Vous êtes en indélicatesse avec le fisc ? Gare à ce que vous publiez sur les réseaux sociaux, cela pourrait se retourner contre vous. Un projet de collecte automatisée et massive de données rendues publiques par les internautes est en train de se mettre en place.

Tout ce que vous publierez sur le net, en particulier sur les réseaux sociaux, pourra être retenu contre vous. Voilà, en somme, le cap que veut prendre le gouvernement avec le projet de loi de finances pour 2020. Un article du texte donne en effet la possibilité au fisc et aux douanes de « collecter et exploiter » les données publiques des internautes pour lutter contre la fraude.

À l’origine de ce projet, explique le texte, figure un constat : grâce à Internet, « il est aisé de réaliser, de manière occulte ou sans respecter ses obligations fiscales ou douanières, une activité économique sur Internet, notamment de commerce des marchandises prohibées ». Or, l’administration se dit « largement démunie » pour donner le change et ce n’est pas un traitement manuel qui réglera le souci.

réseaux sociaux
Vous aimez les réseaux sociaux ? Bercy aussi. // Source : Christiaan Colen

Collecte massive et automatisée

En fait, cet article s’avère en fait être la concrétisation d’un projet expérimental qu’évoquait Gérald Darmanin, le ministre de l’Action et des Comptes publics, et que nous rapportions en novembre 2018. « Nous allons pouvoir mettre les réseaux sociaux dans une grande base de données », avait-il lâché à l’époque. En somme, il s’agit de voir si le train de vie que tel ou tel internaute affiche en ligne est jugé cohérent avec sa situation fiscale.

Dans le texte, dont se faisait l’écho Next Inpact le 27 septembre, le caractère massif et automatisé de la collecte est assumé. Cette procédure, qui doit être active « pour une durée de trois ans », sera toutefois délimitée à deux niveaux : d’abord, seules « les données rendues publiques par les utilisateurs des réseaux sociaux et des plateformes ». Ensuite, il n’y aura aucune reconnaissance faciale.

bercy
Bercy. // Source : Sylv

Enfin, le gouvernement assure qu’il n’est question avec ce dispositif que de «  rechercher les manquements les plus graves ». Déclarant avoir conscience de l’effet que la mesure a sur la vie privée, des échéances de conservation sont prévues : les données sont détruites au bout de 30 jours s’il n’y a rien à signaler et au bout d’un an s’il n’y a pas une procédure qui est enclenchée après enquête.

Par ailleurs, poursuit l’exposé des motifs, un décret du Conseil d’État soumis à l’avis de la Commission nationale de l’informatique et des libertés (CNIL), doit préciser les pourtours du dispositif. Il est aussi question d’un rapport remis au parlement à la CNIL qui évaluera au bout de deux ans et demi son efficacité et s’il est bien justifié de porter atteinte au respect de la vie privée au nom de la lutte de la fraude.

Que dit la CNIL ?

Compte tenu de la nature du projet, la Commission nationale de l’informatique et des libertés (CNIL) a été mise dans la boucle, mais elle n’a malheureusement pas eu beaucoup de temps pour publier son avis. L’instance a en effet été saisie « en urgence » le 28 août et a fait connaître sa délibération le 12 septembre — celle-ci a été rendue publique ce lundi 30 septembre.

Dans un communiqué paru le même jour, la CNIL a certes rappelé la légitimité des objectifs poursuivis (la lutte contre la fraude fiscale est un objectif de valeur constitutionnelle), mais elle n’a pu que reconnaître le caractère « inédit » du dispositif, à travers le « changement d’échelle dans l’utilisation de données personnelles » et le « développement d’algorithmes pour améliorer le ciblage des contrôles ».

Marie-Laure Denis cnil
Marie-Laure Denis, présidente de la CNIL. // Source : DR-CSA

Or, si la CNIL a pu constater la présence de certaines garanties (comme l’absence de contrôles automatiques à partir des traitements mis en œuvre, et le nombre d’infractions limitées), elle a assorti son avis de plusieurs réserves qui doivent en principe inciter le gouvernement et le législateur à la plus grande prudence. Car « le respect des droits et libertés des personnes » est tout aussi fondamental.

La Commission souhaite que soient précisés les contours du dispositif, dont la nature des traitements envisagés, celle des données pouvant être aspirées et le caractère librement accessible des contenus visés. Elle plaide aussi pour un respect scrupuleux du principe de proportionnalité : « Seules les données réellement nécessaires à la détection de la fraude doivent être exploitées ».

Parce que le mécanisme de Bercy soulève « des enjeux très particuliers du point de vue des libertés », notamment en termes d’impact sur la vie privée et la liberté d’expression (dans la mesure où l’administration fouille ce que vous publiez en ligne, vous pourriez préférer ne plus écrire grand-chose), la CNIL prévient qu’elle sera « particulièrement attentive » à ce projet et à la façon dont il sera mis en œuvre.

Une trajectoire ancienne

Comme nous l’avions précédemment indiqué, l’analyse des réseaux sociaux pour repérer les comportements illicites n’est pas une nouveauté. Des réflexions de cette nature ont par exemple émergé en 2013 et 2014 pour la Sécurité sociale (contre les faux arrêts maladie) et le fisc (contre les déclarations erronées). Plus récemment, des textes ont pavé la voie à l’automatisation de la lutte contre la fraude.

La fraude à la Sécurité sociale est l’un des motifs pour exploiter et croiser des données. // Source : Pxhere

En novembre 2017,  Bercy a bénéficié d’un décret l’autorisant à croiser expérimentalement de nombreuses données personnelles provenant de divers fichiers économiques et financiers concernant les particuliers. Un amendement à la loi contre la fraude indique que le droit dont dispose le ministère auprès des opérateurs télécoms et d’Internet lui permet de « collecter des indices pour détecter et prouver une fraude ».

Dans le privé aussi, l’automatisation des procédures pour la détection et la gestion des fraudes est une tendance en plein essor. Des solutions « business to business » sont d’ores et déjà déployées, à l’image de Shift Technology, une société française qui offre des prestations aux assureurs. Certaines compagnies d’assurance, d’ailleurs, fouillent elles aussi les réseaux sociaux de leurs souscripteurs avant de lancer une enquête.

Partager sur les réseaux sociaux