Dans l’émission Capital, sur M6, le ministre de l’Action et des comptes publics a indiqué que Bercy allait scruter les profils personnels sur les réseaux sociaux afin de traquer les incohérences avec les déclarations fiscales. Une expérimentation lancée à partir de l'année prochaine. Explications sur le mode opératoire et les origines de ce test.
« Nous allons pouvoir mettre les réseaux sociaux dans [une] grande base de données. Il y aura la permissivité de constater que si vous vous faites prendre en photo, manifestement de nombreuses fois avec une voiture de luxe alors que vous n’avez pas les moyens de le faire, peut-être que votre cousin ou votre copine qui vous l’a prêtée, peut-être pas » a expliqué Gérald Darmanin sur le plateau de M6.
Seuls les éléments publics seront auscultés, les comptes fermés n'étant pas en capacité de faire l’objet d’un automatisme, sans du moins malmener à l'échelle industrielle le secret des correspondances. « Des gens gagnent très peu et vivent dans de belles voitures » a insisté le ministre de l'Action et des comptes publics, ciblant des « anomalies de train de vie », pour reprendre l'expression d'un data scientist interviewé par M6.
L’expérimentation est attendue d’ici le début de l’année prochaine. Plusieurs questions se posent néanmoins : quelle est la base légale ? Quelles sont les possibilités ouvertes par les textes ?
La loi contre la fraude
Cette expérimentation accompagne d’une certaine manière la mise en œuvre de la loi contre la fraude, publiée au Journal officiel le 24 octobre 2018.
S'il ne prévoit aucun test de ce type, ce texte a créé un nouveau service à compétence nationale de police fiscale au sein de Bercy. Une police « 2.0 » disposant de nombreux pouvoirs (gardes à vue, filatures, écoutes téléphoniques, perquisitions...), sous l’autorité d’un magistrat.
Le même véhicule législatif a également précisé l’étendue du droit de communication des agents des impôts auprès des FAI ou des hébergeurs comme Facebook, pour faire suite à une jurisprudence européenne. Ce droit, ont expliqué les députés LREM en appui de leur amendement, permet « de collecter des indices pour détecter et prouver une fraude ».
Ainsi, il contribue « à étayer un faisceau d’indices démontrant la domiciliation ou l’établissement en France d’une personne physique ou morale, à découvrir une activité́ occulte ou à enrichir une reconstitution de recettes ».
L’arrêté du 14 novembre 2017 : le data-mining étendu aux particuliers
La mise à niveau des services fiscaux à l’aide des nouvelles technologies est un mouvement qui a surtout gagné une étape décisive voilà un an. Un arrêté du 14 novembre 2017 les a en effet autorisés à croiser à titre expérimental, pour deux années, les données personnelles issues de nombreux fichiers :
Pour être plus précis, ce méga-traitement dénommé « ciblage de la fraude et valorisation des requêtes » était déjà en vigueur depuis septembre 2013, mais seulement à l’égard des contribuables professionnels. Avec l'arrêté de 2017, ce traitement est devenu pérenne pour ces derniers, mais a été étendu à titre expérimental aux particuliers.
« Le traitement CFVR, a expliqué à cette occasion la CNIL dans sa délibération autorisant ce dispositif, est basé sur des techniques de data-mining, notamment de modalisation prédictive, de requête d'analyses risques, de recherches d'atypies ou d'incohérences et de recherche de liens entre les différentes personnes ou avec des entités professionnelles ».
Puisque l'ensemble des contribuables français est concerné, la commission a néanmoins réclamé des garanties particulières. Elle a demandé que ces outils soient réservés « aux fraudes les plus substantielles (montant minimal, rappels importants, manquements délibérés, etc.) ». Le traitement doit en outre n’entraîner aucun contrôle administratif automatique et systématique, impliquant en conséquence une analyse « menée au préalable par un agent ».
En somme, il s’agit d’un outil d'aide et d'orientation, non d'« un outil de profiling destiné à identifier directement des fraudeurs potentiels ». Nuance importante.
L'exploitation des données ouvertes dans les « oranges budgétaires »
Pour connaitre d’autres détails sur cette fameuse expérimentation, il faut surtout se plonger dans les documents de politiques transversales (DPT). Dans le jargon, ces « oranges budgétaires » sont gorgées d'informations techniques, annexées chaque année au projet de loi de finances.
L’an passé, celui relatif à la lutte contre l’évasion et la fraude fiscales vantait déjà les mérites du data-mining : « ce processus conduit à analyser des données de masse pour modéliser des profils de fraude. Il permet ainsi d’enrichir les outils de programmation permettant un meilleur ciblage des interventions et une surveillance accrue des situations à risque ».
Page 39, on apprenait que la Direction générale des finances publiques avait constitué « une équipe spécialisée qui réunit progressivement dans un entrepôt unique des données issues des applications professionnelles, personnelles et patrimoniales de la DGFiP ».
À l’égard des seuls professionnels, cette cellule disposait alors « d'une vision globale des entreprises et de leurs dirigeants ou associés ». Résultat des courses : en 2017, plus de 13 000 contrôles ont été réalisés, pour 41 millions d'euros de rappels de droits et pénalités, sans compter la programmation de 2 000 contrôles fiscaux externes.
« L'identification de ces affaires n'aurait pas été possible avec les méthodes traditionnelles de programmation, notamment les méthodes d'analyse risque, applaudissait Bercy. La valeur ajoutée de ces productions repose sur le décloisonnement des informations et sur la capacité à automatiser la détection d'anomalies ou d'incohérences qui n'auraient pu être détectées qu’au terme de consultations manuelles et répétitives des applications informatiques ».
Ces nouvelles méthodes ont donc le vent en poupe. Elles « ont vocation à s'intégrer plus fortement au sein du dispositif de programmation du contrôle fiscal avec pour première cible, fin 2017, de contribuer à 10 % de la programmation du contrôle fiscal externe ».
Un silo à disposition des agents
Dans le DPT pour 2019, l’exploitation des données ouvertes est explicitement mentionnée. Il faut comprendre, derrière l'expression, l’ensemble des informations disponibles à tous les internautes auprès des réseaux sociaux, des sites personnels, professionnels, etc. accessibles publiquement.
Là encore, Bercy n’a d’yeux que pour ces nouveaux outils : « un des axes majeurs consiste à détecter efficacement les incohérences déclaratives et exploiter les informations de différentes sources pour mieux cibler les affaires et réaliser ainsi des contrôles du bureau ou sur place à bon escient ».
Les projets informatiques sont désormais concentrés sur « la conception, l'exploitation et le suivi de listes de dossiers », afin d’intégrer dans « un silo (…) des données de nature et d'origine différentes, adossé au suivi rapproché de l'exploitation des dossiers sélectionnés » : text-mining, le recours à des data-scientists mais aussi « exploitation des données ouvertes dans le respect du règlement général sur la protection des données (RGPD) ». Voilà donc, prévue noir sur blanc, la fameuse expérimentation annoncée par Darmanin.
Témoignage d’une montée en puissance, en 2018, 18 000 contrôles ont cette fois été menés grâce à ces nouveaux moyens avec 55 millions de rappels et 4 300 contrôles fiscaux externes programmés. L’intégration des sources ouvertes à partir de 2019 devrait donc gonfler davantage encore ces chiffres, ou du moins faciliter les traitements en cours.
« La valeur ajoutée de ces productions repose sur le décloisonnement des informations et sur la capacité à automatiser la détection d'anomalies ou d'incohérences qui n'auraient pu être détectées qu’au terme de consultations manuelles et répétitives des applications informatiques, ajoute le DPT 2019. Elle repose également sur la mise en œuvre en œuvre des méthodes de recherche de la fraude fondées sur l'analyse prédictive et la détermination d'indicateurs statistiques. »
Quid du RGPD ?
La conformité au Règlement général sur la protection des données (RGPD) de ces outils malaxant quantité d’informations aux fins d’analyse et de profilage n’est pas si insurmontable.
Si le texte interdit par défaut une décision prise « sur le seul fondement d'un traitement automatisé et qui produit des effets juridiques » à l’égard d’une personne, la lutte contre la fraude fiscale fait l’objet d’un traitement privilégié.
Ce genre de prise de décision fondée sur un tel traitement « devrait être permise lorsqu'elle est expressément autorisée par le droit de l'Union ou le droit d'un État membre (…) y compris aux fins de contrôler et de prévenir les fraudes et l'évasion fiscale », prévient le considérant 71 du RGPD.
Simplement, celui-ci demande à ce que le système soit conforme « aux règles, normes et recommandations des institutions de l'Union ou des organes de contrôle nationaux », et donc en France de celles de la CNIL qui aura à se montrer attentive à la généralisation et la massification de ces procédés.
Pour l'accompagner, le règlement exige ainsi des « garanties appropriées, qui devraient comprendre une information spécifique de la personne concernée ainsi que le droit d'obtenir une intervention humaine, d'exprimer son point de vue, d'obtenir une explication quant à la décision prise à l'issue de ce type d'évaluation et de contester la décision ».