Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

AFCDP : le Data Mining au service de la lutte contre la fraude

janvier 2015 par Emmanuelle Lamandé

Le recours au Data Mining tend à se développer aujourd’hui pour lutter contre la fraude et aura d’ailleurs vocation à s’étendre dans les années à venir. Toutefois, cette utilisation est étroitement encadrée par la CNIL, ces techniques n’étant pas sans risques pour le respect de la vie privée et la protection des données personnelles. Anne Fontanille, Auditrice au Mastère spécialisé « Informatique et Libertés » de l’ISEP, nous livre quelques recommandations pour un usage du Data Mining conforme à la Loi Informatique et Libertés, à l’occasion de la 9ème Université des CIL de l’AFCDP.

Le Data Mining est une technique de gestion, d’exploration, d’analyse et de traitement d’une masse importante de données pour en extraire de la connaissance. Il permet de détecter ce dont l’homme est incapable. Le Data Mining, ou exploration de données, est défini dans le Journal Officiel comme un « Processus de recherche dans un ensemble de données destiné à détecter des corrélations cachées ou des informations nouvelles » (JORF, 27 février 2003). Ce processus n’est cependant pas nouveau, puisqu’il est utilisé depuis longtemps au service du marketing, du profiling… Par contre, le fait qu’il soit retenu pour lutter contre la fraude est une nouveauté.

Le recours au Data Mining pour lutter contre la fraude aura d’ailleurs vocation à se multiplier, d’une part parce que c’est un outil efficace, mais aussi car son utilisation est préconisée dans le secteur public. En effet, le Plan national de lutte contre la fraude aux finances publiques 2014-2015, ainsi que le Rapport de la Cour des comptes sur le financement de la sécurité sociale (17/09/2014) favorisent ce type d’outils. Le contexte réglementaire y est également favorable, au vu des autorisations uniques validées par la CNIL, telles que l’AU-n°39 du 17 juillet 2014 visant à lutter contre la fraude à l’assurance. La Caisse Nationale de l’Assurance Maladie, la Caisse Nationale des Allocations Familiales, la Direction Générale des Finances Publiques et Eurofil-Aviva ont ainsi obtenu la légitimité d’utiliser des techniques de Data Mining pour lutter contre la fraude. Le Data Mining permet à un organisme de procéder à une investigation par analyse visuelle d’un tas de données, d’établir un certain nombre de scénarii et de modèles, et de détecter via ce biais les anomalies et les cas suspects.

Toutefois, le recours au Data Mining ne doit pas se faire n’importe comment. Il doit être encadré et s’inscrire dans un climat de confiance, les risques au regard de la Loi Informatique et Libertés étant multiples : manque de transparence, risque d’erreur, opposabilité des données d’autrui, décontextualisation des données…

La CNIL exige, en ce sens, des garanties fortes, notamment au travers de mesures de sécurité, afin d’assurer la protection des données à caractère personnel. Parmi elles, on peut noter que chaque alerte obtenue via le processus de Data Mining doit donner lieu à une analyse manuelle avant toute décision. Les alertes non pertinentes doivent être supprimées immédiatement. Le personnel chargé de créer des profils types, d’élaborer les modèles et les requêtes doit être habilité, et le nombre de personnes ayant accès à l’outil réduit au minimum. Les accès à la base doivent être tracés et les données sécurisées. Enfin, les cas de fraudes détectées, qui seront réutilisés pour alimenter et actualiser les modèles, doivent être anonymisés.

Concernant l’information générale sur l’existence d’un traitement de lutte contre la fraude, la CNIL ne stipule aucune exigence spécifique d’informer sur le type de traitement automatisé utilisé. Par contre, en cas de suspicion de fraude, les obligations divergent selon les autorisations de la CNIL. Dans le cas de la CNAF et d’Eurofil-Aviva par exemple, l’allocataire ou l’assuré faisant l’objet d’une enquête doit recevoir une information spécifique. Ce qui n’est pas le cas pour la Direction Générale des Finances Publiques : « le droit d’information ne s’applique pas à ce traitement puisque ce dernier a notamment pour objet la prévention, la recherche, la constatation ou la poursuite d’infractions pénales ». Informer la personne faisant l’objet d’une enquête en cours pourrait, en effet, remettre en cause l’efficacité de la lutte contre la fraude. Les conditions de droit d’accès varient également selon les organismes. Il peut, par exemple, s’exercer de manière directe pour la CNAMTS, mais indirecte pour la DGFiP.

Voici quelques recommandations pratiques pour une utilisation des techniques de Data Mining conforme à la Loi Informatique et Libertés :
- Définir clairement l’objectif poursuivi, les critères retenus et les données qui seront utilisées ;
- Effectuer une analyse d’impact relative à la protection des données personnelles et prendre en compte les résultats de cette analyse ;
- Choisir un outil adapté et présentant des garanties suffisantes en particulier en matière de sécurité. Il ne faut pas perdre de vue que c’est l’organisme qui met en place le Data Mining qui est Responsable de Traitement ;
- Garantir l’intervention humaine à tous les stades de la mise en place et du fonctionnement de l’outil de Data Mining ;
- Documenter dans une démarche d’accountability (quelles procédures de droit d’accès…) ;
- Veiller à effectuer les formalités et les démarches Informatique et Libertés : autorisation préalable de la CNIL, information des personnes concernées, consultation des IRP, etc. ;
- Contrôler, évaluer et mettre à jour le processus de Data Mining.

Au-delà de la fraude, une utilisation du Data Mining est également envisagée dans le domaine bancaire, afin de détecter de façon précoce des situations de fragilité financière des clients, ou encore en matière pénale, pour prédire/prévenir les crimes.

Quoi qu’il en soit, et quel que soit le cas de figure, le CIL a un rôle fondamental à chaque étape de la mise en place de ce type d’outils.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants