Le projet de loi de finances permet, à titre expérimental, aux services fiscaux et aux douanes de collecter les informations postées sur les réseaux sociaux et les plateformes de vente. Objectif ? Lutter contre la fraude. Le gouvernement s’explique sur cette collecte de masse dans les documents annexés au « PLF ».
Comme révélé dans nos colonnes fin septembre, l’article 57 du projet de loi de finances va autoriser les services de Bercy à chaluter les données accessibles sur Facebook, LeBonCoin, Twitter, Instagram, eBay, et tous les autres sites similaires aux fins de lutte contre la fraude.
Une collecte de masse suivie par un traitement ciblé. Sont d’abord visées toutes les plateformes assurant « la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service » (article L111-7 2° du Code de la consommation).
Cette mesure avait été annoncée l’an passé. Dans le PLF pour 2020, cette collecte sera désormais encadrée par la loi et testée sur trois ans.
Un océan de données, un coût humain jugé disproportionné
Ce document annexé au projet de loi de finances pour 2020 est précieux puisqu'il y est rappelé que la direction générale des finances publiques développe depuis 2013 un traitement automatisé dénommé « ciblage de la fraude et valorisation des requêtes ». Du « datamining » (ou exploration de données) portant sur l’ensemble des informations provenant du fisc et des autres administrations. La direction générale des douanes et des droits indirects développe un système similaire depuis 2016.
« Dans les deux cas, ces traitements de données sont actuellement limités à l’exploitation de données déclarées à l’administration ou publiées par des acteurs institutionnels », détaille le document. « Ainsi, ni la DGFiP, ni la DGDDI ne mettent en œuvre de traitements automatisés sur des données rendues publiques par les utilisateurs ».
« Les plateformes permettent à des contribuables de proposer la vente de biens ou services sans faire connaître leur activité auprès des administrations ou en minorant leur déclaration de revenu ou de résultat. De même, les réseaux sociaux peuvent être utilisés pour promouvoir une activité lucrative non déclarée » expliquent encore ces annexes. « Or, l’administration est aujourd’hui largement démunie pour identifier ces fraudeurs, l'exploitation de ces informations ne pouvant être réalisée manuellement qu’à un coût humain disproportionné ».
Défaut de déclaration, fraude, commerce illicite…
La cible est la recherche d’infractions diverses au Code général des impôts ou prévues dans le Code des douanes : défaut de déclaration après réception d’une mise en demeure, activités occultes, inexactitudes ou omissions, fabrication, détention, vente ou transport illicites de tabac, infractions sur les alcools, contrebande, commerce de stupéfiants...
Les termes de l’article 57 sont toutefois tellement vastes qu'en amont, Bercy aura théoriquement le droit de faire une copie servile de l’ensemble des contenus accessibles publiquement sur les réseaux sociaux et les plateformes de vente.
Et l’administration ne voit dans cette collecte d’ampleur que des avantages. D’un côté, aucune obligation déclarative nouvelle, « ni pour les contribuables ni pour les opérateurs économiques ». De l’autre, une administration en capacité de détecter plus aisément les « comportements frauduleux ».
Le document cite plusieurs exemples : « les activités occultes ou illicites, les échanges de marchandises frappées de prohibitions (par exemple, les contrefaçons) ou encore le commerce du tabac sur internet pourraient être mieux ciblés en identifiant les comptes ouverts sur les réseaux sociaux ou les plateformes se prêtant à ce type d’activités ». Autres cas : des « activités exercées sous couvert d'une société dissoute » ou encore « d'éventuelles fausses domiciliations à l'étranger ».
Les informations aspirées par Bercy et les douanes
À cette fin, les services pourront collecter l’ensemble des informations (textes, dates, photos, vidéos). Seule la reconnaissance faciale sera interdite, non les autres traitements.
Des posts géolocalisés traduisant ainsi une présence en France plus de 6 mois par an permettront ensuite de territorialiser en France un contribuable qui ne s’y est pas rattaché. Les données collectées ne seront toutefois que des « indices », nous avait précisé la DGFiP l’an passé. En clair, elles ne permettraient pas de renverser la charge de la preuve sur les épaules du contribuable, mais de concentrer les attentions pour les futurs contrôles fiscaux.
Les documents annexés détaillent justement le mode opératoire en aval de la collecte de masse. Les comptes qui correspondront à « des typologies de fraudes recherchées prioritairement » sortiront du lot pour être ensuite ciblés. « Ce travail de ciblage sera complété par des travaux d'identification des personnes titulaires de ces comptes et de corroboration des informations collectées réalisés par des agents des administrations fiscale et douanière, préalablement à l’engagement de toute procédure de contrôle. »
Les services disposent d’un droit de communication qui pourra donc être dirigé vers les personnes agissant par exemple sous pseudonyme, et ce afin de connaître leur véritable identité.
Flou sur les coûts et le gain espéré
Le projet de loi est vague quand viennent les questions financières : « Les gains pour les finances publiques permis par la mise en œuvre de ce traitement de données expérimental (détection d'entreprises occultes, mise à jour de dissimulations de recettes) sont potentiellement importants, mais ne peuvent être chiffrés à ce jour ».
En clair, le gouvernement ne sait pas combien ce mécanisme va lui rapporter.
Sur les coûts, « la mise en œuvre du dispositif de collecte et de traitement des données librement accessibles des utilisateurs des opérateurs de plateformes sera réalisé, pour la DGFIP, par l'équipe chargé du projet CFVR ». Son coût est estimé à moins de 200 000 euros « pour les premières itérations d'analyse ». Rien n’est dit pour les suivantes.
Du côté des douanes, on sait seulement que l’expérimentation « s’inscrira dans les travaux en cours de développement des techniques de sciences de la donnée déjà financés par le programme 302 », un programme qui, dans les lois de finances, est relatif à la « facilitation et [la] sécurisation des échanges ».
Les critiques de la CNIL
La CNIL a été très critique, déjà sur la forme puisqu’elle a été saisie d’urgence fin août pour rendre un avis le 12 septembre. Ce mécanisme renverse en outre les méthodes de travail, expose-t-elle. Jusqu’à présent, les collectes d’informations personnelles étaient liées à l’existence de suspicions. Demain, ces administrations collecteront tout et un traitement algorithmique permettra de mettre en lumière certains cas avant de possibles contrôles.
L’autorité craint notamment des atteintes à la liberté d’expression puisque des personnes se sachant sous cette surveillance vont sans doute modifier leur façon de s’exprimer et de partager des informations.
Le gouvernement retient en outre de cet avis que « si les renseignements obtenus sur les plateformes en ligne seront essentiellement des données relatives à la vente de biens ou services, la collecte automatisée de données sur les réseaux sociaux pourra, de façon incidente, inclure des données sensibles liées à la vie privée des personnes physiques tel que l’âge, le lieu de naissance, des données d'identification, ainsi que des commentaires intégrant éventuellement des opinions ».
Relevons pour notre part que l’article 40 du Code de procédure pénale oblige les fonctionnaires à dénoncer au procureur de la République tous les crimes et délits rencontrés à l'occasion de l'exercice de leur profession. Même lorsque ces infractions ne concernent ni le fisc ni les douanes.
