La direction générale des finances publiques (DGFIP) a rendu public son rapport annuel. Au fil des pages, on y découvre le rendement de la taxe GAFA ou encore de la redevance audiovisuelle, mais surtout se confirme la part de plus en plus importante de l’IA et du data mining dans les contrôles. Objectif : supprimer le quart des analystes spécialisés.
La taxe sur les services numériques (ou « taxe GAFA ») a rapporté 375 millions d’euros en 2020, indique la DGFIP dans son rapport annuel. Soit 25 millions de plus qu’en 2019.
Instituée par la loi 24 juillet 2019, après bien des tourments avec l’administration américaine, elle vise la fourniture de prestations de ciblage publicitaire, la mise à disposition d’un service d’intermédiation entre internautes, et enfin la vente de données collectées en ligne à des fins de ciblage publicitaire.
Elle frappe les plus gros des acteurs, ceux ayant dépassé 750 millions d’euros de revenus au niveau mondial, dont 25 millions d’euros rattachables à la France. Son montant est alors de 3 %.
Son montant reste faible néanmoins, alors que l’an passé encore, la redevance audiovisuelle a rapporté à elle seule 3,789 milliards d’euros (contre 3,860 en 2019).
Le rapport présenté cette semaine a été moins médiatisé pour un autre de ses versants : l’importance de l’IA dans les opérations de contrôle.
Un contrôle sur trois est ciblé par l’IA
Parmi les critères d’ « efficacité de la lutte contre la fraude fiscale », la DGFIP indique en effet que la part des contrôles ciblés par Intelligence Artificielle et le data mining est passée de 13,85 % en 2018, à 21,95 % en 2019 et même 32,49 % en 2020. Dit autrement, un contrôle sur trois est ciblé par l’IA. Le data mining ne serait-il plus le cache-misère contre la fraude fiscale ?
« Le projet ciblage de la fraude et valorisation des requêtes (ou CFVR, ndlr) permet de moderniser les techniques d’analyse avec le "data mining", qui consiste à analyser et à recouper les informations aux fins d’y repérer des profils de fraude » insiste la direction.
« Ce dispositif bénéficie du décloisonnement et du partage des données pour détecter des anomalies simples ou pour enrichir et automatiser certaines requêtes ».
Le projet ciblage de la fraude et valorisation des requêtes
Les pierres principales de cet édifice ont été posées fin 2019 avec la généralisation de ce « CFVR » à l’ensemble de la population française. Dans la bassine des données, un nombre incalculable de fichiers, auscultés pour détecter de possibles fraudes.
Ce pourcentage représente finalement 794 millions d’euros de droits et pénalités rappelés l’an passé. Fin 2020, d’ailleurs, quelque 2 000 emplois temps plein (ou ETP) travaillaient de façon déconcentrée et sur des données cloisonnées afin de réaliser la quasi-totalité de la programmation des opérations de contrôle fiscal » indique ce document de la direction interministérielle du numérique.
Au même moment, Bercy annonçait dans sa lettre interne une « montée en puissance des contrôles ciblés par le data-mining ». En 2021 et l’année prochaine, ces contrôles reposeront ainsi « sur l’exploitation accrue des données extérieures aux déclarations fiscales afin d’avoir une vision plus globale des entreprises et des particuliers qui prenne en compte les éléments de contexte » :
« Dans cette optique, seront notamment exploitées les données des plateformes collaboratives obtenues par la DGFiP et les données collectées sur les réseaux sociaux. Elle s’appuiera enfin sur la réorganisation des circuits de transmission des productions issues du data-mining qui alimenteront directement, à moyen terme les nouveaux outils informatiques qui seront mis à disposition des équipes de contrôle tel que le projet PILAT, qui vise à transformer le système d’information relatif à la chaîne du contrôle fiscal ».
#BigBrotherBercy
Dans cette dynamique, le 13 février 2021, était publié le décret « portant modalités de mise en œuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne ».
Ce texte a orchestré la possibilité pour les services fiscaux de collecter massivement des données librement accessibles sur les réseaux sociaux. Une collecte résumée par le hashtag #BigBrotherBercy, et avant tout une conséquence de la loi de finances pour 2020 au fil d’une expérimentation de trois ans.
Le texte est pour l’heure calibré dans la lutte contre la fraude en matière de commerce illicite (drogue, tabac) ou encore des domiciliations à l’étranger. Un dispositif taillé pour recueillir des indices, en deux phases.
D’abord une phase d’apprentissage puis une phase d’exploitation où « en aucun cas des redressements n’interviendront sur la seule base de telles données, avait décrit la DGFIP en 2018, et il n’y aura aucune inversion de la charge de la preuve : il incombera toujours à l’administration de démontrer la fraude, sur la base d’éléments objectifs. Il ne s’agit donc absolument pas d’une surveillance généralisée de tous les Français ».
La phase d’apprentissage est architecturée par la mise en œuvre d’outils « de collecte et d'analyse des données » pour « identifier des indicateurs (…) tels que des mots-clés, des ratios ou encore des indications de dates et de lieux ». Elle sera suivie par l’exploitation de ces informations.
En identifiant des lieux, à l’aide des photos, de la géolocalisation, des vidéos, et autres éléments glanés à travers les réseaux, Bercy espère deviner la présence de fraudeurs dans l’océan des internautes, ceux qui déclarent fictivement vivre 6 mois et 1 jour à l’étranger, alors que leurs activités sociales sur Internet indiqueraient le contraire.
La douche froide
Seul souci, l’appétit de Bercy a été refroidi coup sur coup par le Conseil constitutionnel puis la CNIL. Les données chalutées ne peuvent qu’être librement accessibles sur les sites des opérateurs de plateforme, et cela ne concerne que celles manifestement rendues publiques par leurs utilisateurs. « Ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a, délibérément, divulgués », a ainsi relevé le Conseil constitutionnel.
Pour la CNIL, ces données librement accessibles sont « les contenus auxquels un utilisateur non inscrit ou sans enrôlement préalable (création de comptes, fourniture de certaines informations pour créer un identifiant ou toute autre forme d'inscription) sur une plateforme ou un réseau social pourrait avoir accès, sans saisie préalable d'un mot de passe ».
En outre, « pour être manifestement rendus publics les contenus doivent être délibérément divulgués par la personne titulaire du compte ou de la page ce qui implique incontestablement une action volontaire de sa part ». Dit autrement, et contrairement à ce qu'espérait la doctrine de Bercy, « la simple absence de mise en place d'un paramétrage de confidentialité spécifique par exemple ne suffit pas à caractériser qu'une personne a délibérément divulgué un contenu ».
#BigBrotherBercy connecté au CFVR
Malgré ces contrariétés, un autre témoignage du volontarisme de Bercy s'est manifesté fin avril 2021, lorsque le gouvernement publiait un arrêté pour que les données collectées sur les réseaux sociaux via #BigBrotherBercy soient envoyées vers le CFVR (ou « ciblage de la fraude et valorisation des requêtes ») afin d’en confirmer l’utilité, et vérifier les concordances, tout particulièrement s’agissant des lieux géographiques, des activités professionnelles outre des « données d'identification des titulaires de comptes des pages internet ».
Objectif : supprimer un quart des 2 000 analystes spécialisés
« Si le service national d’analyse n’a pas cessé de gonfler au fil des années – il compte désormais une trentaine d’agents contre une dizaine en 2017 –, l’automatisation du ciblage des contrôles doit surtout contribuer aux suppressions d’emplois dans la maison », relève en outre notre confrère Acteurs Publics.
L'objectif serait en effet de « supprimer jusqu’à 500 équivalents temps plein (100 ETP par an pendant cinq ans) sur un total de 2 000 ETP spécialisés dans l’analyse de risques identifiés au moment du lancement du projet, en particulier dans les services déconcentrés ».
