La Quadrature du Net a décidé de s’attaquer au régime autorisant le fisc à passer au tamis les réseaux sociaux, en quête d’éventuelles indélicatesses avec le Code général des impôts. Une audience est prévue au Conseil d’État le 13 juillet, à 14 heures.
Cette semaine, la haute juridiction administrative examinera la requête déposée par l’association LQDN. En ligne de mire ? Le décret autorisant Bercy à collecter et exploiter les données rendues publiques sur les plateformes, réseaux sociaux et autres places de marché par leurs utilisateurs.
Ce #BigBrotherBercy, hashtag né pour l’occasion, a été programmé par la loi de finances pour 2020 au fil d’une expérimentation de trois ans. Trois années durant lesquelles, les fins limiers du fisc et des Douanes se voient autorisés à aspirer les données ouvertes aux fins de lutte contre plusieurs types de fraudes, précisément la vente illicite de produits (drogue et tabac) ou les fausses domiciliations à l’étranger.
Un contribuable affirme par exemple vivre 6 mois et un jour à l’étranger, alors que ses données publiques sur Facebook révèlent qu’il est en France sur une période bien plus longue. Pour obtenir de précieuses informations, la Direction générale des finances publiques (DGFIP) pourra non seulement collecter les données qu’il a rendues publiques, mais aussi s’épauler de moteurs spécialisés dans l'identification des lieux. Tel clocher régulièrement pris en photo est en réalité celui de telle commune du sud de la France, bien loin de la Catalogne où prétend vivre ce contribuable-modèle.
Avant publication au Journal officiel, ce régime avait subi des tours de vis au Conseil constitutionnel, au prix de plusieurs réserves d'interprétation. C'est donc désormais le décret d’application du 13 février 2021 qui est sur le grill, à l'initiative de l’association.
Pour mémoire, ce décret prévoit deux phases dans l’expérimentation du chalutage des plateformes en ligne : une phase d’apprentissage puis une phase d’exploitation. La première permet de développer des outils, la seconde de les mettre en œuvre.
Une collecte dénoncée comme disproportionnée
Dans plusieurs mémoires que nous avons pu consulter, la Quadrature du Net reproche au gouvernement d’avoir engagé une collecte bien trop disproportionnée, généralisée et indifférenciée des données rendues publiques sur les plateformes.
Certes, le texte est calibré pour identifier des indices de fraudes de certaines infractions, mais pour identifier ces éléments, il y aurait nécessairement collecte de « l’ensemble des données disponibles en ligne ». Du massif, avant tri sélectif, pour conserver le pertinent et effacer le surabondant.
Dans sa délibération du 10 décembre 2020, la CNIL avait elle-même révélé que « le ministère entend utiliser des API (interfaces de mise à disposition des données des sites) proposées par les plateformes ou les réseaux sociaux, et/ou des techniques de "webscraping" (techniques d'extraction du contenu de sites, via des scripts ou des programmes automatisés) pour collecter les données des plateformes et des réseaux sociaux ».
Le web scraping, insiste aujourd'hui la Quadrature, implique inévitablement cette « collecte généralisée des données des pages » qu'elle dénonce.
Pour preuve, le décret exige la suppression des « données sensibles » prises dans les filets. Sur le terrain du RGPD, on trouve derrière l’expression notamment les orientations sexuelles, les opinions religieuses ou encore l’état de santé. Ces données « ont bel et bien été collectées avant que le traitement attaqué détermine leur nature de données sensibles ou leur nature de données non-pertinentes ».
La question de ces données sensibles avait justement été soulevée, durant les débats, par le député Philippe Latombe (MoDem). « L’État ne peut pas, ne doit pas les collecter ». Et si Bercy « les collecte par hasard, il doit y avoir suppression immédiate de ce type de données » implorait-il dans une interview dans nos colonnes. Le député avait d’ailleurs déposé un amendement pour exiger la suppression immédiate de ces données non pertinentes. En vain. Le régime adopté oblige l’effacement de ce surabondant, mais seulement dans les cinq jours de la collecte.
« Un tel dispositif affecte directement et gravement l’exercice des droits fondamentaux dans l’environnement numérique et les libertés individuelles en matière de traitement informatisé de données, exposant la population à une surveillance illégitime » embraye de son côté la Quadrature du Net.
Un texte qui ne serait ni clair ni intelligible
Le décret n’est pas seulement disproportionné. Il méconnaîtrait par ailleurs « le principe de clarté et d’intelligibilité de la loi », un objectif à valeur constitutionnelle.
Pour s’en convaincre, le collectif relève que « pendant la phase d’exploitation, le responsable de traitement est autorisé à exploiter le traitement dont il aura lui-même déterminé pendant la phase d’apprentissage les données à traiter en raison des notions très larges utilisées par le décret ». Un « laxisme ».
Plusieurs zones d’ombre sont mises à l’index, comme la définition même des données d’identification. L’article 8 du décret prévient que cette collecte porte sur l’état civil, l’identifiant du profil, le pseudonyme, l’adresse, le numéro de téléphone, l'adresse électronique, le « lien vers d'autres pages personnelles susceptibles d'être rattachées à l'utilisateur ». Seulement, ce champ semble ne concerner que l’une des dispositions, possiblement pas d’autres articles qui évoquent pourtant, eux aussi, l’expression de « données d’identification ». La Quadrature imagine par exemple une collecte des liens de parenté.
Imbroglio sur le traitement portant sur le contenu des pages
Pour déterminer l’existence d’une possible fraude, le décret autorise aussi des traitements portant sur « les contenus des pages » pour déterminer par exemple l’existence d’une activité professionnelle illicite.
Le texte prend la peine de citer plusieurs types de contenus : « écrits », « images », « photographies », « sons », « signaux ou des vidéos ». Seulement cette liste n’est pas exhaustive. Conclusion : « c’est l’administration qui décidera elle-même de la limite à apporter à cette notion, sans que le décret ne pose de limite précise permettant de respecter le principe de proportionnalité ».
LQDN reproche enfin l’absence d’analyse d’impact (AIPD). Dans un mémoire en défense remontant à octobre 2021, Bercy soutient que cette AIPD a bien été transmise à la CNIL, seulement la Quadrature relève que ce document ne lui a jamais été produit.
Mais avant tout, l’association souhaite que le Conseil d’État saisisse la Cour de justice de l’Union européenne d'une question dite préjudicielle afin d'éprouver la compatibilité de ce régime avec le droit de l'Union. Une administration peut-elle collecter massivement des données, notamment sensibles, rendues publiques par les internautes, dans un objectif de lutte contre la fraude fiscale ?
Dans le jeu d’écriture, elle rappelle que la Cour de justice de l’Union européenne a posé l’interdiction de principe de conservation généralisée et indifférenciée. Cette interdiction serait « mutatis mutandis, également applicable à la collecte et la conservation du contenu des correspondances ».
Dans tous les cas, la Quadrature demande que le ministère soit condamné à supprimer les données traitées depuis
l’entrée en vigueur du décret, et ce sous astreinte de 1 024 euros par jour de retard.
