Afficher sur Facebook et Instagram vos dernières vacances sur l'île de Bora-Bora, en Polynésie française, n'est plus une bonne idée si vous êtes en indélicatesse avec le fisc... L'article 154 de la loi de finances 2020 permet désormais à l'administration fiscale et aux douanes de collecter et traiter massivement les données personnelles rendues publiques sur les réseaux sociaux, mais également sur toutes les autres plateformes de mises en relation comme Airbnb ou encore Leboncoin. Autrement dit, si des contenus sont publiés de manière privée sur un compte Facebook, ceux-ci ne pourront pas être analysés. Cette disposition, adoptée « à titre expérimental », est valable pour une durée de trois ans. Ce nouveau procédé vise à lutter contre de nombreux délits, comme la vente illicite de tabac et d'alcool.

« Dans un contexte d'usage de plus en plus massif des outils numériques, il est aisé de réaliser, de manière occulte ou sans respecter ses obligations fiscales ou douanières, une activité économique sur Internet », justifie le projet de loi de finances 2020. « L'administration est aujourd'hui largement démunie pour identifier ces fraudeurs, l'exploitation de ces informations ne pouvant être réalisée manuellement qu'à un coût humain disproportionné. »

L'objectif affiché par le gouvernement est donc de « mieux cibler les contrôles fiscaux et douaniers » grâce à des algorithmes, se félicitait sur Twitter fin décembre Gérald Darmanin, ministre de l'Action et des Comptes publics.

Cette nouvelle méthode, décrite comme disproportionnée par ses opposants, soulève de nombreuses craintes. La Commission nationale de l'informatique et des libertés (Cnil) s'est ainsi déclarée « réservée quant à l'efficience ainsi qu'à la faisabilité technique d'un tel dispositif » et appelle les pouvoirs publics à faire preuve « d'une grande prudence », dans une délibération publiée en septembre. Qualifié « d'inédit », ce « dispositif traduit une forme de renversement des méthodes de travail des administrations visées ». Il repose en effet « sur une collecte générale préalable de données relatives à l'ensemble des personnes rendant accessibles des contenus sur des plateformes en ligne visées, en vue de cibler des actions ultérieures de contrôle lorsque le traitement des données aura fait apparaître un doute », détaille la Cnil. Pour résumer : chaque internaute est désormais un fraudeur potentiel.

La création d'une "présomption de culpabilité"

Jusqu'ici, les pouvoirs publics étaient dans « une logique de traitement ciblé de telles données lorsqu'un doute ou des suspicions de commission d'une infraction préexistent », poursuit le gendarme de la protection des données.

« Cet article crée une présomption de culpabilité pour tous les internautes. Et pour le fisc, cela revient à chercher une aiguille dans une botte de foin. Les pouvoirs publics vont récolter toutes les informations disponibles avant même de déterminer si elles sont intéressantes pour lutter contre la fraude », s'inquiète Bastien Le Querrec, juriste et membre de la Quadrature du Net, association de défense des droits et libertés des citoyens sur Internet.

Et de poursuivre : « Sans compter qu'un rôle prépondérant sera accordé à l'appréciation de l'algorithme pour déclencher un contrôle fiscal, au détriment de l'expertise humaine. Or ce sont des algorithmes auto-apprenants, qui ne permettent pas d'expliquer le résultat obtenu », insiste le juriste. Les données pourront être conservées un an maximum si elles font peser des doutes concernant une infraction, et pendant l'intégralité de la procédure dans le cadre d'une poursuite pénale, fiscale ou douanière.

Le fisc et les douanes pourront même collecter les données sensibles, comme celles se rapportant à la religion, aux opinions politiques, aux informations biométriques ou encore à l'orientation sexuelle. Le Conseil constitutionnel a cependant exclu ce dernier type de données de toute forme d'exploitation, dans un avis rendu le 27 décembre. Les données sensibles seront donc détruites au plus tard cinq jours ouvrés après leur collecte, selon la loi. « En permettant tout de même la collecte des données sensibles, sans leur exploitation, le Conseil constitutionnel valide le principe de surveillance de masse, regrette Bastien Le Querrec. Le gouvernement a ouvert la boîte de Pandore : cela ne peut qu'inciter les autres administrations à réclamer leur part de surveillance. »

Des contrôles automatisés existent depuis 2014

L'ampleur du dispositif fait également craindre une « atteinte particulièrement importante au droit du respect de la vie privée », soulignait la Cnil dans sa délibération. Sans oublier une entrave potentielle à la liberté d'expression. Selon le gendarme de la protection des données, cette collecte massive est « susceptible de modifier de manière significative le comportement des internautes qui pourraient alors ne plus être en mesure de s'exprimer librement sur les réseaux et plateformes visés ». C'est le fameux « chilling effect » (effet paralysant).

« Lorsqu'un internaute se sait observé, une forme d'autocensure instinctive se met en place », détaille Bastien Le Querrec.

Comme le soulignait la Cnil en septembre, ce dispositif « témoigne d'un changement d'échelle dans l'utilisation de données personnelles » par l'administration.

Si l'ampleur du dispositif est inédite, le principe de recourir à une automatisation des contrôles n'est pas nouveau. Pour détecter les fraudeurs, la Direction générale des finances est autorisée depuis 2014 à utiliser des algorithmes pour éplucher plus d'une vingtaine de bases de données de l'État, comme le fichier des comptes bancaires, ceux de la taxe d'habitation, de l'impôt sur le revenu ou encore les données patrimoniales.