Afin de lutter contre la fraude fiscale, le gouvernement vient de prendre un arrêté autorisant Bercy à croiser, à titre expérimental, de (très) nombreuses données personnelles : informations bancaires et patrimoniales, déclarations fiscales... Des données provenant d’administrations étrangères et de « bases privées » pourront même être exploitées.
Adepte depuis quelques années du « data mining », la Direction générale des finances publiques (DGFiP) s’apprête à accélérer le mouvement. Le traitement automatisé dénommé « ciblage de la fraude et valorisation des requêtes », qui vise les contribuables professionnels depuis 2014, sera étendu dès demain aux particuliers.
Avec ce dispositif de croisement de données, l’administration fiscale modélise des comportements frauduleux afin de mener des « actions de prévention, de recherche, de constatation ou de poursuite d'infractions pénales [ou] de manquements fiscaux ». En clair, elle cherche à détecter des signes de fraudes éventuelles (anomalies, incohérences...), afin de mieux cibler ses contrôles.
Une « extension significative » du traitement, selon la CNIL
Si l’arrêté publié mardi 14 novembre au Journal officiel pérennise le traitement qui existait jusqu’ici et instaure dans le même temps une expérimentation de deux ans visant les particuliers, c’est l’extension de son périmètre qui interpelle avant tout.
Alors que le « CFVR » était jusqu’ici alimenté par des informations de type numéro de SIRET, forme juridique, déclarations fiscales..., il est dorénavant prévu qu’il fonctionne grâce à des « informations externes ». Il pourra s’agir de « données issues d'autres administrations, nationales et étrangères », ainsi que de « données en provenance d'organismes sociaux » (de type CAF, Sécurité sociale, etc.).
Des informations provenant de « bases privées » seront également utilisées : « états financiers standardisés, information sur les sociétés implantées à l'étranger, indicateurs financiers, données d'identification des personnes en lien avec ces entreprises ».
L’arrêté fournit au passage une liste des bases dans lesquelles la DGFiP est autorisée à puiser ses données : fichier des comptes bancaires (FICOBA), taxe d’habitation et impôt sur le revenu, fichier des contrats de capitalisation et d'assurance vie (Ficovie), traitement d'échange automatique des informations (EAI), etc.
La CNIL réclame des « garanties appropriées »
« Le ministère justifie cette extension du traitement par l'importance des omissions fiscales réalisées par les particuliers, qui, à titre d'exemple, étaient en 2015 plus importantes que celles relatives à la TVA » explique la Commission nationale de l’informatique et des libertés (CNIL) dans son avis sur ce qui n’était qu’un projet de décret. Pour Bercy, « le renforcement de l'efficacité de la détection des fraudes réalisées par les particuliers s'avère nécessaire », compte tenu notamment de « la complexité des nouveaux procédés de fraudes ».
L’autorité administrative indépendante a toutefois prévenu le gouvernement que cette « extension significative du traitement, dans la mesure où l'ensemble des contribuables français seront concernés », devait s’accompagner de « garanties appropriées ». Le choix de commencer par une expérimentation a ainsi été accueilli favorablement par la CNIL.
Toutefois, « au regard du volume très important de données qui seront exploitées, de l'ampleur des personnes concernées et des modalités d'exploitation des données », la gardienne des données personnelles estime que cela ne suffit pas.
L’institution a notamment réclamé « une réduction du champ matériel ou géographique du traitement » (tout en précisant que ces restrictions n’avaient « pas nécessairement vocation à apparaître dans l'arrêté »). L’idée serait de limiter par exemple les croisements « aux fraudes les plus substantielles (montant minimal, rappels importants, manquements délibérés, etc.), à certaines catégories de contribuables ou à certains départements ou régions ».
Une pérennisation à partir de 2019 ?
Bien consciente que l’administration fiscale pourrait rapidement envisager une pérennisation de ce dispositif (rappelons au passage que la DGFiP avait sollicité un « entrepreneur d’intérêt général » pour développer le data mining), la CNIL prévient que dans une telle hypothèse, un « rapport circonstancié devra être établi et lui être communiqué ».
Un nouvel avis de la gardienne des données personnelles sera par ailleurs nécessaire, même si celui-ci reste pour mémoire dépourvu de tout effet contraignant...
L’autorité administrative indépendante avertit au passage que « sur la base du bilan de cette expérimentation », elle sera « particulièrement attentive » au « périmètre des investigations retenu ».
Bercy invité à faire preuve de transparence
Dernier détail : la CNIL considère qu’au regard de « l'ampleur du traitement CFVR et de ses caractéristiques techniques, notamment l'utilisation d'algorithmes pour parvenir à de la modélisation prédictive », un « haut niveau de transparence doit effectivement être recherché par le ministère à l'égard des personnes concernées ».
L’institution rappelle qu’en vertu de la loi Numérique, les administrations sont tenues, depuis le mois de septembre, d’avertir chaque citoyen lorsqu’une décision individuelle le concernant a été prise sur le fondement d’un traitement algorithmique. Une « mention explicite » doit être intégrée à cet effet, précisant en outre qu’il est possible de demander à connaître le fonctionnement du programme informatique utilisé (même si ces obligations restent pour l’instant lettre morte).
La CNIL explique enfin avoir demandé (et obtenu) qu’une « mention d'information sur l'utilisation des informations figurant sur la déclaration des revenus à des fins de lutte contre la fraude fiscale » soit prochainement insérée dans la notice relative à la déclaration des revenus.