La surveillance fiscale et douanière des sources ouvertes sur les réseaux sociaux passe le cap du Conseil d’État. La juridiction vient de rejeter le recours intenté par la Quadrature du Net, contestant l’existence d’une surveillance généralisée et indifférenciée.
Derrière l'appellation « Big Brother Bercy », une expérimentation menée par les services fiscaux et les douanes imaginée à l’occasion de la loi de finances pour 2020. Ce test sur trois ans permet à ces deux administrations de collecter les données « librement accessibles » et rendues publiques sur Facebook, Le Bon Coin ou encore Twitter.
Objectif ? Détecter des indices de fraudes, comme la vente illicite de tabac et drogue, ou la domiciliation fictive à l’étranger pour évincer ses obligations fiscales en France.
Un décret est venu orchestrer deux phases dans cette expérimentation : une phase d’apprentissage pour développer les outils, suivie par une phase d’exploitation, pour les mettre en œuvre.
Un régime qui a suscité de lourdes critiques de la part de l’association La Quadrature du Net. Dans son recours, elle a dénoncé la mise en œuvre d’une surveillance généralisée et indifférenciée, autorisant les deux administrations à collecter massivement des données, les obligeant dans une seconde phase à purger celles sans rapport avec les infractions pénales recherchées.
Dans les filets du fisc et des douanes, des données personnelles, des données parfois même « sensibles » comme les orientations sexuelles, les opinions religieuses ou encore l’état de santé.
« Un tel dispositif affecte directement et gravement l’exercice des droits fondamentaux dans l’environnement numérique et les libertés individuelles en matière de traitement informatisé de données, exposant la population à une surveillance illégitime » avait égratigné la Quadrature du Net lors de son recours.
Une collecte qui ne porte pas « sur l'intégralité des contenus »
Quand la Quadrature dénonce une surveillance généralisée et indifférenciée, le Conseil d’État répond que la collecte autorisée par le décret attaqué « ne porte pas sur l'intégralité des contenus mis en ligne par un utilisateur mais fait l'objet de plusieurs restrictions ».
En somme, le juge administratif a pris au pied de la lettre cette expression pour en rejeter la réalité, mais sans définir le seuil à partir duquel une surveillance deviendrait disproportionnée.
Dans son arrêt rendu vendredi dernier, il a rappelé, à l’aide de la décision du Conseil constitutionnel, que la collecte ne porte que sur les données « librement accessibles » sur les plateformes, « à l'exclusion de contenus accessibles après saisie d'un mot de passe ou inscription sur le site ».
En outre, seules peuvent être aspirées (ou « scrapées ») les données qui se « rapportent à la personne qui les a délibérément divulguées ». Le décret d’application interdit ainsi de collecter les commentaires ou les autres interactions (« like », etc.).
De même, les identités d’emprunt ou les comptes « spécialement utilisés à cet effet par l'administration » sont prohibés, exception faite des « comptes destinés à être utilisés par l'intermédiaire d'interfaces de programmation mises à disposition par les opérateurs de plateforme ».
Enfin, la loi a interdit l’usage de la reconnaissance faciale.
Des garanties et des restrictions au champ des données
Pour rejeter les critiques de la Quadrature, le Conseil d’État relève que la phase d'apprentissage et de conception permet de « sélectionner des échantillons de données de taille limitée, selon le cas, d'entreprises, de personnes physiques ou de pages internet, dont l'ampleur ne doit pas dépasser ce qui est strictement nécessaire aux fins de développer les outils de collecte et d'analyse »
Après cette première étape, le fisc et les douanes vont « recueillir sur les plateformes les seules données d'identification et de contenus précisément énumérées par le décret se rapportant aux personnes ou aux pages relevant de ces échantillons »
Enfin, les deux administrations vont « en tirer des "indicateurs" ou des "critères de pertinence", comme des mots-clés, des ratios, ou des indications de dates et de lieux », susceptibles de caractériser l’une des infractions ou manquements recherchés.
En phase d’exploitation cette fois, les catégories de données seront collectées en suivant ces indicateurs et critères déterminés lors de la phase d’apprentissage, avec exclusion notamment des données sensibles.
Cet écrémage va « aboutir à des résultats identifiant des personnes physiques ou morales à l'égard desquelles pourrait peser un soupçon raisonnable de commission d'un manquement ou d'une infraction et de circonscrire la collecte sur les plateformes en ligne aux données les plus pertinentes pour la recherche de ces manquements et infractions ».
Exemples de comportements suspects
L’arrêt du Conseil d’État donne plusieurs exemples de comportements suspects qui vont susciter la curiosité des agents.
En quête d’une activité possiblement occulte, le fisc regardera « la mise en ligne par un utilisateur non professionnel, lors d'une même journée, d'un nombre d'annonces d'une certaine catégorie supérieur à un seuil déterminé ».
Pour les indélicatesses avec la domiciliation fiscale, le fisc définit cette fois « des indicateurs de lieux géographiques à partir de contenus comme des écrits, des images, des photographies, des sons, des signaux ou des vidéos, croisés avec des bases de données de lieux géographiques et des moteurs de recherche spécialisés dans l'identification des lieux correspondant à des images ».
Ensuite, il collecte « les données susceptibles de caractériser une localisation géographique rattachée à une personne physique identifiée », parmi celles figurant sur une liste préalablement déterminée par l'administration fiscale à l’aide du traitement « ciblage de la fraude et valorisation des requêtes ».
- Contre la fraude fiscale, toute la population française sous l’œil du « datamining » CFVR
- En 2020, montée en puissance des contrôles fiscaux ciblés par data mining
S’agissant des douanes, les activités et autres transactions commerciales suspectes sont identifiées à partir des données de contenus, en particulier les photographies des produits proposés, les données d'expédition, et les mesures d'audience de la page, l'ancienneté et l'activité du profil.
Demandant aux administrations, sous le contrôle de la CNIL, « de veiller à la spécificité, à la fiabilité et au caractère non discriminatoire des modèles, des indicateurs et des critères de pertinence validés à la clôture de la phase d'apprentissage et de conception et mis en œuvre en phase d'exploitation », il considère qu’il n’y a aucune collecte généralisée et indifférenciée de données à caractère personnel.
Il rejette en conséquence la requête de la Quadrature du Net.
