Lors de la refonte du fichier des comptes bancaires (Ficoba), Bercy a voulu le transformer en fichier des opérations bancaires, qui lui aurait permis d’accéder en temps réel à nos relevés de compte. Un projet finalement bloqué par la Dinum, faute de base légale.
Dans la grande famille des fichiers, Ficoba est l’un des plus anciens. Ce FIchier des COmptes Bancaires et Assimilés liste, depuis 1971, tous les comptes ouverts en France : comptes courants, comptes d'épargne, comptes-titres… Il contient environ 800 millions de références de comptes dont 300 millions d’actifs. Les informations sont conservées durant toute la durée de vie du compte et pendant 10 ans après sa clôture.
Ficoba est un mastodonte que doivent nourrir toutes banques et qui est régulièrement consulté par de nombreux organismes : sécurité sociale, fisc, douane, enquêteurs judiciaires, notaires en charge d’une succession, banques, huissiers, TRACFIN. Au total, il y a eu pas moins de 41 millions de consultations en 2020. Le fichier est obsolète. Ainsi dans un récent référé, la Cour des comptes regrettait que le Ficoba, à cause de son obsolescence technique, ne soit pas assez utilisé par les organismes sociaux pour lutter contre la fraude à l’identité.
Le Ficoba ne contient que des informations sur les titulaires et bénéficiaires des comptes : rien sur les opérations effectuées sur les comptes ou sur le solde. Si le fisc ou la police veut en savoir plus, ils doivent passer par des réquisitions spéciales aux banques. C’est apparemment trop limité et trop compliqué pour Bercy.
Bercy voulait intégrer les opérations bancaires au Ficoba
Une refonte de Ficoba, intitulée Ficoba 3, est actuellement en chantier depuis 2020. L’objectif : mettre à jour technologiquement l’outil qui commence à dater, améliorer l’ergonomie et inscrire de nouveaux produits financiers (comme les coffres-forts) et de nouvelles données (noms des bénéficiaires effectifs et des mandataires) comme le prévoient des directives européennes. Un projet évalué à 17,4 millions d’euros, financé par le FTAP 2 à hauteur de 7,8 millions d’euros et qui devrait s’étaler jusqu’à 2024, selon ce document mis en ligne par le journaliste Emile Marzolf.
Mais un courrier adressé en septembre 2021 par Bercy à la Direction du numérique, qui est chargée de rendre un avis sur les grands projets informatiques, nous permet d’en savoir plus. Le ministère de l’Économie et des Finances y indiquait qu’il y avait d’autres buts à la refonte du Ficoba : « Les objectifs du projet Ficoba 3 sont également de préparer, de par son architecture, les étapes suivantes : a) intégrer les opérations effectuées sur les comptes bancaires ; b) évoluer et devenir le référentiel des comptes bancaires de la DGFiP. »
Le directeur interministériel du numérique, Nadi Bou Hanna, va bloquer sur ce point. Transformer un fichier des comptes bancaires en relevé de toutes les opérations bancaires serait une modification massive du Ficoba. Cela reviendrait à donner ces informations en temps réel au fisc, aux services de renseignement et à un tout un tas d’organismes. De quoi nourrir le data mining de Bercy, de plus en plus mis en avant dans la lutte contre la fraude fiscale.
La Dinum note que concernant les nouvelles exigences européennes, « les principales mesures attendues (intégration des coffres-forts, des bénéficiaires effectifs et des mandataires par exemple) ont d’ores et déjà été embarquées dans les évolutions en cours de Ficoba 2. »
Surtout l’intégration des soldes de comptes bancaires et à terme les opérations effectuées sur ces comptes bancaires serait « une évolution fonctionnelle très significative de Ficoba, passant d’une gestion des données de référence statiques à une gestion des données dynamiques très sensibles ».
Mais « les cas d’usage de ces soldes et de ces opérations ne sont pas détaillés et leur conformité avec le cadre juridique actuel ne me paraissent pas suffisamment solides ». La DINUM n’a notamment pas trouvé trace « de débats parlementaires permettant d’autoriser ces évolutions substantielles ». Afin de sécuriser le projet, il conviendrait que Bercy s’assure « de leur conformité auprès des instances compétentes, en premier lieu la CNIL, avant de débuter les travaux de réalisation ».
Les éléments fournis par Bercy ne permettent pas à la Dinum de conclure à la « conformité juridique indispensable du périmètre fonctionnel additionnel de constitution d’un référentiel porté par la DGFIP des soldes et des mouvements des comptes bancaires des entreprises et des particuliers ». En conséquence, son avis conforme est défavorable pour cette partie du projet.
Pour le reste, l’avis de la Dinum à Ficoba 3 est favorable, moyennant d’autres demandes, comme celle de permettre le partage des RIB avec plusieurs administrations via FranceConnect, le renforcement de l’approche « données » du projet, le resserrement du pilotage du projet et le fait de mener une réflexion en faveur de la cloudification du Ficoba (qui devrait rester hébergé à la DGFIP).
Bercy, qui n’a pas souhaité répondre à nos questions, semble pour l’instant avoir abandonné son projet fou. La dernière version de son cahier des charges (le .pdf du cache de Google, le fichier ayant été effacé suite à la publication de notre article, ndlr) ne mentionne plus le fait que le Ficoba 3 intégrera les soldes et les opérations bancaires.
Une présentation faite à l’association des marchés financiers en mars 2022 évoque uniquement « un cadre légal évolutif permettant de stocker de nouvelles données », mais rien de précis concernant l’inclusion des soldes et des opérations. En bref, il faudra changer la loi avant de changer le Ficoba.
Commentaires (55)
#1
Ajouter les opérations bancaires seraient désastreux quant au respect à la vie privée. On pourrait connaitre :
Et ça, c’est pour ne citer que des éléments que le RGPD qualifie de sensible. Il y a bien d’autres informations qui pourront être très utiles pour détermine le profil d’une personne (abonnement à la salle de sport, les courses au marché ou chez Lidl, les associations à laquelle la personne adhère, et la liste est encore longue…
On peut me retorquer que certaines dépenses sont faites pour les autres (notamment les enfants). C’est vrai, mais dans ce cas, cela reste généralement quand même dans un cercle familial ou très proche.
#1.1
Après pour le reste, le secret bancaire, c’est bien.
#1.2
Certes, mais :
Qu’un organisme comme la sécu connaissent les informations de santé, c’est une chose. Qu’il puisse en être de même pour tout un tas d’organismes, cela en est une autre… Et on peut tenir le même discours pour les partis
#1.3
Que la Sécu aie toutes les informations de santé, c’est un petit peu normal, on lui demande de payer. Mais elle ne va pas pour autant les filer au fisc (enfin, normalement).
Pour les donations, est-ce que ça s’applique aussi aux associations ou juste aux partis politiques ?
Enfin, un objectif non avoué d’une telle collecte est de donner à Bercy une vision directe de ce qui se passe sur les comptes. À ce jour, quand une opération inhabituelle est réalisée, les banques ont l’obligation légale d’en informer Tracfin. Si Bercy récupère directement les données, ils peuvent faire ces contrôles directement, et notamment repérer que telle personne a fait, pendant telle période, un peu plus de retraits en liquide que d’habitude - ça cache peut-être quelque chose…
En bref, sur le principe, une très mauvaise idée du point de vue des libertés individuelles (ou alors ça va pousser encore plus de transactions hors du système bancaire - ce qui accentuera la lutte contre la circulation de l’argent liquide, déjà commencée), j’espère sans trop me faire d’illusions que, s’il était consulté sur le sujet, le Parlement ne validerait pas…
#1.5
Non, la Sécu n’a pas avoir les données de Santé, elles n’a qu’un rôle de paiement. Les données de Santé ne concernent que les professionnels de Santé et le patient.
Après, par la facturation elle peut en déduire des informations de santé (régime ALD, consultations chez tels spécialistes, etc …).
#1.6
Bien entendu que la sécu dispose de toutes nos données de santé au niveau macro (spécialistes consultés, type d’ALD, hospitalisation, médicaments, etc.)
#1.4
La sécu est une entité administrative différente de Bercy, ses fichiers ne sont (supposément) pas connectés avec ceux-là.
#1.7
Et donc ? Il faut aller au bout de ton commentaire… Tu ne veux pas l’as posté juste pour taper du texte sur NextInpact… Ça sous entend quoi ta réponse ? : “ben l’État a déjà accès à ça et ça comme données, donc pas la peine d’en faire tout un fromage s’ils veulent vraiment le reste”.
Ben non, je ne vois absolument aucune raison à part vivre dans un monde à la 1984 pourquoi l’État devrait avoir accès à la liste de toutes mes dépenses, qui sont de la sphère du privé (voir même de l’ultra privé, tout ceux qui sont en couple me comprendront…)
#1.8
D’où l’idée de conserver les chèques et les espèces.
#1.9
Qui sont pourtant amenés à disparaître…
Pour les espèces on ne garde que les petites coupures -de 50 par exemple.
#2
Effrayant, la fin ne justifie pas toujours les moyens. Étonnant que de tel projets puissent être seulement évoqués.
Les monnaies numériques ont de beaux jours devant elles.
#3
Ce fichier serait la cible parfaite de pirates… Nom, comptes, soldes, opérations bancaires, je lui donnerais pas une semaine sans qu’un groupe ait réussi à l’obtenir…
Vraiment une idée de merde…
Merci pour cet article très instructif en tout cas.
#4
Cela me rappelle “French Dystopie” écrite par Superflame en 2021
Si vous avez le temps, je vous recommande de l’écouter (une histoire parmi celles qu’il écrit pour le plaisir de nos oreilles)
Disponible sur YouTube ou sur la plate-forme Tellingtone
#5
Sérieux ??? Sans commentaire …
Je sent que je vais continuer de retirer de l’argent en liquide pour payer mes semaines quand je travail tant que ce sera possible
#6
Un projet évalué à 17,4 millions d’euros, financé par le FTAP 2 à hauteur de 7,8 millions d’euros et qui devrait s’étaler jusqu’à 2024.
Je suis toujours étonné par les sommes en jeu dans ce genre de grand projet de développement informatique. Est ce que quelqu’un a une idée de la répartition des coûts entre le matériel (serveur et autre infrastructure) et les salaires.
Car avec 17,4 M€, combien peut-on payer d’ingénieurs informaticiens (payé 10 k€ par mois) et pendant combien de temps ?
À mon avis, bien plus que nécessaire.
#7
De quoi nourrir le data mining du Bercy, de plus en plus mis en avant dans la lutte contre la fraude fiscale.
Comme si les plus gros fraudeurs (grosse fortune) allaient se faire attraper par quelque chose d’aussi basique. La lutte contre la fraude fiscale a bon dos.
#7.1
Je pense pareil et penserais plus aux contrôles sur le RSA et compagnie comme but https://www.rue89strasbourg.com/fraudes-au-rsa-la-chasse-aux-pauvres-sintensifie-201860
#7.2
le but n’est pas d’attraper les gros fraudeurs. Pour un requin, il y a des centaines de sardines. Sachant que les requins ont les moyens de se payer les conseils pour éviter les filets, et pas les sardines. Du coup, il est beaucoup plus simple et profitable de taper sur les petits, les sommes sont plus faibles mais ils sont plus nombreux. Il “suffit” d’avoir les données, et un datamining bien configuré.
#7.3
Comme on l’avait montré dans l’article cité, le datamining est la source de beaucoup de contrôle mais rapporte peu : les fraudes sont en effet simple (et relèvent parfois de l’oubli). Mais plus il y a de données, plus ça sera efficace. D’où la nécessité de nourrir la machine.
#8
En gros, le client (Bercy) demande un max (trop) pour se simplifier la vie en espérant que ça passe, et notre pays à des moyens de le lui refuser pour des raisons de vie privée. Et en plus nous, simples citoyens, en sommes informés par une presse indépendante.
Je trouve qu’on s’en sort pas mal sur ce coup, n’en déplaise aux critiques de la “France dictature”.
#9
Il faut mener aussi deux autres chantiers en parallèle:
Quand ce sera fait, inviter Sardine à Bercy pour gérer le bouzin.
#10
Non c’est les complémentaires santé qui sont seulement des payeurs. Quand la sécu paye un acte médical, un examen ou un médicament, elle sait exactement quel acte, quel examen ou quel médicament elle paye. Et les ALD son précisément définies (je crois qu’il en existe une trentaine).
#11
+1
PS: si un tel fichier voyait le jour, le nombre de paiements en liquide exploserait
#12
Une raison de plus pour avoir un compte à l’étranger comme N26 ou Revolut.
#12.1
Ben non, puisque tu es dans l’obligation fiscale de le déclarer … Ou alors tu “oublies” de le faire et tu participes à cette si fameuse fraude fiscale que tout le monde dénonce tant (mais bon on sait que ce sont toujours ces salauds de [ici tu y mets ceux qui t’énervent le plus] qui sont des fraudeurs hein ;-) ).
#12.2
Oublier de déclarer un compte à l’étranger n’est pas forcément de la fraude fiscale… juste un oubli. D’autant plus que ce compte figure déjà dans les fichiers de la DGFiP… donc pourquoi emmerder le contribuable avec un formulaire supplémentaire pénible à remplir ?
#13
#14
Tu peux très bien t’abonner à la salle de sport sans y aller pour brouiller les pistes
#15
Ben ouais quoi, sépalafotau petits la fraude … Le gars qui étouffe un RSA indû, l’artisan qui étouffe la TVA, etc etc… ca va, ca passe, c’est pas grave … quoique si c’est un malien qui abuse de la PUMA là c’est clairement un profiteur qui doit retourner chez lui hein …
La fraude et l’évasion (qui quoi qu’on en dise est le plus souvent bien légale … limite mais légale) doivent être combattues de la même façon “que vous soyez puissant ou misérable” n’en déplaise à Jean …
#16
C’est l’accord en genre et en nombre :
Une base sans son arrobase n’est plus qu’un FICOBA que les Basques arrosés s’arrogeaient.
Le serf sentant son euler venu ne pouvait donc s’encanailler de rester à moins deux.
L’histoire se termine en légapotes mais nul besoin d’un onglet pour terminer son repas. Le veau entier se validant en général.
#17
Ils le fournissent à qui, précisément ?
Non, pas toutes. La sécu gère l’aspect financier de la maladie, elle n’a pas les comptes-rendus de ton médecin, ou les analyses.
Et puis le fait qu’elles les ait ne justifie pas de les partager. Surtout avec Bercy, c’est dingue comme ce ministère essaye d’en savoir toujours plus sur notre vie privée ! Tout cela pour “lutter contre la fraude”, évidemment, what else.
Ce qui n’est pas rassurant, c’est que si ce projet est abandonné, nul doute qu’elle en a d’autres dans le tiroir. Le fait de scruter les transactions sur leboncoin, et de demander à Google qui a une piscine, ça date d’à peine quelques mois. Faisons leur confiance pour toujours trouver un autre projet liberticide.
#17.1
Les partis politiques et les candidats fournissent leurs listings de donateurs à la CNCCFP, qui est une autorité indépendante chargée de contrôler les comptes des partis.
Par contre, tout contribuable qui a fait un don et bénéficie d’une réduction d’impot doit être en mesure de fournir le reçu fiscal à l’administration, en cas de contrôle.
#17.2
L’association en question aussi, je suppose, un faux serait trop facile…..
#18
#19
La question qu’on devrait se poser, c’est pourquoi les comptes des responsables politiques ne sont pas publics ? Ils devraient bénéficier d’un unique compte plafonné réservé à leurs dépenses personnelles et familiales. TOUT LE RESTE devrait être public et analysable par tous.
Mais j’imagine qu’on va pas se bousculer à l’assemblée pour voter ça hein 😏
#19.1
Ils ont déjà du mal avec leurs assistants parlementaires….
#20
En quoi ça regarde le public le patrimoine d’un responsable politique (je ne parle même pas d’un élu)?
Ils sont déjà soumis à déclaration a la hatvp.
Mais perso, j’aurais pas envie qu’on publie l’état de mes investissement économiques.
Ou bien le politique est monsieur tout le monde sans patrimoine et ya rien a voir.
Ou bien ya du patrimoine voire de l’actif financier, pas de soucis avec la déclaration a la hatvp mais en public non.
#21
De toute façon tout ça n’est qu’une étape avant l’arrivée de l’Euro numérique.
Toutes les transactions seront tracées jusqu’au dernier centime.
La Chine est très fan.
Powered by Amazon en plus
#21.1
On y va tout droit: compte en banque obligatoire et carte nfc obligatoire avec lecteur sur smartphone et échange de smartphone à smartphone aussi bien sûr.
#22
#23
Et en contrepartie , aura-t-on accès aux comptes professionnels de tout les élus, membres du gouvernement et dirigeant de haute autorité?
#24
Toute une génération poste en temps-réel ce qu’il fait, achète, regarde, mange et dit sur les réseaux sociaux. Car, si tu ne fais pas cela, tu n’existes pas.
#24.1
Cette génération poste […] ce qu’elle dit sur ce qu’elle poste ?
Si l’héritage est obligatoire il n’est pas nécessairement hériditaire : d’où le malaise entre inspecteurs.
#25
ca se pourrait…
#25.1
Meh c’est le scénario de l’immaculé inception son titre !
Ce qui me rappelle que le diagnostique a été fait bien avant?wprov=sfti1" target="_blank">https://fr.wikipedia.org/wiki/Jusqu’au_bout_du_monde_(film,_1991)?wprov=sfti1) le prestige des no-lan ou de tonton Daniel.
#26
N’empêche que ça fait peur.
Si le directeur de la DINUM ne s’était pas ému de cette extension du projet, le projet aurait pu continuer tranquilou …. Et le flicage temps réel de nos mouvements bancaires aurait pu être mis en place par Big Fisc Brother, en mode furtif ?
#27
Alors que là, cette capture des transactions bancaires sera seulement mis en place par les banques, les GAFAM et la fintech. C’est nettement plus rassurant.
#28
Ben non. Les banques n’interconnectent pas leurs informations. Les GAFAM n’accèdent pas à mes transactions si je décide de ne pas les leur partager. Et la fintech non plus.
Libre à chacun d’exposer ce qu’il veut sur la place publique. Ce qui n’est pas acceptable, c’est de se voir imposer des restrictions de libertés individuelles.
#29
On n’a aucune idée de qui collecte/détient/revend nos informations de transactions bancaires.
Hier je me suis abonné à NXI et j’ai donc effectué une transaction “Pay Zen powered by Lyra”.
Qu’est ce que ce groupe fait des cette information ? Mystère.
#30
Plusieurs groupes non. Mais plusieurs banques et assurances ont un fond commun en plus des fichiers publics.
Quant aux méthodes de scoring il y a des boites privées spécialisées là dedans, au mépris des huissiers le plus souvent.
#31
Pourrais-tu activer les sous-titres stp ?
#32
A noter que c’est l’examen du projet par la DINUM, examen obligatoire pour tout projet émanant d’un ministère et supérieur à 5 M€, qui a levé le loup.
Cet examen est censé vérifier que le projet est correctement cadré, correctement budgeté et staffé, mais n’est pas censé regarder s’il respecte les données personnelles ou pas.
Autrement dit, il ne me parait pas admissible que le MINEFI ait pu monter un tel projet sans le soumettre à la CNIL. Dans l’autre sens, je ne comprends pas que la CNIL ne s’autosaisisse pas dès qu’elle entend parler d’une telle initiative.
PS : ne censurez pas Idiogène, c’est un peu de poésie surréaliste dans notre monde si cartésien …
#32.1
Ça donne un bel aperçu de l’état de la CNIL aujourd’hui…
#33
Oui, c’est ce que j’ai trouvé flippant. C’est presque un hasard que ce projet ait été bloqué. Ou alors des convictions du directeur de la dinum qui vont au-delà de son mandat administratif.
A moins qu’on considère que le risque politique d’échec du projet aurait été tellement élevé qu’il valait mieux l’arrêter dès le début, plutôt que de claquer des dizaines de meuros.
#34
Tema la taille du fichier