Blog d'actualités juridiques par Maître Thierry Vallat, avocat au Barreau de Paris (33 01 56 67 09 59) cabinet secondaire à Tallinn ISSN 2496-0837
/image%2F0932369%2F20210219%2Fob_d31d95_dessin-surveillance-ordinateur.jpg)
Ce texte a été pris pour l'application de l'article 154 de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020.
Il fixe les modalités de mise en œuvre de la surveillance des réseaux sociaux par Bercy en permettant la collecte et l'exploitation par les administrations fiscales, des contenus, librement accessibles sur les sites internet des opérateurs de plateforme en ligne comme Blablacar, AirBnB, Booking, Facebook ou le Bon Coin.
Pour améliorer la détection de la fraude et le ciblage des contrôles fiscaux, l'administration fiscale développe en effet, depuis 2013, un traitement automatisé de données dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) consistant à appliquer des méthodes statistiques innovantes sur des informations en provenance de l'administration fiscale et d'autres administrations, de bases de données économiques payantes et de données en libre accès.
Dans un contexte d’usage de plus en plus massif des outils numériques, l'administration fiscale considère qu'il serait aisé de réaliser, de manière occulte ou sans respecter ses obligations fiscales ou douanières, une activité économique sur internet, notamment de commerce des marchandises prohibées, grâce aux réseaux sociaux et plateformes de mise en relation par voie électronique. L’administration estimait donc être largement démunie pour identifier ces fraudeurs, l'exploitation de ces informations ne pouvant être réalisée manuellement qu’à un coût humain disproportionné. D'où l'utilisation du data mining et de l'utilisation d'outils algorithmiques d'apprentissage profond.
Cette approche, qui implique le traitement de données personnelles, nécessitait d’être mise en œuvre de manière encadrée.
L'article 57 de la loi finances 2020 a donc proposé d’autoriser l'expérimentation pour 3 ans de la collecter de masse et d'exploitation, au moyen de traitements informatisés n’utilisant aucun système de reconnaissance faciale, les données rendues publiques par les utilisateurs des réseaux sociaux et des plateformes de mise en relation par voie électronique, afin de permettre au fisc de mieux détecter des comportements frauduleux sans créer d’obligation déclarative nouvelle pour les contribuables et les opérateurs économiques.
La CNIL s’est prononcée le 12 septembre 2019 sur ce dispositif et s'est montrée très réservée, dans sa délibération rendue publique le 30 septembre 2019.
Elle rappelle qu’une telle expérimentation, dont il revient au législateur d’apprécier l’opportunité, doit s’accompagner de garanties fortes afin de préserver les droits et libertés des personnes concernées.
La CNIL avait relevé qu'il d’un changement d’échelle dans l’utilisation de données personnelles par l'administration, avec un changement de technique, en permettant le développement d’algorithmes pour améliorer le ciblage des contrôles fiscaux à partir de l’exploitation de ces données.
Dans sa décision n° 2019-796 DC du 27/12/2019, le Conseil constitutionnel a globalement validé le principe du BigBrother de Bercy en considérant qu'il appartiendra au pouvoir réglementaire de veiller, sous le contrôle du juge, à ce que les algorithmes utilisés par ces traitements ne permettent de collecter et de conserver que les données strictement nécessaires à ces finalités (https://www.conseil-constitutionnel.fr/decision/2019/2019796DC.htm)
Par ailleurs, les traitements de données autorisés par les dispositions contestées ne peuvent comporter aucun système de reconnaissance faciale.
C'est dans ce cadre qu'intervient le décret du 11 février 2021.
Les données susceptibles d'être collectées et exploitées répondent à plusieurs conditions cumulatives:
-d'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes précitées, à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause.
-D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites.
Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a, délibérément, divulgués. Ainsi, le fisc ne pourra siphonner que les seules informations rendues publiques et volontairement publiées sur les réseaux sociaux. Lorsque la personne est titulaire sur internet d'une page personnelle permettant le dépôt de commentaires ou toute autre forme d'interactions avec des tiers, ces commentaires et interactions ne peuvent faire l'objet d'aucune exploitation.
Les données sensibles sont détruites au plus tard cinq jours ouvrés après leur collecte, les autres données recueillies ne pourront être conservées que pendant un délai maximum de trente jours à compter de leur collecte. Toutefois, les informations réputées constituer un indice seront conservées pour un examen approfondi pour une période maximale d'un an à compter de la collecte à laquelle elle se rapportent. Elles seront détruites à l'issue de cette période, sauf si elles sont utilisées dans le cadre d'une procédure pénale ou fiscale. Dans ce cas, elles ne seront détruites qu'au terme de la procédure.
L'expérimentation va durer 3 ans.
Me Thierry Vallat est intervenu sur ce sujet le 19 février 2021 pour France Inter Comment Bercy va surveiller Internet
/image%2F0932369%2F20210219%2Fob_a3cedb_tv-sur-sud-radio-le-19-fevr-2021.jpg)
(crédits dessin: Cabinet Thierry Vallat)
/image%2F0932369%2F20220326%2Fob_0e7bb4_dessin-commission-europeenne.jpg)
/image%2F0932369%2F20220203%2Fob_7641c9_carteelectorale-qr-code.jpg)
/image%2F0932369%2F20211125%2Fob_515082_tv-sur-rt-france-25-nov-2021.jpg)
/image%2F0932369%2F20211030%2Fob_6aecb6_dessin-juge-numerique.jpg)