La CNIL a publié le 30 septembre son avis sur l’expérimentation permettant à l’administration de collecter en masse et exploiter les données rendues publiques par les utilisateurs des réseaux sociaux et des plateformes de mise en relation par voie électronique (comme par exemple Facebook, Le Bon Coin, Twitter, etc.), afin de lui permettre de mieux détecter des comportements frauduleux.
Pour améliorer la détection de la fraude et le ciblage des contrôles fiscaux, l’administration fiscale développe, depuis 2013, un traitement automatisé de données dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) consistant à appliquer des méthodes statistiques innovantes sur des informations en provenance de l’administration fiscale et d’autres administrations, de bases de données économiques payantes et de données en libre accès.
Pour sa part, la direction générale des douanes et droits indirects a confié, en 2016, l’exploitation de son patrimoine de données dématérialisées à son service d’analyse de risque et de ciblage (SARC) en vue de réaliser des traitements de type « datamining » dans le domaine de la lutte contre la fraude.
Les résultats des expérimentations menées ont confirmé l’intérêt pour le gouvernement de mettre en œuvre ce type de traitement, étant précisé que celui-ci est actuellement limité à l’exploitation de données déclarées à l’administration ou publiées par des acteurs institutionnels. Dans un contexte d’usage de plus en plus massif des outils numériques, il est aisé de réaliser, de manière occulte ou sans respecter ses obligations fiscales ou douanières, une activité économique sur Internet, notamment de commerce des marchandises prohibées, grâce aux réseaux sociaux et plateformes de mise en relation par voie électronique.
L’administration se dit aujourd’hui largement démunie pour identifier ces fraudeurs, l’exploitation de ces informations ne pouvant être réalisée manuellement qu’à un coût humain disproportionné.
C’est pour cette raison que l’article 57 du projet de loi de finances pour 2020 propose d’autoriser l’administration à collecter en masse et exploiter, au moyen de traitements informatisés n’utilisant aucun système de reconnaissance faciale, les données rendues publiques par les utilisateurs des réseaux sociaux et des plateformes de mise en relation par voie électronique (comme par exemple Facebook, Le Bon Coin, Twitter, etc.), afin de lui permettre de mieux détecter des comportements frauduleux sans créer d’obligation déclarative nouvelle pour les contribuables et les opérateurs économiques.
Cette approche, qui implique le traitement de données personnelles, nécessite toutefois d’être mise en œuvre de manière encadrée. Le dispositif envisagé n’ouvrirait donc cette possibilité qu’à titre expérimental, pour une durée de 3 ans, et dans le seul but de rechercher les manquements les plus graves.
Compte tenu de l’impact de cette mesure sur le droit au respect de la vie privée et de la possibilité de recueillir des données sensibles, les informations ainsi collectées devraient être détruites dans un délai de 30 jours si elles ne sont pas de nature à concourir à la constatation des infractions recherchées, et au maximum d’un an, si elles ne donnent pas lieu à l’ouverture d’une procédure pénale, fiscale ou douanière.
Seuls les agents habilités des administrations fiscale et douanière pourront mettre en œuvre les traitements envisagés et le droit d’accès aux informations collectées pourra s’exercer auprès du service d’affectation de ces agents.
En outre, la mise en œuvre de ce dispositif expérimental serait encadrée par un décret en Conseil d’État, soumis à l’avis de la Commission nationale de l’informatique et des libertés (CNIL).
Enfin, un rapport sera remis au Parlement, ainsi qu’à la CNIL, 6 mois avant la fin de cette expérimentation afin, notamment, d’évaluer si l’amélioration de la détection des fraudes est proportionnée à l’atteinte portée au respect de la vie privée.
Le 30 septembre, la CNIL s’est d’ores et déjà prononcée sur le principe du dispositif envisagé par Bercy , en indiquant qu’il s’agit d’un dispositif tout à fait est inédit, qui témoigne d’un changement d’échelle dans l’utilisation de données personnelles par l’administration. Il traduit de surcroît un changement de moyens techniques, en permettant le développement d’algorithmes destinés à améliorer le ciblage des contrôles fiscaux à partir de l’exploitation de données personnelles. Dans son appréciation, la CNIL retient la légitimité des objectifs poursuivis et elle constate que le projet comporte des garanties (absence de contrôles automatiques à partir des traitements mis en œuvre, nombre d’infractions limitées, etc.).
La Commission relève toutefois que le dispositif soulève des enjeux majeurs du point de vue des libertés , et en raison de l’impact du dispositif sur la vie privée et ses potentiels effets sur la liberté d’expression en ligne. Elle s’en remet au législateur pour apprécier l’opportunité du dispositif et, au besoin, pour en fixer le cadre adéquat, au regard des garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques.
Il est vrai que le sujet est extrêmement sensible , et fera certainement l’objet de discussions vives au Parlement.
Dans ce contexte, la CNIL a souhaité émettre plusieurs réserves , en forme de lignes directrices, et de nature à préserver un strict équilibre entre l’objectif de lutte contre la fraude fiscale et le respect des droits et libertés des personnes concernées. La Commission recommande ainsi de préciser les contours du dispositif (le caractère librement accessible des contenus visés, la nature des traitements envisagés ou encore la nature des données pouvant être collectées) et de renforcer les garanties existantes. C’est une condition indispensable pour la CNIL. Elle estime par ailleurs qu’il sera absolument nécessaire d’évaluer de manière approfondie le respect, par l’administration, du principe de proportionnalité : les seules données véritablement nécessaires à la détection de la fraude devront être exploitées. C’est une exigence qui devra se retrouver à toutes les étapes, de l’élaboration des textes réglementaires, jusqu’à leur application au cours de l’expérimentation et à l’issue de celle-ci.
Affaire à suivre …