Du chalutage de données personnelles par les administrations fiscale et douanière

Pierre-François Racine, avocat of counsel, LPA-CGR Avocats |  le 10/02/2020  |  France

Ma newsletter personnalisée

Ajouter ce(s) thème(s) à ma newsletter personnalisée

Opérations immobilières
France
Valider

Par un arrêté du 12 novembre 2019 publié au journal officiel du 30 novembre, l'administration fiscale achève la généralisation du traitement automatisé de lutte contre la fraude nommée : ciblage de la fraude et valorisation des requêtes (CFVR). En parallèle, une disposition de la loi de finances pour 2020, autorise l'administration fiscale à exploiter, dans des cas précis, les données accessibles sur les réseaux sociaux. La Commission nationale informatique et liberté (CNIL) a émis des réserves sur ce système qui est désormais opérationnel. Ainsi, le fisc peut exploiter de multiples fichiers pour détecter de possibles fraudes fiscales par des entreprises ou des particuliers.

Depuis 2 014, l'administration fiscale s'est dotée d'un traitement automatisé de lutte contre la fraude joliment baptisé ciblage de la fraude et valorisation des requêtes (CFVR). Il a pour finalité de modéliser et de visualiser les comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d'infractions pénales ainsi que des opérations de recherche, de constatation ou de poursuites de manquements fiscaux. Le traitement est fondé sur des techniques de data mining ou exploration des données, c'est-à-dire en particulier de modélisation prédictive, de requêtes d'analyses risques, de recherches d'atypie ou d'incohérences et de liens entre différentes personnes ou avec des entités professionnelles.

Une généralisation par étapes du data mining pour l'ensemble des contribuables

Initialement ce traitement ne concernait que les contribuables professionnels et ce à titre expérimental. Rapidement, dès 2015, il a été pérennisé avec le même périmètre. Dès l'origine, il était alimenté par 11 traitements particuliers déjà mis en œuvre par l'administration eux aussi dotés de noms enchanteurs : ADELIE, pour le compte fiscal des professionnels, ADONIS, pour celui des particuliers, etc. Mais dès cette époque, la présence possible dans ces traitements de données personnelles à caractère sensible, telles que les numéros SIREN et SIRET, a fortiori le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) posait question. En 2017, le traitement a été étendu aux personnes physiques mais uniquement à celles impliquées dans le fonctionnement de personnes morales. La conception retenue de la notion d'implication était large. Elle comprend, outre les dirigeants et associés, les personnes ayant des liens interpersonnels avec ces dirigeants et associés. Au terme d'une troisième modification, intervenue en 2017, à nouveau avec une portée considérable, la totalité des contribuables particuliers ont été visés. Il est vrai, à l'époque, cette extension était à titre expérimental pour 2 ans, en pratique cela impliquait de modifier le périmètre du traitement, les données collectées et les destinataires du traitement. L e motif exposé par le ministre pour justifier l'extension du traitement à l'ensemble des contribuables français était l'importance des omissions fiscales imputables aux particuliers qui, pour l'année 2015, auraient été plus importantes que celles relatives à la TVA. Enfin une quatrième, et pour l'heure dernière, extension est intervenue avec un arrêté du 12 novembre 2019 qui, en particulier, pérennise l'application du traitement aux personnes physiques, augmente le périmètre des données à caractère personnel pouvant être traitées, en y incluant les données transmises par les opérateurs de plate-formes collaboratives, telles qu'Airbnb et accroît le nombre de traitements spécifiques, au nombre de 2 9 aujourd'hui pouvant alimenter le traitement ciblage de la fraude et valorisation des requêtes, en y ajoutant par exemple le traitement de calcul de l'impôt sur la fortune immobilière (IFI).

Obligatoirement consultée au préalable, la Commission nationale informatique et liberté (CNIL) a réclamé à chaque étape d'importantes améliorations du texte afin de garantir au mieux les droits des personnes dont les données sont ainsi collectées, mais elle n'a pas toujours été entendue par le législateur. Ainsi, le droit d'opposition n'est pas admis. Qui plus est, la journalisation des opérations de toutes natures portant sur les données, qui est essentielle pour que la CNIL puisse s'assurer du fonctionnement régulier du traitement, ne sera effective qu'au 6 mai 2023. En revanche, les droits d'accès et de rectification peuvent s'exercer, en principe auprès du centre des impôts dont relève une personne, mais des restrictions peuvent y être apportées dans les cas prévus par la loi du 6 janvier 1978 dite informatique et liberté modifiée et ils s'exercent alors auprès de la CNIL.

Cela fait déjà beaucoup et on peut légitimement s'interroger sur un risque sérieux d'atteinte à l'équilibre entre les droits des contribuables et les pouvoirs de l'administration. En effet l'asymétrie d'information devient considérable car les contribuables n'ont pas la moindre idée de tout ce que l'administration peut savoir d'eux en aspirant dans un traitement unique les données personnelles présentes dans les nombreux traitements nourriciers.

Aspiration des réseaux sociaux autorisée par la loi de finances pour 2020

Un nouveau pas vient d'être franchi avec le vote de la loi de finances pour 2020. L'article 154 autorise, « à titre expérimental et pour une durée de trois ans » non seulement les agents du fisc, mais aussi ceux de la douane à collecter et à exploiter au moyen de traitements automatisés « les contenus librement accessibles sur les sites internet des opérateurs de pla-teforme en ligne mentionnés au 2° du I de l'article L. 111-7 du Code de la consommation », en d'autres termes, les plateformes de mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l 'échange ou du partage d'un contenu, d'un bien ou d'un service.

Comme l'a souligné avec force la CNIL dans l'avis qu'elle a rendu le 12 septembre 2019 sur le projet d'article, cette disposition conduit mécaniquement à collecter des données sensibles, rendues, certes, manifestement publiques par les internautes. Mais même en admettant que de telles données puissent être collectées, encore faut-il qu'elles soient détruites. Or le texte prévoit qu'elles devraient l'être au plus tard cinq jours ouvrés après la collecte. Il doit en aller de même pour les données « manifestement sans lien avec les infractions fiscale ou douanière ». Quant aux données « strictement nécessaires » à la constatation des manquements et des infractions, elles devraient être détruites au bout d'un an, sauf si une procédure est en cours et dans ce cas, elles pourront être conservées jusqu'au terme de la procédure, ce qui peut prendre des années. Si le droit d'accès est bien garanti, en espérant qu'il couvre aussi le droit de rectification, ce que la loi ne prévoit pas, en revanche le droit d'opposition est exclu.

Fort heureusement, ce texte nécessite un décret qui sera pris en Conseil d'État après avis de la CNIL avec mission de préciser les conditions dans lesquelles à chaque étape la mise en œuvre des traitements nouvellement autorisés est bien proportionnée aux finalités poursuivies. Il faut reconnaître que le Parlement, dans les limites que lui assigne l'élection d'une majorité qui doit tout ou presque au président nouvellement élu, a fait de vrais efforts pour améliorer le texte en s'inspirant largement des observations de la CNIL. Il a ainsi limité les infractions pour la recherche desquelles ce traitement attrape-tout pourrait être mis en œuvre, c'est-à-dire, détecter essentiellement les domiciliations artificielles ou fictives à l'étranger et les activités occultes. Il n'autorise la collecte que des contenus manifestement rendus publics par leurs utilisateurs, faute de quoi l a loi française serait en contradiction avec la directive dite Police Justice 2016/680 du 27 avril 2016 qui s'agissant de la recherche et de la répression des infractions pénales est le pendant du Règlement général sur la protection des données (RGPD). Il a interdit l'usage de la reconnaissance faciale, exigé que le traitement ne soit mis en œuvre que par des agents d'un grade minimum et spécialement habilités, exclu que les administrations puissent recourir à la sous-traitance ou qu'un contrôle fiscal soit déclenché automatiquement sur la seule base des contenus collectés, et imposé la réalisation d'une analyse d'impact relative à la protection des données, conformément à l'article 62 de la loi du 6 janvier 1978 modifiée. Enfin le Conseil constitutionnel, saisi par l'opposition, a exclu que le traitement soit utilisé pour la recherche du manquement résultant de l'absence ou du retard d'une déclaration plus de 30 jours après mise en demeure. En effet, « dans une telle situation, l'administration, qui a mis en demeure le contribuable de produire sa déclaration, a déjà connaissance d'une infraction à la loi fiscale, sans avoir besoin de recourir au dispositif automatisé de collecte de données personnelles » ! Dès lors, cette disposition portait au droit au respect de la vie privée et à la liberté d'expression et de communication une atteinte disproportionnée au but poursuivi. Pour le surplus du texte, le Conseil a minutieusement, on serait tenté de dire : laborieusement, relevé les 8 garanties encadrant la mise en œuvre du traitement et imparti à la CNIL et au Conseil d'État la mission de veiller de très près sur le contenu du décret d'application que la loi prévoit. Cet encadrement doit être salué.

Restent néanmoins des sujets de perplexité. Entre autres, la capacité des administrations à mener à bien le nouveau traitement. Or leurs dépenses informatiques ont sensiblement diminué ces dernières années et le coup de pouce du budget 2020 devrait surtout leur servir à combler leur retard. Également, et ce n'est pas le moindre sujet de préoccupation, il faudra assurer la sécurité du futur dispositif qui devra absolument être imperméable aux tentatives d'intrusion et de siphonage de données personnelles. Mais la grande question demeure sans vraie réponse : les administrations avaient-elles vraiment besoin de ce dispositif de chalutage à grande échelle, compte tenu de l'énorme masse de renseignements concernant les personnes physiques comme les personnes morales dont le fisc dispose aujourd'hui grâce au traitement CFVR ? Au surplus, un agent dès à présent est en mesure en recourant à un moteur de recherche avec le nom d'un contribuable d'accéder à de multiples contenus que cet imprudent aura laissés sur certains réseaux sociaux. Cela se pratique déjà…

Éditions du Moniteur Le Moniteur boutique

Valorisation de l’immobilier d’entreprise par l'externalisation des actifs et autres solutions

Valorisation de l’immobilier d’entreprise par l'externalisation des actifs et autres solutions

Date de parution : 02/2020

Voir

170 séquences pour mener une opération de construction

170 séquences pour mener une opération de construction

Date de parution : 01/2020

Voir

55 outils pour la conduite de chantier

55 outils pour la conduite de chantier

Date de parution : 01/2020

Voir

Accéder à la Boutique

Les bonnes raisons de s’abonnerAu Moniteur

  • La veille 24h/24 sur les marchés publics et privés
  • L’actualité nationale et régionale du secteur du BTP
  • La boite à outils réglementaire : marchés, urbanismes, environnement
  • Les services indices-index
Je m’abonne
Supports Moniteur