La Quadrature du Net a décidé de s’attaquer au régime autorisant le fisc à passer au tamis les réseaux sociaux, en quête d’éventuelles indélicatesses avec le Code général des impôts. Une audience est prévue au Conseil d’État le 13 juillet, à 14 heures.
Cette semaine, la haute juridiction administrative examinera la requête déposée par l’association LQDN. En ligne de mire ? Le décret autorisant Bercy à collecter et exploiter les données rendues publiques sur les plateformes, réseaux sociaux et autres places de marché par leurs utilisateurs.
Ce #BigBrotherBercy, hashtag né pour l’occasion, a été programmé par la loi de finances pour 2020 au fil d’une expérimentation de trois ans. Trois années durant lesquelles, les fins limiers du fisc et des Douanes se voient autorisés à aspirer les données ouvertes aux fins de lutte contre plusieurs types de fraudes, précisément la vente illicite de produits (drogue et tabac) ou les fausses domiciliations à l’étranger.
Un contribuable affirme par exemple vivre 6 mois et un jour à l’étranger, alors que ses données publiques sur Facebook révèlent qu’il est en France sur une période bien plus longue. Pour obtenir de précieuses informations, la Direction générale des finances publiques (DGFIP) pourra non seulement collecter les données qu’il a rendues publiques, mais aussi s’épauler de moteurs spécialisés dans l'identification des lieux. Tel clocher régulièrement pris en photo est en réalité celui de telle commune du sud de la France, bien loin de la Catalogne où prétend vivre ce contribuable-modèle.
Avant publication au Journal officiel, ce régime avait subi des tours de vis au Conseil constitutionnel, au prix de plusieurs réserves d'interprétation. C'est donc désormais le décret d’application du 13 février 2021 qui est sur le grill, à l'initiative de l’association.
Pour mémoire, ce décret prévoit deux phases dans l’expérimentation du chalutage des plateformes en ligne : une phase d’apprentissage puis une phase d’exploitation. La première permet de développer des outils, la seconde de les mettre en œuvre.
Une collecte dénoncée comme disproportionnée
Dans plusieurs mémoires que nous avons pu consulter, la Quadrature du Net reproche au gouvernement d’avoir engagé une collecte bien trop disproportionnée, généralisée et indifférenciée des données rendues publiques sur les plateformes.
Certes, le texte est calibré pour identifier des indices de fraudes de certaines infractions, mais pour identifier ces éléments, il y aurait nécessairement collecte de « l’ensemble des données disponibles en ligne ». Du massif, avant tri sélectif, pour conserver le pertinent et effacer le surabondant.
Dans sa délibération du 10 décembre 2020, la CNIL avait elle-même révélé que « le ministère entend utiliser des API (interfaces de mise à disposition des données des sites) proposées par les plateformes ou les réseaux sociaux, et/ou des techniques de "webscraping" (techniques d'extraction du contenu de sites, via des scripts ou des programmes automatisés) pour collecter les données des plateformes et des réseaux sociaux ».
Le web scraping, insiste aujourd'hui la Quadrature, implique inévitablement cette « collecte généralisée des données des pages » qu'elle dénonce.
Pour preuve, le décret exige la suppression des « données sensibles » prises dans les filets. Sur le terrain du RGPD, on trouve derrière l’expression notamment les orientations sexuelles, les opinions religieuses ou encore l’état de santé. Ces données « ont bel et bien été collectées avant que le traitement attaqué détermine leur nature de données sensibles ou leur nature de données non-pertinentes ».
La question de ces données sensibles avait justement été soulevée, durant les débats, par le député Philippe Latombe (MoDem). « L’État ne peut pas, ne doit pas les collecter ». Et si Bercy « les collecte par hasard, il doit y avoir suppression immédiate de ce type de données » implorait-il dans une interview dans nos colonnes. Le député avait d’ailleurs déposé un amendement pour exiger la suppression immédiate de ces données non pertinentes. En vain. Le régime adopté oblige l’effacement de ce surabondant, mais seulement dans les cinq jours de la collecte.
« Un tel dispositif affecte directement et gravement l’exercice des droits fondamentaux dans l’environnement numérique et les libertés individuelles en matière de traitement informatisé de données, exposant la population à une surveillance illégitime » embraye de son côté la Quadrature du Net.
Un texte qui ne serait ni clair ni intelligible
Le décret n’est pas seulement disproportionné. Il méconnaîtrait par ailleurs « le principe de clarté et d’intelligibilité de la loi », un objectif à valeur constitutionnelle.
Pour s’en convaincre, le collectif relève que « pendant la phase d’exploitation, le responsable de traitement est autorisé à exploiter le traitement dont il aura lui-même déterminé pendant la phase d’apprentissage les données à traiter en raison des notions très larges utilisées par le décret ». Un « laxisme ».
Plusieurs zones d’ombre sont mises à l’index, comme la définition même des données d’identification. L’article 8 du décret prévient que cette collecte porte sur l’état civil, l’identifiant du profil, le pseudonyme, l’adresse, le numéro de téléphone, l'adresse électronique, le « lien vers d'autres pages personnelles susceptibles d'être rattachées à l'utilisateur ». Seulement, ce champ semble ne concerner que l’une des dispositions, possiblement pas d’autres articles qui évoquent pourtant, eux aussi, l’expression de « données d’identification ». La Quadrature imagine par exemple une collecte des liens de parenté.
Imbroglio sur le traitement portant sur le contenu des pages
Pour déterminer l’existence d’une possible fraude, le décret autorise aussi des traitements portant sur « les contenus des pages » pour déterminer par exemple l’existence d’une activité professionnelle illicite.
Le texte prend la peine de citer plusieurs types de contenus : « écrits », « images », « photographies », « sons », « signaux ou des vidéos ». Seulement cette liste n’est pas exhaustive. Conclusion : « c’est l’administration qui décidera elle-même de la limite à apporter à cette notion, sans que le décret ne pose de limite précise permettant de respecter le principe de proportionnalité ».
LQDN reproche enfin l’absence d’analyse d’impact (AIPD). Dans un mémoire en défense remontant à octobre 2021, Bercy soutient que cette AIPD a bien été transmise à la CNIL, seulement la Quadrature relève que ce document ne lui a jamais été produit.
Mais avant tout, l’association souhaite que le Conseil d’État saisisse la Cour de justice de l’Union européenne d'une question dite préjudicielle afin d'éprouver la compatibilité de ce régime avec le droit de l'Union. Une administration peut-elle collecter massivement des données, notamment sensibles, rendues publiques par les internautes, dans un objectif de lutte contre la fraude fiscale ?
Dans le jeu d’écriture, elle rappelle que la Cour de justice de l’Union européenne a posé l’interdiction de principe de conservation généralisée et indifférenciée. Cette interdiction serait « mutatis mutandis, également applicable à la collecte et la conservation du contenu des correspondances ».
Dans tous les cas, la Quadrature demande que le ministère soit condamné à supprimer les données traitées depuis
l’entrée en vigueur du décret, et ce sous astreinte de 1 024 euros par jour de retard.
Commentaires (24)
#1
je crois qu’il y a une faute de grammaire :
“les fins limiers du fisc et des Douanes se voient
autoriser” ->“les fins limiers du fisc et des Douanes se voient autorisés”
#1.1
Exact. C’est corrigé. Mes excuses et merci du signalement
#1.2
Pour ça tu as le bouton [signaler une erreur] en bas de l’article (ils sont réactifs)
#1.3
Mieux, tu sélectionnes le texte et tu as une bulle qui apparaît et pré-cite celui-ci.
#1.4
Tu as pas forcement la bulle, le menu contextuel est disable chez moi (parce que ça me fait plus chier qu’autre chose)
#2
autorisant le fisc à passer au tamis les réseaux sociaux, en quête
d’éventuelles indélicatesses avec le Code général des impôts.
voilà..pourquoi faut éviter de donner TROP de détails (comme certains ici) !
#3
“Dans tous les cas, la Quadrature demande que le ministère soit condamné à supprimer les données traitées depuis l’entrée en vigueur du décret, et ce sous astreinte de 1 024 euros par jour de retard.”
J’adore le côté pince sans rire du montant de l’astreinte, 2 puissance 10 euros… Une demande bien binaire.
#3.1
Il aurait pu demander 42000 euros d’astreinte, le montant mensuel des charges NexInpact
#4
J’ai hâte de lire les arguments de la défense, après l’essaim de la semaine dernière.
#5
Perso, j’arrive pas à voir où va être le problème pour Bercy.
Mis à part les données sensibles (qui n’ont rien à voir avec les missions de ce ministère et qui ne doivent pas être collecté ou être supprimé immédiatement), comment peut-on reprocher à quelqu’un l’usage de données disponibles publiquement ?
Qu’il y ait eu un rapprochement avec Facebook et co pour accéder aux données privées / non-publiques, j’aurai compris qu’on puisse reprocher cet accès mais là …
#5.1
Il faut reprendre une petite dose de RGPD ;) Je n’ai pas réussi à retrouver l’article du RGPD ou un article Internet qui l’explique mais en gros, les données que tu mets publiquement sur Internet restent des données personnelles qui ne peuvent pas être réutilisées sans contrôle.
#5.3
Si je me rappelle bien, c’est en relation avec le principe du consentement libre et éclairé et aussi le respect du droit à l’opposition que confère le RGPD.
En gros, quand bien même la donnée est publique, la personne doit donner son consentement à leur réutilisation. Cependant, ce n’est pas systématique et le responsable du traitement peut invoquer l’intérêt légitime, ou peut-être l’intérêt publique dans le cas de Bercy. On rentre donc aussi dans la proportionnalité de la collecte vis à vis de la finalité.
Le dénouement va être intéressant pour le coup car cela va éprouver le RGPD vis à vis des pouvoirs publiques je pense.
#5.4
Exactement, le consentement de la personne concernée n’est pas la seule justification possible pour la licéité d’un traitement de données personnelles. L’exécution d’un contrat, l’intérêt légitime ou le respect de la loi peuvent aussi servir de base légale.
Quelqu’un qui met ses données personnelles en ligne publiquement peut tout à fait les voir aspirées sans avoir donné son consentement, tant qu’une telle collecte est licite. Et bien sûr, tous les autres droits (information, accès au données, correction, …) de la personne concernée doivent être respectés.
#5.2
Tout pareil.
#6
Trouvé : https://www.cnil.fr/fr/communication-politique-quelles-regles-pour-la-collecte-de-donnees-sur-les-reseaux-sociaux
“Le caractère « public » ou éventuellement « librement accessible » des données disponibles sur les réseaux sociaux ne leur fait pas perdre le statut de données personnelles.”
#6.1
Merci, c’est plus clair.
Le problème vient plus du fait que les utilisateurs n’aient pas donné leur consentement pour cette surveillance.
#7
Si j’ajoute un drapeau lgbt ou un signe religieux sur mes photos de vacances manifestement bien au dessus de mes moyens, Bercy ne pourra utiliser ces photos pour justifier d’un contrôle fiscal ?
#7.1
Tu peux, mais je ne crois pas que Bercy ai besoin de justifier un contrôle, donc bon…
#8
Le pb de fond c’est les réseaux sociaux, si y’a des idiots pour se prendre en photos dans leur piscine non déclarée, c’est quoi le pire : Avoir des pubs pour des nettoyeurs de piscine, ou un contrôle fiscal parce que c’est pas a priori dans tes moyens et/ou déclaré ?
Les deux sont gênants, mais la source est commune : Un réseau social qui revend à tout va tes photos et une “IA” pour coller des mots clés sur les images.
Concernant les données sensibles, là aussi le pb vient des réseaux sociaux : quand quelqu’un publie une photo d’un test de grossesse ou covid par ex : c’est de facto illégal, et la photo devrait être immédiatement supprimée.
#9
Ça sera plus efficace d’aller en vacances dans un camp naturiste, aucun risques que tes photos de vacances reste sur les réseaux sociaux ;-)
#10
En ces temps de sobriété énergétique et budgétaire, il faut penser e-ffi-ca-ci-té avant de se lancer dans des projets, s’il vous plaît. Nul besoin de scrapper, d’utiliser des API, de la reconnaissance d’images ou quoi.
Pour géolocaliser les publicités et enrichir les profils de leurs
produitsutilisateurs, Facebook, Twitter, TikTok, Instagram et autres Google savent déjà très bien où sont leurs utilisateurs. Cette information est au coeur de leur business model. J’imagine qu’ils doivent se servir de l’IP de connexion mais aussi des gps des téléphones si l’utilisateur utilise l’application, ou des infos de géoloc dans les photos postées quand c’est activé. Faire une requète “est-ce que l’utilisateur a passé plus ou moins de 6 mois et un jour sur le territoire national au cours de l’année fiscale”, c’est simplissime de leur côté. Je suis convaincu qu’il y a des data-analyst internes qui font ca les yeux fermés avant le petit dej.Donc Bercy n’a qu’à rendre obligatoire le renseignement de nos identifiants personnels dans la déclaration d’impôts, envoyer cette liste aux réseau-sociaux, récupérer les stats en retour, et hop, le tour est joué.
Au passage, Bercy collecte déjà nos numéros de téléphones mobiles, donc une petite requête à Orange & compagnie qui savent aussi où on se trouve, ca serait pas impossible non plus…
#TechnoPolice #IlsLeFontBienEnChine
#10.1
bah c’est exactement ce qu’ils font pour les réseaux sociaux… et pas besoin de rendre obligatoire la déclaration vu que fb par ex s’en charge tout seul en se permettant même de contrôler l’identité de ses usagers !?
#10.2
“FB contrôle l’identité des usagers” => Ah bon ? On doit fournir une copie de sa CNI pour créer un compte ? Vous êtes sûr de ca ? Qu’ils le fassent si je crée un compte “Kim Kardashian”, je veux bien, mais pour “Michel Dupont”, en lui demandant copie de sa carte d’identité pour permettre à Bercy de recouper avec les fichiers des impôts sans trop d’erreurs liées aux homonymies, j’ai un doute.
#11
Euh oui : https://duckduckgo.com/?q=facebook+carte+d%27identit%C3%A9
quel altruisme :)