Vous ne verrez pas un « like » de Bercy sur vos différents contenus postés sur Facebook, Instagram ou encore LinkedIn ; pour autant, l’administration fiscale française se permettra de scruter votre activité en ligne pour déceler d’éventuelles fraudes.
Le Conseil d’État, dans sa décision du 22 juillet 2022, a autorisé la surveillance fiscale en ligne des réseaux sociaux pour lutter contre les fraudes fiscales.
Les nouvelles méthodes d’investigation fiscale : du ‘machine learning’ au ‘data mining’ pour contrôler les contribuables français
L’administration fiscale utilise depuis 2017 le programme « Ciblage de la Fraude et Valorisation des Requêtes » afin d’améliorer l’efficacité des opérations de contrôle fiscale pour les particuliers grâce à une introduction de méthodes d’analyses modernes des données, notamment de « machine learning » et de « data mining ».
Jusqu’à maintenant, la DGFIP ne disposait que des informations contenues dans ses propres archives ainsi que de celles fournies par d’autres administrations françaises ou étrangères et/ou par des bases de données privées.
Or, selon l’article 154 de la loi de finances pour 2020 , les administrations fiscales et douanières sont autorisées à titre expérimental pour une durée de trois ans, à collecter et exploiter au moyen de traitements informatisés et automatisés des contenus librement accessibles (images, vidéos, photos, …) sur les plateformes de mise en relation entre particuliers, qu’il s’agisse des réseaux sociaux (Facebook, Twitter, Instagram, LinkedIn…) ou bien des sites de vente en ligne (Leboncoin, Vinted, AirBnB).
Quels objectifs ?
Cette mesure vise à renforcer les moyens à la disposition de l’administration pour détecter des fraudes fiscales ou douanières, considérées comme « les plus graves », dont les méthodes d’investigation traditionnelles sont insuffisantes, notamment en cas de fausses domiciliations fiscales à l’étranger, d’activités commerciales secrètes ou d’activités illicites telles que la contrebande de tabac ou le trafic de drogue.
Position de la CNIL sur l’expérimentation de loi de finances pour 2020
La CNIL s’est prononcée le 12 septembre 2019 sur le projet de loi de finances pour 2020, et particulièrement sur l’expérimentation.
La Commission a admis la légitimité des objectifs poursuivis et a constaté la présence de garanties : « absence de contrôles automatiques à partir des traitements mis en œuvre, nombre d’infractions limitées, .. »
Pour autant, la CNIL relève le caractère « inédit » du dispositif qui témoigne « d’un changement d’échelle dans l’utilisation de données personnelles par ces administrations » et traduit « un changement de technique, en permettant le développement d’algorithmes pour améliorer le ciblage des contrôles fiscaux à partir de l’exploitation de ces données ».
Tout en restant attentive aux suites de ce texte, la CNIL retient les différents enjeux très particuliers du point de vue des libertés « compte tenu de l’impact du dispositif sur la vie privée et ses possibles effets sur la liberté d’expression en ligne ».
À ce titre, elle estime qu’il est indispensable de préciser les limites du dispositif proposé (telles que le caractère « librement accessibles » des contenus visés, la nature des traitements prévus ou les types de données qui pourront être collectées) et de renforcer les garanties existantes.
Décret du 11 février 2021 : Précisions des conditions de mise en œuvre des traitements.
Faisant suite à l’avis de la CNIL, et à la conformité constitutionnelle de cette expérimentation, les modalités d’application du dispositif ont été fixées par décret en Conseil d’État, en date du 11 février 2021.
En effet, il précise les modalités de mise en œuvre des traitements informatisés et automatisés permettant la collecte et l’exploitation de données rendues publiques sur les sites Internet des opérateurs de plateforme en ligne, en veillant à respecter les principes de protection des données à caractère personnel et du droit à la vie privée.
L’article 2 dudit décret pose le contour de la collecte, puisqu’elle concerne uniquement les « contenus librement accessibles et manifestement rendus publics sur les sites Internet des opérateurs de plateforme en ligne ». S’ensuit la mention que « Seuls les contenus se rapportant à la personne qui les a délibérément divulgués et dont l’accès ne nécessite ni saisie d’un mot de passe ni inscription sur le site en cause peuvent être collectés et exploités. Lorsque la personne est titulaire sur Internet d’une page personnelle permettant le dépôt de commentaires ou toute autre forme d’interactions avec des tiers, ces commentaires et interactions ne peuvent faire l’objet d’aucune exploitation. »
Autre exemple de la précision des conditions de mises en œuvre des traitements, l’article 4 limite la conservation des données d’identifications des comptes qui sont « détruites au plus tard cinq jours ouvrés après leur collecte. » Les autres données sont « conservées pendant un délai maximum de trente jours à compter de leur collecte ».
Par la précision des conditions de mise en œuvre des traitements, le décret semble assurer la protection des données à caractère personnel lors de la collecte et de l’exploitation de données rendues publiques sur les différents sites Internet au regard des exigences imposées par le Règlement général sur la protection des données personnelles et à la libre circulation de ces données.
La possible menace sur la vie privée et les libertés individuelles : La Quadrature du Net demande l’annulation du décret du 11 Février 2021
Par requête du 13 avril 2021, l’association de défense et de promotion des droits et libertés sur Internet La Quadrature du Net a demandé au Conseil d’État l’annulation pour excès de pouvoir de ce décret du 11 février 2021.
L’association considère ce dispositif comme disproportionné et préjudiciable au droit à la vie privée et l’a accusé de mettre en œuvre un système de surveillance généralisée et indifférenciée des informations disponibles sur les plateformes et les réseaux sociaux. « Un tel dispositif affecte directement et gravement l’exercice des droits fondamentaux dans l’environnement numérique et les libertés individuelles en matière de traitement informatisé de données, exposant la population à une surveillance illégitime » allègue la Quadrature du Net lors de son recours.
Pour rappel, l’article 4 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dispose que les données à caractère personnel doivent être collectées à des fins spécifiques, explicites et légitimes, et doivent être adéquates, pertinentes et, en ce qui concerne les fins pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou, pour le traitement prévu au titre III de ladite loi, non excessives.
Le rejet du Conseil d’État : une collecte qui « ne porte pas sur l’intégralité des contenus »
Aux arguments de l’association, le Conseil d’État répond que la collecte autorisée par le décret attaqué « ne porte pas sur l’intégralité des contenus mis en ligne par un utilisateur mais fait l’objet de plusieurs restrictions et que la collecte ne porte que sur les données « librement accessibles » sur les plateformes, « à l’exclusion de contenus accessibles après saisie d’un mot de passe ou inscription sur le site ».
De surcroît, seules les données qui se « rapportent à la personne qui les a délibérément divulguées » sont collectées. Le Conseil d’État rappelle que le décret interdit l’exploitation des commentaires et autres formes d’interactions ou d’utiliser un outil de reconnaissance faciale.
Dans le même temps, les identités d’emprunt ou les comptes « spécialement utilisés à cet effet par l’administration » sont interdits, exception faite des « comptes destinés à être utilisés par l’intermédiaire d’interfaces de programmation mises à disposition par les opérateurs de plateforme ».
Une collecte de données par « échantillons »
Dans la continuité de ses explications, le Conseil d’État explique l’absence de collecte à grande échelle pour épier les contribuables et dénicher les éventuels fraudeurs en raison d’une part de la sélection d’échantillons de données de taille limitée, d’entreprises, de personnes physiques ou de pages Internet, et d’autre part de la récupération de données d’identification et de contenus précisément énumérées :
« […] la phase d’apprentissage et de conception consiste, dans un premier temps, à sélectionner des échantillons de données de taille limitée, selon le cas, d’entreprises, de personnes physiques ou de pages internet, dont l’ampleur ne doit pas dépasser ce qui est strictement nécessaire aux fins de développer les outils de collecte et d’analyse, puis, dans un deuxième temps, à recueillir sur les plateformes les seules données d’identification et de contenus précisément énumérées par le décret se rapportant aux personnes ou aux pages relevant de ces échantillons pour, dans un troisième temps, en tirer des ” indicateurs ” ou des ” critères de pertinence “, comme des mots-clés, des ratios, ou des indications de dates et de lieux, qui sont susceptibles de caractériser l’un des manquements ou l’une des infractions mentionnés au point 6, sans être eux-mêmes des données à caractère personnel. Ainsi, les article 4 et 5 n’autorisent en aucun cas, contrairement à ce qui est soutenu, une collecte généralisée et indifférenciée de données à caractère personnel lors de la phase d’apprentissage et de conception […]»
Cet échantillonnage va permettre d’aboutir « à des résultats identifiant des personnes physiques ou morales à l’égard desquelles pourrait peser un soupçon raisonnable de commission d’un manquement ou d’une infraction et de circonscrire la collecte sur les plateformes en ligne aux données les plus pertinentes pour la recherche de ces manquements et infractions ».
Par cette décision, le Conseil d’État rejette le recours de l’association, en concluant que le décret ne permet pas à la fois dans la phase d’apprentissage et de conception et dans la phase de fonctionnement, une collecte généralisée et indifférenciée de données à caractère personnel.
Dans le même temps, la plus haute juridiction administrative valide la possibilité pour l’administration fiscale de surveiller les contribuables dans le but de vérifier, lutter ou encore confirmer certaines informations déclarées.
En une ligne, faites attention de ne pas trop poster sur Instagram les photos de vous dans une Ferrari de location à Monaco, car le Fisc pourrait vous demander de faire un tour ! À bon entendeur…