Datamining et contrôle fiscal quelles garanties pour le respect de la vie privée ?
Depuis le 1er janvier 2020, les administrations fiscale et douanière sont autorisées à collecter et traiter de façon automatisée des données personnelles afin de lutter contre la fraude. Bien que cette expérimentation de trois ans soit encadrée par la loi, elle pose la Nos avocats font le point sur les questions soulevées par le traitement automatisé des données personelles par l’administration fiscale. de l’atteinte au respect de la vie privée.
L’article 154 de la loi de finances pour 2020 du 28 décembre 2019 vise à améliorer la détection de la fraude et le ciblage des contrôles fiscaux au moyen de la collecte massive de données. Par suite, seuls seraient exploités – au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale – les contenus librement accessibles sur les plateformes en ligne rendus publics par leurs utilisateurs.
Ce dispositif expérimental devrait être encadrée par un décret en Conseil d’État à paraître prochainement, après avis de la Commission nationale de l’informatique et des libertés (CNIL).
Des outils d’investigation de plus en plus perfectionnés
Si les outils d’investigation ne peuvent utiliser aucun système de reconnaissance faciale, la notion de « traitement informatisé et automatisé » demeure étendue. Comme le relève la CNIL1, il peut s’agir d’opérations manuelles à partir de moyens informatisés ou de traitements automatisés algorithmiques, s’inscrivant le cas échant dans une logique d’auto-apprentissage.
L’utilisation de technologies numériques au service de la lutte contre la fraude fiscale s’inscrit dans une démarche initiée dès 2008 avec la création de la Délégation nationale à la lutte contre la fraude (DNLF). Depuis 2013, l’administration fiscale développe un traitement automatisé de données dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) qui consiste à appliquer des méthodes statistiques sur des informations en provenance de diverses bases de données. En pratique, l’outil doit permettre d’analyser par exemple, la cohérence des données cadastrales, du fichier de la taxe d’habitation, de l’impôt sur le revenu et des comptes bancaires.
L’administration des douanes et des droits indirects (DGDDI) a quant à elle confié, en 2016, l’exploitation de son patrimoine de données dématérialisées à son service d’analyse de risque et de ciblage (SARC) en vue de réaliser des traitements de type « data-mining » dans le domaine de la lutte contre la fraude.
Ces méthodes d’analyse prédictive (intelligence artificielle et data-mining) se basent sur la masse des données recueillies par les administrations françaises, élargies aux données externes telles que celles résultant de l’échange automatique d’informations entre États.
Ainsi, selon l’administration, en 2019, 22 % des contrôles fiscaux ont été programmés en utilisant des méthodes d’analyse des données. Ce sont ainsi 100 000 dossiers issus du ciblage qui ont été adressés aux services opérationnels de contrôle fiscal2.
Un dispositif encadré pour tenir compte des droits du contribuable
Les manquements et infractions recherchés sont limitativement énumérés. Il s’agit de l’activité occulte (c’est-à-dire l’activité non déclarée ou illicite), la fausse domiciliation à l’étranger en matière fiscale, la contrebande et la vente de produits contrefaits en matière douanière.
Le champ des données traitées a été strictement circonscrit. Seuls sont visés les contenus rendus publics par les utilisateurs de plateformes en ligne (les réseaux sociaux et les sites de vente en ligne du type Leboncoin, Vinted, Ebay, Airbnb, etc.). De surcroît, ne peuvent être collectées que les données issues de contenus librement accessibles sur un service de communication au public en ligne. Sont donc exclus l’ensemble des contenus accessibles seulement après saisie d’un mot de passe ou après inscription sur le site[3]. Ces contenus doivent être manifestement rendus publics par les contribuables. Ne peuvent donc être collectés et exploités que les contenus se rapportant à la personne qui les a délibérément divulgués, à l’exclusion des données de commentaires de tiers.
La durée de conservation des données dépend de leur nature et de leur utilisation. Les données personnelles, dites « sensibles », qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques ou biométriques et celles concernant l’état de santé ou l’orientation sexuelle de la personne sont détruites au plus tard 5 jours après leur collecte. Il en va de même des données manifestement sans lien avec les infractions visées. Lorsqu’elles ne sont pas de nature à concourir à la constatation des manquements et infractions, les données collectées sont conservées pour une période maximale de 30 jours. Seules les données strictement nécessaires à la constatation des manquements et infractions et de nature à concourir à leur constatation peuvent être conservées pendant un an à compter de leur collecte, ou bien jusqu’au terme de la procédure lorsqu’elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière.
Les traitements sont mis en œuvre par des agents de l’administration fiscale (DGFiP) et de l’administration des douanes et des droits indirects (DGDDI) ayant au moins le grade de contrôleur, à condition d’être spécialement habilités par le directeur général. De plus, les données à caractère personnel ne peuvent pas être collectées, traitées ou conservées par un sous-traitant, sauf à intervenir lors de la conception de l’outil.
Lorsque les traitements permettent de réunir des indices des fautes recherchées, les données collectées sont transmises au service compétent pour corroboration et enrichissement, afin de garantir une appréciation individuelle de la situation de la personne par l’administration. De plus, ces données ne peuvent être opposées au contribuable que dans le cadre d’une procédure de contrôle lui permettant de bénéficier du principe du contradictoire, des droits de la défense et du droit au recours.
Un dispositif qui soulève cependant des interrogations
Malgré les garanties apportées par le législateur, le dispositif soulève un certain nombre d’interrogations auxquelles l’actuelle rédaction de l’article 154 de la loi de finances pour 2020 ne permet pas de répondre.
Sans prétendre à l’exhaustivité, la CNIL avait émis une réserve de fond quant à la possibilité pour l’administration de recourir à des technologies de type « auto-apprenantes »4, usuellement utilisées en matière de détection et de prévention de la fraude, et qui peuvent conduire à une aspiration excessive de données. La lettre de l’article 154 de la loi de finances pour 2020 n’exclut pas le recours à de telles technologies ; la rédaction du décret d’application sera déterminante à cet égard.
Par ailleurs, la question du traitement des données sensibles n’est pas clairement tranchée. Si les données sensibles doivent faire l’objet d’une suppression dans les 5 jours de leur collecte, leur traitement éventuel par l’administration n’est pas encadré par le législateur. Une ambivalence existe d’ailleurs à ce sujet : alors que le Conseil constitutionnel semble considérer que ces données ne peuvent faire l’objet d’aucune exploitation à des fins de recherche de manquements ou d’infractions5, l’article 154 de la loi de finances pour 2020 n’exclut pas le traitement de telles données. Or, la réglementation applicable ne s’oppose pas à ce que des données sensibles puissent être traitées lorsqu’elles sont manifestement rendues publiques par la personne concernée6.
Autre point d’interrogation : la durée de conservation de 5 jours pour les données manifestement sans lien avec les infractions et manquements visés, dont la justification et l’articulation avec le délai de conservation de 30 jours n’apparaissent pas évidentes. Notons que la CNIL préconisait leur suppression immédiate à l’issue de leur collecte7.
Si le Conseil constitutionnel ne les a pas jugés dirimants d’un point de vue constitutionnel, ces points méritent d’être précisés. Ils devront en tout état de cause faire l’objet d’un examen approfondi à l’occasion d’une analyse d’impact. Cette analyse requise par la réglementation permettra d’évaluer précisément la conformité du traitement envisagé ainsi que le risque résiduel de violation de données.
Soulignons qu’un rapport devra être remis au Parlement ainsi qu’à la CNIL six mois avant la fin de cette expérimentation, soit à l’été 2022, afin d’évaluer (i) la pertinence et l’efficacité du dispositif et (ii) si l’amélioration de la lutte contre la fraude fiscale – qui constitue un objectif à valeur constitutionnelle – est proportionnée à l’atteinte portée au respect de la vie privée.
Article paru dans Option Finance le 14/09/2020
[1] Avis CNIL n° 2019-114 du 12-09-2019.
[2] Rapport d’activité 2019 de la DGFiP.
[3] Cons. const. 27-12-2019 n° 2019-796 DC.
[4] Avis CNIL n° 2019-114 du 19-09-2019.
[5] Décision Conseil constitutionnel DC 2019-796 du 27-12-2019, point 87.
[6] RGPD, art. 9.2 e).
[7] Avis CNIL n° 2019-114 du 19-09-2019.
Auteurs
Anne-Laure Villedieu, avocate associée en droit de la propriété intellectuelle
Stéphanie Némarq-Attias, avocate counsel en droit fiscal
En savoir plus
LEXplicite.fr est une publication de CMS Francis Lefebvre Avocats, l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée en droit fiscal, en droit des affaires et en droit du travail. |