Contrôle URSSAF et data mining : quand l’intelligence artificielle percute les garanties procédurales du cotisant
La modernisation des outils de contrôle de l’URSSAF, fondée sur l’exploitation massive des données et l’intelligence artificielle, soulève des interrogations juridiques majeures quant au respect des garanties procédurales des cotisants. Entre la loi de financement de la sécurité sociale pour 2026 et les premiers arbitrages jurisprudentiels annulant des redressements fondés sur ces nouvelles technologies, une ligne de fracture apparaît. Analyse.
Par Hassan KOHEN, avocat au barreau de Paris.
Introduction
L’URSSAF a engagé depuis plusieurs années une transformation profonde de ses méthodes de ciblage des contrôles. Le déploiement du data mining, soit l’exploration automatisée de masses de données issues des déclarations sociales nominatives, des déclarations fiscales, des flux bancaires et des plateformes numériques, constitue le pivot de cette mutation. Le rapport « URSSAF Essentiel 2022 » indiquait que 55 % des contrôles des très petites entreprises étaient issus du datamining [[URSSAF, URSSAF Essentiel 2022, Contrôle, p. 36, https://www.urssaf.org/files/RapportEssentiel2022.pdf%5D%5D.
Cette évolution, accélérée par la LFSS 2026 et le décret n° 2025-1338 du 26 décembre 2025, n’est pas sans conséquence sur l’équilibre des droits entre l’organisme de recouvrement et le cotisant contrôlé. Des premiers arbitrages jurisprudentiels dessinent les contours d’un encadrement contentieux du recours à l’intelligence artificielle dans la procédure de contrôle, au croisement du droit de la sécurité sociale, du RGPD et de la Convention européenne des droits de l’homme.
I. La mutation technologique du ciblage des contrôles URSSAF
A. Du contrôle aléatoire au ciblage algorithmique
La loi de financement de la sécurité sociale pour 2026 a substantiellement modifié l’article L. 243-7 du code de la sécurité sociale en systématisant le recours aux techniques de data mining pour le ciblage des contrôles. Le législateur a entendu doter l’URSSAF d’outils de détection automatisée des anomalies déclaratives, en formalisant le croisement des données issues de multiples sources : déclarations sociales nominatives (DSN), déclarations fiscales, données bancaires dans le cadre du droit de communication, données issues des plateformes de l’économie collaborative.
Une question parlementaire récente confirme l’ampleur du phénomène : « la part des contrôles comptables d’assiette issus du datamining a fortement augmenté en 2022 puisqu’elle est de 55 % des TPE (moins de 10 salariés) » [[QE n° 16-18219, JOAN 28 janv. 2025, https://questions.assemblee-nationale.fr/q16/16-18219QE.htm%5D%5D. Le taux de redressement de 8,5 % pour les TPE, mis en avant par l’URSSAF comme un indicateur de performance, témoigne de l’efficacité redoutable de ces algorithmes de ciblage.
Le décret n° 2025-1338 du 26 décembre 2025, applicable au 1er janvier 2026, a renforcé le cadre juridique de ces investigations numériques en précisant les modalités du recours aux traitements automatisés. L’article R. 243-59-1 du code de la sécurité sociale, dans sa rédaction issue du décret du 13 avril 2023 et consolidée par le décret de 2025, prévoit désormais que « lorsque les documents et les données nécessaires à l’agent chargé du contrôle sont disponibles sous formes dématérialisées, les opérations de contrôle peuvent être réalisées par la mise en œuvre de traitements automatisés sur le matériel professionnel de l’agent ». Le cotisant dispose d’un délai de quinze jours pour s’y opposer, auquel cas il doit soit réaliser lui-même les traitements, soit autoriser l’agent à intervenir sur son propre matériel.
B. Le décret du 3 avril 2015 et l’outil SIAM : les précédents de la fraude aux prestations
Le contentieux de la sécurité sociale n’est pas étranger à l’utilisation de traitements automatisés de données à des fins de lutte contre la fraude. Le décret n° 2015-389 du 3 avril 2015 autorisant les traitements automatisés de données à caractère personnel pour l’accomplissement des missions de lutte contre les fautes, abus et fraudes [[Décret n° 2015-389, 3 avr. 2015, https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000030444059%5D%5D a ouvert la voie à l’outil SIAM (Système Informationnel sur les Assurés Malades), utilisé par les CPAM pour détecter les anomalies de facturation des professionnels de santé.
Dans un arrêt du 18 juin 2025, la cour d’appel de Rennes a rappelé à propos de cet outil que « le décret n° 2015-389 du 3 avril 2015 qui fixe les obligations pesant sur les organismes de sécurité sociale lorsqu’ils mettent en œuvre un traitement automatisé de données en matière de lutte contre les fautes, abus et fraudes tel que l’outil SIAM utilisé en l’espèce, ne prévoit aucunement l’enregistrement » de certaines mentions, validant ainsi la régularité de la procédure [[CA Rennes, 18 juin 2025, n° 22/01620, https://www.courdecassation.fr/decision/68539b300b59be9060de3013%5D%5D.
Cette jurisprudence nourrit un parallèle éclairant avec le contentieux URSSAF : dans les deux cas, l’organisme social recourt à des traitements algorithmiques pour cibler les contrôles, mais le cadre juridique de l’URSSAF, régi par l’article R. 243-59-1 du code de la sécurité sociale, offre des garanties procédurales plus protectrices que celui de l’assurance maladie.
II. Les garanties procédurales à l’épreuve du traitement automatisé des données
A. L’article R. 243-59-1 CSS : une procédure protectrice au champ d’application disputé
Le contentieux récent révèle une tension fondamentale sur l’interprétation de l’article R. 243-59-1 du code de la sécurité sociale. La question centrale est la suivante : l’URSSAF peut-elle s’affranchir des formalités protectrices du texte en soutenant qu’elle n’a pas effectué de « traitement automatisé au sens du code de la sécurité sociale » parce qu’elle a utilisé son propre matériel informatique ?
Le tribunal judiciaire de Lille a répondu par la négative dans un jugement du 20 mai 2025 d’une rigueur remarquable. La juridiction a considéré que « contrairement à ce qu’affirme l’URSSAF, il ne découle pas de la lecture de ce texte qu’elle puisse s’affranchir de ces formalités en effectuant le traitement automatisé depuis son propre matériel. En effet, l’utilisation de son propre matériel n’était pas prévue par les dispositions en vigueur lors du contrôle et ne lui a été permise que par la version de l’article R. 243-59-1 du code de la sécurité sociale en vigueur à compter du 14 avril 2023 » [[TJ Lille, 20 mai 2025, n° 22/00368, https://www.courdecassation.fr/decision/683600451211936937a1e821%5D%5D.
Le tribunal ajoute un considérant décisif : « c’est seulement à l’audience que l’URSSAF a affirmé ne pas avoir procédé à un traitement automatisé des données « au sens du code de la sécurité sociale » alors même qu’il ressort de ses conclusions écrites qu’elle reconnaît avoir utilisé le logiciel Excel ». La juridiction annule en conséquence l’intégralité des opérations de contrôle et la mise en demeure subséquente de 546 484 euros, condamnant l’URSSAF à rembourser 29 184 euros de sommes indûment acquittées.
Le tribunal judiciaire de Marseille a été saisi d’une contestation similaire dans un jugement du 2 avril 2025. La société requérante soutenait que « l’inspecteur du recouvrement a procédé à des investigations par des moyens informatiques, ce qui est démontré par les tableaux annexés à la lettre d’observations, et qu’il aurait donc dû recueillir son accord par écrit ». Le tribunal a toutefois rejeté ce moyen en l’espèce, estimant que « les dispositions précitées de l’article R. 243-59-1 du code de la sécurité sociale ne prévoient la mise en œuvre d’un traitement automatisé que lorsque les inspecteurs ont recours au matériel informatique de la personne contrôlée, ce qui n’est pas démontré en l’espèce » [[TJ Marseille, 2 avr. 2025, n° 22/03193, https://www.courdecassation.fr/decision/67ed828bda9e15c5131fbcfb%5D%5D. La mise en demeure de 54 477,72 euros a néanmoins été annulée pour un motif distinct, tenant à l’insuffisance de motivation.
Ces deux décisions illustrent une divergence d’appréciation naissante : le tribunal de Lille retient une conception extensive des obligations procédurales pesant sur l’URSSAF, quand le tribunal de Marseille adopte une lecture plus restrictive, cantonnée à l’hypothèse d’une utilisation du matériel informatique du cotisant. Cette tension jurisprudentielle méritera d’être tranchée par la Cour de cassation.
B. La portée de la décision du Conseil d’État du 17 février 2023
Le Conseil d’État a rendu le 17 février 2023 une décision structurante pour l’interprétation de l’article R. 243-59-1 du code de la sécurité sociale. Saisi d’un recours contre la charte du cotisant contrôlé, le juge administratif a annulé un paragraphe qui « en mettant en avant la possibilité que les investigations sur support dématérialisé soient réalisées sur le matériel professionnel de l’agent de contrôle à partir de copies fournies à ce dernier par le cotisant contrôlé et en ne faisant état de la possibilité que les traitements automatisés soient réalisés sur le propre matériel du cotisant contrôlé que dans l’hypothèse d’un refus écrit par celui-ci ou d’impossibilité avérée de mise en œuvre d’un traitement sur le matériel de l’agent de contrôle, sans rappeler la procédure, prévue par les dispositions de l’article R. 243-59-1 du code de la sécurité sociale, selon laquelle il peut être recouru au matériel informatique utilisé par la personne contrôlée ni le droit pour cette dernière, également prévu par ces dispositions sous certaines conditions, de s’y opposer, méconnaît le sens et la portée des dispositions de l’article R. 243-59-1 du code de la sécurité sociale » [[CE, 17 févr. 2023, n° 464155, https://www.legifrance.gouv.fr/ceta/id/CETATEXT000047192653%5D%5D.
Cette décision du Conseil d’État, expressément visée par le tribunal judiciaire de Lille dans son jugement du 20 mai 2025, constitue un point d’ancrage solide pour la défense des cotisants. Elle rappelle que les garanties procédurales de l’article R. 243-59-1 ne sont pas de simples formalités administratives mais des droits opposables dont la violation est sanctionnée par la nullité du contrôle.
C. L’absence d’avis préalable et le grief tiré de la violation du contradictoire
Le contentieux qui se dessine met en évidence que le grief subi par le cotisant n’est pas théorique. Le tribunal judiciaire de Lille relève que « la société a fait valoir un grief en invoquant le fait que l’utilisation du matériel informatique de la société était nécessaire pour garantir le contradictoire et sécuriser la confidentialité des données traitées. Ce grief s’avère légitime et reconnu dès lors que, comme précédemment indiqué, l’article R. 243-59-1 du code de la sécurité sociale dans sa version actuelle permet à la personne contrôlée de s’opposer à l’utilisation de traitements automatisés sur le matériel de l’agent du contrôle en lui offrant deux possibilités soit de réaliser elle-même les traitements automatisés sur son propre matériel, soit d’autoriser l’agent ou un tiers habilité à réaliser ces traitements sur le matériel de la société » [[TJ Lille, 20 mai 2025, n° 22/00368, préc.]].
La cour d’appel d’Amiens, dans un arrêt du 11 juillet 2025, a rappelé les termes de la procédure applicable en matière de traitements automatisés. Elle cite l’article R. 243-59-1 qui prévoit que « l’agent chargé du contrôle en informe la personne contrôlée » et que la personne contrôlée « dispose de quinze jours pour s’opposer par écrit à la mise en œuvre de traitements automatisés sur son matériel et l’informer de son choix » [[CA Amiens, 11 juill. 2025, n° 23/00526, https://www.courdecassation.fr/decision/6879d86465b5a3ab8ca54f07%5D%5D.
La cour d’appel de Besançon, dans un arrêt du 11 juillet 2025, a eu à connaître d’une affaire dans laquelle « l’URSSAF soutenait qu’en tout état de cause c’est bien l’analyse des données informatisées issues du logiciel [de paie] qui ont été exploitées aux fins de chiffrage du redressement » [[CA Besançon, 11 juill. 2025, n° 24/00191, https://www.courdecassation.fr/decision/6877343cbb004950a0567a81%5D%5D. Cette décision, bien que ne tranchant pas directement la question du traitement automatisé, illustre la banalisation du recours par l’URSSAF à l’exploitation de données informatiques du cotisant.
III. Le contentieux de l’échantillonnage et de l’extrapolation
A. La méthodologie du contrôle par échantillonnage encadrée par l’article R. 243-59-2
Le contrôle par échantillonnage et extrapolation constitue une technique de chiffrage du redressement voisine du data mining, en ce qu’elle repose sur un traitement statistique des données plutôt que sur une vérification exhaustive. L’article R. 243-59-2 du code de la sécurité sociale encadre cette méthode en imposant à l’URSSAF d’informer le cotisant des critères de sélection, du mode de tirage des échantillons et de la méthode d’extrapolation envisagée.
La cour d’appel de Metz, dans un arrêt du 24 novembre 2025, a rappelé avec force les exigences de cette procédure. La société requérante soutenait que l’URSSAF avait « bâclé la vérification des éléments qui lui étaient soumis, puis a procédé à la finalisation du contrôle en recourant à la méthode du contrôle par l’échantillonnage et l’extrapolation ». La cour a précisé que « cette procédure de contrôle par échantillonnage et extrapolation s’applique pour chiffrer un redressement lorsque le chiffrage au réel s’avère impossible, mais pas pour établir l’existence ou non d’une irrégularité » [[CA Metz, 24 nov. 2025, n° 22/00241, https://www.courdecassation.fr/decision/692ab84aafcd9ba2a7387402%5D%5D.
La cour d’appel d’Amiens, dans un arrêt du 10 juin 2025, a également été saisie d’une contestation relative à l’utilisation de la méthode de l’échantillonnage. La société requérante soutenait que « c’est en se basant sur la situation de quelques salariés seulement que l’URSSAF a procédé à la réintégration de l’ensemble des indemnités de grand déplacement dans l’assiette des cotisations sociales ». La cour a écarté l’argument, relevant que « c’est à tort que la société prétend que le redressement aurait été réalisé par la méthode de l’échantillonnage et de l’extrapolation » [[CA Amiens, 10 juin 2025, n° 23/01708, https://www.courdecassation.fr/decision/6849134b73d71a3e1cc31f01%5D%5D.
B. Le contentieux de la vérification DSN et du contrôle à distance
Le contentieux de la vérification des DSN (déclarations sociales nominatives) constitue un autre front du débat sur le traitement automatisé des données. Le tribunal judiciaire de Clermont-Ferrand, dans un jugement du 12 juin 2025, a annulé un redressement de 11 214 euros au motif que « l’URSSAF procède à la vérification de l’exactitude et de la conformité à la législation en vigueur des Déclarations Sociales Nominatives (DSN) transmises par les employeurs » et que cette vérification, en l’absence du décret d’application prévu par l’article L. 133-5-3-1 du code de la sécurité sociale, était irrégulière [[TJ Clermont-Ferrand, 12 juin 2025, n° 24/00274, https://www.courdecassation.fr/decision/6851d04b5dbd1b5d65c0cf1d%5D%5D.
Cette décision s’inscrit dans un mouvement jurisprudentiel plus large qui sanctionne l’utilisation par l’URSSAF de procédés de vérification automatisés sans base légale suffisante. Elle fait écho aux préoccupations exprimées par le Conseil d’État dans sa décision du 17 février 2023 et confirme que le juge judiciaire est désormais attentif au respect du cadre légal des investigations numériques.
IV. Les perspectives : vers un contrôle juridictionnel renforcé du recours à l’IA par l’URSSAF
A. L’exigence d’un débat loyal et contradictoire à l’ère numérique
L’article 6, paragraphe 1, de la Convention européenne des droits de l’homme garantit à toute personne le droit à un procès équitable. La Cour européenne a jugé à plusieurs reprises que ce principe s’applique aux procédures administratives et fiscales, y compris lorsque l’administration recourt à des traitements automatisés. Le contentieux URSSAF n’échappe pas à cette exigence conventionnelle.
La Cour de cassation a récemment rappelé l’importance du principe du contradictoire dans le contentieux du recouvrement. Dans un arrêt du 11 septembre 2025, la cour d’appel de Versailles a confirmé que « la jurisprudence constante de la Cour de cassation est en ce sens (Crim., 12 janvier 2021, pourvoi n° 20-80.647, publié ; Cass. 2e civ., 5 sept. 2024, n° 22-18.226, publié) » s’agissant de la protection du secret de l’enquête et de l’équilibre des droits des parties [[CA Versailles, 11 sept. 2025, n° 24/02984, https://www.courdecassation.fr/decision/68c3aa3f565a116bf8bc2ce4%5D%5D.
Le tribunal judiciaire de Lille, dans un jugement du 25 février 2025, a rappelé les contours de l’obligation d’information pesant sur l’URSSAF en matière de traitements automatisés. Les dispositions de l’article R. 243-59-1 « obligent cette dernière à avoir recours au matériel informatique de la personne contrôlée, sans pouvoir s’affranchir des formalités de cet article en procédant au traitement automatisé sur le matériel informatique de l’URSSAF, l’utilisation du matériel informatique de la société étant d’ailleurs nécessaire pour garantir le contradictoire et sécuriser la confidentialité des données traitées » [[TJ Lille, 25 févr. 2025, n° 22/01913, https://www.courdecassation.fr/decision/67e17d37f917116c2a9421a9%5D%5D.
La cour d’appel de Rennes, dans un arrêt du 5 février 2025, a rappelé l’importance de la mention des documents consultés dans la lettre d’observations. La juridiction a précisé qu’« à l’issue du contrôle, les inspecteurs du recouvrement communiquent à l’employeur ou au travailleur indépendant un document daté et signé par eux mentionnant l’objet du contrôle, le ou les documents consultés, la période vérifiée et les observations faites au cours de celui-ci » [[CA Rennes, 5 févr. 2025, n° 21/07421, https://www.courdecassation.fr/decision/67a6f4840f05e22374353317%5D%5D.
B. Les voies de contestation ouvertes au cotisant
La contestation d’un redressement fondé sur le data mining ou l’intelligence artificielle peut emprunter plusieurs voies procédurales, qui ne sont pas exclusives les unes des autres.
En premier lieu, le cotisant peut invoquer la violation de l’article R. 243-59-1 du code de la sécurité sociale dans sa version applicable au moment du contrôle. Cette argumentation est d’autant plus efficace que le contrôle est antérieur au 14 avril 2023, date d’entrée en vigueur de la version assouplie du texte, comme l’a jugé le tribunal judiciaire de Lille le 20 mai 2025. En deuxième lieu, la contestation peut s’appuyer sur la charte du cotisant contrôlé, dont le Conseil d’État a annulé un paragraphe le 17 février 2023 pour méconnaissance des dispositions protectrices de l’article R. 243-59-1.
En troisième lieu, le cotisant peut soulever la violation du RGPD, notamment le principe de minimisation des données énoncé à l’article 5, et l’obligation d’information prévue à l’article 13. Le tribunal judiciaire de Marseille, dans un jugement du 13 janvier 2026, a rappelé que « la société soutenait que l’URSSAF a violé le principe du contradictoire et les droits de la défense en ne lui notifiant pas le nouveau modèle de la Charte du cotisant modifiée en cours de contrôle, par arrêté du 31 mars 2022, mais applicable à compter du 1er janvier 2022 » [[TJ Marseille, 13 janv. 2026, n° 23/00568, https://www.courdecassation.fr/decision/697d5d0bcdc6046d4757218f%5D%5D.
En quatrième lieu, le cotisant peut exciper de la violation du droit au procès équitable garanti par l’article 6, paragraphe 1, de la Convention européenne des droits de l’homme, en démontrant que l’utilisation de traitements automatisés sans information préalable a rompu l’égalité des armes inhérente au principe du contradictoire.
Conclusion
La transformation numérique du contrôle URSSAF, si elle répond à un objectif légitime de lutte contre la fraude sociale, ne saurait s’affranchir des garanties procédurales érigées par le code de la sécurité sociale, la loi Informatique et Libertés, le RGPD et la Convention européenne des droits de l’homme.
Les premiers arbitrages jurisprudentiels constituent un signal fort : le juge judiciaire, loin d’être désarmé face à l’intelligence artificielle, dispose d’outils contentieux efficaces pour sanctionner l’utilisation irrégulière de traitements automatisés par l’organisme de recouvrement. La nullité des opérations de contrôle prononcée par le tribunal judiciaire de Lille le 20 mai 2025, pour un montant de 546 484 euros, en est l’illustration la plus éclatante.
La décision du Conseil d’État du 17 février 2023, l’évolution de l’article R. 243-59-1 du code de la sécurité sociale et la vigilance accrue des juridictions du fond dessinent les contours d’un équilibre entre l’efficacité du recouvrement et la protection des droits du cotisant. La Cour de cassation devra, à terme, trancher les divergences d’interprétation qui émergent entre les juridictions du fond sur la portée exacte des obligations procédurales pesant sur l’URSSAF en matière de traitements automatisés.
L’assistance d’un avocat dès la réception de l’avis de contrôle permet d’identifier les éventuelles irrégularités procédurales, de préserver les droits du cotisant pendant la phase contradictoire et, le cas échéant, d’obtenir l’annulation du redressement devant les juridictions compétentes.
Maître Hassan KOHEN
Avocat au Barreau de Paris
Téléphone : 06 89 11 34 45
Email : [email protected]
A propos de l’auteur
Hassan KOHEN est avocat au barreau de Paris. Le cabinet Kohen Avocats intervient en droit social et en contentieux URSSAF, en conseil comme en défense, devant l’ensemble des juridictions compétentes.
Transmettez les pièces de votre dossier au cabinet. Maître Hassan KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique.
