L’article 57 du projet de loi de finances pour l’année 2020 a été adopté par l’Assemblée Nationale en première lecture le 13 novembre 2019. Il vise à mettre en place un dispositif automatisé et informatisé de collecte et de traitement de données personnelles dans le cadre de la lutte contre les infractions fiscales. Vivement critiqué par les autorités de contrôle (CNIL, Commission des lois, Conseil d’Etat) compte tenu de son fondement légal controversé, l’article 57 est actuellement en train d’être examiné par le Sénat en vue d’une adoption définitive prévue fin décembre 2019.
L’article 57 du projet de loi de finances 2020 (PLF 2020) prévoit « la possibilité pour les administrations fiscales et douanières de collecter et exploiter les données rendues publiques sur les sites internet des réseaux sociaux et des opérateurs de plate-forme ».
Il s’agit de permettre aux administrations fiscales et douanières de collecter de manière automatisée, informatisée et indiscriminée, l’ensemble des données à caractère personnel rendues publiques par les utilisateurs des plateformes en ligne, en vue d’y détecter des activités occultes et de lancer des contrôles ciblés.
En 2008, un service chargé de promouvoir et d’accompagner l’utilisation des nouvelles technologies numériques pour lutter contre les fraudes aux finances publiques, la « Délégation nationale à la lutte contre la fraude » (DNLF) est créé.
La DNLF pilote l’échange d’informations entre les administrations publiques selon trois axes : les croisements d’informations, l’accès aux bases de données des partenaires, la diffusion et l’exploitation de signalements. Elle coordonne les échanges d’informations internes entre les administrations et les organismes publics en charge de la lutte contre la fraude fiscale : la Chancellerie, le ministère de l’Intérieur ; la Direction générale des finances publiques (DGFiP), la Direction générale des douanes et droits indirects (DGDDI) ; la Direction de la Sécurité sociale, les Caisses de Sécurité sociale, la protection sociale (Pôle Emploi, UNEDIC, AGS) et la direction générale du travail (DGT).
En 2014, un nouveau dispositif de traitement automatisé de lutte contre la fraude, dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) est mis à la disposition de la DGFiP. Le CFVR vise à identifier les indices de fraudes et à noter les dossiers selon le risque qu’ils présentent en s’appuyant sur la technologie du datamining et du textmining.
Ce dispositif, qui ne visait initialement que les entreprises et leurs dirigeants, a été étendu aux particuliers par un arrêté en 2017, à titre expérimental pendant deux ans. Les résultats devaient être présentés à la CNIL en 2019. L’arrêté permet le croisement de nombreuses données personnelles de particuliers provenant d’administrations nationales et étrangères, d’organismes sociaux (CAF, Sécurité sociale) et de « bases privées » (fichiers bancaires, fiscaux, assurances).
En 2016, un autre service d’analyse de données est créé, rattaché cette fois à la Direction générale des douanes et des droits indirects. Il s’agit du « service d’analyse de risque et de ciblage » (SARC). A ce stade, l’exploitation automatisée des données par les administrations douanières et fiscales était encore limitée aux données issues des administrations et des organes institutionnels.
L’évolution proposée par l’article 57 du PLF 2020 consiste à étendre cette exploitation à toutes les données rendues publiques sur les réseaux sociaux et les plateformes de mise en relation par voie électronique, « sans créer d’obligation déclarative nouvelle pour les contribuables et les opérateurs économiques », d’après les termes de l’article. Le texte ne prévoit pas de doter les administrations concernées de prérogatives spécifiques, ni de créer de nouvelles procédures de contrôle ou de recouvrement.
L’exposé des motifs de l’article 57 du PLF 2020 explique que :
« Le présent article propose d’autoriser l’administration à collecter en masse et exploiter, au moyen de traitements informatisés n’utilisant aucun système de reconnaissance faciale, les données rendues publiques par les utilisateurs des réseaux sociaux et des plateformes de mise en relation par voie électronique, lui permettant de mieux détecter des comportements frauduleux sans créer d’obligation déclarative nouvelle pour les contribuables et les opérateurs économiques. »
L’objectif de cet article est donc de permettre de détecter les activités économiques non déclarées et redevables qui ne sont pas en règle vis-à-vis de leurs obligations fiscales ou sociales, grâce aux données rendues publiques sur les réseaux sociaux et les plateformes de mise en relation.
Malgré quelques amendements rejetés, notamment celui du rapporteur de la Commission, Philippe Latombe, qui visait à limiter cette exploitation aux données « manifestement rendues publiques par la personne concernée et se rapportant à elle », sans possibilité d’exploiter les données publiées par les tiers. Certaines dispositions de l’article ont tout de même été modifiées par les députés.
L’article 57 concerne tous les opérateurs mentionnés à l’article L111.7 du Code de la consommation, c’est-à-dire toutes les plateformes de mise en relation en ligne proposant un service de communication au public (Facebook, Twitter, Instagram, LeBonCoin, Amazon, Airbnb, etc).
Un amendement du groupe « socialistes » a restreint la collecte d’informations aux seuls contenus « manifestement rendus publics » par les utilisateurs de plateformes en ligne, sur le fondement de l’article 9 du Règlement général sur la protection des données (RGPD). Cependant, les données seront traitées même si elles ne sont pas directement publiées par la personne concernée, contrairement à ce que proposait l’amendement rejeté du rapporteur de la Commission.
Ce dispositif permettra de déceler trois types d’infractions : celles relatives à la domiciliation fiscale frauduleuse, aux activités non déclarées et aux activités liées à l’économie souterraine.
Un amendement porté par le rapporteur général au nom de la commission des finances, a restreint le champ d’application de ce dispositif, en matière d’impositions donnant lieu à des obligations déclaratives, à la recherche des activités occultes et des domiciliation fiscales frauduleuses. Cet amendement vise à limiter de manière importante la collecte des données.
Les données sensibles (convictions politiques, religieuses, orientation sexuelle) et les données non utiles à la détection des fraudes visées seront détruites dans un délai de 5 jours, suite à un amendement du groupe « La République en marche ». Les autres données devront être analysées au maximum dans un délai de trente jours et détruites si elles n’apparaissent pas pertinentes.
A l’issue de ce second tri, seules les informations utiles à la recherche des agissements mentionnés dans le texte pourront être conservées et exploitées par les agents habilités de l’administration fiscale et douanière. La sous-traitance dans la mise en œuvre de l’expérimentation est interdite, conformément à l’amendement porté par Philippe Latombe, qui fait suite à son entretien avec Bercy : « Ils m’ont même dit en audition qu’ils n’avaient pas les compétences et les moyens techniques pour pouvoir mettre en œuvre cet article 57 et qu’ils auraient recours à la sous-traitance. D’où mon dépôt d’amendement pour interdire cette pratique. »
Tout recours à un système de reconnaissance faciale est expressément prohibé par le texte. Aucune étude d’impact, aucuns détails techniques ne sont prévus par le texte.
L’expérimentation durera, en principe, trois ans. Un premier bilan portant sur l’efficacité de la mise en œuvre du dispositif sera réalisé au bout de 18 mois et transmis au Parlement. Elle sera renouvelée ou non en fonction des résultats de ce test. En cas de bilan positif, le périmètre du traitement pourra éventuellement être étendu.
La commission des lois constitutionnelles explicitement défavorable.
Le rapporteur de la Commission des lois constitutionnelles de l’Assemblée Nationale, a émis le 30 octobre 2019, des réserves sur la nécessité et l’opportunité de la mise en place d’un tel dispositif supplémentaire, compte tenu de l’importance des outils d’investigation déjà en présence.
Il souligne notamment, que « la présentation de cet article dans un projet de loi de finances est par nature peu propice à un examen approfondi des incidents sur les droits et libertés, quand bien même il ne s’agirait que d’une expérimentation ». Il conclut en émettant de « très sérieuses objections à l’opportunité d’adopter l’article 57 », ainsi que « des réserves de fond non moins importantes ».
Le rapporteur de la Commission explique que le texte fait l’objet d’une inversion de la logique de contrôle : l’article 57 marque le passage d’une logique de traitement ciblé de données à la suite d’un doute préexistant sur une personne, à un système de collecte général et préalable de données, en vue de cibler des actions ultérieures de contrôle.
La Commission met également en exergue la question du respect des principes de pertinence et de proportionnalité de la collecte de données, ainsi que l’interdiction de traiter des données sensibles. Ces interrogations, dit-il, sont aggravées par la nature particulière du traitement « informatisé et automatisé » susceptible d’être mis en œuvre, puisqu’il peut s’agir d’algorithmes auto-apprenants, par nature très difficiles à encadrer juridiquement.
Le rapporteur de la Commission a ainsi préconisé de « ne pas adopter l’article 57 en l’état ». Ce dernier ajoute que « Jusqu’à ce matin, je proposais d’émettre un avis défavorable à l’adoption de cet article en déposant un amendement de suppression. Il semble que le gouvernement ait pris en compte mes observations et manifeste sa volonté d’encadrer strictement le dispositif. Dans un souci d’ouverture et de co-construction, je retirerai donc mon amendement de suppression pour la Commission ». Il précise qu’il proposera « une série d’amendements pour mieux circonscrire les plateformes visées, davantage encadrer les conditions de mise en œuvre des traitements envisagés, durcir les modalités de traitement et de conservation des données collectées et améliorer la portée de l’évaluation de l’expérimentation. Mais ces garanties supplémentaires ne sauraient, de mon point de vue, lever l’ensemble des objections de forme et de fond que j’ai soulevé ».
Suite et Fin prochainement
Aysegul Ceylan