Un décret encadrant la mise en œuvre de la faculté pour les administrations fiscale et douanière de collecter et exploiter les données rendues publiques sur internet vient d’être publié, après avis rendu par la CNIL. Il précise les modalités d’application des aménagements apportés au dispositif par la LF 2024.
Pour mémoire, la loi de finances pour 2020 a prévu, à titre expérimental et pour une durée de 3 ans, pour les besoins et la recherche des manquements et infractions expressément listés par le texte, que l’administration fiscale et l’administration des douanes et droits indirects pourraient collecter et exploiter au moyen de traitements informatisés et automatisés les contenus librement accessibles et publiés sur Internet par les utilisateurs et opérateurs de plateformes en ligne afin de mieux détecter les comportements frauduleux (LF 2020, art. 154). Seuls les contenus manifestement rendus publics par les utilisateurs sont visés.
Cette mesure, présentant un caractère très sensible, avait donné lieu, avant son adoption, à des débats nourris entre la CNIL (Commission Nationale de l’Informatique et des Libertés) et l’Administration, avant que le texte ne soit censuré partiellement par le Conseil constitutionnel (Cons. Const., 27 décembre 2019, n°2019-796 DC).
Les modalités de mise en œuvre de cette mesure ont été détaillées dans un décret du 11 février 2021 (décret n°2021-148).
Puis, la LF 2024 est venue prolonger cette expérimentation (jusqu’en 2027), et en a élargi le champ.
Ainsi :
- De nouvelles infractions sont entrées dans le champ de la recherche (insuffisances de déclaration découlant d’une minoration ou d’une dissimulation de recettes effectuée délibérément ou de manière frauduleuse).
- Les interfaces en ligne (sites internet, réseaux sociaux et applications de messagerie) entrent désormais dans le champ de la recherche.
- Le champ des contenus accessibles a été étendu. Il n’est plus fait référence aux seuls contenus « manifestement rendus publics par les utilisateurs». Les administrations fiscales et douanières peuvent ainsi accéder aux contenus « publiquement accessibles sur les plateformes ou interfaces en ligne, y compris lorsque l’accès à ces plateformes requiert l’inscription à un compte ».
En contrepartie, la LF 2024 est venue renforcer les modalités d’information de la CNIL et du public.
Un décret d’application vient d’être publié, après avis de la CNIL. Il vient notamment confirmer que :
- Les agents de l’administration fiscale et de l’administration douanière ne sont autorisés ni à entrer en relation avec d’autres détenteurs de compte, ni à diffuser des contenus ;
- Les données sensibles (qui révèlent la prétendue origine raciale, ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, l’état de santé ou la vie et l’orientation sexuelle) seront détruites au plus tard 5 jours ouvrés après leur collecte – les autres données étant conservées, en principe, pendant un délai maximum de 30 jours.