AdmisConcours
Recrutements Bibliothèque Concours
← Décryptages thématiques
Libertés fondamentales 24/04/2026

L'automatisation des contrôles anti-fraude sociale et la protection des droits fondamentaux : le rapport de la Défenseure des droits d'avril 2026 à l'épreuve du droit des algorithmes publics

Dans un rapport publié le 23 avril 2026, la Défenseure des droits, Claire Hédon, alerte sur les risques que font peser sur les droits fondamentaux des assurés l'automatisation croissante des contrôles anti-fraude conduits par les organismes de sécurité sociale et par France Travail. Le rapport intervient dans un contexte marqué par la montée en puissance du data mining : la Caisse nationale des allocations familiales (CNAF) a détecté 508,8 millions d'euros de fraude en 2025, soit une hausse de 13 % par rapport à 2024, et a déployé en janvier 2026 une nouvelle version de son algorithme de ciblage (DMDE 2026), dont le code source a été publié en open source. Cet outil attribue un score de risque d'indu supérieur à 600 euros sur six mois à chacun des 13,8 millions de foyers allocataires. La mutualisation des données entre organismes (CAF, CNAM, France Travail) et les requêtes de ciblage développées par l'Assurance maladie, fondées sur le croisement de fichiers, constituent désormais le cœur de la stratégie de détection. Le rapport formule une quinzaine de recommandations, parmi lesquelles la réalisation systématique d'analyses d'impact relatives à la protection des données (AIPD) et l'évaluation des effets discriminatoires. Parallèlement, depuis octobre 2024, La Quadrature du Net et une quinzaine d'associations (rejointes en janvier 2026 par une dizaine d'organisations supplémentaires) ont saisi le Conseil d'État aux fins d'obtenir l'abandon du DMDE, reprochant à l'algorithme de cibler statistiquement les foyers les plus modestes, ce qui a été qualifié par le Défenseur des droits de possible « discrimination indirecte ».

Le cadre juridique de la protection des données et des décisions automatisées

Le recours aux algorithmes par les administrations sociales est encadré par un corpus européen et national dense. Le règlement (UE) 2016/679 du 27 avril 2016 (RGPD) pose, à son article 22, le principe selon lequel la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques la concernant, sauf exceptions strictement encadrées. L'article 35 impose la réalisation d'une analyse d'impact pour les traitements susceptibles d'engendrer un risque élevé. La loi n° 78-17 du 6 janvier 1978, dite loi Informatique et Libertés, modifiée par la loi n° 2018-493 du 20 juin 2018, complète ce dispositif. La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a introduit à l'article L. 311-3-1 du code des relations entre le public et l'administration (CRPA) un droit à l'information sur les traitements algorithmiques individuels, précisé par le décret n° 2017-330 du 14 mars 2017. Le Conseil constitutionnel, dans sa décision n° 2018-765 DC du 12 juin 2018, a admis les décisions administratives individuelles fondées sur un algorithme sous réserve expresse que l'administration maîtrise le traitement, qu'aucune donnée sensible au sens de l'article 8 de la loi de 1978 ne soit utilisée et que la décision puisse faire l'objet d'un recours administratif. Le règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (AI Act) classe par ailleurs les systèmes d'évaluation des prestations sociales parmi les systèmes à haut risque, soumis à des obligations renforcées de transparence, de supervision humaine et de gestion des risques.

Le principe de non-discrimination et le contrôle du juge

La question centrale posée par le DMDE est celle de la discrimination indirecte, définie à l'article 2 de la directive 2000/43/CE du 29 juin 2000 et à l'article 1er de la loi n° 2008-496 du 27 mai 2008 comme une disposition, un critère ou une pratique neutre en apparence mais qui désavantage particulièrement des personnes en raison d'un critère prohibé. La Cour de justice de l'Union européenne a développé une jurisprudence protectrice en matière de profilage algorithmique, notamment dans l'arrêt SCHUFA Holding du 7 décembre 2023 (C-634/21), où elle a retenu qu'un scoring automatisé constitue bien une « décision individuelle automatisée » au sens de l'article 22 du RGPD dès lors qu'il influence de manière déterminante la décision finale. La Cour européenne des droits de l'homme veille au respect de l'article 8 de la Convention, qui protège la vie privée, y compris en matière de traitements automatisés de données (S. et Marper c. Royaume-Uni, 4 décembre 2008). En droit interne, le Conseil d'État a rappelé l'exigence de transparence dans sa décision Association Les Exégètes amateurs du 3 juin 2020 (n° 428671) et dans sa décision UNEF du 12 juin 2019 (n° 427916, Parcoursup), qui a partiellement admis le recours à des algorithmes locaux tout en encadrant strictement l'information due aux administrés. Aux Pays-Bas, l'affaire dite SyRI (Tribunal de La Haye, 5 février 2020) a conduit à l'invalidation d'un système analogue de détection de la fraude sociale pour violation de l'article 8 de la CEDH, décision dont la résonance en Europe est considérable.

Le rôle du Défenseur des droits et la protection effective des administrés

Le Défenseur des droits, institution constitutionnelle consacrée par l'article 71-1 de la Constitution depuis la révision du 23 juillet 2008, et organisé par la loi organique n° 2011-333 du 29 mars 2011, exerce une mission essentielle de contrôle de l'administration. Son intervention dans le débat sur le DMDE illustre le rôle des autorités administratives indépendantes dans la protection des droits fondamentaux. La Défenseure des droits souligne que le principe du droit à l'erreur, consacré par la loi n° 2018-727 du 10 août 2018 pour un État au service d'une société de confiance (article L. 123-1 du CRPA), est insuffisamment protégé dans le contexte d'amplification des contrôles. Elle rappelle également la règle fondamentale selon laquelle la charge de la preuve de la fraude incombe à l'organisme social, principe qui découle de la jurisprudence constante de la Cour de cassation en matière de prestations sociales et de l'article L. 114-17 du code de la sécurité sociale. La CNIL, dans ses délibérations successives sur les traitements de data mining des organismes sociaux, a insisté sur l'exigence de proportionnalité (délibération n° 2010-225 du 10 juin 2010 notamment) et sur les garanties entourant le ciblage algorithmique.

La tension entre efficacité administrative et droits sociaux fondamentaux

Le Conseil constitutionnel, dans ses décisions n° 2014-448 QPC du 20 février 2015 et n° 2019-796 DC du 27 décembre 2019, a consacré la valeur constitutionnelle de la lutte contre la fraude aux prestations sociales, rattachée à l'objectif d'équilibre financier de la sécurité sociale et au principe d'égalité devant les charges publiques. Toutefois, cette lutte doit être conciliée avec le droit à la protection de la santé et à des moyens convenables d'existence (alinéas 10 et 11 du Préambule de 1946), ainsi qu'avec le droit au respect de la vie privée garanti par l'article 2 de la Déclaration de 1789 (décision n° 99-416 DC du 23 juillet 1999). Le caractère jugé intrusif des contrôles, l'accès à des données bancaires ou issues des réseaux sociaux, ainsi que la récupération des indus par retenue sur l'ensemble des prestations soulèvent la question de la proportionnalité, notion structurante en droit des libertés. Le principe du contradictoire, protégé par l'article 24 de la loi n° 2000-321 du 12 avril 2000, impose à l'administration de mettre l'administré en mesure de présenter ses observations avant toute décision défavorable, exigence renforcée lorsque la décision s'appuie sur un traitement algorithmique.

Enjeux pour les concours

Les candidats doivent maîtriser plusieurs références clés. Sur le cadre normatif, l'article 22 et l'article 35 du RGPD (règlement UE 2016/679), la loi n° 78-17 du 6 janvier 1978, l'article L. 311-3-1 du CRPA issu de la loi pour une République numérique du 7 octobre 2016, et le règlement (UE) 2024/1689 (AI Act) constituent le socle incontournable. Sur le plan constitutionnel, la décision n° 2018-765 DC du 12 juin 2018 relative aux algorithmes publics, la décision n° 99-416 DC du 23 juillet 1999 sur la vie privée et les décisions validant la lutte contre la fraude sociale doivent être mobilisées. La jurisprudence européenne essentielle comprend l'arrêt SCHUFA de la CJUE (C-634/21, 7 décembre 2023) et l'arrêt S. et Marper c. Royaume-Uni de la CEDH (2008). En droit interne, les décisions du Conseil d'État UNEF (n° 427916, 12 juin 2019) sur Parcoursup et le rôle du Défenseur des droits (article 71-1 de la Constitution, loi organique du 29 mars 2011) sont structurants. L'angle analytique privilégié consiste à articuler le triptyque « efficacité administrative, protection des données, non-discrimination » et à montrer comment le droit à l'erreur (loi ESSOC du 10 août 2018) et le principe du contradictoire (article 24 de la loi du 12 avril 2000) limitent le recours aux algorithmes, en écho à l'invalidation du système néerlandais SyRI par le tribunal de La Haye en 2020.

Partager

Fiches pour approfondir

Les soins psychiatriques sans consentement : régime juridique et garanties des libertés
Libertés fondamentales
La laïcité et le régime juridique des cultes en France
Libertés fondamentales
Le cadre juridique de la lutte contre le racisme en droit français et international
Libertés fondamentales
Liberté de religion et liberté de conscience en droit français
Libertés fondamentales

Autres brèves — Libertés fondamentales

L'incrimination de traite d'êtres humains (art. 225-4-1 CP) : un outil pénal en mutation face aux exploitations contemporaines et à l'approche de l'échéance de transposition européenne
Reconnaissance faciale, identification biométrique et libertés fondamentales : les faux positifs policiers et l'encadrement européen entre règlement sur l'IA, protection des données et vérification d'âge
Proposition de loi Yadan sur les formes renouvelées de l'antisémitisme : l'articulation entre répression pénale des discours de haine, liberté d'expression et principe de légalité des délits et des peines
La fuite de données EduConnect et la protection renforcée des données personnelles des élèves mineurs : entre obligations RGPD, responsabilité de l'État employeur et effectivité du contrôle de la CNIL
L'interdiction du voile pour les mineures dans l'espace public : un débat à l'épreuve du bloc de constitutionnalité, de la Convention européenne et de la jurisprudence sur la laïcité