Après les députés de la commission des lois, les élus de la commission des finances s’attaquent à l’article du projet de loi de finances autorisant la collecte massive et le traitement des données glanées sur les réseaux sociaux et les plateformes de vente. À cette occasion, le groupe LREM a déposé plusieurs amendements pour encadrer #BigBrotherBercy.
L’article 57 du projet de loi de finances entend autoriser le fisc et les douanes à aspirer l’ensemble des informations publiées sur Facebook, Instagram, Dailymotion, YouTube, Twitter, eBay ou encore Leboncoin. L’idée ? Repérer dans l’océan numérique des photos, textes, vidéos, des ventes publiées en ligne, des indices d’activités illicites pour ensuite concentrer les enquêtes sur les individus. Une collecte de masse assumée par le gouvernement.
Saisie en urgence, la CNIL n’a eu que quelques jours pour ausculter cette arme, fruit de l'exécutif. Malgré une contrainte calendaire, elle a décelé de nombreuses lacunes dans cette collecte qu’elle craint disproportionnée. Elle note aussi que Bercy et les douanes pourront alpaguer de nombreuses données personnelles comme les opinions politiques, syndicales, religieuses, les orientations sexuelles, etc. Au point d’influer sur la liberté d’expression et de communication de chaque internaute.
La commission des lois a déjà tenté d'encadrer quelque peu cet aspirateur géant. Elle suggère par exemple d’interdire la sous-traitance, afin d’internaliser la collecte et les traitements consécutifs. De même, les réseaux sociaux devraient être mis hors de la boucle. Des rustines insuffisantes aux yeux du rapporteur Philippe Latombe, comme celui-ci nous l’a indiqué dans une interview. L'élu MoDem compte bien déposer un amendement de suppression en séance.
En commission des finances, celle saisie au fond, une quarantaine d’amendements ont déjà été déposés. Plusieurs groupes minoritaires réclament la suppression pure et simple de cet article.
Les groupes non majoritaires souhaitent la suppression de l'article 57
« Le fait que les données soient accessibles sur internet ne signifie nullement qu’elles puissent être librement aspirées dans un but autre que celui dans lequel ces données ont été publiées » indiquent par exemple des députés Les Républicains (amendement CF1273). « Les données publiées par des tiers seront également aspirées. Les big data de l’administration fiscale ne contiendront donc pas seulement les données que nous choisissons de publier, mais aussi ce que d’autres publient sur nous ».
Même position au Parti socialiste : « Si les députés socialistes et apparentés sont favorables aux mesures de lutte contre les comportements frauduleux, certaines garanties fondamentales doivent être apportées aux contribuables ». Et celui-ci de considérer que le compte n’y est pas.
La France Insoumise note par ailleurs « l’ironie qui réside dans l'assujettissement des utilisateurs de plateformes à ce dispositif, quand on sait combien des entreprises telles que Facebook maîtrisent l’art d’échapper à l’impôt ». Ainsi, « plutôt que d’utiliser les réseaux sociaux pour traquer leurs utilisateurs, commençons par faire payer à ces entreprises l’impôt dû ». Le groupe sollicite lui aussi la suppression de l'article 57.
Le groupe LREM à la manoeuvre
Le plus intéressant réside toutefois dans les amendements déposés par les députés de la République en Marche, et surtout le contexte en cours. Le gouvernement a fait savoir en fin de semaine dernière qu’il accepterait de lâcher du lest pour encadrer cette collecte. Il faut donc analyser ces colmatages sous ce prisme politique et stratégique.
« Nous souhaitons que l’objet de cet article 57 soit proportionné et assure un juste équilibre entre les moyens utilisés pour lutter contre la fraude et le respect des libertés » écrivent les élus du groupe LREM dans cet amendement. De ce souhait, ils en déduisent que sur les sites internet des opérateurs de réseaux sociaux et de vente en ligne, seules les informations « manifestement rendus publics par leurs utilisateurs » pourront être collectées.
L’expression n’est pas neutre. L'article 9 du Règlement général sur la protection des données l’utilise déjà lorsqu’il s’agit d’autoriser les traitements portant sur des données sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques ou l'appartenance syndicale, données de santé ou concernant la vie sexuelle ou l'orientation sexuelle d'une personne).
Le même groupe LREM, comme Joël Giraud, le rapporteur général, entendent limiter les infractions pouvant justifier la collecte puis le traitement. « Nous proposons donc de recentrer l’expérimentation sur la lutte contre l’économie souterraine et la recherche des infractions aux règles de domiciliation des personnes physiques, soit des faits particulièrement graves et particulièrement difficiles à identifier avec des méthodes d’investigation traditionnelles, justifiant d’utiliser une méthode inédite de ciblage des enquêtes fiscales et douanières ».
Là encore, les mots sont pesés soigneusement, en référence à la jurisprudence de la Cour de justice de l’Union européenne, qui n’apprécie pas la surveillance de masse pour les menus larcins.
Dans le texte déposé par le gouvernement, le champ infractionnel est beaucoup plus vaste, trop vaste même aux yeux de la CNIL. Celle-ci avait observé en effet que « la mise en oeuvre d'une telle collecte, particulièrement intrusive, conduisant à la collecte d'un nombre très important de données, n'apparaît pas à ce stade précisément justifiée pour les infractions portant sur des contraventions de deuxième et troisième classe ».
Opinions religieuses, politiques, orientations sexuelles... supprimées dans les 5 jours
Le groupe majoritaire est également désireux de limiter la durée de conservation des informations collectées. Dans le texte initial, lorsqu’elles sont de nature à concourir à la constatation des infractions poursuivies, « les données collectées sont conservées pour une durée maximale d’un an à compter de leur collecte et sont détruites à l’issue de ce délai ».
Toutefois, « lorsqu’elles sont utilisées dans le cadre d'une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu’au terme de la procédure ».
Les autres données sont supprimées au bout de 30 jours.
L'amendement du groupe LREM introduit une période intermédiaire. Les données dites sensibles (opinions religieuses, syndicales, politiques, orientations sexuelles, etc.) et les autres données manifestement sans lien avec les infractions poursuivies devraient être supprimées dans les 5 jours après la collecte. « Les autres données devront être analysées au maximum dans un délai de trente jours et détruites si elles n’apparaissent pas pertinentes ». Ou bien conservées jusqu’à un an voire au-delà en cas d’ouverture d’une procédure.
Le rapporteur général souhaite pour sa part que seules les données « strictement nécessaires » soient conservées au-delà d’un délai de trente jours, « et non pas toutes les données "de nature à concourir" à la constatation d’un manquement fiscal ou d’une infraction douanière ».
Droits de la défense
Dans le CF1375, les députés LREM proposent que « les administrations fiscale et douanière ne puissent procéder à l’appréciation de la situation de la personne concernée sur le seul fondement d’un algorithme ». Ainsi, « les informations recueillies sur les réseaux sociaux devront être analysées par un service compétent et corroborées par d’autres sources de renseignements ».
C’est donc seulement dans le cadre d’une procédure de contrôle que ces données pourront être opposées à une personne. Les droits de la défense seront ainsi respectés. Après collecte et traitement où seul le droit d'accès est assuré.
Consécration de l'algorithme auto-apprenant
L’amendement CF1376 est sans doute le plus riche du lot. Le groupe majoritaire y donne de précieuses informations sur « Big Brother Bercy » – informations qui n’avaient pas été soufflées par l’étude d’impact, particulièrement peu bavarde sur cette collecte de masse. Et pour cause, elle n’en dit mot ou presque !
Leur texte instaure « un bilan d’étape dix-huit mois avant la fin de l’expérimentation afin d’en évaluer la progression et de déterminer la suite à lui donner ». On apprend dès lors que l’expérimentation comportera « une première phase dite d’apprentissage, au cours de laquelle un algorithme auto-apprenant sera développé afin de déterminer des indicateurs permettant de cibler les infractions visées par le dispositif, sur la base d’une base de données anonymisées ».
C'est la première fois que l'expression apparaît dans un amendement. Ceci dit, une fois cette phase achevée, viendra le possible passage en production avec « détection de profils susceptibles d’avoir commis » l’une des infractions visées :
« Il apparaît important d’évaluer cette phase d’apprentissage en elle-même avant que l’expérimentation passe en phase dite de production et puisse conduire à la détection de profils susceptibles d’avoir commis les infractions visées par le dispositif, afin que l’administration apporte des garanties sur le fait que l’algorithme développé minimise les atteintes portées au respect au droit à la vie privée des utilisateurs des opérateurs de plateformes en ligne ».
En clair, les députés ne sont pas bien certains de ce chantier, à moins qu'ils ne cherchent à en adoucir la montée en puissance en commandant un rapport aux principaux partisans de cette collecte de masse.
Au final, si l’outil est taillé pour traquer l’infraction fiscale ou douanière, le jeu de l’article 40 du Code de procédure pénale pourra jouer à plein régime pour étendre le champ des finalités. Comme le relève la juriste Estelle de Marco, il « impose aux fonctionnaires d'informer le procureur des délits dont ils ont connaissance (permettant de dépasser les objectifs pour lesquels des pouvoirs intrusifs ont été accordés) ».
