Le projet de loi de finances pour 2020 (article 57) évoque la possibilité, pour l’administration fiscale ainsi que pour les administrations des douanes et des droits indirects, de collecter et d’exploiter des données publiées sur Internet. La mise en œuvre de cette disposition se traduirait par la collecte et l’analyse de données personnelles publiées sur les réseaux sociaux et les plateformes numériques tels que Facebook, Amazon ou encore Twitter. L’objectif ? Améliorer la détection de la fraude et le ciblage des contrôles fiscaux.
Mise en garde de la CNIL : un risque d’atteinte au droit à la vie privée et à la liberté d’expression
En septembre dernier, la Commission nationale de l’Informatique et des libertés (CNIL), chargée d’examiner la conformité de la disposition à la législation relative à la protection des données, a émis des réserves en soulevant les principaux enjeux juridiques attachés à un tel dispositif (Délibération n°2019-114 du 12 septembre 2019 portant avis sur le projet d’article 9 du projet de loi de finances pour 2020 (cet article est devenu l’article 57 de la LPF).
Selon la CNIL, la collecte massive de données personnelles dans la lutte contre la fraude constituerait un « renversement de la méthode de détection » faisant passer d’un contrôle ciblé (dont la finalité est la confirmation de suspicions existantes) à une collecte généralisée.
Premièrement, cette stratégie porterait atteinte aux principes de loyauté et de licéité des traitements qui exigent que les données soient « traitées à des fins déterminées » « sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi ». La Commission précise également que le consentement des individus à la réutilisation des informations publiées ne saurait se déduire du libre accès de ces données ou encore de la connaissance des risques par les utilisateurs. Une telle utilisation apparait ainsi difficilement justifiée.
Par ailleurs, outre l’atteinte à la vie privée des individus, la CNIL met également en avant les risques d’entraves aux libertés d’opinion et d’expression. La mise en place de procédés de contrôles sur des moyens de communication et de partage électronique risquerait de « modifier le comportement des internautes » et de limiter le droit à s’exprimer librement.
Enfin, la CNIL souligne qu’une méthode aussi intrusive dans la recherche et la détection de la fraude contreviendrait au principe de minimisation selon lequel les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (Règlement Général sur la Protection des Données – Article 5) . En ce sens, la collecte indifférenciée de données tout comme l’absence de précisions concernant les cibles visées accentuent les doutes sur la pertinence du système.
Des inquiétudes qui ne datent pas d’hier
De telles discussions à propos de la mise en œuvre de moyens intrusifs de lutte contre la fraude ne sont pas nouvelles. En janvier 2018, le Ministère de la cohésion des territoires répondait à la question d’un Sénateur sur la possibilité de recourir à des drones afin de procéder à des contrôles de propriétés privées. La réponse donnée était alors claire : l’utilisation de tels moyens est « une ingérence dans la vie privée » et constitue un mode de preuve « illicite dès lors que la zone contrôlée est inaccessible aux regards ». Néanmoins, cette pratique est usuelle dans certains pays, comme par exemple en Espagne.
Délibération de la CNIL : des inquiétudes mesurées qui entrent en contradiction avec sa mission
Dans le cadre de sa délibération, la Commission appelle le législateur à « apprécier l’opportunité d’un tel dispositif » qui ouvrirait la possibilité d’user des données personnelles accessibles sur Internet dans la recherche d’infractions au détriment des droits et libertés fondamentales des individus, et souligne la nécessité de prévoir des garanties pour en assurer le respect.
Sans grande surprise, la CNIL se montre très mesurée à l’égard d’une expérimentation initiée par l’Etat. L’indépendance des autorités administratives est un exercice difficile qui suppose plus qu’un intitulé. Observons également que la CNIL, dit la loi française, est l’autorité de contrôle nationale du RGPD. Or, ce dernier prévoit que « la protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental ». La collecte, véritable « trolling » par l’administration justifie-t-elle de retenir une conception du « fondamental » édulcorée ? A n’en pas douter, ce texte de du PLF 2020 va susciter de nouveaux débats tant il est perçu comme attentatoire de manière disproportionnée aux libertés.
Vers un questionnement éthique plus profond ?
De manière plus technique, la collecte de données sur les réseaux sociaux n’appelle-t-elle pas un questionnement plus large ? Les pouvoirs exorbitants de l’administration fiscale ont été conçus et justifiés par la difficulté à obtenir des preuves dans un système où l’information disponible dépendait de la déclaration unilatérale du contribuable.
Si, demain, l’administration (fiscale ou autre) est en mesure de collecter des informations par elle-même, ne faut-il pas s’interroger sur le maintien de ses pouvoirs exorbitants et inquisitifs ?
Dans la foulée et en dépit de la délibération de la CNIL, le 6 novembre dernier, la commission des finances de l’Assemblée nationale a adopté une version restreinte de cette disposition. Parmi les amendements effectués, le texte exclut le recours à la sous-traitance et limite l’utilisation de tels procédés à certaines infractions (infractions liées à la domiciliation fiscale, soustraction au paiement de l’impôt), durcit les délais de conservation des données, interdit de fonder une appréciation en droit sur le seul résultat algorithmique. L’article 57, ainsi amendé, a été voté en premier lecture à l’Assemblée nationale.