye/carrière.

Mais, à un moment donné, la DRH va vouloir mettre en place des moulinettes, ou un screening de données, ou un infocentre, ou des statistiques qui, du moment qu’elles vont devoir balayer l’ensemble des données RH, constituent un traitement de plus. Par exemple, récupérer la pyramide des âges des agents par métier/grade/fonction, ne serait-ce que pour prévoir les recrutements dans les cinq à dix prochaines années. Par exemple, analyser les traces de création des dossiers RH des agents de la DRH pour pister ceux qui ont besoin d’une formation complémentaire aux outils de travail (temps passé anormalement long, taux d’erreur élevé, etc.). Par exemple, enfin, rechercher d’éventuelles fraudes aux remboursements de frais. N’en déplaise à la Quadrature, tout euro fraudé est un euro qui n’atterrit pas dans les poches des ayants droit légitimes, qu’il s’agisse de fraude sociale ou de fraude fiscale, et tout organisme est fondé à réaliser ce type de contrôle.

Pour chaque traitement « traditionnel » mis en place (RH, DPI, etc.), il existe au moins cinq catégories de traitements connexes :

– l’amélioration des usages IT du responsable de traitement : mieux utiliser les outils progiciels mis à disposition pour les agents eux-mêmes (voir l’exemple ci-dessus) ;

– l’amélioration des pratiques professionnelles : par exemple, la collecte du taux de tel indicateur rempli par service pour optimiser la pratique du métier lui-même ; on y trouve les analyses du taux de remplissage des checklists de bloc opératoire ;

– l’amélioration des moyens logistiques nécessaires au métier ; dans un service de traumatologie, l’analyse de la typologie des motifs d’entrée pour prévoir (par exemple) des stocks additionnels de plâtre pour les fractures des mercredis et samedis ;

– le contrôle des données pour analyser les fraudes ; les examens des traces d’accès au DPI en sont un exemple, tout comme la détection des fraudes à l’absentéisme, aux frais de déplacement, etc. ;

– enfin, la production de statistiques d’activité, le grand classique.

Tous ces traitements balayent forcément l’ensemble des données, mais seul l’avant-dernier ne peut pas faire autrement que de produire des données nominatives. Autant sur le deuxième exemple (l’amélioration des pratiques professionnelles), en tant que DPO, je ne valide pas la production de données identifiantes, autant il me semble légitime (au sens du RGPD) de sortir des éléments nominatifs qui permettent de détecter les abus, qu’il s’agisse du RT que des données des personnes traitées (agents dont on examine la carrière et la paye, patients, usagers, etc.). La précaution élémentaire reste (mais je ne connais aucun DPO qui dirait autre chose) que les outils qui produisent des anomalies potentielles ne doivent être que des aides à la décision et rien de plus, pour permettre aux ressources (forcément limitées) de contrôler et de cibler les zones à risque. N’en déplaise à la Quadrature, si on veut détecter les fraudes à l’ISF ou à l’IFI, il vaut quand même mieux cibler les contrôles sur les 1 % les plus riches que sur les agents de catégorie C d’une collectivité territoriale.

Il y a d’ailleurs un piège très pernicieux à refuser que ces contrôles soient réalisés sur la base d’un préciblage effectué par un algorithme, piège que la Quadrature ne voit pas venir. Contrôles, il y a toujours eu, sauf que dans la plupart des cas le ciblage se fait au doigt mouillé (au mieux) ou pire par Josette, agent du service des contrôles, qui cible Marcel, son voisin de palier dont le fils a mis un pétard sous son paillasson. Personnellement, je favorise toujours ce qui est transparent, auditable et contrôlable (un algorithme) plutôt que ce qui ne l’est pas (le doigt mouillé de Josette).

Enfin, la Quadrature a beau jeu de fanfaronner en déclarant avoir réussi à obtenir ledit algorithme de la CAF. Mais quand ce sera vraiment une IA genre réseau de neurones ou LLM qui effectuera ce préciblage, et pour lequel il est techniquement impossible de récupérer l’algorithme en question, elle regrettera le bon temps du code source auditable.

Article connexe → En finir avec la polémique Olvid

[1]   https://www.laquadrature.net/2023/11/27/notation-des-allocataires-lindecence-des-pratiques-de-la-caf-desormais-indeniable/ 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.