Hier soir, les députés ont adopté l’article 57 du projet de loi de finances. S’il est maintenu dans le texte final, il autorisera la collecte de masse et l’exploitation des données publiques des réseaux sociaux et des plateformes de vente. Questions et réponses sur ce dispositif.
Sans surprise, l’ensemble des amendements de suppression avait été préalablement repoussé par un hémicycle sous majorité En Marche. Malgré les arguments portés tout particulièrement par Philippe Latombe (MoDem), l’article 57 a donc été adopté, non sans aménagement.
Qu’est-ce que Big Brother Bercy ?
Le projet avait été annoncé l’an dernier. Il a été consacré à l’article 57 du projet de loi de finances. L’idée ? Autoriser Bercy et les douanes à chaluter Facebook, eBay, Le Bon Coin, Snapchat pour trouver des indices de fraudes. Ces administrations ont déjà la capacité d’exploiter manuellement ces sources, mais l’idée est maintenant de passer à la vitesse supérieure. Et quelle vitesse ! Une « collecte de masse », comme l’a reconnu le gouvernement.
« Cela fait partie des sources du contrôle fiscal » a voulu rassurer la députée LREM Emilie Cariou. Gérald Darmanin, ministre de l'Action et des comptes publics, a lui usé de la comparaison en prenant appui sur la généralisation de la vidéosurveillance dans les rues (ou « vidéoprotection », comme le dicte la loi LOPSSI 2). Acceptée dans la rue, ce genre d’analyse devrait nécessairement l’être sur le Net.
Que pourront faire les douanes et le fisc ?
Tout simplement user d’algorithmes autoapprenants, pour aspirer des informations disponibles publiquement sur les réseaux sociaux et les plateformes de vente. Cela signifie que les messages privés seront inexploitables. De même, l’usage d’un pseudonyme rendra les rapprochements plus délicats, obligeant ces administrations à user d’autres procédures pour d'abord lever ce voile.
« Trois faits, trois critères nous intéressent » a expliqué hier le ministre en séance. La vente de produits illicites (dont le tabac), les activités occultes et les fausses domiciliations fiscales à l’étranger. Les amendements visant à resserrer ces filets sur ces infractions jugées graves sont passés haut la main (par exemple celui-ci). En pratique, la collecte sera de masse sur les réseaux sociaux et les plateformes de vente, mais l’exploitation ciblera les indices relatifs à ces infractions.
Mais qu'en dit la CNIL ?
La CNIL a été saisie cet été en urgence. Elle n’a eu que quelques jours pour rendre son avis. Elle y fustige le caractère disproportionné de cette collecte. Elle avait en particulier critiqué le champ initial, bien plus vaste, puisque concernant la recherche de simples contraventions. Elle a donc été entendue sur ce point.
Mais l’autorité a craint aussi une atteinte à la liberté d’expression : se sachant surveillés continuellement, les internautes pourraient se faire beaucoup plus discrets, communiquant moins sur ces outils pourtant dédiés aux échanges.
Concrètement, quelles seront les données collectées et traitées ?
On peut raisonnablement imaginer que cette collecte de masse évitera la copie servile de tout Facebook, Twitter, Snapchat, eBay, etc. Cela demanderait des capacités de traitements et stockage gigantesques au point de rendre l’océan de données finalement inutilisable faute de raffinement.
En attendant, des ventes sur le BonCoin pourront être auscultées pour détecter automatiquement des pratiques un peu trop répétées, signes d’une possible « commercialité » de fait. Derrière l’expression, on trouve la situation d’une personne qui se veut commerçante (elle achète pour revendre), mais en évitant de se déclarer comme tel. De même, le commerce de cigarettes (la situation des débits de tabac a été plusieurs fois été évoquée par le gouvernement hier) ou de produits illicites (drogues, etc.)
Hier soir toujours a été adopté un amendement autorisant la collecte des seuls contenus « manifestement rendus publics par leurs utilisateurs ».
Il ne faut pas se tromper dans cette lecture : ce filtre ne change rien. Il autorisera toujours en pratique fisc et douane à faire de la collecte de masse. Ce bout de phrase doit surtout être vu comme une autorisation à collecter accidentellement des données dites sensibles.
Explications. Selon la loi de 1978 modifiée après entrée en application du RGPD, cela vise :
« La prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. »
Des algorithmes trop généreux pourraient faire tomber dans l’estomac de Bercy et des douanes de telles informations. Or l’article 9 du RGPD n’autorise les traitements sur ces données sensibles que si elles ont été « manifestement rendues publiques » par leurs personnes physiques.
Philippe Latombe a bien tenté de limiter cette exploitation aux données « manifestement rendues publiques par la personne concernée et se rapportant à elle ». L’enjeu ? Éviter cette fois que les deux administrations compétentes puissent traiter des likes, des commentaires, des tags provenant des tiers. Le gouvernement s’est opposé à une telle limitation, malgré les craintes exprimées que les réseaux sociaux ne deviennent qu’un chaudron à délation.
Quel sera le sort des données collectées ?
Comme en commission des finances, un amendement a été adopté pour enjoindre la suppression des données sensibles dans les 5 jours de leur collecte. Philippe Latombe n’a pu imposer la suppression sans délai, comme il le défendait en séance.
Les autres données seront supprimées dans les trente jours, sauf celles « strictement nécessaires » et de nature à concourir à la constatation d’un manquement fiscal. Celles-ci pourront être stockées un an durant, voire pour toute la procédure fiscale ou douanière, le cas échéant.
Le fisc ou les douanes pourront-ils sous-traiter ces opérations ?
Ce point est névralgique puisqu’on touche ici à des missions régaliennes. Philippe Latombe avait initialement déposé un amendement indiquant que « les données à caractère personnel (…) ne [peuvent] faire l’objet d’une opération de traitement et de conservation de la part d’un sous-traitant. »
Dans un sous amendement, il a voulu rigidifier l’interdiction en remplaçant la conjonction « et » par « ou ». Ce sous amendement n’a pas plu à Gérald Darmanin. (5:12:42 de la vidéo) qui s’y est opposé. Lors des débats, ce correctif a donc été rejeté.
Selon les explications du ministre, en effet la conjonction « ou » empêcherait qu’une société tierce vienne prêter main-forte à Bercy pour ciseler l’algorithme. « Il se peut que des prestataires privés nous aident à monter la machine sans avoir les données » a avancé timidement le représentant du gouvernement.
Selon son scénario, des prestataires pourraient intervenir sur du matériel et dans les locaux de l’administration. Leurs travaux seraient alors placés sous la responsabilité et le contrôle de l’administration. Tout serait tracé, surveillé et le résultat transmis à la CNIL. « La construction de l’algorithme se fera sur des données anonymisées. Les réserves du sous-amendement sont levées » a plaidé Gérald Darmanin.
Vraiment ? Le député Charles de Courson (Libertés et Territoires) n’a pas été convaincu. En l’état, l’amendement interdit la sous-traitance auprès d’un prestataire extérieur des opérations de traitement et de conservation. Mais rien ne dit que l’interdiction soit distributive, elle pourrait bien être cumulative. « A contrario, on pourrait faire appel à des sociétés privées pour collecter des informations puisque cela ne vise qu’une partie ».
Que se passera-t-il si le fisc ou les douanes trouvent d’autres infractions ne relevant pas du champ de ce traitement ?
Là encore, le député De Courson a rappelé le contenu de l’article 40 du Code de procédure pénale. Selon son deuxième alinéa, « toute autorité constituée, tout officier public ou fonctionnaire qui, dans l'exercice de ses fonctions, acquiert la connaissance d'un crime ou d'un délit est tenu d'en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs ».
Il se pourrait ainsi que la collecte de masse puisse faire remonter d’autres infractions, étrangères au domaine fiscal ou douanier, obligeant alors les fonctionnaires à transmettre les données au procureur de la République. Une manière de contourner les finalités du traitement.
Selon Gérarld Darmanin, toutefois, « cela ne peut être le cas » au regard des critères qui seront utilisés par l’algorithme, tout concentré sur les ventes de produits illicites, les activités occultes et la domiciliation fiscale. « Ils ne vont utiliser que ces trois filets. Il n’y aura pas de remontées d’autres critères (…). Vous voyez ce que je veux dire ? ».
Que va-t-il se passer maintenant ?
Une fois le projet de loi de finances entièrement voté par les députés, il sera transmis aux sénateurs. Le jeu de la navette habituel. En bout de course, le Conseil constitutionnel contrôlera sa conformité. Selon nos informations, des groupes entendent le saisir tout particulièrement sur l’article 57 afin de concentrer ses attentions.
Les Sages pourraient déjà censurer le texte, considérant qu'il n'est qu'un vulgaire cavalier budgétaire. La critique avait été émise par le Conseil d'Etat dans son avis révélé par Next INpact. Ils pourraient également suivre les critiques adressées par Philippe Latombe pour qui « Bercy ne se pose pas la question des libertés publiques ».
