Data mining : comment la commission des lois veut encadrer #BigBrotherBercy

La DG flippe ? 12
Accès libre
image dediée
Crédits : Marc Rees (CC-BY-SA 3.0)
Loi
Marc Rees

C’est une procédure inhabituelle qui a rythmé pour la première fois l’examen du projet de loi de finances pour 2020. La Commission des lois s’est saisie de l’article qui veut armer le fisc et les douanes du pouvoir d’aspirer l’ensemble des sources ouvertes sur les réseaux sociaux et les plateformes de vente. Compte rendu.

L’article 57 du « PLF », révélé dans nos colonnes le 27 septembre, envisage d’autoriser les douanes et le fisc à collecter l’ensemble des données publiques diffusées sur Twitter, LeBonCoin, LinkedIn, Viadeo, YouTube, Dailymotion, Facebook ou encore eBay. À l’aide de data mining et autres algorithmes auto-apprenants, les administrations concernées comptent repérer des indices de fraudes ou commerces illicites, en aspirant et traitant des masses incalculables d'informations.

Le texte a été déposé par le gouvernement sans étude d’impact, noyé dans la masse des autres dispositions de l’épais projet de loi. On ne sait donc ce que prépare très exactement l’exécutif, ni les coûts ou les espoirs en termes de recouvrement. Une certitude, la CNIL a été très critique.

Saisie en urgence, à la fin de l’été, elle a relevé qu’un tel mécanisme engendrait une « forme de renversement des méthodes de travail des administrations » puisque serait chaluté un océan de données pour concentrer les enquêtes futures. 

Cette collecte massive, assumée dans ces termes par l’exécutif, pourra théoriquement ne pas faire dans la finesse et collecter, au fil des photos, des likes, des commentaires et autres publications, des opinions religieuses, politiques, philosophiques, syndicales, des orientations sexuelles, bref des pans de vie privée de millions d’habitués de ces sites.

Collecte de masse, inquiétudes généralisées

Hier, les députés réunis au sein de la commission des lois ont démultiplié les critiques et inquiétudes. Le rapporteur Philippe Latombe (MoDem), rapporteur désigné pour l’occasion, a révélé avoir demandé à la direction générale des finances publiques si elle avait opéré une analyse comparative avec les systèmes en vigueur au Royaume-Uni, aux États-Unis ou au Canada. Aucune réponse ne lui a été transmise.

Plusieurs parlementaires, dont Ugo Bernalicis se sont engouffrés dans un angle sociologique : jamais les grands fraudeurs ne s’afficheront en photo sur Facebook avec voitures de luxe et autres luxuriants palaces. La mécanique est donc taillée pour renifler des indélicatesses fiscales et douanières de bien moindres envergures.

Par ailleurs membre de la CNIL, le député Philippe Gosselin (LR) a rappelé « l’ardente obligation » au terme de laquelle « nul ne doit se soustraire à ses obligations fiscales ». « Cela ne fait aucune contestation, mais la fin ne justifie pas tous les moyens. Pour être en sécurité, on pourrait vouloir supprimer toutes les libertés individuelles, mais pour gagner l’un, on pourrait bien perdre l’autre ». 

Le mécanisme est prévu pour être testé sur trois années, mais « on sait très bien que des expérimentations ont vocation à perdurer ». Toujours selon le parlementaire, cette mise sous surveillance vient d’une certaine manière renverser la charge de la preuve. « Avant même qu’une infraction ait pu être identifiée, il faut accumuler le cas échéant des éléments qui pourraient ensuite servir dans le cadre d’échange avec le fisc. C’est un peu fort de café ». Les mots sont bruts : « suspicion », « flicage de la société », et ce membre de la CNIL de rappeler les principes de proportionnalité et de finalité chers au RGPD.  

La députée Cecile Untermaier (PS) s’est aussi focalisée sur les questions éthiques. « La collecte massive des données auprès d’une grande partie de la population porte manifestement atteinte à la vie privée (…) tout propos que nous pourrions tenir serait confisqué par l’administration fiscale ». Arnaud Viala (LR) s’est souvenu que voilà quelques mois, l’Assemblée nationale débattait d’une société de confiance entre l’administration et les administrés. Une confiance aujourd’hui balayée avec une telle « arme disproportionnée ».

Est-ce bien nécessaire ? 

Aucun camp n’a plébiscité l'outil que portent la DGFIP et les douanes en leur ventre. Dans son rapport en gestation, Philippe Latombe souligne comme la CNIL « le changement des méthodes de lutte contre la fraude fiscale et douanière qu’induit l’article 57, en ouvrant la voie à la collecte massive et indiscriminée de données sans suspicion préalable, en vue de cibler des contrôles ultérieurs ». Il rappelle les bons résultats des services fiscaux, chiffre à l’appui :

« De nombreuses dispositions ont été prises au cours des dernières années en faveur de la lutte contre la fraude fiscale et douanière, améliorant considérablement l’efficacité de cette lutte. La semaine dernière, le Gouvernement a indiqué avoir engrangé 5,6 milliards d’euros de recouvrement d’impôts sur les neuf premiers mois de l’année 2019, contre 4 milliards d’euros sur la même période en 2018, grâce aux nouveaux outils de contrôles ciblés donnés à l’administration. L’administration fiscale aurait récupéré près de 640 millions d’euros grâce aux seules techniques existantes d’exploration des données déclaratives à sa disposition, en particulier le CFVR. Dans ces conditions, est-il justifié d’étendre encore davantage le champ des mesures d’investigation à la disposition des services fiscaux et douaniers, alors que plusieurs ont été récemment prises et commencent seulement à produire leurs effets ? »

Autre remarque piquante : les technologies qui seront susceptibles d’être utilisées ne sont pas détaillées. Du coup, impossible pour le législateur d’apprécier l’exacte ampleur des mesures invasives.

Dans un premier temps,  il plaidait comme d’autres élus la suppression pure et simple de l’article 57. En dernière ligne droite, le gouvernement a fait passer le message : il est prêt à lâcher du lest et accepter un encadrement de cette surveillance électronique de grande ampleur.

C’est suite à ce revirement que le député Latombe a retiré son amendement de mise à mort pour faire adopter une série d’autres rustines bornant cette collecte. En commission des lois plusieurs ont été déposées. Seuls sept ont été adoptées.

Les réseaux sociaux mis hors du cadre

Ainsi, les députés ont, à l’initiative du rapporteur, limité la surface de collecte aux seules plateformes « dont l’activité repose sur la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un bien ou d’un service ». Les échanges de contenus numériques sont désormais hors champ, et donc les réseaux sociaux, mais non les places de marché ou les sites de ventes entre particuliers.

Autre chose, la commission des lois ne veut pas que les données puissent faire l’objet de sous-traitance. Si la solution est retenue en séance, Bercy et les Douanes devront gérer leur appétit en interne, ce « afin de renforcer la sécurité des traitements envisagés et compte tenu du volume et de la sensibilité des données susceptibles d'être collectées ». 

De même a été adopté un amendement pour s’assurer que le décret d’application imposera le principe de proportionnalité à toutes les étapes du traitement, « non seulement au cours de la phase de leur développement, mais aussi de celle de leur utilisation opérationnelle s’agissant d’algorithmes auto-apprenants ». 

Enfin, il a été décidé d’accélérer le rythme des évaluations, en pratique chaque année à chaque dépôt de projet de loi de finances, ainsi « la CNIL pourra faire usage de son pouvoir de contrôle approfondi et préconiser toutes les mesures correctrices qu’elle jugera utiles ». 

Mais un encadrement limité 

D’autres n’ont pas connu le même sort. A été rejeté l’amendement de Philippe Latombe qui entendait limiter aux seules données « strictement nécessaire », celles pouvant être conservées jusqu’à un an après collecte.

En l’état, le texte autorisera Bercy à conserver durant cette période toutes celles « de nature à concourir » aux objectifs de lutte contre la fraude. Les autres seront soient conservées pour les besoins des procédures ou effacées dans les 30 jours. Mais comme Bercy est maitre de cet aiguillage, on peut craindre qu’une quantité de données soient conservées durant l’année. D’ailleurs l’amendement qui espérait une suppression « sans délai » des données inutiles a été repoussé

Le même député souhaitait que seules puissent être exploitées les données « manifestement rendues publiques par la personne concernée et se rapportant à elle ». Une manière d’éviter tout chalutage de trop grande ampleur. Mais la rustine a elle aussi été poussées aux oubliettes.

Nous publierons sous peu une longue interview du rapporteur Philippe Latombe. 


chargement
Chargement des commentaires...