III. ASSORTIR LES DISPOSITIFS D'ACCÈS AUX DONNÉES DES GARANTIES JURIDIQUES NÉCESSAIRES POUR ASSURER LEUR PLEINE EFFECTIVITÉ
La place essentielle de l'accès aux données dans la lutte contre la fraude fiscale et le recouvrement des sommes éludées a été précédemment abordé et souligné, avec la présentation des nouvelles techniques d'analyse de données de masse. Les objectifs sont divers, de la détection d'éventuels manquements pouvant relever de faits constitutifs de fraude fiscale - à confirmer ensuite par des contrôles et investigations - à l'obtention de preuves concernant la commission de faits de fraude fiscale ou de son blanchiment .
Sans revenir sur l'ensemble des dispositifs mis en oeuvre en matière d'échange et d'accès aux informations, adoptés dans le cadre des lois de finances et de la loi du 23 octobre 2018 relative à la lutte contre la fraude, le rapport se concentrera sur deux exemples , deux dispositions emblématiques en matière d'accès aux données et dont la pleine effectivité n'est pas encore assurée : l'exploitation des données collectées sur les réseaux sociaux et l'accès aux données de connexion . La mise en oeuvre de ces dispositifs s'est heurtée aux exigences accrues du Conseil constitutionnel et, surtout, de la Cour de justice de l'Union européenne en matière de protection des données personnelles.
Un impératif a dès lors guidé le bilan et l'examen de ces dispositions, celui d'assurer leur application en les assortissant de toutes les garanties nécessaires pour protéger les contribuables .
A. PROLONGER ET ÉTENDRE L'EXPÉRIMENTATION VISANT À LUTTER CONTRE LES INFRACTIONS FISCALES GRAVES PAR LA COLLECTE ET L'ANALYSE DES DONNÉES PUBLIÉES SUR LES PLATEFORMES EN LIGNE
1. Un dispositif adopté en loi de finances pour 2020 mais dont la portée effective ne correspond pas aux attentes initiales des services en charge du contrôle fiscal
a) Un dispositif expérimental de collecte et d'analyse de données entouré d'importantes garanties
L'article 154 de la loi de finances pour 2020 84 ( * ) autorise, à titre expérimental et pour une durée de trois ans, les agents de la DGFiP et de la Douane dûment habilités à cet effet à collecter et à exploiter au moyen de traitements automatisés et informatisés les informations publiées par les utilisateurs de plateforme en ligne, à fins de recherche d'éventuelles infractions graves aux dispositions du code général des impôts (CGI) et du code des douanes 85 ( * ) . À titre d'exemple, la Douane cible les annonces de vente de tabac de contrebande, tandis que la DGFiP se concentre sur la recherche des activités économiques occultes et des fausses domiciliations fiscales à l'étranger des personnes physiques.
Plusieurs garanties ont été prévues pour encadrer les traitements automatisés que peuvent mettre en place les agents de la DGFiP et de la Douane, dont certaines avaient été ajoutées à l'initiative du Sénat lors de l'examen de cette disposition dans le projet de loi de finances initiale pour 2020.
Ainsi, les agents pouvant procéder à ces traitements doivent être spécialement habilités à le faire et la durée de conservation des données est strictement encadrée : les données sensibles 86 ( * ) et les données manifestement sans lien avec les infractions graves recherchées doivent être détruites dans un délai de cinq jours ouvrés après leur collecte tandis que les données strictement nécessaires à la constatation de manquements et d'infractions peuvent être conservées pendant un an, sauf si elles sont utilisées dans le cadre d'une procédure, auquel cas elles doivent être conservées jusqu'à l'issue de cette procédure, qu'elle soit fiscale, douanière ou pénale.
Les traitements automatisés ne peuvent pas utiliser de reconnaissance faciale et la CNIL avait précisé, dans son avis, qu'ils ne pouvaient pas non plus collecter les commentaires des personnes tierces, sur les publications par exemple. De même, aucun sous-traitant ne pouvait intervenir pour le traitement et la conservation des données à caractère personnel.
Les modalités d'application de l'article 154 de la loi de finances pour 2020 sont fixées par un décret en Conseil d'État, après avis de la CNIL 87 ( * ) . L'expérimentation a également dû faire l'objet d'une analyse d'impact relative à la protection des données à caractère personnel, dont les résultats ont été transmis à la CNIL. Ces analyses, réalisées par la DGFiP et la DGDDI, ont été transmises au rapporteur à sa demande, tout comme les dossiers de conformité que ces deux administrations ont rédigé pour présenter les traitements automatisés mis en place.
L'expérimentation a débuté au mois de février 2021 88 ( * ) et doit prendre fin au mois de février 2024. Conformément aux termes de l'article 154 de la loi de finances pour 2020, un bilan de « mi-parcours » devait être remis au Parlement au courant du mois d'août 2022, puis un rapport définitif au plus tard six mois avant le terme de l'expérimentation, soit au mois d'août 2023. Le premier rapport n'a toutefois pas encore été remis, ce qui ne peut être que regretté .
b) L'entrée en « phase opérationnelle »
Après une phase de construction de l'infrastructure et de l'algorithme de détection, l'expérimentation est entrée, tant pour la DGDDI que pour la DGFiP, en phase opérationnelle.
(1) La DGDDI et la lutte contre la vente de tabac de contrebande
Quatre étapes doivent être distinguées dans le dispositif mis en place par la Douane, et qui vise plus particulièrement la lutte contre la vente de tabac de contrebande. Les trois premières étapes se déroulent de manière automatisée, sans l'intervention d'utilisateurs :
- 1ère étape : collecte des annonces et profils comportant les éléments recherchés et extraction des données (méthodes de scrapping ), à l'aide de mots clefs associés à la vente de tabac ;
- 2ème étape : structuration, nettoyage des données et détection de la fraude . Ces travaux doivent être réalisés en cinq jours maximum, au regard des exigences en matière de durée de conservation des données avant leur destruction obligatoire. L'identification des annonces et profils vraisemblablement frauduleux s'appuie sur la construction d'un modèle de détection de fraude, à l'aide d'algorithmes ;
- 3ème étape : restitution des cibles potentiellement frauduleuses pour qu'elles soient opérationnellement traitées par les services douaniers. Seules les annonces et profils strictement nécessaires à la constatation d'un manquement ou d'une infraction sont conservés ;
- 4ème étape : traitement opérationnel . Cette étape a débuté au mois de mai 2022.
L'évaluation préliminaire montre qu' une quarantaine d'annonces potentiellement frauduleuses sont identifiées chaque semaine , sur trois plateformes.
(2) La DGFiP, un déploiement progressif entre 2020 et 2022
La mise en place des traitements automatisés permettant de collecter et d'analyser les contenus librement accessibles sur les réseaux sociaux s'est déroulée en plusieurs étapes à la DGFiP, sur près de deux ans.
La mise en oeuvre de l'expérimentation
de
collecte et d'analyse des contenus publiés
sur les plateformes en
ligne à la DGFiP
Source : commission des finances, d'après les éléments transmis par la DGFiP en réponse au questionnaire du rapporteur
Les premiers travaux (juillet 2021) ont permis de collecter plus de 13 000 annonces publiées par des personnes et proposant des offres de service dans plusieurs secteurs économique (coiffure, déménagement, informatique, plomberie, cours particuliers, soin). Près d'un tiers de ces annonces indiquait des numéros SIREN inconnus dans les référentiels de la DGFiP ou correspondant à des entreprises qui ont officiellement cessées leurs activités.
Si la pertinence des dossiers sélectionnés a été confirmée, les enjeux financiers se sont avérés faibles. Après la prise en compte des retours des services, il a donc été décidé de lancer une nouvelle production orientée vers la vente de véhicules automobiles par des personnes morales ou des personnes physiques, dans le but d'identifier des activités occultes à enjeux . Lors du déplacement à la DGFiP, les membres de la mission d'information ont concrètement pu voir le fonctionnement de cette collecte et de cette analyse : une personne se présentant comme un « particulier » était par exemple à l'origine de dizaines d'annonces de voitures de luxe.
2. Étendre l'expérimentation aux données « publiquement » accessibles et la proroger pour deux ans
a) Une distinction entre données « librement » et « publiquement » accessibles qui empêche le plein déploiement de la disposition
Dans le cadre de sa décision sur la loi de finances pour 2020 89 ( * ) , le Conseil constitutionnel a émis une réserve d'interprétation sur l'article 154 de la loi de finances initiale pour 2020 et considéré que les données susceptibles d'être collectées et exploitées devaient correspondre à des « contenus librement accessibles sur un service de communication au public en ligne d'une des plateformes [...], à l'exclusion donc des contenus accessibles seulement après saisie d'un mot de passe ou après inscription sur le site en cause » 90 ( * ) .
Celle-ci a été strictement interprétée par la CNIL puis par le Conseil d'État, avec une distinction opérée entre, d'une part, les données librement accessibles - c'est-à-dire accessibles sans aucune forme de connexion - et, d'autre part, les données publiquement accessibles - c'est-à-dire auxquelles tout le monde peut avoir accès, mais éventuellement en disposant d'un compte sur la plateforme concernée ou d'un mot de passe.
Dans le cadre de l'expérimentation, les agents de la DGFiP et de la Douane n'ont donc accès qu'aux contenus rendus librement accessibles par leurs utilisateurs . Or, à la différence des plateformes d'échanges, la plupart des réseaux sociaux subordonnent l'accès à leur site à une inscription préalable. Concrètement, les agents ne peuvent pas accéder à certains contenus publiés sur les réseaux comme Facebook ou Instagram, pour lesquels il peut être nécessaire de disposer d'un compte (sans pour autant faire partie des « amis » ou « abonnés » de la personne visée). Ces plateformes sont pourtant d'importants vecteurs de travail dissimulé et donc de fraude à la TVA ou à l'imposition sur les revenus par exemple (impôt sur le revenu ou imposition sur les sociétés).
La DGFiP et la DGDDI considèrent que cette distinction et que les restrictions apportées en conséquence aux traitements mis en oeuvre altèrent sensiblement le caractère opérationnel du dispositif . Non seulement elle ne permet pas d'avoir accès à l'ensemble des vecteurs de fraude grave - les directions estimant même qu'elles avaient, avec cette interprétation, perdu accès aux sites parmi les plus importants pour déceler les infractions graves - mais elle ralentit aussi la construction et le perfectionnement des modèles de détection automatique de la fraude , qui repose sur une phase préalable d'apprentissage machine.
Or, les équipes techniques ont expliqué qu'il fallait plusieurs centaines d'exemples et de contre-exemples d'annonces pour construire un modèle pertinent : le faible nombre d'annonces disponibles, du fait des restrictions apposées à l'accès à certaines plateformes, ne permet pas de disposer d'un nombre suffisant d'exemples exploitables pour la phase d'apprentissage du modèle.
Le législateur n'avait lui-même pas opéré cette distinction , en considérant qu'il autorisait, par la présente expérimentation, les agents de la DGFiP et de la Douane à accéder aux contenus publiquement accessibles, même s'il fallait pour cela un compte pour accéder à la plateforme (ex. sur Instagram ou Facebook, même pour accéder à des contenus rendus publics par leurs utilisateurs). Il paraît également admis par la CNIL que la distinction opérée entre données publiquement et librement accessibles restreignait considérablement le dispositif souhaité par le législateur .
b) Donner sa pleine portée à l'article 154 de la loi de finances pour 2020, toujours à titre expérimental, dans le respect de la vie privée des personnes et de la protection des données personnelles
Au regard de l'ensemble de ces constats, il est proposé de modifier l'article 154 de la loi de finances initiale pour 2020 afin de prévoir que les agents de la DGFiP et de la Douane puissent collecter et analyser les données publiquement accessibles sur les plateformes en ligne, et non plus seulement celles qui sont librement accessibles . En parallèle, l'expérimentation serait prolongée de deux ans , soit jusqu'au mois de février 2026, pour laisser le temps à cette modification de produire tous ces effets.
Selon les informations transmises par la CNIL, il n'y a pas d'obstacle a priori à ce que l'expérimentation soit étendue aux contenus publiquement accessibles sur les réseaux sociaux , à condition de prévoir un strict encadrement du dispositif : habilitation des agents, traçabilité des accès, recherche des infractions les plus graves, durée de conservation des données réduites autant que possible. Ces garanties existent déjà pour la plupart d'entre elles dans l'expérimentation actuellement mise en oeuvre.
Un décret en Conseil d'État serait nécessaire pour fixer les modalités d'application du dispositif et ne pourrait être pris qu'après avis de la CNIL. De même, un rapport de bilan à mi-parcours pourrait être prévu, à l'instar de ce que le législateur avait souhaité pour la première mouture de l'expérimentation.
Par ailleurs, que ce soit au niveau règlementaire ou au niveau législatif, plusieurs garanties 91 ( * ) devraient être apportées pour la création , par les agents de la DGFiP et de la Douane, d'un compte permettant d'accéder à certaines plateformes . Ainsi, le compte devrait être neutre, utilisé pour la seule collecte automatique des contenus manifestement rendus publics - ce qui exclut donc toute utilisation du compte pour accéder aux informations des groupes privés sur les plateformes. Tout message à caractère privé et toute forme d'interaction avec les utilisateurs seraient également prohibés.
En parallèle, il pourrait être judicieux, suivant les éléments de bilan transmis sur l'expérimentation, d'envisager de mettre en place un dispositif d'échange plus formalisé avec les plateformes (désignation d'un point de contact, rencontres périodiques, sensibilisation). Quant aux garanties à apporter sur la robustesse des dispositifs, la Douane suggère qu'un audit des outils puisse être ponctuellement mené par l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Dans sa délibération sur l'avis relatif au projet de décret portant modalités de mise en oeuvre par la DGFiP et par la DGDDI des traitements automatisés prévus à l'article 154 de la loi de finances pour 2020, la CNIL relevait à cet égard que les « solutions de chiffrement permettant d'assurer un niveau adéquat de protection des données et de respect de leur confidentialité sont mises en oeuvre tant pour l'administration fiscale que pour l'administration des douanes et des droits indirects » 92 ( * ) .
Enfin, deux propositions visant, d'une part, à allonger le délai de conservation des données et, d'autre part, à autoriser les traitements à collecter les commentaires de tiers sur les pages personnelles, ont été écartées par le rapporteur. Au regard des décisions de la CNIL et de la jurisprudence en matière de protection des données personnelles, ces deux évolutions seraient en effet susceptibles d'être considérées comme entrant en conflit avec le respect des données personnelles et le droit à la libre expression. Or, assurer la pleine effectivité d'un dispositif, c'est aussi s'assurer qu'il soit entouré des garanties nécessaires, pour préserver les droits des contribuables .
Recommandation n° 13 ( Parlement ) : modifier l'article 154 de la loi de finances initiale pour 2020 afin que les agents de l'administration fiscale et des douanes puissent collecter les données publiquement accessibles, et non uniquement librement accessibles, sur les plateformes en ligne et les exploiter au moyen de traitements automatisés et informatisés, à fins de recherche d'éventuelles infractions graves au code général des impôts et au code des douanes, en assortissant le dispositif de nouvelles garanties pour protéger la vie privée et les données personnelles des contribuables. Prolonger en conséquence l'expérimentation de deux ans, soit jusqu'en février 2026.
* 84 Article 154 de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020.
* 85 Pour une présentation détaillée de ces articles, se reporter au commentaire de l'article 57 dans le rapport général n° 140 (2019-2020) de M. Albéric de MONTGOLFIER, fait au nom de la commission des finances, déposé le 21 novembre 2019 (projet de loi de finances pour 2020).
* 86 Au sens du I de l'article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Il s'agit des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
* 87 Délibération n° 2021-116 du 7 octobre 2021 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel visant à détecter et caractériser les opérations d'ingérence numérique étrangères aux fins de manipulation de l'information sur les plateformes en ligne (demande d'avis n° 21013837).
* 88 Le délai de trois ans prévu pour l'expérimentation n'a commencé à courir qu'à compter du lendemain de la publication du décret n° 2021-148 du 11 février 2021 portant modalités de mise en oeuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne.
* 89 Décision n° 2019-796 DC du 27 décembre 2019 [Loi de finances pour 2020].
* 90 Décision précitée, paragraphe n° 87.
* 91 Le rapporteur s'appuie ici principalement sur ses échanges avec le service de la sécurité juridique et du contrôle fiscal, ainsi que sur l'encadrement prévu dans le cadre du dispositif mis en place pour les ingérences étrangères. Le décret n° 2021-1587 du 7 décembre 2021 a ainsi autorisé un traitement automatisé de données à caractère personnel dans le but d'identifier les ingérences numériques étrangères, le traitement portant sur les contenus publiquement accessibles, sous les réserves précitées.
* 92 Délibération n° 2020-124 du 10 décembre 2020 portant avis sur un projet de décret portant modalités de mise en oeuvre par la direction générale des finances publiques et la direction générale des douanes et droits indirects de traitements informatisés et automatisés permettant la collecte et l'exploitation de données rendues publiques sur les sites internet des opérateurs de plateformes en ligne (demandes d'avis n° 2218895 et 2218896).