Accueil
Le quotidien du droit en ligne
-A+A
Article

Collecte massive des données des contribuables : la CNIL recadre le gouvernement

Dans une délibération, rendue publique le 30 septembre, la CNIL critique la disposition du projet de loi de finances pour 2020 qui autorise les administrations fiscales et douanières à collecter les données librement accessibles des utilisateurs de réseaux sociaux et de plateformes d’échange en ligne.

par Nathalie Maximinle 8 octobre 2019

Saisie en urgence fin août d’une demande d’avis relative au projet d’article 9 du projet de loi de finances pour 2020, devenu l’article 57 du texte déposé à l’Assemblée nationale le 27 septembre (texte n° 2272), la Commission nationale de l’informatique et des libertés (CNIL) a émis de fortes réserves sur le dispositif envisagé (Loi n° 78-17 du 6 janv. 1978, art. 8, I, 4°, a).

Il prévoit, à titre expérimental pendant trois ans, à des fins de recherche de certaines infractions, la possibilité pour l’administration fiscale et pour l’administration des douanes et droits indirects de « collecter et d’exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateforme en ligne mentionnés au 2° du I de l’article L. 111-7 du code de la consommation ». L’objectif ainsi poursuivi est, « dans un contexte d’usage de plus en plus massif des outils numériques », d’aider une « administration largement démunie pour identifier ces fraudeurs », « sans créer d’obligation déclarative nouvelle pour les contribuables et les opérateurs économiques » (exposé des motifs).

Des techniques d’exploration informatisée des données (« data mining ») pour détecter des fraudes mal ou peu identifiées existent déjà, mais aucune ne revêt une telle ampleur. D’emblée, la Commission souligne ce « changement d’échelle significatif » et ce « renversement des méthodes de travail ». On passe d’« une logique de traitement ciblé de telles données lorsqu’un doute ou des suspicions de commission d’une infraction préexistent » à une « collecte générale préalable » pour effectuer ultérieurement des contrôles « lorsque le traitement (…) aura fait apparaître un doute ».

Une atteinte aux droits et libertés difficilement justifiable

La CNIL observe que les traitements projetés sont doublement dangereux. D’une part, ils risquent d’affecter la liberté d’opinion et d’expression des internautes. Une collecte portant sur l’ensemble des « contenus librement accessibles publiés sur internet » est de nature à modifier « de manière significative » leurs comportements en les empêchant de s’exprimer librement. D’autre part, ils constituent une atteinte « particulièrement importante » au droit au respect de la vie privée et à la protection des données à caractère personnel. Or, relève-t-elle, « l’un des enjeux majeurs (…) reposera sur la nécessité de pouvoir garantir la stricte proportionnalité des données collectées au regard de la finalité poursuivie par le traitement mis en œuvre ainsi que du dispositif dans son ensemble, sans qu’à ce stade, celle-ci ne soit assurée ».

Des doutes sur le respect des principes fondamentaux de la protection des données

La Commission souligne que « la seule circonstance que les données soient librement accessibles sur internet et que les personnes aient éventuellement conscience d’un potentiel risque » de leur aspiration n’exonère pas les administrations du respect des principes fondamentaux du droit de la protection des données. Ainsi, la collecte doit se faire de manière loyale et licite et l’Autorité surveillera les modalités d’information des personnes concernées. Une analyse d’impact devra être réalisée. Il conviendra également de prévoir des mesures juridiques et techniques adaptées pour assurer un haut niveau de protection des données. Il faudra faire preuve d’une « vigilance particulièrement importante » dans la mise en œuvre des mesures de sécurité et de confidentialité pour remédier au maximum à « la survenance de risques liés à une violation des données ».

Un périmètre trop flou

Si, la Commission prend acte de l’engagement du gouvernement de ne pas programmer des contrôles automatiques, elle relève beaucoup d’imprécisions s’agissant des contours de la nouvelle règle.

Elle réclame des précisions sur la notion de « contenus librement publiés sur internet », qui, selon elle renvoie à « des réalités différentes selon la politique de confidentialités de la plateforme en ligne concernée ». Elle précise que cette notion exclut, par exemple, la collecte de données au moyen d’identités d’emprunts ou par des comptes spécialement créés à cet effet par l’administration.

La CNIL n’est pas davantage convaincue par le champ des plateformes visées beaucoup trop large. Il ne devrait pas englober toutes celles mentionnées à l’article L. 111-7, I, 2°, du code de la consommation compte tenu du caractère intrusif du dispositif, du risque de surveillance des personnes qui en résulte et des justifications qui lui ont été fournies.

Elle épingle l’absence de précisions sur la personne à l’origine de la publication des données collectées. Le texte devrait indiquer s’il s’agit d’un individu en particulier ou de tiers à l’origine de commentaires.

Elle émet aussi des doutes sur le périmètre de certaines des infractions ciblées. Elles ne correspondraient pas à la finalité envisagée (CGI, art. L. 1728, 1, b), ne présenteraient pas un niveau de gravité particulier (CGI, art. L. 1791) ou viseraient des contraventions de deuxième et troisième classes pour lesquelles la collecte envisagée serait injustifiée (C. douanes, art. 411 et 412).

Elle s’inquiète de la nature des « traitements informatisés » utilisés pour collecter les données en particulier parce qu’ils incluent les traitements automatisés algorithmiques « auto-apprenants ». Or ces derniers soulèvent des enjeux particuliers pour la protection des données. Au vu des risques encourus, elle formule une réserve de principe sur la possibilité pour les administrations concernées de déterminer les modalités de conception et de mise en œuvre de ces algorithmes et ainsi de définir les caractéristiques principales de traitements.

La nature des données collectées

Une autre lacune du texte tient au fait qu’il n’envisage pas la nature des données collectées. Le dispositif prévoit une récupération indifférenciée, ce qui soulève deux difficultés : la collecte et le traitement de données non pertinentes au regard des finalités poursuivies, et la collecte de données dites sensibles qui est en principe interdite. Il existe ainsi « des difficultés particulières en termes de proportionnalité ». Pour y remédier, la Commission exige : « une réflexion approfondie, en amont (…) afin de s’assurer du respect des principes de minimisation » et de « privacy by design » ; la collecte des seules données relatives aux personnes inscrites sur les plateformes et les concernant ; des garanties pour limiter l’enregistrement des données sensibles « à ce qui est strictement nécessaire aux finalités poursuivies ». Elle s’inquiétait également de l’utilisation des photographies. Sur ce point, le gouvernement a d’ores et déjà tenu compte de sa demande. Il a expressément inscrit dans l’article 57 l’interdiction d’utiliser des systèmes de reconnaissances faciales des contenus.

Des durées de conservation trop longues

À défaut de procédés techniques permettant d’opérer une distinction en fonction de la nature des données (principe de minimisation), la Commission recommande la suppression « immédiate », à l’issue de leur collecte, des données non pertinentes. Ce n’est pas le choix de l’exécutif qui retient leur destruction dans un délai maximum de trente jours. Enfin, la CNIL condamne la durée générale de conservation des données, fixée à un an, qui devrait « être significativement réduite » sauf à démontrer sa nécessité. En l’état actuel, le texte maintient ce délai, ajoutant que lorsqu’elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière, les données peuvent être conservées jusqu’au terme de la procédure.

Et après ?

Globalement la CNIL communique son scepticisme « quant à l’efficience [et] la faisabilité technique d’un tel dispositif ». Elle rappelle tout au long de sa délibération qu’elle sera extrêmement vigilante sur le contenu du projet de décret qui lui sera obligatoirement transmis et qui détaillera les conditions de mise en œuvre de ce système. Elle exercera également son contrôle à travers l’évaluation de l’expérimentation dont les résultats lui seront transmis, ainsi qu’au Parlement, au plus tard six mois avant son terme. À cet égard, elle a même listé les informations devant figurer, a minima, dans ce bilan.

Le gouvernement reste confiant. Le ministre de l’Action et des comptes publics a, dans un communiqué du 1er octobre, indiqué que le choix « de mettre en œuvre cette expérimentation par la voie législative, qui n’était pas juridiquement requise, traduit la volonté d’organiser un débat démocratique qui permettra au législateur d’apporter de nouvelles garanties fondamentales si nécessaire. »

Le projet de loi est renvoyé à la Commission des finances, de l’économie générale et du contrôle budgétaire de l’Assemblée nationale.