Bercy Big Brother : L’article 57 du projet de loi de finances de 2020

Publié par le dans | Consulté 246 Fois

Le projet de loi de finances de 2020 permet, à titre expérimental, aux services fiscaux et aux douanes de collecter les informations postées sur les réseaux sociaux et les plateformes de vente. Objectif ? Lutter contre la fraude. Le gouvernement s’explique sur cette collecte de masse dans les documents annexés au projet de loi de fiances. En effet, l’article 57 (article 9 du  projet initial) du projet de loi de finances va autoriser les services de Bercy à chaluter les données accessibles sur Facebook, LeBonCoin, Twitter, Instagram, eBay, et tous les autres sites similaires aux fins de lutte contre la fraude. Une collecte de masse suivie par un traitement ciblé. Sont d’abord visées toutes les plateformes assurant « la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service » (article L111-7 2° code de la consommation. Cette mesure avait été annoncée l’an passé. Dans le PLF pour 2020, cette collecte sera désormais encadrée par la loi et testée sur trois ans.

Néanmoins, au regard de ce dispositif qui semble  tout droit sorti d’un film de science fiction dans lequel les internautes n’auraient plus aucunes réelles libertés, la CNIL a réagi. En effet, la CNIL s’est prononcée le 12 septembre 2019 sur l’article 57 du projet de loi de finances pour 2020 permettant, à titre expérimental, la collecte de données à caractère personnel publiées sur internet par les utilisateurs de plateformes en ligne. Elle rappelle qu’une telle expérimentation, dont il revient au législateur d’apprécier l’opportunité, doit s’accompagner de garanties fortes afin de préserver les droits et libertés des personnes concernées. 

La croissance de la fraude fiscale facilité par les outils numériques : la justification d’une collecte de masse par l’administration fiscale 

Pour améliorer la détection de la fraude et le ciblage des contrôles fiscaux, l’administration fiscale développe, depuis 2013, un traitement automatisé de données dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) consistant à appliquer des méthodes statistiques innovantes sur des informations en provenance de l’administration fiscale et d’autres administrations, de bases de données économiques payantes et de données en libre accès.  Jusqu’à ce nouveau projet de loi de finances, le traitement de données était limité à l’exploitation de données déclarées à l’administration ou publiées par des acteurs institutionnels.

Néanmoins, dans un contexte d’usage de plus en plus massif des outils numériques, il est aisé de réaliser, de manière occulte ou sans respecter ses obligations fiscales ou douanières, une activité économique sur internet, notamment de commerce des marchandises prohibées, grâce aux réseaux sociaux et plateformes de mise en relation par voie électronique. L’administration est aujourd’hui largement démunie pour identifier ces fraudeurs, l’exploitation de ces informations ne pouvant être réalisée manuellement qu’à un coût humain disproportionné.

L’article 57 du PLF propose d’autoriser l’administration à collecter en masse et exploiter, au moyen de traitements informatisés n’utilisant aucun système de reconnaissance faciale, les données rendues publiques par les utilisateurs des réseaux sociaux et des plateformes de mise en relation par voie électronique, lui permettant de mieux détecter des comportements frauduleux sans créer d’obligation déclarative nouvelle pour les contribuables et les opérateurs économiques. Cette approche innovante, qui implique le traitement de données personnelles, nécessite toutefois d’être mise en œuvre de manière encadrée. Le présent article n’ouvre donc cette possibilité qu’à titre expérimental, pour une durée de trois ans, et dans le seul but de rechercher les manquements les plus graves. 

Compte tenu de l’impact de cette mesure sur le droit au respect de la vie privée et de la possibilité de recueillir des données sensibles, les informations ainsi collectées seront détruites dans un délai de trente jours si elles ne sont pas de nature à concourir à la constatation des infractions recherchées, et au maximum d’un an, si elles ne donnent pas lieu à l’ouverture d’une procédure pénale, fiscale ou douanière. Seuls les agents habilités des administrations fiscale et douanière pourront mettre en œuvre les traitements envisagés et le droit d’accès aux informations collectées pourra s’exercer auprès du service d’affectation de ces agents. 

En outre, la mise en œuvre de ce dispositif expérimental sera encadrée par un décret en Conseil d’État, soumis à l’avis de la Commission nationale de l’informatique et des libertés. Enfin, un rapport sera remis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés six mois avant la fin de cette expérimentation afin, notamment, d’évaluer si l’amélioration de la détection des fraudes est proportionnée à l’atteinte portée au respect de la vie privée. 

Dans ce contexte, la CNIL a formulé plusieurs réserves de nature à préserver un strict équilibre entre l’objectif de lutte contre la fraude fiscale et le respect des droits et libertés des personnes concernées. La Commission a notamment souligné la nécessité d’évaluer de manière approfondie le respect, par les administrations concernées, du principe de proportionnalité : seules les données réellement nécessaires à la détection de la fraude doivent être exploitées.

Un processus de collecte largement critiqué par la CNIL à plusieurs égards :

  • Justification bancale quant à l’atteinte aux droits et libertés

La CNIL observe que les traitements projetés sont doublement dangereux. D’une part, ils risquent d’affecter la liberté d’opinion et d’expression des internautes. Une collecte portant sur l’ensemble des « contenus librement accessibles publiés sur internet » est de nature à modifier « de manière significative » leurs comportements en les empêchant de s’exprimer librement. Les internautes pourraient même, afin d’échapper à l’administration fiscale, rétroagir sur leurs contenus, les internautes deviendraient alors leur propre censeur. D’autre part, ils constituent une atteinte « particulièrement importante » au droit au respect de la vie privée et à la protection des données à caractère personnel.

  • Principes fondamentaux des données personnelles bafoués

En effet, la Commission souligne que « la seule circonstance que les données soient librement accessibles sur internet et que les personnes aient éventuellement conscience d’un potentiel risque » de leur aspiration n’exonère pas les administrations du respect des principes fondamentaux du droit de la protection des données. Ainsi, la collecte doit se faire de manière loyale et licite et l’Autorité surveillera les modalités d’information des personnes concernées. Une analyse d’impact devra être réalisée. Il conviendra également de prévoir des mesures juridiques et techniques adaptées pour assurer un haut niveau de protection des données. Il faudra faire preuve d’une « vigilance particulièrement importante » dans la mise en œuvre des mesures de sécurité et de confidentialité pour remédier au maximum à « la survenance de risques liés à une violation des données ».

  • Un dispositif avec un périmètre d’action trop flou

Si, la Commission prend acte de l’engagement du gouvernement de ne pas programmer des contrôles automatiques, elle relève beaucoup d’imprécisions s’agissant des contours de la nouvelle règle. La CNIL réclame des précisions sur la notion de « contenus librement publiés sur internet », qui, selon elle renvoie à « des réalités différentes selon la politique de confidentialités de la plateforme en ligne concernée ». La CNIL n’est pas davantage convaincue par le champ des plateformes visées beaucoup trop large. Il ne devrait pas englober toutes celles mentionnées à l’article L. 111-7, I, 2°, du code de la consommation compte tenu du caractère intrusif du dispositif, du risque de surveillance des personnes qui en résulte et des justifications qui lui ont été fournies. 

Par ailleurs, la Commission épingle l’absence de précisions sur la personne à l’origine de la publication des données collectées. Le texte devrait indiquer s’il s’agit d’un individu en particulier ou de tiers à l’origine de commentaires. Elle émet aussi des doutes sur le périmètre de certaines des infractions ciblées. Elles ne correspondraient pas à la finalité envisagée (CGI, art. L. 1728, 1, b), ne présenteraient pas un niveau de gravité particulier (CGI, art. L. 1791) ou viseraient des contraventions de deuxième et troisième classes pour lesquelles la collecte envisagée serait injustifiée (C. douanes, art. 411 et 412). Elle s’inquiète de la nature des « traitements informatisés » utilisés pour collecter les données en particulier parce qu’ils incluent les traitements automatisés algorithmiques « auto-apprenants ». 

  • Incertitude quant à la nature des données collectées

Une autre lacune du texte tient au fait qu’il n’envisage pas la nature des données collectées. Le dispositif prévoit une récupération indifférenciée, ce qui soulève deux difficultés : la collecte et le traitement de données non pertinentes au regard des finalités poursuivies, et la collecte de données dites sensibles qui est en principe interdite. Il existe ainsi « des difficultés particulières en termes de proportionnalité ». Pour y remédier, la Commission exige : « une réflexion approfondie, en amont (…) afin de s’assurer du respect des principes de minimisation » et de « privacy by design » ; la collecte des seules données relatives aux personnes inscrites sur les plateformes et les concernant ; des garanties pour limiter l’enregistrement des données sensibles « à ce qui est strictement nécessaire aux finalités poursuivies ».

  • Durées de conservation trop longues

À défaut de procédés techniques permettant d’opérer une distinction en fonction de la nature des données (principe de minimisation), la Commission recommande la suppression « immédiate », à l’issue de leur collecte, des données non pertinentes. Ce n’est pas le choix de l’exécutif qui retient leur destruction dans un délai maximum de trente jours. Enfin, la CNIL condamne la durée générale de conservation des données, fixée à un an, qui devrait « être significativement réduite » sauf à démontrer sa nécessité. En l’état actuel, le texte maintient ce délai, ajoutant que lorsqu’elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière, les données peuvent être conservées jusqu’au terme de la procédure.

Ainsi, une fois que le gouvernement sera en mesure de collecter en toute légalité, l’ensemble des données à caractère personnel publiées sur internet par les utilisateurs de plateformes en ligne, qu’adviendra-t-il du droit à la vie privée ? La vie privée est-elle vouée à une transparence totale  ? Ou pire encore, le droit à la vie privée dans sa dimension la plus fondamentale soit-elle, est-il voué, dans un futur proche, à disparaître ? Rien n’est certain, mais comme a pu le relever l’écrivain Jorge Semprùn dans son ouvrage « Le mort qu’il faut » , et ceci il y a déjà vingt ans, « Il n’y a rien de pire que la transparence absolue de la vie privée où chacun devient le Big Brother de l’autre. » 

Sources :