Le 30 septembre dernier, la Commission Nationale de l’Informatique et des Libertés (CNIL) rendait public son avis concernant la disposition du Projet de loi de finances pour 2020 qui crée un nouveau dispositif expérimental de lutte contre la fraude.

Ce projet d’article (article 9 dans la numérotation initiale, devenu article 57 dans le projet de loi déposé au Parlement) prévoit la possibilité pour les administrations fiscale et douanière de collecter « en masse » (ce sont les mots utilisés dans l’Exposé des motifs de l’article) et d’exploiter les données librement accessibles sur Internet afin de détecter, au moyen de programmes informatiques, une large série d’infractions (fraudes fiscales, douanières, etc.) :

À titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des infractions mentionnées aux b et c du 1 de l’article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du code des douanes, l’administration fiscale et l’administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateforme en ligne mentionnés au 2° du I de l’article L. 111-7 du code de la consommation.

Le ministère de l’Économie et des Finances précise que cet article vise à bonifier un outil administratif développé depuis 2013 qui porte le nom de « Ciblage de la fraude et valorisation des requêtes » (CFVR). Concrètement, cet article permet à l’administration fiscale de passer au crible les publications des internautes sur les réseaux sociaux ainsi que leurs activités sur les plateformes de revente et d’e-commerce (Ebay, LeBonCoin[1], etc.). L’objectif du fisc est clair : confirmer que le train de vie d’un contribuable sur la Toile coïncide bien avec sa déclaration d’impôt.

Le contrôle fiscal à l’ère des algorithmes

La CNIL se montre particulièrement préoccupée par ce type de dispositif « d’un genre nouveau » qui témoigne d’un « changement d’échelle significatif » dans l’utilisation de données personnelles par ces administrations. En effet, le gendarme de la vie privée constate qu’un tel recours au “data analytics”procède au renversement des méthodes de travail traditionnelles de l’administration fiscale :

« Elle repose en effet sur une collecte générale préalable de données relatives à l’ensemble des personnes rendant accessibles des contenus sur les plateformes en ligne visée, en vue de cibler des actions ultérieures de contrôle lorsque le traitement de ces données aura fait apparaître un doute, et non sur une logique de traitement ciblé de telles données lorsqu’un doute ou des suspicions de commission d’une infraction préexistent. »

La CNIL rappelle que le simple fait que des données soient rendues publiquement accessibles sur internet n’exonère pas les administrations de leur obligation de collecter ces données de manière légale.  Elle s’inquiète d’ailleurs que cette collecte massive de données soit susceptible de modifier le comportement des internautes qui ne se sentiraient alors plus à l’aise de s’exprimer librement sur le web.

Pour la CNIL, l’ampleur du dispositif projeté, tant au niveau du nombre de personnes concernées que du volume de données collectées, est susceptible de constituer une atteinte importante au droit au respect de la vie privée et à la protection des données personnelles. En outre, la Commission s’interroge sur la capacité de l’administration de garantir la stricte proportionnalité de la collecte d’une aussi vaste quantité de données au regard de la finalité poursuivie par le traitement, la lutte à la fraude fiscale, aussi louable cet objectif soit-il.

La CNIL souligne également que le projet d’article, qui prévoit la collecte de contenus librement accessibles publiés sur internet « au moyen de traitements informatisés », ouvre la porte à l’utilisation, par l’administration, d’algorithmes d’apprentissage automatique (machine learning) ce qui soulève des enjeux particuliers en matière de protection des données. En effet, ce type d’algorithme doit ingérer et traiter un volume important de données, dont de nombreuses sont non-pertinentes, afin d’être en mesure d’établir par lui-même ce qui constitue un comportement suspect aux yeux de l’administration fiscale.

Un dispositif légal?

Rappelons que le 2° de l’article 10 de la Loi de 1978 relative à l’informatique, aux fichiers et aux libertés (modifié par la Loi de 2018 relative à la protection des données personnelles) prévoit que l’administration ne peut prendre une décision à l’égard d’un administré par le seul truchement d’un algorithme que si trois conditions sont respectées :

1. Le traitement ne porte pas sur des données sensibles ;
2. Des recours administratifs sont possibles ;
3. Le responsable du traitement doit être en mesure d’expliquer, en détails et sous une forme intelligible, à la personne concernée la manière dont l’algorithme est parvenu à la décision.

Or, le dispositif proposé par le gouvernement français est problématique au regard de la première et de la dernière condition. D’abord, des données sensibles — soit des données personnelles qui révèlent l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique — risquent fort probablement d’être utilisées dans le cadre du développement de l’algorithme. Ensuite, comment est-ce que les contrôleurs fiscaux, qui ne possèdent pour la plupart aucune formation en codage informatique ou en science des données, vont-ils être en mesure d’expliquer au contribuable la raison pour laquelle son profil est ressorti du lot si même les experts en intelligence artificielle ne peuvent expliquer ce qui se passe à l’intérieur de la « boite noire » que sont les algorithmes d’IA.

Des garanties exigées

Bien qu’elle reconnaisse que la lutte à la fraude fiscale constitue un objectif juridiquement solide qui justifie la nécessité de se doter de mécanismes performant en ce sens, la CNIL considère qu’un projet dont les risques d’atteintes aux droits et libertés sont aussi grands doit s’accompagner de garanties suffisantes :

« La Commission, au demeurant réservée quant à l’efficience ainsi qu’à la faisabilité technique d’un tel dispositif, rappelle que le recours à titre expérimental à des traitements informatisés, qui reposent sur la collecte massive de données publiées sur les plateformes, doit s’accompagner de garanties fortes prévues par le législateur […] »

Loin d’être convaincue par les garde-fous proposés par le gouvernement (non-automatisation des contrôles, projet-pilote limité à 3 ans, données non-nécessaires supprimées après 30 jours, bilans périodiques), la CNIL émet ses propres recommandations :

• Réduire le périmètre des infractions visées par le dispositif aux seules infractions les plus graves;
• Revoir la pertinence d’inclure les plateformes mentionnées à l’article L111.7 du Code de la consommation dans le champ d’application du dispositif;
• S’assurer que le dispositif ne serve pas à programmer des contrôles automatiques, mais uniquement à établir des indicateurs pour les enquêteurs;
• S’assurer que seules les données publiées par les personnes inscrites sur les plateformes et les concernant ne soient collectées et non celles des tiers pouvant être amené à commenter sur ces contenus;
• Limiter la collecte de données sensibles, qui est en principe interdite, à ce qui est strictement nécessaire aux finalités poursuivies par le dispositif;
• Exclure toute possibilité de recourir à la reconnaissance faciale lors du traitement des données collectées;
• Supprimer immédiatement les données considérées comme non-pertinentes à l’issue de leur collecte et réduire significativement la durée de conservation des données enregistrées dans le traitement à moins de démontrer la nécessité d’une conservation de 1 an.

Le Projet de loi de finances pour 2020 a été renvoyé à la Commission des finances, de l’économie générale et du contrôle budgétaire suite à sa première lecture à l’Assemblée nationale française. Il sera intéressant de suivre son parcours législatif afin de voir si les députés et sénateurs français y apporteront des modifications afin de protéger la vie privée des citoyens.

Somme toute, force est d’admettre que cette « modélisation algorithmique des fraudes et des trafics » par l’administration publique, pour reprendre les mots de l’enseignante-chercheuse Caroline Lequesne Roth, est déconcertante dans la mesure où elle conduit à une transformation substantielle du droit : « la régulation perpétrée devient ex ante, la fraude étant présumée avant même sa réalisation[2] ».

Par Simon Du Perron,

Dans le cadre du cours DRT6903 – Droit du commerce électronique

#vieprivée #donnéespersonnelles #fiscalité

[1] Équivalent français du site de petites annonces Kijiji.

[2] Caroline Lequesne Roth, « La science des données numériques au service du contrôle fiscal français » dans Alain Pariente (dir.), Les chiffres en finances publiques, Paris, éditions Mare & Martin, 2019.