L’algorithme de notation de la CNAF attaqué pour discrimination et violation du RGPD

15 organisations ont déposé, le 16 octobre 2024, un recours devant le Conseil d’État contre l’algorithme de notation de la Caisse nationale des allocations familiales (CNAF). Son usage induirait, selon elles, des pratiques discriminatoires et des violations du RGPD. Parmi ces entités figurent la Quadrature du Net, Amnesty International France, l’Association nationale des assistants de service social ou le Syndicat des avocats de France (SAF).

La CNAF utilise cet algorithme pour évaluer les risques qu’un allocataire en situation de fraude, et se fonde sur ses conclusions pour diligenter des contrôles. Or, pour effectuer ses notations, cet algorithme ne s’appuie pas sur des comportements suspects, mais sur des caractéristiques personnelles, comme l’âge ou la situation familiale. Les 15 associations jugent ces pratiques discriminatoires.

Deux aspects de l’algorithme les poussent par ailleurs à estimer qu’il ne respecte pas le RGPD. La quantité de données collectées est, tout d’abord, disproportionnée par rapport à l’objectif. L’algorithme traite en effet les informations de plus de 32 millions de personnes, pour environ 90 000 contrôles par an.

Le système de score contreviendrait de plus à l’article 22 du RGPD, qui interdit « la prise de décisions individuelles entièrement automatisées sur la base de traitement de données personnelles ». La Cour de Justice de l’Union européenne a d’ailleurs jugé, le 7 décembre 2023, qu’un système de notation équivalent, utilisé par une société de crédit allemande, était contraire au RGPD.

En se fondant sur ces manquements, la Quadrature du Net avait envoyé au directeur de la CNAF, en juillet 2024, une demande d’abrogation de cet algorithme. Son absence de réponse a poussé les associations à saisir le Conseil d’État, qui jugera de l’affaire sur le fond.