Le ministère de l'Economie et des Finances va tester durant trois ans la surveillance massive des réseaux sociaux et d'autres plateformes pour chasser les fraudeurs du fisc et des douanes.
Votre vie numérique est-elle cohérente avec celle que vous déclarez aux impôts ? Mieux vaut vous en assurer, car l'article 57 du Projet de loi de finances pour 2020 présenté par le gouvernement le 27 septembre 2019 autorise les services des impôts et des douanes à "collecter en masse et exploiter", via un traitement automatisé, les données publiques des utilisateurs de réseaux sociaux et d'autres plateformes pour chasser les fraudeurs.
La rumeur bruissait depuis quelques mois. Pourtant l'information est (presque) passée inaperçue. Comme le rapporte NextInpact, un outil - en expérimentation durant 3 ans - baptisé CFVR (pour Ciblage de la fraude et valorisation des requêtes) surveillera les messages postés publiquement (textes, photos et vidéos publiés sur Facebook, Instagram ou encore Twitter), mais aussi les petites annonces que vous avez publiées sur Leboncoin ou sur eBay, pour permettre aux administrations fiscales et douanières de vérifier si elles sont cohérentes avec les données officielles que vous leur avez transmises. Notez que l'usage de la reconnaissance facilale est néanmoins interdit par le texte.
Zoom sur vos activités et votre train de vie
Les conséquences pour les internautes peuvent être lourdes. Par exemple, si vous exercez une activité non déclarée et communiquez sur cette activité via votre compte Facebook ; si vous n'avez pas déclaré les 6 000 euros tirés de la vente du collier de votre grand-mère sur Leboncoin ; ou si vous avez menti sur votre résidence fiscale mais que la localisation de vos publications Instagram prouve le contraire.
De même, l'adéquation entre votre train de vie supposé par vos déclarations fiscales et vos photos de vacances ou celles du bolide polluant récemment acheté et que vous avez tenu à partager fièrement sur les réseaux sociaux pourrait être vérifiée.
Les données conservées entre un mois et un an
Si personne ne sera prévenu que ses données ont fait l'objet d'une surveillance, chacun disposera d'un droit d'accès lui permettant d'identifier les éléments détenus par les services des impôts et des douanes.
Les autorités pourront conserver durant un an, à compter de leur collecte, les éléments qu'elles jugeront utiles. Et si certains éléments étaient utilisés dans le cadre d'une procédure pénale, ils seront alors conservés jusqu'au terme de celle-ci. Le reste des données, jugées sans intérêt particulière, sera effacé après 30 jours.
"Pour améliorer la détection de la fraude et le ciblage des contrôles, l’administration s’appuie de plus en plus sur l’exploitation des données par des techniques innovantes de « datamining », qui ont d’ores et déjà prouvé leur intérêt", explique le ministère de l'Economie et des Finances sur son site internet ; "Ces traitement sont aujourd’hui limités aux données déclarées à l’administration et ne s’étendent pas aux données ouvertes, notamment celles des réseaux sociaux. Celles-ci pourraient pourtant permettre, par exemple, d’établir l’existence d’une activité non déclarée sur Internet, ou constituer un indice de résidence fiscale. Bien qu’il s’agisse de données librement publiées par les utilisateurs, leur exploitation implique un traitement de données à caractère personnel qu’il est proposé d’encadrer par une disposition spécifique, assortie de garanties, et limitée à la recherche des manquements les plus graves. Cette possibilité serait ouverte à titre expérimental, pour une durée de trois ans".
Qu'en pense la Cnil ?
Les éléments d'application de ce programme de surveillance seront définis par décret du Conseil d'Etat et l'avis de la Commission Nationale de l'Informatique et des Libertés (Cnil) sera sollicité. Six mois avant la fin de son expérimentation, un rapport chargé d'évaluer "si l'amélioration de la détection des fraudes est proportionnée à l'atteinte portée au respect de la vie privée" sera remis au Parlement ainsi qu'à la Cnil.
La Cnil, qui a examiné ce dispositif, a rendu un avis son avis le 12 septembre dernier. Celui-ci a été rendu public ce lundi 30 septembre. La Commission regrette dans son rapport d'avoir été saisie en urgence le 18 août dernier "compte tenu des enjeux associés à la collecte massive de données sur les plateformes en ligne et les impacts substantiels s'agissant de la vie privée des personnes concernées qui en résultent", et considère qu'il y a lieu de faire preuve, sur ce sujet, "d'une grande prudence".
La Cnil précise qu'elle sera "particulièrement vigilante quant aux modalités d'information des personnes concernées" et que l'un des enjeux majeurs associé à cette collecte "reposera sur la nécessité de pouvoir garantir la stricte proportionnalité des données collectées au regard de la finalité poursuivie par le traitement" et le dispositif. Considérant que "les traitements projetés sont, par nature, susceptibles de porter atteinte aux droits et libertés des personnes concernées", elle observe en effet que "la collecte de l'ensemble des 'contenus librement accessibles publiés sur internet' est susceptible de modifier, de manière significative, le comportement des internautes qui pourraient alors ne plus être en mesure de s'exprimer librement sur les réseaux et les plateformes visés et, par voie de conséquence, de rétroagir sur l'exercice de leurs libertés".
Parmi ses observations, la Cnil rappelle la nécessité de mener une réflexion approfondie, "en amont de la mise en oeuvre de ces traitements", sur les moyens mis en oeuvre afin de s'assurer du respect des principesde minimisation des données et de "privacy by design".
Elle note également que le projet d'article "ne contient aucune précision sur la personne ayant publié les données collectées" et souligne le flou autour de cette question, s'interrogeant s'il s'agira "d'un individu en particulier ou les tiers pouvant être amenés à émettre des commentaires sur cette dernière".
La Cnil, qui se déclare par ailleurs "réservée quant à l'efficience ainsi qu'à la faisabilité technique d'un tel dispositif", recommande également que les données considérées comme non pertinentes soient "supprimées immédiatement à l'issue de leur collecte". Selon elle, la durée de conservation doit être significativement réduite, "sauf à démontrer la nécessité d'une conservation d'un an".