Le Conseil constitutionnel a validé globalement le dispositif de collecte généralisée des données publiées sur les réseaux sociaux et les autres plateformes en ligne accessibles au public. Ce système est encadré par l'administration fiscale, pour lutter au nom de la lutte contre les fraudeurs.

Celles et ceux qui espéraient que le Conseil constitutionnel fasse barrage au projet très contesté de surveillance généralisée des réseaux sociaux pour dénicher des indices de personnes en indélicatesse avec le fisc ont dû tomber de haut, le 27 décembre. En effet, les membres de l’institution ont validé le dispositif, qui sera expérimenté pendant trois ans. Seul un point secondaire du texte a été rejeté.

Dans sa décision, le Conseil constitutionnel a approuvé la mise en place de ce système de surveillance en faisant observer que la lutte contre la fraude et l’évasion fiscales est un « objectif de valeur constitutionnelle ». En conséquence, le parlement a tout loisir de légiférer pour combattre les resquilleurs, mais en tenant compte toutefois du droit au respect de la vie privée.

En somme, il y a des limites à ne pas franchir : s’il appartient au législateur de « fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques » le Conseil constitutionnel a rappelé que « les atteintes portées à l’exercice [des libertés] doivent être nécessaires, adaptées et proportionnées à l’objectif poursuivi ».

Or justement, l’institution en est venue à la conclusion que la collecte de masse menée par l’administration fiscale au niveau des données accessibles publiquement satisfait toutes ces exigences. Elle explique que cette surveillance fiscale est assortie de plusieurs dispositions qui, aux yeux des membres du Conseil, suffisent à apporter un équilibre entre les enjeux de vie privée et de lutte contre la fraude.

Des restrictions en cascade

Ces dispositions incluent la restriction du dispositif aux cas de figure les plus graves de soustraction à l’impôt, notamment ceux difficiles à déceler, comme la domiciliation fiscale, mais aussi l’absence de système de reconnaissance faciale, sujet hautement explosif sur le plan politique, en témoigne toute l’effervescence autour de la future application Alicem et des appels du gouvernement à réaliser des expérimentations.

Le Conseil constitutionnel note également que le système se limite à la recherche des « contenus librement accessibles » sur le net. Sont donc exclus les contenus privés, même ceux qui ne sont visibles qu’après avoir entré un mot de passe ou effectué une inscription. Une autre restriction est ajoutée : seuls les contenus « manifestement rendus publics », de manière délibérée, par les internautes sont visés.

Le mécanisme interdit aussi de confier à un sous-traitant la collecte, le traitement ou la conservation des données. La conception des outils, en revanche, peut être confiée à un tiers. Les traitements de données ne sont mis en œuvre que par des agents spécialement habilités et ayant un certain grade (contrôleur). Ces agents sont en outre soumis au secret professionnel.

La détection d’un manquement ou d’une infraction par un algorithme n’entraînera pas non plus automatiquement une procédure pénale, fiscale ou douanière. Il faudra compléter les travaux du traitement automatisé par une appréciation individuelle de l’administration fiscale, donc par un agent pour vérifier le travail des algorithmes et déterminer les suites à donner.

Dans ce processus, le Conseil relève aussi que des mécanismes d’effacement sont prévus : au bout de cinq jours pour les données sensibles (liées à la sexualité, à la politique, à la religion, etc.) ou manifestement sans lien avec la lutte contre la fraude fiscale. Au bout de trente pour les autres données si elles ne servent pas à l’enquête. Au bout d’un mois, donc, tout est censé être effacé, sauf si le fisc en a après vous.

Enfin, les garanties d’accès, de rectification et d’effacement des données conférées par la loi, ainsi qu’à la limitation du traitement, sont là. Seul est écarté le droit d’opposition, du fait de l’enjeu constitutionnel de la lutte contre la fraude. Quant au juge, il est dans la boucle : à lui de contrôler que l’exécutif et l’administration ne se servent pas de ces algorithmes pour collecter des données à d’autres fins.

Des dispositions insuffisantes

Cette litanie de mesures, censées rendre proportionnées les future atteintes à la vie privée au nom de la lutte contre la fraude, n’a toutefois pas fait mouche chez tous les opposants de la mesure. La Quadrature du Net, une association investie dans la défense des droits et des libertés des individus dans le numérique, dénonce ainsi les insuffisances juridiques de cette loi au regard du droit européen.

En particulier, l’association pointe trois failles : d’abord, la collecte massive de données sensibles qui, même si elles sont censées être effacées au bout de cinq jours, seront tout de même aspirées, traitées et conservées un temps. Or, ces éléments doivent bénéficier de protections particulièrement du faire de leur caractère sensible par nature — elles révèlent en effet des orientations ou des engagements.

Certes, il existe une situation de « nécessité absolue » permettant de traiter des données sensibles. Mais, note l’association, ni le gouvernement ni le Conseil constitutionnel ne disent « en quoi la surveillance algorithmique est nécessaire à la lutte contre la fraude fiscale ». Et ce n’est pas comme s’il n’existait pas d’autres alternatives. La Quadrature du Net observe que ce travail peut passer par des moyens humains.

Enfin, l’association doute de la réalité de la vérification humaine qui est censée avoir lieu après le travail de l’algorithme. Comment, par exemple, superviser le travail réalisé par un programme auto-apprenant, « dont le résultat ne peut être reproduit et expliqué » ? Quelle sera alors la place et la valeur du contrôle humain ? Cela laisse « la porte ouverte à plus d’arbitraire dans les décisions administratives », prévient-elle.