La surveillance fiscale et douanière des sources ouvertes sur les réseaux sociaux passe le cap du Conseil d’État. La juridiction vient de rejeter le recours intenté par la Quadrature du Net, contestant l’existence d’une surveillance généralisée et indifférenciée.
Derrière l'appellation « Big Brother Bercy », une expérimentation menée par les services fiscaux et les douanes imaginée à l’occasion de la loi de finances pour 2020. Ce test sur trois ans permet à ces deux administrations de collecter les données « librement accessibles » et rendues publiques sur Facebook, Le Bon Coin ou encore Twitter.
Objectif ? Détecter des indices de fraudes, comme la vente illicite de tabac et drogue, ou la domiciliation fictive à l’étranger pour évincer ses obligations fiscales en France.
Un décret est venu orchestrer deux phases dans cette expérimentation : une phase d’apprentissage pour développer les outils, suivie par une phase d’exploitation, pour les mettre en œuvre.
Un régime qui a suscité de lourdes critiques de la part de l’association La Quadrature du Net. Dans son recours, elle a dénoncé la mise en œuvre d’une surveillance généralisée et indifférenciée, autorisant les deux administrations à collecter massivement des données, les obligeant dans une seconde phase à purger celles sans rapport avec les infractions pénales recherchées.
Dans les filets du fisc et des douanes, des données personnelles, des données parfois même « sensibles » comme les orientations sexuelles, les opinions religieuses ou encore l’état de santé.
« Un tel dispositif affecte directement et gravement l’exercice des droits fondamentaux dans l’environnement numérique et les libertés individuelles en matière de traitement informatisé de données, exposant la population à une surveillance illégitime » avait égratigné la Quadrature du Net lors de son recours.
Une collecte qui ne porte pas « sur l'intégralité des contenus »
Quand la Quadrature dénonce une surveillance généralisée et indifférenciée, le Conseil d’État répond que la collecte autorisée par le décret attaqué « ne porte pas sur l'intégralité des contenus mis en ligne par un utilisateur mais fait l'objet de plusieurs restrictions ».
En somme, le juge administratif a pris au pied de la lettre cette expression pour en rejeter la réalité, mais sans définir le seuil à partir duquel une surveillance deviendrait disproportionnée.
Dans son arrêt rendu vendredi dernier, il a rappelé, à l’aide de la décision du Conseil constitutionnel, que la collecte ne porte que sur les données « librement accessibles » sur les plateformes, « à l'exclusion de contenus accessibles après saisie d'un mot de passe ou inscription sur le site ».
En outre, seules peuvent être aspirées (ou « scrapées ») les données qui se « rapportent à la personne qui les a délibérément divulguées ». Le décret d’application interdit ainsi de collecter les commentaires ou les autres interactions (« like », etc.).
De même, les identités d’emprunt ou les comptes « spécialement utilisés à cet effet par l'administration » sont prohibés, exception faite des « comptes destinés à être utilisés par l'intermédiaire d'interfaces de programmation mises à disposition par les opérateurs de plateforme ».
Enfin, la loi a interdit l’usage de la reconnaissance faciale.
Des garanties et des restrictions au champ des données
Pour rejeter les critiques de la Quadrature, le Conseil d’État relève que la phase d'apprentissage et de conception permet de « sélectionner des échantillons de données de taille limitée, selon le cas, d'entreprises, de personnes physiques ou de pages internet, dont l'ampleur ne doit pas dépasser ce qui est strictement nécessaire aux fins de développer les outils de collecte et d'analyse »
Après cette première étape, le fisc et les douanes vont « recueillir sur les plateformes les seules données d'identification et de contenus précisément énumérées par le décret se rapportant aux personnes ou aux pages relevant de ces échantillons »
Enfin, les deux administrations vont « en tirer des "indicateurs" ou des "critères de pertinence", comme des mots-clés, des ratios, ou des indications de dates et de lieux », susceptibles de caractériser l’une des infractions ou manquements recherchés.
En phase d’exploitation cette fois, les catégories de données seront collectées en suivant ces indicateurs et critères déterminés lors de la phase d’apprentissage, avec exclusion notamment des données sensibles.
Cet écrémage va « aboutir à des résultats identifiant des personnes physiques ou morales à l'égard desquelles pourrait peser un soupçon raisonnable de commission d'un manquement ou d'une infraction et de circonscrire la collecte sur les plateformes en ligne aux données les plus pertinentes pour la recherche de ces manquements et infractions ».
Exemples de comportements suspects
L’arrêt du Conseil d’État donne plusieurs exemples de comportements suspects qui vont susciter la curiosité des agents.
En quête d’une activité possiblement occulte, le fisc regardera « la mise en ligne par un utilisateur non professionnel, lors d'une même journée, d'un nombre d'annonces d'une certaine catégorie supérieur à un seuil déterminé ».
Pour les indélicatesses avec la domiciliation fiscale, le fisc définit cette fois « des indicateurs de lieux géographiques à partir de contenus comme des écrits, des images, des photographies, des sons, des signaux ou des vidéos, croisés avec des bases de données de lieux géographiques et des moteurs de recherche spécialisés dans l'identification des lieux correspondant à des images ».
Ensuite, il collecte « les données susceptibles de caractériser une localisation géographique rattachée à une personne physique identifiée », parmi celles figurant sur une liste préalablement déterminée par l'administration fiscale à l’aide du traitement « ciblage de la fraude et valorisation des requêtes ».
- Contre la fraude fiscale, toute la population française sous l’œil du « datamining » CFVR
- En 2020, montée en puissance des contrôles fiscaux ciblés par data mining
S’agissant des douanes, les activités et autres transactions commerciales suspectes sont identifiées à partir des données de contenus, en particulier les photographies des produits proposés, les données d'expédition, et les mesures d'audience de la page, l'ancienneté et l'activité du profil.
Demandant aux administrations, sous le contrôle de la CNIL, « de veiller à la spécificité, à la fiabilité et au caractère non discriminatoire des modèles, des indicateurs et des critères de pertinence validés à la clôture de la phase d'apprentissage et de conception et mis en œuvre en phase d'exploitation », il considère qu’il n’y a aucune collecte généralisée et indifférenciée de données à caractère personnel.
Il rejette en conséquence la requête de la Quadrature du Net.
Commentaires (8)
#1
Pour ceux qui manquent de temps, l’actu résumée en un tweet.
#1.1
“Tout le monde” est une cible
#1.2
N’étant ni une caméra de surveillance ni une base de données, manquant de temps (en plus) j’aurais bien aimé avoir accès à votre tweet.
Sans commenter, juste lire les infos dont j’ai besoin, est ce possible ?
A la liberté de la presse, merci.
#2
S’il n’y a pas de reconnaissance faciale, il suffit d’utiliser un compte non nominatif comme la plupart des utilisateurs
#3
Donc si les plateformes augmentent la portée de leur “login wall”, ils arrêtent de collecter, même si leur accès via API fonctionne toujours ? J’ai un doute…
Sinon il y a comme toujours un mélange entre surveillance et collecte.
Pour moi, il y a surveillance généralisée via un algorithme : même si certains champs peuvent être exclus, quand il s’agit de texte, il faut bien le récupérer d’abord, et l’analyser pour déterminer s’il contient des données sensibles.
#4
Pour rappel, “il doit s’agir de contenus librement accessibles sur un service de communication au public en ligne d’une des plateformes précitées, à l’exclusion donc des contenus accessibles seulement après saisie d’un mot de passe ou après inscription sur le site en cause” avait dit le CC, dans une réserve d’interprétation (qui s’impose à tous).
#4.1
Ce que je voulais dire, c’est que je doute qu’ils vérifient activement que tout ce qu’ils récupèrent via l’API est accessible sans compte.
Il peut également y avoir des limites implicites (par IP) pour l’activation du “login wall”, ce qui peut compliquer la vérification.
#5
Un autre problème est aussi l’aggrégation de sources multiples (et de comptes multiples) sur plusieurs plateformes reliée (par eux) à une seule personne physique alors que cette dernière justement peux, et ce n’est pas interdit, souhaiter avoir plusieurs “profils” sur ces services privés - Facebook c’est pas France Connect.
La question comme toujours sur ce genre de collecte c’est pas ce qu’on en fait aujourd’hui.
C’est ce qu’on en fera demain lorsque les lois auront changés et qu’on pourra “remonter” dans le temps pour trouver des cibles.
Aujourd’hui , on reste assez libre de ses opinions, de ses orientations sexuelles , de ses faits & geste privés en France, malgré des restrictions qui vont grandissant lorsque cela touche la sphère publique.
Je pense que l’IVG aux USA a montré , brutalement, que même dans la sphère privé les choses peuvent changer en une nuit, et qu’une nouvelle chasse aux sorcière pouvaient commencer même dans un pays qu’on considère démocratique.
Demain , avec l’augmentation de la précarité énergétique & alimentaire, pourquoi ne pas imaginer une stigmatisation des gens qui prônent et diffusent de la connaissance (ex: chaine l’archi-pelle) sur l’autonomisation des foyers sous prétexte d’égoïsme et d’absence de solidarité , un peu comme les écolo (radicaux) sont moqués aujourd’hui.
Et là, les données passés seront passés au peigne fin .