La CNIL pas du tout convaincue par le projet de surveiller les réseaux sociaux pour détecter la fraude fiscale

Scanner automatiquement certains réseaux sociaux et aspirer « en masse » les informations qu’on y trouve pour détecter la fraude fiscale est-elle une bonne idée ? Si le gouvernement en a fait l’un des objectifs du nouveau projet de loi de finance (PLF), le gendarme de la vie privée est beaucoup plus circonspect.

Dans sa délibération au sujet de l’article 57 du PLF rendue publique lundi 30 septembre, la Commission nationale de l’informatique et des libertés (CNIL) appelle les pouvoirs publics à « faire preuve d’une grande prudence ». En effet, le dispositif imaginé par le gouvernement pose, selon elle, des « questions inédites en matière de protection des données personnelles ».

La CNIL fait référence à l’un des articles du PLF, présenté en conseil des ministres vendredi et repéré par le site spécialisé NextInpact. Ce dernier donne le pouvoir à certains agents du ministère de l’économie et des finances de « collecter en masse », selon les termes même du projet de loi, des informations postées publiquement par les internautes.

L’idée du gouvernement est de surveiller automatiquement certains réseaux sociaux et plates-formes de commerce en ligne (Le Bon Coin, Facebook, Price Minister, Ebay…) afin de détecter au moyen de programmes informatiques une large série d’infractions (fraude fiscale, douanière…).

Le ministère peut déjà – et depuis 2014 – passer à la moulinette plus d’une vingtaine de bases de données de l’Etat (fichier des comptes bancaires, fichier de taxe d’habitation…) pour détecter automatiquement les fraudeurs. Mais il est encore illégal d’utiliser les informations issues des réseaux sociaux : lorsqu’un utilisateur consent à envoyer des données à Facebook, par exemple, il ne donne pas autorisation à l’Etat (ou à qui que ce soit) de prélever librement ces données. D’où le besoin d’une modification législative. Gérald Darmanin, le ministre de l’action et des comptes publics, l’avait même annoncé fin 2018.

Un « changement d’échelle »

Aujourd’hui, dans son langage feutré, la CNIL tire la sonnette d’alarme. Si le projet de loi est adopté, il s’agirait, écrit l’autorité, d’un « changement d’échelle significatif » et même d’un « renversement des méthodes de travail ». Les services du ministère de l’économie chargés de la détection de la fraude pourraient, selon l’article 57 du PLF, procéder à « une collecte générale préalable de données », avertit la CNIL, et non plus, comme auparavant, à une surveillance ciblée en cas de « doute » ou de « suspicions ».

Tout en reconnaissant que la lutte contre la fraude fiscale est un objectif louable et juridiquement solide, la CNIL met purement et simplement en doute « l’efficience ainsi [que] la faisabilité technique d’un tel dispositif ».

Quand bien même un tel procédé serait utilisé par Bercy, la CNIL critique le trop grand nombre d’infractions fiscales et douanières justifiant la collecte de données ainsi que la palette de plates-formes et de sites concernés par cette surveillance.

Elle note aussi qu’en l’état, le texte de loi ouvre la porte à des procédures d’intelligence artificielle dite « auto-apprenante », ce qui « soulève des enjeux particuliers en matière de protection des données ». En effet, ce type de mécanisme imposerait de collecter de nombreuses données pour déterminer ce qui est un comportement normal aux yeux de l’administration fiscale, afin de pouvoir détecter le comportement suspect. Il conduirait donc à l’aspiration de nombreuses données inutiles d’internautes n’ayant rien à se reprocher.

La CNIL rappelle aussi qu’en vertu du droit des données personnelles, le caractère librement accessible des informations publiées sur le Web n’octroie pas à l’Etat le droit de s’en servir comme bon lui semble. Elle craint que cette collecte massive soit « susceptible de modifier de manière significative le comportement des internautes qui pourraient alors ne plus être en mesure de s’exprimer librement sur les réseaux et plates-formes visés ».

La CNIL veut des « garanties »

L’institution, qui doit être consultée lors de chaque projet de loi impliquant une exploitation des données personnelles, « regrette vivement d’avoir à se prononcer dans des conditions d’urgence sur la mise en œuvre de tels traitements compte tenu des enjeux associés à la collecte massive de données ».

Le gouvernement a bien prévu des garde-fous : ce dispositif de surveillance n’est envisagé qu’à titre expérimental, pour une durée de trois ans. S’il fait ses preuves dans le respect des données personnelles, il sera reconduit. De plus, les données ne donnant pas lieu à une analyse plus poussée de la part d’un agent du fisc seront supprimées dans les trente jours. « Ce ne sont que des contrôles ciblés », fait valoir l’entourage de M. Darmanin. « La CNIL a été consultée dès le début d’année sur le projet. La loi n’était pas juridiquement nécessaire, mais le ministre a souhaité qu’il y ait un vrai débat démocratique et que le Parlement puisse vérifier que les bonnes garanties ont été prévues », explique-t-on de même source.

Ces garde-fous n’ont, semble-t-il, pas convaincu la CNIL. A ce stade, écrit l’institution, la proportionnalité de ce nouvel outil de surveillance, c’est-à-dire l’équilibre entre l’objectif qu’il poursuit et son intrusivité dans la vie privée des internautes, n’est pas assurée.

La CNIL en appelle ainsi aux députés et aux sénateurs, qui devront examiner le projet de loi dans les semaines qui viennent, à « apprécier l’opportunité » de ce dispositif et à tout le moins de le doter « de garanties » pour protéger la vie privée des Français.