Pistage des réseaux sociaux par le fisc : le particulier ne peut s'opposer à la collecte de ses données

La possibilité pour le fisc et la douane de collecter massivement les données des internautes sur les réseaux sociaux et les plateformes internet en vue de repérer des fraudeurs relève d'un dispositif qui n'est pas encore gravé dans le marbre : l'article 154 de la loi de finances 2020 (votée fin 2019) instaure une période d'expérimentation de 3 ans. Et depuis le 18 février 2021, date de la publication au JO du décret d'application, ladite expérimentation a officiellement débuté. Quels sites, quelles plateformes sont concernés ? Et quelles données sont visées ? Le point avec Stéphanie Lapeyre et Roxane Blanc-Dubois, avocates spécialistes des nouvelles technologies travaillant au sein du cabinet August Debouzy.

_

LA TRIBUNE - Tous les réseaux sociaux et toutes les plateformes de mise en relation seront-ils surveillés par l'administration française du fisc et des douanes ?

STÉPHANIE LAPEYRE et ROXANE BLANC-DUBOIS - L'objectif du nouveau dispositif est de toucher, in fine, un large public. Son champ d'application est donc particulièrement étendu puisqu'il couvre les plateformes en ligne au sens de l'article L.111-7 I 2° du code de la consommation, ce qui inclut notamment les moteurs de recherche, les marketplaces, les sites de comparaison de biens et services, les réseaux sociaux ou encore les plateformes collaboratives. Donc oui, les plateformes que nous connaissons et utilisons tous comme Airbnb, Facebook, YouTube, BlaBlaCar, Le Bon Coin, Instagram, Twitter, ou encore eBay pourront faire l'objet d'une surveillance par les administrations fiscale et douanière.

Quelles données sont visées ? Y a-t-il un risque que le scraping des données publiques dérape vers les données privées ?

Ne peuvent être collectées dans le cadre du nouveau dispositif que les données volontairement divulguées par un individu/organisme et librement accessibles, c'est-à-dire sans avoir besoin de créer un compte ou saisir un mot de passe. Les administrations fiscale et douanière ne pourront donc pas collecter les commentaires de tiers sur une publication ni les contenus publiés de manière privée sur un compte Facebook, Instagram ou Twitter, par exemple. La collecte des données via le nouveau dispositif ne va ainsi bien concerner que des données publiques mais ces dernières peuvent néanmoins relever de la sphère privée (par exemple, les posts Facebook d'un contribuable sur ses activités ou son lieu d'habitation).

L'administration fiscale ou douanière ne pourra en outre collecter et utiliser les données des internautes que dans le cadre de la recherche d'infractions relatives aux acticités occultes (non déclarées), à la fausse domiciliation à l'étranger, ou aux trafics en ligne illicites.

Le nouveau dispositif est donc doublement limité par le décret, à la fois en termes de données accessibles à l'administration et en termes d'utilisation qui peut en être faite.

Puisque la plupart des données collectées seront considérées comme des données personnelles (même si elles sont publiques), les administrations fiscale et douanière doivent aussi respecter la législation applicable en la matière. Rappelons qu'à partir du moment où une donnée permet d'identifier un individu (ses nom, prénom, son adresse email, adresse postale, etc.) cette donnée, qu'elle soit publique ou non, est une donnée personnelle. Les administrations ne peuvent donc pas utiliser de telles données à leur guise.

Quels garde-fous ont été mis en place ?

Parmi les garde-fous instaurés, dont certains ont été insufflés par la CNIL, on peut citer par exemple l'instauration d'une phase de configuration des outils de collecte et d'analyse des données. Cette phase vise à assurer que seules les données pertinentes seront collectées. Cela devrait permettre, par exemple, de faire la différence entre les publications d'un contribuable et les commentaires d'un tiers, ou encore, entre une information sans intérêt sur un lieu de vacances et une information révélant une activité professionnelle non déclarée.

Un autre garde-fou est la suppression dans un délai relativement court des données sensibles (religion, race/ethnie, santé, opinions politiques, orientation sexuelle, etc.) et celles sans lien avec les infractions recherchées, si elles sont collectées malgré les paramétrages mis en place.

Enfin, il est prévu l'impossibilité pour l'administration de prendre une décision relative à un individu uniquement sur la base du traitement automatisé de ses données : une analyse des données par un agent de l'administration sera nécessaire pour enclencher une procédure de contrôle.

De toute façon, la CNIL suivra de près le projet. Ainsi, dans 18 mois au plus tard, à mi-parcours donc, un premier bilan doit être fait et les résultats transmis à la CNIL ainsi qu'au Parlement. Un bilan définitif, 6 mois avant la fin de l'expérimentation, doit aussi leur être fourni. La CNIL a déjà indiqué qu'elle étudiera attentivement les documents qui lui seront communiqués, soulignant par là qu'elle compte bien veiller au grain. À noter que, si le test de trois ans est concluant, on peut imaginer que l'administration fiscale souhaitera pérenniser ce nouveau système.

Est-ce que les informations collectées, des informations publiques donc, peuvent constituer des preuves contre le contribuable dans le cadre d'un redressement?

L'objectif du nouveau dispositif est de permettre à l'administration de collecter, sur les individus soumis à la législation française (ou qui devraient l'être), des contenus susceptibles de révéler un manquement ou une infraction en matière fiscale ou douanière. Si les informations collectées constituent des indices pertinents, une procédure de contrôle sera ensuite initiée. Dans le cadre de cette procédure de contrôle, les indices collectés pourront alors éventuellement constituer une preuve selon leur nature et le type d'infraction concernée. Le contribuable/organisme aura cependant bien entendu la possibilité de se défendre.

Etes-vous d'accord avec la CNIL qui, au début du projet, parlait de renversement des méthodes de travail ?

Avec ce nouveau procédé, la logique est effectivement différente car l'administration ne va pas effectuer une surveillance ciblée sur la base de suspicions préexistantes mais va collecter, de manière générale et indifférenciée, des données afin de trouver des indices qui permettront ensuite de cibler les contrôles.

Un autre point intéressant est que l'administration fiscale fait déjà appel à des outils numériques pour lutter contre la fraude, mais ces derniers n'ont vocation qu'à croiser des données issues de ses propres fichiers avec ceux provenant d'autres administrations françaises ou étrangères. Or, il y a un changement d'échelle et de technique dans ce nouveau système qui entraine une collecte de données de manière beaucoup plus étendue et intelligente avec le développement d'algorithmes.

Par ailleurs, sachant que, dans un fil, les publications d'un internaute et les commentaires des amis s'enchaînent les uns sous les autres, le tri risque d'être compliqué, non ?

Oui, ce sera probablement difficile mais c'est là tout l'intérêt de la phase d'apprentissage et de conception pendant laquelle l'administration va configurer ses outils afin qu'ils ne collectent que les données pertinentes.

Les particuliers peuvent-ils s'opposer à la collecte de leurs données ?

Non, le décret précise que les particuliers ne peuvent pas s'opposer à la collecte de leurs données. Raison de plus pour rester mesuré dans ses publications et être attentif aux paramètres de confidentialité des plateformes si on n'est pas serein vis-à-vis de l'administration fiscale ou douanière.

A noter, qu'en plus, l'administration n'est pas non plus tenue d'informer les personnes qu'elle va procéder au traitement de leurs données dans le cadre du nouveau dispositif. De ce fait, ceux qui ne suivent pas l'actualité n'auront effectivement pas connaissance de ce potentiel traitement de leurs données personnelles. Sur ce point, il semble que la CNIL ait en quelque sorte revu sa copie. Lorsqu'elle avait été consultée sur le projet de loi, elle avait indiqué qu'elle se montrerait particulièrement vigilante sur les modalités d'information des personnes. Mais, au final, elle n'a formulé aucune remarque sur ce point lorsqu'elle a été consultée sur le projet de décret qui exclut expressément une telle information. Rappelons que le RGPD prévoit la possibilité pour un Etat membre de l'UE de limiter le droit à l'information lorsqu'une telle limitation est nécessaire et proportionnée pour garantir des objectifs importants d'intérêt public général, notamment dans le domaine fiscal.

Cette collecte massive de données à l'insu des personnes constitue-t-elle, à votre avis, le franchissement d'une ligne jaune dans le respect des libertés ?

Ce dispositif entraîne forcément une certaine atteinte aux droits et libertés des personnes en collectant massivement, à leur insu, des informations qu'elles ont publiées. Cela peut s'avérer intrusif et affecter la liberté d'expression en décourageant certaines publications de peur d'être surveillé.

Néanmoins, ce dispositif est très encadré et suivi de près par la CNIL qui a veillé (et continuera de veiller) à ce que cette atteinte soit assortie de garanties fortes et soit surtout strictement nécessaire et proportionnée au regard de l'objectif de lutte contre la fraude. Le dispositif a également été validé par le Conseil Constitutionnel fin 2019.

A ce stade, on ne peut donc pas considérer qu'une « ligne jaune » ait été franchie. Néanmoins, c'est lors de la mise en œuvre effective du dispositif, lorsque les outils et algorithmes auront été développés et paramétrés, que l'administration et la CNIL pourront réellement évaluer son efficacité et son impact sur les droits et libertés des individus. Le bilan final attendu à l'été 2023 sera donc décisif.

Ce dispositif acte-t-il que les réseaux sociaux et plateformes numériques sont des espaces publics comme les autres ? Va-t-il entraîner, selon vous, une évolution des usages ?

Oui, aussi bien pour les particuliers que pour les entreprises, d'ailleurs. Les entreprises ont déjà souvent des chartes informatiques à l'attention de leurs employés sur l'usage qui doit être fait des outils informatiques et des réseaux sociaux. Avec cette loi, on va probablement assister à une recrudescence des mises en garde sur l'utilisation des réseaux sociaux et autres plateformes en ligne : « Attention ne mettez pas tout et n'importe quoi sur vos comptes ». Ce qui n'est pas forcément une mauvaise chose. Cela va certainement entraîner une plus grande responsabilisation des personnes.

« Que recommandez-vous à vos clients, entreprises, concernant leur utilisation d'Internet et des réseaux sociaux ?

Nous recommandons souvent à nos clients de sensibiliser et de former leurs salariés sur les bonnes pratiques à adopter. Cela passe notamment par l'adoption de documents internes type « charte informatique » et « charte d'utilisation des réseaux sociaux », qui détaillent les obligations à respecter par les salariés, y compris sur ce qu'ils peuvent écrire et ce qu'ils ne doivent pas écrire, dans un objectif de préservation de l'image et des intérêts de l'entreprise. Aujourd'hui, on a tendance à écrire comme on parlerait, sans filtre, ce qui peut s'avérer problématique, que cela soit sur Internet ou dans l'utilisation des outils internes à l'entreprise comme la boîte email ou les tchats. De tels documents peuvent permettre, dans certains cas, de sanctionner les salariés s'ils ne respectent pas les règles définies. Car ces règles, si elles ne sont pas respectées, peuvent avoir des conséquences dramatiques pour les entreprises.

Propos recueillis par Jérôme Cristiani