
La possibilité pour le fisc et la douane de collecter massivement les données des internautes sur les réseaux sociaux et les plateformes internet en vue de repérer des fraudeurs relève d'un dispositif qui n'est pas encore gravé dans le marbre : l'article 154 de la loi de finances 2020 (votée fin 2019) instaure une période d'expérimentation de 3 ans. Et depuis le 18 février 2021, date de la publication au JO du décret d'application, ladite expérimentation a officiellement débuté. Quels sites, quelles plateformes sont concernés ? Et quelles données sont visées ? Le point avec Stéphanie Lapeyre et Roxane Blanc-Dubois, avocates spécialistes des nouvelles technologies travaillant au sein du cabinet August Debouzy.
_
LA TRIBUNE - Tous les réseaux sociaux et toutes les plateformes de mise en relation seront-ils surveillés par l'administration française du fisc et des douanes ?
STÉPHANIE LAPEYRE et ROXANE BLANC-DUBOIS - L'objectif du nouveau dispositif est de toucher, in fine, un large public. Son champ d'application est donc particulièrement étendu puisqu'il couvre les plateformes en ligne au sens de l'article L.111-7 I 2° du code de la consommation, ce qui inclut notamment les moteurs de recherche, les marketplaces, les sites de comparaison de biens et services, les réseaux sociaux ou encore les plateformes collaboratives. Donc oui, les plateformes que nous connaissons et utilisons tous comme Airbnb, Facebook, YouTube, BlaBlaCar, Le Bon Coin, Instagram, Twitter, ou encore eBay pourront faire l'objet d'une surveillance par les administrations fiscale et douanière.
Quelles données sont visées ? Y a-t-il un risque que le scraping des données publiques dérape vers les données privées ?
Ne peuvent être collectées dans le cadre du nouveau dispositif que les données volontairement divulguées par un individu/organisme et librement accessibles, c'est-à-dire sans avoir besoin de créer un compte ou saisir un mot de passe. Les administrations fiscale et douanière ne pourront donc pas collecter les commentaires de tiers sur une publication ni les contenus publiés de manière privée sur un compte Facebook, Instagram ou Twitter, par exemple. La collecte des données via le nouveau dispositif ne va ainsi bien concerner que des données publiques mais ces dernières peuvent néanmoins relever de la sphère privée (par exemple, les posts Facebook d'un contribuable sur ses activités ou son lieu d'habitation).
L'administration fiscale ou douanière ne pourra en outre collecter et utiliser les données des internautes que dans le cadre de la recherche d'infractions relatives aux acticités occultes (non déclarées), à la fausse domiciliation à l'étranger, ou aux trafics en ligne illicites.
Le nouveau dispositif est donc doublement limité par le décret, à la fois en termes de données accessibles à l'administration et en termes d'utilisation qui peut en être faite.
Puisque la plupart des données collectées seront considérées comme des données personnelles (même si elles sont publiques), les administrations fiscale et douanière doivent aussi respecter la législation applicable en la matière. Rappelons qu'à partir du moment où une donnée permet d'identifier un individu (ses nom, prénom, son adresse email, adresse postale, etc.) cette donnée, qu'elle soit publique ou non, est une donnée personnelle. Les administrations ne peuvent donc pas utiliser de telles données à leur guise.
Quels garde-fous ont été mis en place ?
Parmi les garde-fous instaurés, dont certains ont été insufflés par la CNIL, on peut citer par exemple l'instauration d'une phase de configuration des outils de collecte et d'analyse des données. Cette phase vise à assurer que seules les données pertinentes seront collectées. Cela devrait permettre, par exemple, de faire la différence entre les publications d'un contribuable et les commentaires d'un tiers, ou encore, entre une information sans intérêt sur un lieu de vacances et une information révélant une activité professionnelle non déclarée.
Un autre garde-fou est la suppression dans un délai relativement court des données sensibles (religion, race/ethnie, santé, opinions politiques, orientation sexuelle, etc.) et celles sans lien avec les infractions recherchées, si elles sont collectées malgré les paramétrages mis en place.
Enfin, il est prévu l'impossibilité pour l'administration de prendre une décision relative à un individu uniquement sur la base du traitement automatisé de ses données : une analyse des données par un agent de l'administration sera nécessaire pour enclencher une procédure de contrôle.
De toute façon, la CNIL suivra de près le projet. Ainsi, dans 18 mois au plus tard, à mi-parcours donc, un premier bilan doit être fait et les résultats transmis à la CNIL ainsi qu'au Parlement. Un bilan définitif, 6 mois avant la fin de l'expérimentation, doit aussi leur être fourni. La CNIL a déjà indiqué qu'elle étudiera attentivement les documents qui lui seront communiqués, soulignant par là qu'elle compte bien veiller au grain. À noter que, si le test de trois ans est concluant, on peut imaginer que l'administration fiscale souhaitera pérenniser ce nouveau système.
Est-ce que les informations collectées, des informations publiques donc, peuvent constituer des preuves contre le contribuable dans le cadre d'un redressement?
L'objectif du nouveau dispositif est de permettre à l'administration de collecter, sur les individus soumis à la législation française (ou qui devraient l'être), des contenus susceptibles de révéler un manquement ou une infraction en matière fiscale ou douanière. Si les informations collectées constituent des indices pertinents, une procédure de contrôle sera ensuite initiée. Dans le cadre de cette procédure de contrôle, les indices collectés pourront alors éventuellement constituer une preuve selon leur nature et le type d'infraction concernée. Le contribuable/organisme aura cependant bien entendu la possibilité de se défendre.
Etes-vous d'accord avec la CNIL qui, au début du projet, parlait de renversement des méthodes de travail ?
Avec ce nouveau procédé, la logique est effectivement différente car l'administration ne va pas effectuer une surveillance ciblée sur la base de suspicions préexistantes mais va collecter, de manière générale et indifférenciée, des données afin de trouver des indices qui permettront ensuite de cibler les contrôles.
Un autre point intéressant est que l'administration fiscale fait déjà appel à des outils numériques pour lutter contre la fraude, mais ces derniers n'ont vocation qu'à croiser des données issues de ses propres fichiers avec ceux provenant d'autres administrations françaises ou étrangères. Or, il y a un changement d'échelle et de technique dans ce nouveau système qui entraine une collecte de données de manière beaucoup plus étendue et intelligente avec le développement d'algorithmes.
Par ailleurs, sachant que, dans un fil, les publications d'un internaute et les commentaires des amis s'enchaînent les uns sous les autres, le tri risque d'être compliqué, non ?
Oui, ce sera probablement difficile mais c'est là tout l'intérêt de la phase d'apprentissage et de conception pendant laquelle l'administration va configurer ses outils afin qu'ils ne collectent que les données pertinentes.
Les particuliers peuvent-ils s'opposer à la collecte de leurs données ?
Non, le décret précise que les particuliers ne peuvent pas s'opposer à la collecte de leurs données. Raison de plus pour rester mesuré dans ses publications et être attentif aux paramètres de confidentialité des plateformes si on n'est pas serein vis-à-vis de l'administration fiscale ou douanière.
A noter, qu'en plus, l'administration n'est pas non plus tenue d'informer les personnes qu'elle va procéder au traitement de leurs données dans le cadre du nouveau dispositif. De ce fait, ceux qui ne suivent pas l'actualité n'auront effectivement pas connaissance de ce potentiel traitement de leurs données personnelles. Sur ce point, il semble que la CNIL ait en quelque sorte revu sa copie. Lorsqu'elle avait été consultée sur le projet de loi, elle avait indiqué qu'elle se montrerait particulièrement vigilante sur les modalités d'information des personnes. Mais, au final, elle n'a formulé aucune remarque sur ce point lorsqu'elle a été consultée sur le projet de décret qui exclut expressément une telle information. Rappelons que le RGPD prévoit la possibilité pour un Etat membre de l'UE de limiter le droit à l'information lorsqu'une telle limitation est nécessaire et proportionnée pour garantir des objectifs importants d'intérêt public général, notamment dans le domaine fiscal.
Cette collecte massive de données à l'insu des personnes constitue-t-elle, à votre avis, le franchissement d'une ligne jaune dans le respect des libertés ?
Ce dispositif entraîne forcément une certaine atteinte aux droits et libertés des personnes en collectant massivement, à leur insu, des informations qu'elles ont publiées. Cela peut s'avérer intrusif et affecter la liberté d'expression en décourageant certaines publications de peur d'être surveillé.
Néanmoins, ce dispositif est très encadré et suivi de près par la CNIL qui a veillé (et continuera de veiller) à ce que cette atteinte soit assortie de garanties fortes et soit surtout strictement nécessaire et proportionnée au regard de l'objectif de lutte contre la fraude. Le dispositif a également été validé par le Conseil Constitutionnel fin 2019.
A ce stade, on ne peut donc pas considérer qu'une « ligne jaune » ait été franchie. Néanmoins, c'est lors de la mise en œuvre effective du dispositif, lorsque les outils et algorithmes auront été développés et paramétrés, que l'administration et la CNIL pourront réellement évaluer son efficacité et son impact sur les droits et libertés des individus. Le bilan final attendu à l'été 2023 sera donc décisif.
Ce dispositif acte-t-il que les réseaux sociaux et plateformes numériques sont des espaces publics comme les autres ? Va-t-il entraîner, selon vous, une évolution des usages ?
Oui, aussi bien pour les particuliers que pour les entreprises, d'ailleurs. Les entreprises ont déjà souvent des chartes informatiques à l'attention de leurs employés sur l'usage qui doit être fait des outils informatiques et des réseaux sociaux. Avec cette loi, on va probablement assister à une recrudescence des mises en garde sur l'utilisation des réseaux sociaux et autres plateformes en ligne : « Attention ne mettez pas tout et n'importe quoi sur vos comptes ». Ce qui n'est pas forcément une mauvaise chose. Cela va certainement entraîner une plus grande responsabilisation des personnes.
« Que recommandez-vous à vos clients, entreprises, concernant leur utilisation d'Internet et des réseaux sociaux ?
Nous recommandons souvent à nos clients de sensibiliser et de former leurs salariés sur les bonnes pratiques à adopter. Cela passe notamment par l'adoption de documents internes type « charte informatique » et « charte d'utilisation des réseaux sociaux », qui détaillent les obligations à respecter par les salariés, y compris sur ce qu'ils peuvent écrire et ce qu'ils ne doivent pas écrire, dans un objectif de préservation de l'image et des intérêts de l'entreprise. Aujourd'hui, on a tendance à écrire comme on parlerait, sans filtre, ce qui peut s'avérer problématique, que cela soit sur Internet ou dans l'utilisation des outils internes à l'entreprise comme la boîte email ou les tchats. De tels documents peuvent permettre, dans certains cas, de sanctionner les salariés s'ils ne respectent pas les règles définies. Car ces règles, si elles ne sont pas respectées, peuvent avoir des conséquences dramatiques pour les entreprises.
Propos recueillis par Jérôme Cristiani
Réagir
Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.
a le à :
Quand considérons nous les enjeux véritablement humain au dessus des enjeux financiers et politiques.
Si on me traite d'utopiste ou d'idéaliste (que je ne suis pas en réalité, simplement un observateur conscient)
Alors oui, la planète et ses habitants ont du soucis à se faire pour les années qui arrivent et nos enfants aussi, et ce ne sera pas qu'une histoire de covid ou de vaccin !
Faire « la police financière « pour harceler les populations sur un lieu publique ( utiliser leur image et information virtuelle contre eux )
Pour information : la majorité des gens mentent pour se faire valoir dans les réseaux .( le fisc est parfaitement au courant de ce phénomène)
Je trouve que c’est absolument « pas démocratique « que le fisc n’envoient pas de « courrier « pour informer des « calendriers « des droits et devoirs des populations car tout le monde n’a pas internet ou des smartphone, je trouve révoltant qu’en France , que chaque région décide des dates de déclaration et qu’il n’y a pas « une date pour tous « et une meilleure information hors « supports numériques «
Après ils seront les premiers à juger les autres « alors qu’ils informent « pas les populations
Complètement ANTI- démocratique !!
Moi je trouve pas cela démocratique donc je n utilise pas les plateformes américaines chinoises russes e t d autres .... via leur applications démocratiques c est aussi être cohérent responsable et assumer ses choix
Pas pour ce que vous prétendez
Les Panama papiers ont permi de récupérer + 1 milliards d euros .... mais peut êtes êtes vous concerne?
Le déficit publique français accumule depuis 40 ans - donc vos parents ont aussi la responsabilité - est motivé par les français eux même qui ne veulent pas voir disparaître des pans publics trains, poste police hôpitaux mais aussi sécurité sociale retraite ( on peut retirer celle de nos parents ça sera toujours quelques milliards de récupéré s qu en pensée vous?
Alors ne dites pas n´ importe quoi
Le fait que l’État LR, PS ou LREM y vienne fourrer son nez via la FISC et la douane est une atteinte grave à la liberté des français et aucune excuse n'est valable.
Cela fait des années que les hommes politiques de ces partis essayent de contrôler Internet, par des lois prétextant ceci ou cela.
Nul doute et ce sera tant mieux, que les internautes vont réagir à ces méthodes dignes des régimes communistes..
Donc comportement schizo et. Irresponsable
De plus ces réseaux sociaux ne sont pas sécurisés puisque 500 millions d’ utilisateurs de Facebook se sont fait dérober leurs données et identifiant perso ...ça n laisse songeur
Personnellement je n’ acheté pas sur internet via des c plate forme mais directement en magasin ou éventuellement sur le site du magasin ( surtout pas de la marque ou chaîne)
Ça ne le prive de rien à part ne pas être paresseux
Par conséquent ça ne me choque pas que l état soit sur les réseaux sociaux dans la mesure où d autres états ou leurs multinationales y sont depuis depuis 2 décennies ....
Être choquer est alors une posture d’imposture
Donc comportement schizo et. Irresponsable
De plus ces réseaux sociaux ne sont pas sécurisés puisque 500 millions d’ utilisateurs de Facebook se sont fait dérober leurs données et identifiant perso ...ça n laisse songeur
Personnellement je n’ acheté pas sur internet via des c plate forme mais directement en magasin ou éventuellement sur le site du magasin ( surtout pas de la marque ou chaîne)
Ça ne le prive de rien à part ne pas être paresseux
Par conséquent ça ne me choque pas que l état soit sur les réseaux sociaux dans la mesure où d autres états ou leurs multinationales y sont depuis depuis 2 décennies ....
Être choqué est alors une posture d’imposture intellectuelle!!
merci
Ce « flicage » est aussi destiné à la fraude des sites comme Amazon etc... qui Font de l optimisation fiscale à grande échelle et vident les assiettes d imposition des etats servant entre autre à financer aussi les lits d’hôpitaux etc ...( même l Allemagne et la Grande Bretagne s en sont émus...)
Ce « flicage » est aussi destiné à la fraude des sites comme Amazon etc... qui Font de l optimisation fiscale à grande échelle et vident les assiettes d imposition ( même l Allemagne et la Grande Bretagne s en sont émus...)
mais personne ne doute non plus qu'il y aura un backdoor ' que les administrateurs reseaux n'auront pas du tout repere', et qui permettra de faire plein de choses
bon ' eric dupont' previendra ( via circular mail, mais pas sur fb) ses amis qu'il va cesser son profil fb officiel, il s'appellera ' supereric' avec un compte qu'il aura cree sur fb via tor, pour eviter tout malentendu
et ses amis feront pareil
pareil pour leboncoin ou il faudra ne pas donner son telephone ( ou en mettre un faux en precisant l'annonce) et donner un mail de premier contact qui sera sur un serveur hors de france
bon, c'est comme la police, elle est la pour proteger le pays en reprimant severement les petites vieilles qui ont les plaques sales, les ' vrais clients', faut pas les stigmatiser, ca indigne et ca donne lieu a manifs
"Ne vous occupez pas de la petite fraude de Mr & Mme tout le monde, mais seulement de la grosse fraude malicieuse bien emberlificotée par des avocats d'affaire payés fort cher" (les paradis fiscaux parait qu'il faut avoir les moyens, y a des frais colossaux, le prix de la discrétion ? :-) ) ?