CAF
L'outil informatique cible les plus fragiles et leur impose des contrôles à répétition
- Cet article est extrait du dossier « Maltraitance institutionnelle, illégalités, vies broyées » – 6 changements d’orientation et 50 propositions pour remettre l’humain et le droit au coeur des CAF. Produit par Changer de Cap en octobre 2023, ce dossier est disponible en téléchargement
- Il met en lumière les conséquences humaines de la sur-utilisation des traitements automatisés, et en particulier de l’algorithme de notation des allocataires, tel que décrypté par La Quadrature du Net dans son enquête « Notation des allocataires : l’indécence des pratiques de la CAF désormais indéniable »
Une accumulation de données, partagées avec de multiples tiers au mépris de leur protection
Les progrès foudroyants de l’automatisation et du traitement de données permettent le recueil de centaines de données par personne pour chacun des 13,5 millions de foyers allocataires des CAF, soit environ 32 millions de personnes, c’est-à-dire près d’un Français sur deux. Ces données incluent de multiples informations sur les personnes y compris leurs contacts avec la CAF, la durée de leurs communications, etc.
Les bases de données sont interconnectées avec des dizaines de fichiers administratifs et peuvent être consultées par des personnes non assermentées, non tenues au secret professionnel. Ceci est en contradiction avec l’article 22 du RGPD et constitue une atteinte aux droits des personnes.
En Gironde, la fuite d’un fichier mis en ligne par un prestataire privé contenant les données de plus de 10 000 allocataires de la CAF Gironde, en janvier 2023, illustre l’absence de garanties concernant la protection des données personnelles des allocataires. Le type de données traitées, y compris les données sensibles, leur volume, les interconnexions de plus de plus nombreuses, entre organismes ayant une mission de service public comme avec des prestataires externes exigent des garde-fous et des garanties.
La circulation des données personnelles, sans que l’allocataire ait la main sur ces informations, sauf à faire valoir son droit d’accès ou de rectification via un long processus, fonctionne dans les deux sens : de et vers les CAF. Ainsi l’accès au Dispositif de ressources mensuelles (DRM, salaires et revenus de remplacement) par les agents des CAF, avec une surveillance accrue des allocataires ayant des revenus irréguliers comme les artistes auteurs ou les intérimaires, la BNDP (Base nationale des données patrimoniales), Ficovie… et, plus inquiétant, e-Dem, outil de télétransmission de documents justificatifs à l’assurance- maladie (déclarations d’invalidité, indemnités journalières, arrêts de travail) qui verserait automatiquement des informations dans les dossiers CAF, sur des données par définition sensibles.
Cette multiplication des échanges de données va prendre encore de l’ampleur avec la future plateforme PEBA (échanges banques-administrations), l’accès pour les CAF au fichier PNR (Passenger Name Record)…
« J’ai fait une demande de mes données personnelles auprès de ma CAF. Dans le dossier reçu, ma surprise a été totale : figuraient des informations sur ma santé issues de mon dossier MDPH. Ces informations sont pourtant confidentielles ».
La Défenseure des droits a de son côté émis un avis en juillet 2023 sur les risques de dérive dans la circulation et l’utilisation des données liées au futur dispositif France Travail. « Celles-ci risquent d’être réutilisées pour d’autres usages que les fins statistiques prévues par le texte, notamment pour détecter des fraudes. Cela constitue une atteinte aux droits des bénéficiaires du RSA ».
Les allocataires ont quant à eux le plus grand mal à faire valoir leurs droits, d’accès et de rectification, lorsqu’ils sont conscients des enjeux et des risques concernant la protection de leurs données personnelles. Toute fuite avec des données telles que le NIR, les noms et prénoms et autres, peut déboucher sur une usurpation d’identité, avec toutes les conséquences que cela implique.
Nadine a fait l’objet en 2016 d’une demande de remboursement de 5 000 € qu’elle a contestée. La CAF a allégué que l’allocataire avait demandé une remise de dette (qu’elle n’avait jamais faite) pour lui signifier un refus (ce qui établissait la reconnaissance de la dette). Nadine a été déboutée au tribunal administratif, puis au Conseil d’État, tous deux se fondant sur les dires de la CAF. Elle a demandé l’accès à ses données personnelles, qu’elle n’a obtenu qu’en septembre 2019. Elle a alors découvert alors que c’est une personne non assermentée qui a traité ses données, ce qui lui a permis de faire annuler la procédure.
Mais combien d’allocataires sont en mesure d’effectuer ce parcours du combattant ?
Propositions
- Le RGPD doit protéger concrètement les allocataires, les CAF fournir une information claire sur les données personnelles, l’utilisation dans les calculs et le partage de ces données avec des tiers. La règle du consentement doit prévaloir, de même que celle de la minimisation des données.
- Des garanties doivent être fournies par les prestataires privés auxquels la CNAF fait appel, sur le niveau de protection des données, le respect de la réglementation et la sécurité informatique. Ces garanties doivent faire partie des cahiers des charges et devront être vérifiées par une autorité indépendante.
- L’article 30 du RGPD a instauré le registre des activités de traitements de données. La transparence sur les registres des CAF comme responsables des traitements, mais aussi les registres sous-traitants est indispensable.
L’algorithme de notation des allocataires pousse au surcontrôle des plus précaires
- Nous renvoyons ici, d’une part à l’article de décryptage de l’algorithme par La Quadrature du Net, d’autre part à la position et aux arguments du collectif Change de Cap sur l’utilisation des algorithmes dans les politiques de contrôle
La CNAF a été pionnière dans l’utilisation d’un algorithme de notation entrainé pour « la modélisation de fraudes et d’indus », tel que présenté dès 2009. Sur la base d’un traitement présenté comme statistique, et d’un algorithme entrainé à partir d’anciens dossiers perçus comme frauduleux ou ayant déclenché des indus, chaque allocataire se voit attribuer un score de risque : plus il est élevé, plus les contrôles sont probables. On parle ici des contrôles invasifs, c’est-à-dire des contrôles sur place, au domicile de l’allocataire et avec exercice du droit de communication (relevés bancaires, factures d’énergie, etc.) par l’agent en charge du contrôle. 75 % d’entre eux sont déclenchés par un ciblage sur « les dossiers à plus fort risque d’erreurs ».
Ainsi, des personnes « bénéficient » d’un score élevé parce qu’elles se trouvent en situation de précarité, de handicap ou de vulnérabilité, ou encore parce qu’elles sont parents isolés ou ont des revenus variables.
Certains allocataires ayant des scores de risque élevé subissent des contrôles à répétition, déclenchés automatiquement, assortis d’une suspension préventive des droits, suivie de rappels, alors même que leur situation ne justifie pas un tel traitement.
« Lors de mon entretien téléphonique avec un conseiller CAF, je découvre que je suis passée sous les fourches caudines d’un “robot à dettes”, qui me réclamait plus de 500 euros de trop-perçu, alors que j’avais correctement déclaré mes revenus. Au téléphone, le conseiller marmonne quelques explications, invoque “le logiciel”, “certains paramètres”. J’apprends que mon “score de risque” est évalué à 0,4 sur une échelle entre 0 et 1, ce qui a déclenché une alerte. Le logiciel a analysé mon dossier automatiquement ».
Le choix des dossiers de référence et les critères utilisés peuvent faire de l’algorithme de scoring un outil clairement discriminatoire. En 2017, le Défenseur des droits avait ainsi sommé la CNAF d’en finir avec le contrôle ciblé des populations non européenne.
Aux Pays-Bas, un scandale retentissant a contraint le gouvernement à démissionner en 2021 à la suite d’un procès historique où il avait été démontré qu’il avait accusé à tort des milliers de parents de fraude avec l’utilisation d’un « profilage de masse » appelée SyRI contraire à la législation européenne en matière de Droits de l’Homme. En particulier, la double nationalité était considérée comme facteur de risque. Lorsque l’étendue des préjudices causés par le « Toeslagenaffaire » est apparue, allant de la faillite au traumatisme pour plus de 20 000 allocataires par an, la démission du gouvernement a été suivie d’un aveu officiel de « racisme institutionnel ». Cet exemple n’est pas isolé.
Le risque discriminatoire est d’autant plus préoccupant que l’opacité est entretenue sur les variables (ou critères) qui définissent le score de risque des allocataires. Seuls les codes sources d’anciennes versions de l’algorithme, incomplètes, ont été transmis à la Quadrature du Net via la CADA (Commission d’accès aux documents administratifs). L’algorithme actuellement utilisé est couvert par le secret et sa divulgation serait, selon la CNAF, de nature à mettre en danger sa politique de lutte contre la fraude. Les codes sources des algorithmes publics, ainsi que leur modèle d’entrainement, relèvent pourtant de la réglementation sur les documents administratifs.
Notons également que si la première version a fait l’objet d’une décision réputée favorable de la Commission nationale informatique et libertés en 2010, la CNIL n’a pas été saisie pour les versions postérieures de 2014 et 2018. Par comparaison, le traitement informatique IDEAL, de transmission de données entre les bailleurs et les CAF, a fait l’objet d’au moins deux avis successifs de la CNIL, en 2011 et 2013.
Propositions
- Mettre fin aux contrôles ciblés et abandonner les scores de risque, utiliser l’outil informatique pour prévenir les erreurs plutôt que chercher à les corriger a posteriori — à plus forte avec la confusion entretenue entre l’erreur et la fraude.
- Dans l’attente, tous les documents administratifs, code source compris, concernant l’algorithme de scoring/notation doivent être transparents, à tout le moins audités par une autorité indépendante. C’est à la CNAF de démontrer que ses outils ne contreviennent pas aux principes de non-discrimination et d’égalité de traitement.
- Ce contrôle de conformité doit s’étendre aux autres organismes marchant dans les pas de la CNAF et utilisant également des scores de risques, à savoir : la MSA, la CNAM, la CARSAT, Pôle emploi.
- Toute modification dans un traitement de données automatisé doit faire l’objet d’un avis supplémentaire de la CNIL, dont les moyens sont à renforcer.
- La nécessaire transparence implique que les variables, les modèles d’entrainement et les CCTT (cahier des clauses techniques particulières fixant les contraintes imposées aux prestataires fournissant des logiciels) soient rendus publics, afin de pouvoir vérifier leur légalité et leur légitimité.
Des contrôles à répétition pour des dossiers jugés « à risque » par des machines
La grande majorité des contrôles réalisés par les CAF sont automatisés, c’est-à-dire réalisés par croisement de données et sans intervention humaine : 31,6 millions en 2021 pour 4 millions de contrôles sur pièces et 106 000 contrôles sur place, chiffres de la CNAF.
L’accumulation des contrôles est aggravée par l’absence de coordination entre 3 types de contrôles qui peuvent être déclenchés indépendamment les uns des autres :
- des contrôles des déclarations trimestrielles, qui peuvent intervenir tous les 3 mois,
- des contrôles annuels de l’ensemble de la situation d’un allocataire,
- des contrôles spécifiques à chaque type de prestation,
Ces contrôles peuvent être enclenchés automatiquement par des logiciels différents, ce qui suscite des répétitions et parfois des chevauchements. La même personne, en situation de fragilité, est obligée de fournir plusieurs fois des dossiers complets et n’y comprend plus rien.
Ces contrôles répétitifs constituent une véritable maltraitance institutionnalisée envers des allocataires en situation de précarité ou de vulnérabilité, qui en subissent la majeure partie.
Cette maltraitance conduit de nombreux ayants-droits à renoncer à faire valoir leurs droits et à des basculements dans la grande pauvreté.
« La CAF m’a demandé un contrôle de ressources et de situation sur la période de décembre 2019 à décembre 2020, pendant laquelle je n’ai quasiment pas perçu d’allocation. Je n’ai pas compris l’intérêt de ce contrôle, car ils avaient déjà toutes les informations pour vérifier ma bonne foi. Suite à ce contrôle, un mauvais calcul de leur part a occasionné un trop versé s’est traduit par une nouvelle dette que j’ai payée dès la notification. Mais cette erreur a déclenché une demande de contrôle de ressources pour les mois d’octobre à décembre 2021. J’ai donc envoyé mes justificatifs de ressources, pensant que c’était pour la déclaration trimestrielle des ressources à faire pour le maintien de l’AAH. Mais non ! Un mois plus tard, j’ai quand même dû faire ma déclaration trimestrielle. Je ne comprends pas pourquoi il y a autant de contrôles et autant d’erreurs de leur part. »
Pour de nombreux allocataires, les contrôles automatisés sont synonymes de suspensions de droit, parfois pendant des mois et sur l’ensemble des prestations, y compris celles qui ne sont pas soumises à condition de ressources. Quand les revenus sont stables, quand la situation de résidence ou familiale n’a pas changé entre deux déclarations trimestrielles, le système d’information conclut à une absence de problème et donne l’ordre de payer, sans intervention humaine. Mais en cas de variation de revenus ou de situation familiale, à la moindre donnée considérée comme manquante, les logiciels sont programmés pour suspendre toutes les prestations, déclencher une alerte et transmettre le dossier à un technicien, chargé de valider l’envoi d’un courrier standard de demandes de compléments. Ce dernier peut certes lever la suspension des prestations et interrompre le contrôle, mais c’est l’exception. La règle, c’est que l’ordinateur frappe d’abord et systématiquement, les techniciens peuvent éventuellement rattraper.
À la base de ces pratiques : une réglementation inextricable, une vision budgétaire « coûts-avantages », l’utopie d’un État 100 % numérique
Une réglementation inextricable et inaccessible, que les allocataires doivent interpréter seuls
Dès la mise en place de la dématérialisation, en 2010, les organisations syndicales avaient rappelé que celle-ci devait être précédée d’un renforcement des moyens informatiques et d’une simplification drastique de la réglementation.
Le Défenseur des droits a souligné en 2017 que « le dispositif mis en place depuis 2004 souffre d’une complexité qui met à mal l’objectif initial de simplification administrative. L’usager est pris en tenaille entre une procédure déclarative, propice aux erreurs, et un dispositif automatisé de détection des erreurs, assimilées à des fraudes, véhiculant la suspicion d’une fraude massive de la part des personnes vulnérables ». (Rapport « Lutte contre la fraude aux prestations sociales : à quel prix pour les droits des usagers »)
Par exemple, le revenu pris en compte pour apprécier les ressources (la « base ressources ») n’est pas le même pour les prestations CAF (aides au logement, prme d’activité), pour le Département (RSA) et pour l’administration fiscale. Comment l’allocataire peut-il s’y retrouver ?
Les allocataires sont rendus responsables du strict respect de cette réglementation inextricable et de son interprétation, y compris en termes de délais, alors qu’ils ne disposent ni des capacités juridiques, ni des informations techniques, qui sont en partie gardées secrètes, pas plus de l’accompagnement nécessaire leur permettant de déclarer sans erreur. Ceci est contradictoire avec l’article L583-1 du Code de la Sécurité sociale, qui enjoint aux organismes débiteurs des prestations sociales et leurs personnels d’être au service des allocataires et d’assurer leur l’information sur la nature et l’étendue de leurs droits.
«Au moment du contrôle, j’ai passé 1 h 30 avec quelqu’un qui avait tous mes revenus, toutes les informations sur moi. Il m’expliquait que mes parents quand ils m’aident, même si c’est pour payer le dentiste, mes courses, je dois tout déclarer. Quand on est au RSA, c’est normal que tous les coups de pouce financiers soient les bienvenus. Mais ce qui est injuste aussi, c’est qu’il ne regardait que les rentrées d’argent. Pas les dépenses ! (...= Suite au contrôle, il a établi que j’avais fraudé. Je suis sortie de ce rendez-vous avec l’impression que tout ce à quoi je croyais était renversé. La CAF n’était plus une alliée, mais quelque chose de malsain, de très mauvais… »
Une vision financière coûts/avantages, où la maltraitance devient une arme budgétaire
La complexité des procédures n’a pas que des ennemis. Si l’objectif est de contenir les dépenses sociales et de réduire le montant des prélèvements obligatoires, tous les moyens sont bons pour diminuer le volume des prestations. La complexité des procédures, comme la dureté des contrôles, contribuent à augmenter le pourcentage de non-recours en dissuadant un certain nombre d’allocataires de demander leurs droits. Elle devient une arme budgétaire pour contenir les dépenses sociales. En 2017, une série de mesures de simplification a été proposée par le conseil d’administration de la CNAF. Le ministère du Budget s’y est opposé en estimant que cela allait augmenter le nombre d’ayants droit, et constituait donc une mesure nouvelle qu’il fallait gager.
Selon la conception imposée par la convention d’objectifs et de gestion, les CAF sont assimilées à des entreprises dont l’objectif est de « produire » des calculs de prestations de façon « industrielle » à moindre coût, de gérer automatiquement les écarts en faisant abstraction de la réalité sociale vécue par les allocataires. Ceux-ci deviennent de simples chiffres, les prestations sont des dépenses à minimiser.
La responsabilité de cette situation incombe d’abord aux ministères de tutelle qui imposent cette vision purement financière, sans s’interroger sur les coûts induits par cette politique à courte vue, y compris budgétaires, ni sur les effets sociaux, politiques et éthiques de la non-prise en compte des réalités sociales.
L’utopie d’un État 100 % numérique
L’injonction gouvernementale de « tout automatiser » repose sur une croyance : la dématérialisation est par nature une source d’efficacité et de simplification. Or l’informatique n’a jamais simplifié quelque chose de complexe. C’est en amont qu’il faut simplifier. Cette utopie numérique n’est pas le fruit d’une génération spontanée, mais le résultat d’un intense travail de lobbying exercé par les entreprises du numérique.
La multinationale Welhelp explique en 2019 dans un rapport comment le numérique, « plus simple pour l’usager et beaucoup moins coûteux que les autres canaux d’accès, doit être généralisé et privilégié » [dans des domaines comme la relation usager] et et comment l’externalisation « constitue un gage d’efficacité et de simplification ». Trois ans plus tard, Webhelp signe un contrat de 14,7 millions d’euros avec la CNAF portant sur l’externalisation du traitement des flux téléphoniques de la branche famille.
La dématérialisation est présentée comme la clé d’une simplification, mais après 10 ans, c’est la complexification qui est au rendez-vous. Des prestataires privés, dont certains se sont spécialisés dans la substitution aux services publics exsangues, viennent appliquer aux prestations sociales des recettes standard pratiquées dans d’autres pays et dans d’autres domaines. Elles sont inspirées par l’idéologie du « solutionnisme technologique », laissant supposer que le numérique apporte des solutions à tous les problèmes, avec une vision managériale en termes de coûts et avantages. Ces solutions standardisées se révèlent inadaptées à la diversité des situations réelles et aux subtilités du droit. Les désordres qui en résultent font stagner, voire reculer la productivité.
Mais les développeurs des programmes informatiques n’ont pas pour mission de se soucier des conséquences sociales, matérielles et sociétales des dispositifs mis en place. Ils ne sont pas payés pour ça. Ces conséquences sont considérées comme des « dégâts collatéraux » inévitables pour réaliser le grand projet (à 9,3 milliards d’euros selon La Tribune) de construction d’un État numérique, quoi qu’il en coûte humainement. Selon cette conception, l’ État doit se réorganiser comme une plate-forme numérique au service d’individus désormais instruits, équipés et connectés qui forment une puissante multitude bouleversant l’ancien ordre économique et social.
Cette conception se traduit par la volonté du gouvernement de remplacer progressivement les relations directes avec les CAF par des services en ligne, confiées à des prestataires privés. D’où les contrats très importants passés à l’automne 2022 avec toute une série d’entreprises. Dans de nombreux cas, les prestataires fournissent des logiciels sous licence qui restent protégés par le secret commercial. Les solutions informatiques développées par des sous-traitants pour les centres de ressources et les caisses ne sont pas plus transparentes, y compris pour leurs utilisateurs.
Propositions
- Fournir une information claire et une liste détaillée des ressources à indiquer sur les formulaires de déclarations trimestrielles ou via une fenêtre pop-up, en fonction des prestations perçues… et avant une révision des bases ressources
- Harmoniser les bases ressources des différentes prestations, en neutralisant les ressources telles que les aides de survie des proches et les recettes occasionnelles
- Établir toute la transparence sur le contenu des marchés de prestations informatiques souscrits par la CNAF, en termes d’opportunités, de respect des règles et de conformité des programmes.
- Rendre publics les cahiers des charges déterminant le développement des programmes informatiques et leurs modifications.
Appel 2023
Six changements d’orientation majeurs sont nécessaires pour remettre l’humain et le droit au coeur des CAF
> Lire ici
Communiqué
Rencontre au ministère des Solidarités : un échange constructif dont on attend la suite
> Lire ici
Tribune
« La loi plein-emploi va aggraver la maltraitance institutionnelle dans les Caf », à lire sur le site de Basta!
> Lire ici