En commission des finances, encadrer #BigBrotherBercy plutôt que le supprimer

En commission des finances, encadrer #BigBrotherBercy plutôt que le supprimer

Bercy, patron

Avatar de l'auteur
Marc Rees

Publié dans

Droit

07/11/2019 9 minutes
9

En commission des finances, encadrer #BigBrotherBercy plutôt que le supprimer

Dans une phase préparatoire à l’examen en séance, plusieurs amendements ont été adoptés pour réduire la voilure de la collecte de masse voulue par Bercy et les Douanes. Le gouvernement entendait avancer de deux pas. La commission des finances a préféré reculer d’un. Au final, cependant, la brèche est bien ouverte.

Hier, les députés réunis en commission des finances ont adopté une série d’amendements pour apporter un soupçon de proportionnalité au texte gouvernemental. Pour rappel, l'article 57 du projet de loi de finances entend autoriser le fisc et les Douanes à collecter massivement des informations accessibles sur les réseaux sociaux, mais également les plateformes de vente comme LeBonCoin.

Tous les députés, peu importe leur couleur, ont partagé le constat que le texte défendu par Bercy allait beaucoup trop loin. Mais au lieu d’adopter les amendements de suppression déposés notamment par des élus LR et PS, la commission des finances a préféré introduire plusieurs limites à l’appétit du gouvernement.

« L’administration procède déjà à de nombreuses recherches de renseignements sur Internet. Des recherches effectuées par des êtes humains. La différence de cet article est que cette recherche sera effectuée par des robots et des algorithmes » a tenté de minimiser le rapporteur général, Joël Giraud (LREM).

« Elle a déjà le droit d’utiliser des données personnelles publiques et heureusement ! Il s’agit de savoir comment collecter ces données et sous quelle proportionnalité, entre la lutte contre la fraude et la protection de la vie privée » a-t-il poursuivi. En dernière ligne droite, « un dialogue constructif a été engagé avec le gouvernement, dialogue qui n’avait pas forcément eu lieu auparavant ».

D'ailleurs, « le gouvernement aurait pu passer par un texte autre qu’une loi », a-t-il ajouté, expliquant que le choix législatif avait été motivé par la volonté de recueillir l’avis du Parlement. Cette petite phrase est en lien direct avec l’avis du Conseil d’État, révélé dans nos colonnes, qui a justement pointé qu’une loi n’était pas nécessaire pour une telle collecte, la loi de 1978 et le RGPD pouvant assurer la protection des données personnelles. Au passage, le rapporteur général du budget a refusé de révéler cet avis aux députés, assurant ne pas en avoir le droit...

Limitation des infractions justifiant la collecte de masse

Philippe Latombe, rapporteur pour avis auprès de la commission des lois, a répété vainement les critiques déjà adressées en fin de semaine dernière. Un article 57 présenté sans étude d’impact. De nombreuses inconnues sur la surface de contrôle, les données collectées, les gains espérés. Un fort doute sur la proportionnalité des moyens vis-à-vis des finalités. « Malgré les propositions de bornages, on ne sent pas que ce dispositif permette d’assurer la protection des citoyens ».

Plutôt que d’évacuer cet article, la commission des finances, poussée par le rapporteur général et les députés LREM, a préféré tenter de trouver le « bon équilibre » entre respect de la vie privée et lutte contre les infractions.

La commission des finances a ainsi adopté l’amendement 1518 du rapporteur général pour resserrer les finalités de la collecte. Si la CNIL avait été très critique sur les largesses gouvernementales, les députés ont restreint ce champ « à la recherche des activités occultes et des domiciliations fiscales frauduleuses ».

Cette restriction permettrait aux yeux du rapporteur de limiter le champ aux infractions les plus graves. « A contrario, cela permet d’exclure du champ de l’expérimentation 97 % des manquements fiscaux concernant les impositions donnant lieu à des obligations déclaratives ».

« Sur la période 2015 à 2018, détaille-t-il, l’activité occulte représente en moyenne 1,8 % des redressements effectués. Par ailleurs, il y a en moyenne 160 à 170 contrôles fiscaux externes par an qui portent sur une domiciliation fiscale frauduleuse à l’étranger d’une personne physique ».

De même, le dispositif a été recentré également sur les délits douaniers, écartant certaines peines contraventionnelles jusqu’alors intégrées. Notons que les députés LREM ont fait adopter un amendement identique

Les photos diffusées sur Instagram intéressent Gérarld Darmanin

En  pratique, seuls le trafic de marchandises prohibées comme les cigarettes, l’activité professionnelle non déclarée et la domiciliation fiscale frauduleuse pourront justifier le déploiement de l’intelligence artificielle sur les réseaux sociaux et les plateformes de vente (marketplaces, LeBonCoin, etc.). 

 Gérald Darmanin revient sur ce point dans le Figaro :

« Si vous déclarez que vous n’êtes pas résident fiscal en France et que vous postez à longueur d’année sur Instagram des photos prises en France, il peut y avoir un problème. Je suis d’ailleurs parfois choqué des comportements de certains contribuables très fortunés, qui profitent des services publics et de la République mais ne sont pas domiciliés en France. Et, jusqu’à présent, les contrôles de domiciliation fiscale sont réalisés en quantité trop homéopathique. L’IA nous permettra de les systématiser et, grâce aux données de géolocalisation, de savoir s’ils ont passé moins de six mois en France ».

De même, comme l’avait proposé le député Latombe, la collecte ne pourra porter que sur les contenus « manifestement rendus publics » par les utilisateurs. Est repris ici, un bout de phrase issu de l’article 9 du RGPD.

De fait, par cette précision, le fisc et les douanes gagnent surtout un important bouclier. Ils pourront sans risque collecter accidentellement des données sensibles, celles portant sur les opinions syndicales, religieuses ou politiques voire les orientations sexuelles. Pourquoi ? Car le RGPD interdit en principe cette collecte, sauf lorsque ces informations ont été… « manifestement rendues publiques » par les personnes physiques.

Pas de sous-traitance, pour l'instant

Un autre amendement, qui avait été porté par Philippe Latombe en commission des lois, a été repris par le rapporteur général. Les données à caractère personnel ne pourront faire l’objet d’une opération de traitement et de conservation de la part d’un sous-traitant. Bercy et les Douanes ne pourront donc déporter ces actes sur les épaules d’une société privée.

Dans Le Figaro, Gérald Darmanin a indiqué que « l’expérimentation sera gérée en interne et il n’y aura pas d’externalisation à une entreprise privée, j’en donnerai si besoin la garantie aux députés ». Toutefois, cette garantie ne vaut que pour l’expérimentation. Quid d’au-delà ? « Quand bien même nous externaliserions, ajoute-t-il, nous garderions à l’esprit la nécessité de souveraineté en matière de stockage des données dans le cloud français ».

Des données sensibles effacées au bout de 5 jours

Le groupe LREM a aussi fait adopter cet amendement qui contraint le fisc et les douanes à supprimer les données sensibles dans les cinq jours de la collecte. « Les autres données devront être analysées au maximum dans un délai de trente jours et détruites si elles n’apparaissent pas pertinentes. A l’issue de ce second tri, seules les informations utiles à la recherche des agissements (...) pourront être conservées et exploitées par les agents de l’administration fiscale ou douanière ».

Le rapporteur pour avis, Philippe Latombe, a vigoureusement contesté ce stockage sur 5 jours des opinions politiques, des orientations sexuelles, de l’appartenance syndicale, etc. Il a considéré que le RGPD exige une suppression immédiate. En vain.  

Autre adoption : seules les données « strictement nécessaires » seront conservées au-delà de 30 jours, non plus celles « de nature à concourir » à la constatation d’un manquement fiscal ou d’une infraction douanière. 

Avec l’amendement CF1378, le groupe LREM a fait préciser que lorsque des indices établissent que la personne a pu commettre un manquement, ces informations sont transmises aux services compétents pour « pour corroboration et enrichissement ».

Ce n’est que dans le cadre d’une procédure fiscale ou douanière, si elle est ouverte, que ces données pourront alors lui être opposées dans le respect du contradictoire. Le point, qui n’avait pas été prévu jusqu’alors, est en réalité influencé par le RGPD, lequel interdit en principe qu’une décision ne soit fondée que sur une seule procédure entièrement informatisée. 

Le rapporteur Latombe souhaitait que seules les données mises en ligne par la personne concernée puisse être exploitées, afin d’éviter l’exploitation des tags et autres commentaires de tiers. Le rapporteur général n’a pas été de cet avis. « Cela voudrait dire que si on veut échapper à la détection, on pourrait demander à un tiers de promouvoir son activité occulte. Cette proposition dénature le dispositif au point de le rendre inefficace ».

Un décret mieux cadré, un bilan d'étape dans les 18 mois

Par contre, il a fait adopter son amendement de cadrage. Le décret d’application devra préciser « en particulier les conditions dans lesquelles la mise en œuvre des traitements (…) est, à toutes les étapes de celle-ci, proportionnée aux finalités poursuivies et les données collectées sont adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou non excessif. »

Enfin, le groupe LREM a imposé la publication d’un rapport intermédiaire 18 mois après la mise en œuvre de la collecte. Il sera ponctué par un bilan définitif dans les trois ans. Les documents seront adressés au Parlement et à la CNIL.

Au cours de cette première phase dite d’apprentissage, avant donc la mise en production, « un algorithme auto-apprenant sera développé afin de déterminer des indicateurs permettant de cibler les infractions visées par le dispositif, sur la base d’une base de données anonymisées ».

9

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Limitation des infractions justifiant la collecte de masse

Les photos diffusées sur Instagram intéressent Gérarld Darmanin

Pas de sous-traitance, pour l'instant

Des données sensibles effacées au bout de 5 jours

Un décret mieux cadré, un bilan d'étape dans les 18 mois

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (9)


Si ça passe ça va être une usine à gaz qui va aspirer tout et n’importe quoi, et ça va finir en flicage généralisé, bien loin du but initialement annoncé.

Je ne peux m’empêcher d’y voir une forme de PRISM à la française, utilisant la fenêtre de l’impôt comme prétexte. Excepté qu’ils ne feraient que recueillir des données disponibles publiquement… pour le moment.


Il y a une chose qui m’intrigue sur tout cette histoire de collecte. Comment ils peuvent lier un compte sur une app qui utilise des nickname avec une personne physique ? Si MoneyIsAwesome99 poste une photo de Paris sur Instagram comment savoir que c’est Jean Duchmol domicilié au USA ? Sans avoir le mail, qui n’est pas  « manifestement rendus publics » sur ces plateformes, ca me semble hasardeux. 


Mmmhh, quelle douce saveur de dérive autoritaire !



25ans de dérive progressive, on touche bientôt au but <img data-src=" />








sarbian a écrit :



Il y a une chose qui m’intrigue sur tout cette histoire de collecte. Comment ils peuvent lier un compte sur une app qui utilise des nickname avec une personne physique ? Si MoneyIsAwesome99 poste une photo de Paris sur Instagram comment savoir que c’est Jean Duchmol domicilié au USA ? Sans avoir le mail, qui n’est pas  « manifestement rendus publics » sur ces plateformes, ca me semble hasardeux.







Je crois que tu as connu le web il y a plusieurs années… Maintenant sur FB (que je n’ai pas) tu dois donner ton vrai nom et prénom, et tu peux lier tes comptes “sociaux” avec. Et puis les “digital natives” laissent leur traces et leurs noms partout, question d’habitudes.



Bref, de l’aveu d’un ami à moi enquêteur, c’est presque trop facile de trouver un compte avec un vrai nom et ensuite de remonter les pseudos. Le tout sans rien demander à personne. Quand il a suffisamment de matière, il passe à des requêtes formelles pour avoir des infos que tu n’as pas.







Furanku a écrit :



Si ça passe ça va être une usine à gaz qui va aspirer tout et n’importe quoi, et ça va finir en flicage généralisé, bien loin du but initialement annoncé.

Je ne peux m’empêcher d’y voir une forme de PRISM à la française, utilisant la fenêtre de l’impôt comme prétexte. Excepté qu’ils ne feraient que recueillir des données disponibles publiquement… pour le moment.





Surtout quand on sait que l’on fait appelle aux américains pour traiter les données pour le terrorisme, je doute que quoi que soit soit adapté à Bercy pour gérer un truc. Et les données seront transmises à des entreprises privées qui vont faire payer ça une fortune, et dont personne n’osera demandé si elles les conservent ou non.









linkin623 a écrit :



Je crois que tu as connu le web il y a plusieurs années… Maintenant sur FB (que je n’ai pas) tu dois donner ton vrai nom et prénom, et tu peux lier tes comptes “sociaux” avec. Et puis les “digital natives” laissent leur traces et leurs noms partout, question d’habitudes.



Bref, de l’aveu d’un ami à moi enquêteur, c’est presque trop facile de trouver un compte avec un vrai nom et ensuite de remonter les pseudos. Le tout sans rien demander à personne. Quand il a suffisamment de matière, il passe à des requêtes formelles pour avoir des infos que tu n’as pas.&nbsp;





Oui mais leur truc c’est quand même supposé track tout le monde. Si il suffit d’utiliser une adresse mail différente et ne pas lier ses comptes ça ne va pas être bien dur à esquiver. Et si je n’ai pas de mal à croire qu’un enquêteur puisse relier different compte j’ai plus de mail à le croire pour une “IA” qui n’a accès qu’au donnés publiques.





Gérald Darmanin revient sur ce point dans le Figaro&nbsp;:

&nbsp;« Si vous déclarez que vous n’êtes pas résident fiscal en France et

que vous postez à longueur d’année sur Instagram des photos prises en

France, il peut y avoir un problème. Je suis d’ailleurs parfois choqué

des comportements de certains contribuables très fortunés, qui profitent

des services publics et de la République mais ne sont pas domiciliés en

France. Et, jusqu’à présent, les contrôles de domiciliation fiscale

sont réalisés en quantité trop homéopathique. L’IA nous permettra de les

systématiser et, grâce aux données de géolocalisation, de savoir s’ils

ont passé moins de six mois en France&nbsp;».





Si Darmanin était ministre à Bercy, il connaîtrait (et appliquerait) le principe del’imposition universelle <img data-src=" />


[Monsieur Darmanin,



Les très riches, dont pour la masse vous faites partie, que vous mentionnez sont d’ores et déjà connus et leurs méthodes de fraude d’optimisation fiscale aussi.

Il est donc bien évident que l’objectif n’est pas d’aller ennuyer ces (ses ?) amis.

Ainsi, je vous prie donc de cesser de prendre le larron pour un con. Et, invite par la même occasion ces personnes à qui les impôts posent problème d’utiliser la solution légale, et de plus en plus courante au sein de la “populasse”, suivante : avoir un revenu de misère qui les en exonérera d’office.



Voilà, je retourne justifier l’obole, généreuse aux dires de mes patrons, qui m’est versée et grâce à laquelle aucun sou ne rentre dans votre poche par le biais dont il est question ici.]



Oui, ça fait du bien… <img data-src=" />





le rapporteur général du budget a refusé de révéler cet avis [du Conseil d’Etat] aux députés, assurant ne pas en avoir le droit…



C’est concept, ça…


C’est vrai pour du traitement individuel pas pour du traitement de masse. Et pour ce qui est des vrais noms sur les réseaux sociaux…. je sais pas si le tiers de mes contacts a son vrai nom même ma mère utilise un pseudo sur facebook&nbsp;<img data-src=" />