Scoring algorithmique à la CAF, URSSAF et DGFiP : comment ça marche et comment le contester ?
En France, la CAF, l'URSSAF et la DGFiP utilisent des algorithmes de scoring pour détecter les fraudes sociales et fiscales, une pratique renforcée par la loi du 9 avril 2024. Les administrés ciblés disposent de droits précis, notamment le droit à l'explication prévu par le Code des relations entre le public et l'administration, le RGPD et l'AI Act européen.
En France, les administrations sociales et fiscales utilisent désormais des algorithmes de scoring pour cibler les fraudes — et les administrés ciblés ont des droits précis qu'il faut connaître.
La détection automatisée de la fraude sociale et fiscale est entrée dans une nouvelle ère. La CAF, l'URSSAF, la DGFiP (Direction générale des finances publiques) et d'autres organismes publics recourent massivement à des outils algorithmiques pour identifier les dossiers "à risque" et déclencher des contrôles. Ces pratiques, accélérées par la loi du 9 avril 2024 relative à la lutte contre les fraudes sociales et fiscales, soulèvent des questions juridiques fondamentales : comment fonctionne ce scoring ? Peut-on le contester ? Quels risques de discrimination ces outils portent-ils ? Cet article fait le point sur le cadre juridique applicable en juillet 2026, entre AI Act européen, RGPD, loi CADA et droit administratif français.
Contexte juridique
Les administrations françaises utilisent des algorithmes de scoring depuis plusieurs années, encadrés depuis 2024 par un corpus législatif renforcé.
La pratique du scoring algorithmique dans les organismes publics n'est pas nouvelle. La CAF utilise depuis 2011 un score de risque calculé à partir de dizaines de variables (composition familiale, type de logement, revenus déclarés, fréquence des changements de situation) pour prioriser ses contrôles. L'URSSAF recourt à des outils similaires pour le travail dissimulé. La DGFiP, de son côté, déploie depuis 2022 le programme "ciblage de la fraude et valorisation des requêtes" (CFVR), qui croise les données fiscales avec des sources externes.
La loi n° 2024-364 du 9 avril 2024 portant sur la lutte contre les fraudes sociales et fiscales a considérablement renforcé les pouvoirs d'investigation des administrations :
- Extension du droit de communication entre administrations (article 1er), permettant à la DGFiP de transmettre automatiquement des données à la CAF et à l'URSSAF.
- Accès aux données des plateformes numériques (article 4), renforçant la surveillance des revenus générés via Airbnb, Leboncoin, Vinted, etc.
- Renforcement des sanctions pour les fraudes en bande organisée (article 7), avec des peines portées jusqu'à 10 ans d'emprisonnement et 1 million d'euros d'amende.
Cette loi s'inscrit dans un contexte budgétaire tendu : selon le rapport annuel du Conseil de prélèvements obligatoires publié en 2025, la fraude sociale représenterait entre 6 et 8 milliards d'euros par an, et la fraude fiscale entre 80 et 100 milliards d'euros, dont seulement une fraction est effectivement redressée.
Analyse approfondie
Le scoring algorithmique public croise trois cadres juridiques distincts : le droit administratif, le RGPD et, depuis août 2024, l'AI Act européen.
Le régime de la décision administrative automatisée
En droit français, l'article L. 311-3-1 du Code des relations entre le public et l'administration (CRPA) — introduit par la loi pour une République numérique de 2016 — pose un principe fondamental : toute décision individuelle prise sur le seul fondement d'un traitement algorithmique doit faire l'objet d'une mention explicite, et l'administré peut demander les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre.
Ce droit à l'explication est complété par l'article 22 du RGPD, qui interdit les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques significatifs — sauf consentement explicite, nécessité contractuelle ou autorisation légale.
La nuance est cruciale : le scoring de la CAF ou de l'URSSAF ne déclenche pas automatiquement une décision (suspension d'allocation, redressement). Il sélectionne un dossier pour un contrôle humain. Les administrations soutiennent que la décision finale reste humaine, ce qui leur permettrait d'échapper aux exigences de l'article 22 du RGPD. La CNIL a partiellement remis en cause cette interprétation dans ses délibérations successives, notamment sa délibération n° 2022-118 du 21 septembre 2022 sur les pratiques de la CAF, lui enjoignant de revoir son algorithme.
L'AI Act : une nouvelle couche de protection depuis 2024
L'AI Act (Règlement UE 2024/1689), entré en vigueur en août 2024, classe les systèmes d'IA utilisés par les autorités publiques pour évaluer des personnes physiques dans la catégorie des systèmes à haut risque (Annexe III, point 6). Cela implique pour les administrations :
- Une documentation technique complète et accessible.
- Une évaluation de la conformité avant déploiement.
- Une supervision humaine effective et traçable.
- Des mesures de surveillance continue pour détecter les dérives et biais.
À compter de juillet 2026, les obligations de transparence de l'AI Act sont pleinement applicables aux systèmes à haut risque déployés par des acteurs publics. Or, à ce jour, ni la CAF ni l'URSSAF n'ont publié de documentation technique conforme aux exigences du règlement — une lacune qui expose ces organismes à des mises en demeure de la CNIL, désignée autorité nationale compétente pour l'IA dans le secteur public.
Le tableau comparatif des droits selon le texte applicable
| Droit de l'administré | RGPD (art. 22) | CRPA (art. L.311-3-1) | AI Act (annexe III) |
|---|---|---|---|
| Droit à l'explication | Oui | Oui | Oui (renforcé) |
| Contestation de la décision | Oui | Oui | Oui |
| Accès aux critères du score | Partiel | Oui | Oui (documentation) |
| Intervention humaine | Obligatoire | Non prévu | Obligatoire |
| Sanction en cas de violation | Jusqu'à 4% CA | Recours gracieux / contentieux | Jusqu'à 30M€ ou 6% CA |
Risques de discrimination algorithmique
C'est le point le plus sensible. L'algorithme de la CAF, révélé par une enquête de la Revue des droits et libertés fondamentaux en 2023, intégrerait des variables proxy potentiellement discriminatoires : les bénéficiaires vivant seuls avec enfants, les locataires dans le parc social, les personnes nées à l'étranger — autant de profils surreprésentés dans les contrôles. La CNIL, dans sa délibération de 2022, avait pointé l'absence d'analyse d'impact relative à la protection des données (AIPD) spécifique aux risques de discrimination.
L'article 1er de la loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978) interdit tout traitement qui aurait "pour objet ou pour effet de révéler" l'origine ethnique ou la situation sociale d'une personne à des fins discriminatoires. Le Défenseur des droits a été saisi à plusieurs reprises sur ce sujet et a rendu, en mars 2025, une décision-cadre n° 2025-042 recommandant un audit indépendant des algorithmes de contrôle social.
Implications pratiques
Pour les administrés, connaître ses droits face au scoring algorithmique peut changer l'issue d'un contrôle ou d'un redressement.
Du point de vue de l'administré contrôlé
Si vous recevez une demande de justificatifs, une notification de contrôle ou une décision de suspension d'allocation, vous êtes en droit de :
- Demander si une décision algorithmique est en cause : formulez une demande CADA (Commission d'accès aux documents administratifs) pour obtenir les règles du traitement, en vous appuyant sur l'article L. 311-3-1 du CRPA.
- Exercer votre droit d'accès RGPD : demandez à l'organisme (CAF, URSSAF, DGFiP) quelles données vous concernant ont été traitées et quel score vous a été attribué.
- Contester la décision en invoquant l'absence d'intervention humaine effective, si vous pouvez démontrer que la décision repose exclusivement sur le score.
- Saisir la CNIL si vos demandes restent sans réponse dans les délais légaux (1 mois pour le RGPD, 1 mois pour la CADA).
Du point de vue des organismes publics
Les administrations font valoir que ces outils permettent de concentrer les ressources humaines limitées sur les dossiers réellement frauduleux, améliorant l'efficacité des services. La DGFiP revendique un taux de détection de fraude multiplié par 3 depuis le déploiement du CFVR, selon son rapport d'activité 2025. L'enjeu est réel : les fraudes détectées financent des services publics essentiels.
Mais ce bénéfice collectif ne saurait justifier une atteinte disproportionnée aux droits individuels. L'équilibre reste à trouver, et l'AI Act impose précisément cet exercice de proportionnalité documenté.
Points clés à retenir
- Le scoring algorithmique des organismes sociaux et fiscaux est légal mais soumis à des obligations strictes de transparence, de documentation et de supervision humaine.
- L'AI Act européen, pleinement applicable en juillet 2026, classe ces systèmes en "haut risque" et impose aux administrations une conformité renforcée non encore atteinte.
- L'article L. 311-3-1 du CRPA donne à tout administré le droit d'obtenir les règles et critères d'un algorithme ayant servi à une décision le concernant.
- L'article 22 du RGPD interdit les décisions exclusivement automatisées sans intervention humaine effective — une distinction que les administrations contournent souvent formellement.
- Les risques de discrimination liés aux variables proxy (statut familial, type de logement, origine) sont documentés et font l'objet d'un encadrement par la CNIL et le Défenseur des droits.
- Une décision de redressement ou de suspension peut être contestée devant le tribunal administratif en invoquant l'illégalité du traitement algorithmique sous-jacent.
- La loi du 9 avril 2024 a renforcé les pouvoirs d'investigation tout en renforçant — indirectement — l'obligation de justification pour les administrations qui utilisent ces données.
Questions fréquentes
Comment savoir si j'ai été ciblé par un algorithme de la CAF ou de l'URSSAF ?
Vous pouvez l'apprendre en exerçant votre droit d'accès RGPD directement auprès de l'organisme : demandez par écrit quelles données vous concernant ont fait l'objet d'un traitement automatisé. La CAF et l'URSSAF sont tenues de répondre dans un délai d'un mois, et doivent mentionner l'existence d'un traitement algorithmique si votre dossier a été scoré.
Peut-on contester un contrôle fiscal ou social déclenché par un algorithme ?
Oui, mais la contestation est indirecte. Vous ne pouvez pas attaquer le score lui-même — qui n'est qu'un acte préparatoire — mais vous pouvez contester la décision finale (redressement, suspension) en invoquant, devant le tribunal administratif, une violation de l'article L. 311-3-1 du CRPA ou de l'article 22 du RGPD si l'intervention humaine n'a pas été effective.
L'algorithme de la CAF est-il discriminatoire ?
Des études et la CNIL elle-même ont établi que certaines variables utilisées peuvent produire des biais discriminatoires en surciblant des profils statistiquement défavorisés. La délibération CNIL n° 2022-118 a enjoint la CAF de revoir son modèle. En juillet 2026, un audit indépendant recommandé par le Défenseur des droits (décision n° 2025-042) est en cours, mais ses conclusions ne sont pas encore publiées.
Qu'est-ce que l'AI Act change concrètement pour les administrés français ?
L'AI Act, entré en vigueur en août 2024, donne aux administrés des droits nouveaux : droit à une explication significative du fonctionnement du système d'IA, garantie d'une supervision humaine traçable, et possibilité de signaler une violation à la CNIL. Les amendes prévues (jusqu'à 30 millions d'euros ou 6 % du budget de l'organisme) sont dissuasives et poussent les administrations à se mettre en conformité.
Quelle est la différence entre scoring et décision automatisée ?
Le scoring est une notation algorithmique qui classe un dossier par niveau de risque — il ne produit pas directement d'effet juridique. La décision automatisée est une décision prise sans intervention humaine réelle, produisant des effets (suspension, redressement, sanction). L'article 22 du RGPD protège contre les secondes, mais les administrations soutiennent souvent que leurs outils ne constituent que des aides à la décision humaine.
Puis-je obtenir les critères exacts utilisés pour me scorer ?
En théorie, oui. L'article L. 311-3-1 du CRPA impose que les "règles définissant le traitement et ses principales caractéristiques" soient communicables. En pratique, les administrations invoquent parfois le secret en matière de lutte contre la fraude pour ne communiquer qu'une description générale. Vous pouvez saisir la CADA si la réponse est insuffisante, puis le tribunal administratif en cas de refus confirmé.
Quelles sont les sanctions encourues si un administré est condamné pour fraude sociale ?
La fraude aux prestations sociales est punie, selon sa gravité, de 2 à 10 ans d'emprisonnement et de 30 000 à 1 000 000 euros d'amende (article 441-6 du Code pénal, et article L. 114-13 du Code de la sécurité sociale pour les fraudes aux prestations). La loi du 9 avril 2024 a alourdi les peines pour les fraudes commises en bande organisée. Des sanctions administratives complémentaires (remboursement majoré, exclusion temporaire des droits) peuvent s'y ajouter.
Comment se faire aider si l'on reçoit une notification de contrôle ou de redressement ?
Faites-vous accompagner par un avocat spécialisé en droit public ou en droit social dès réception d'une notification formelle. Avant cela, vous pouvez solliciter un diagnostic gratuit pour évaluer votre situation et comprendre vos options de recours. Les délais de contestation en matière administrative sont généralement de 2 mois à compter de la notification de la décision défavorable — ne les laissez pas passer.
Article mis à jour en juillet 2026. Les dispositions de l'AI Act citées sont celles du Règlement UE 2024/1689. Les délibérations CNIL et décisions du Défenseur des droits mentionnées sont publiquement consultables sur les sites officiels cnil.fr et defenseurdesdroits.fr.
Questions fréquentes
- Qu'est-ce que le scoring algorithmique utilisé par la CAF ou la DGFiP ?
- C'est un système de calcul automatisé qui attribue un score de risque à chaque dossier à partir de nombreuses variables (revenus, composition familiale, données de plateformes numériques) afin de prioriser les contrôles anti-fraude.
- Puis-je savoir si mon dossier a été ciblé par un algorithme de fraude ?
- Oui. En vertu de l'article L. 311-3-1 du CRPA, vous pouvez demander à l'administration de vous informer si une décision vous concernant a été prise sur la base d'un traitement algorithmique, ainsi que les règles de fonctionnement de cet outil.
- Le RGPD protège-t-il contre les décisions automatisées des administrations ?
- L'article 22 du RGPD interdit les décisions fondées exclusivement sur un traitement automatisé ayant des effets juridiques significatifs. Toutefois, si la décision finale (contrôle, redressement) reste humaine, les administrations estiment ne pas être soumises à cette interdiction.
- L'AI Act européen s'applique-t-il aux algorithmes de scoring fiscal ou social ?
- Oui. Depuis août 2024, l'AI Act classe certains systèmes d'IA utilisés par les autorités publiques pour évaluer les individus comme 'à haut risque', ce qui impose des obligations de transparence, de supervision humaine et d'audit des données d'entraînement.
- Ces algorithmes de scoring peuvent-ils être discriminatoires ?
- C'est un risque réel : si les variables utilisées (type de logement, composition familiale) sont corrélées à des caractéristiques protégées (origine, situation de handicap), l'algorithme peut produire des biais discriminatoires contraires au droit français et européen.