Même au « pays des Droits de l’Homme » la collecte généralisée des données personnelles va devenir la règle afin de lutter contre la fraude fiscale. A titre expérimental pour 3 ans et en excluant la reconnaissance faciale…
Le Conseil constitutionnel a approuvé le dispositif de collecte massive de données personnelles prévu dans la Loi de Finance 2020. Pour lutter plus efficacement contre la fraude fiscale, le gouvernement entend traiter par algorithmes les contenus « manifestement rendus publics par leurs utilisateurs » sur les sites d’e-commerce et les réseaux sociaux. La portée de cet outil de surveillance de masse est fixée en référence au Code de la consommation (article L111-7). Bercy va scruter les contenus fournis par les opérateurs de plateforme en ligne mettant en relation plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service.
Créé à titre expérimental pour une durée de 3 ans, le dispositif est institué via l’article 154 (ex 57) de la Loi de Finance 2020. Le Conseil constitutionnel n’y trouve donc rien à redire malgré l’avis négatif de la Cnil et les réserves de nombreux parlementaires y compris d’élus du Modem dont le rapporteur de cet article pour la commission des lois Philippe Latombe.
Les Sages du Palais-Royal ont tout de même réduit quelque peu la portée du texte. Les données collectées en masse ne pourront être exploitées que pour des manquements et infractions susceptibles de donner lieu à une majoration d’impôts de 80% ce qui correspond au cas de découverte d’une activité occulte. En revanche les retards de déclaration après mise en demeure (majoration de 40%) qui étaient concernés dans le texte voté sont exclus du dispositif par le Conseil constitutionnel.
Pas très RGPD...
Il faudra examiner à la loupe les décrets d’application qui seront rédigés par le Conseil d’État. Mais l’on peut déjà s’alarmer de voir la surveillance de masse déclarée conforme à la Constitution.
Qu’est-ce qu’un contenu « manifestement rendu public » lorsqu’il est partagé au sein d’un réseau social fermé ? Comment peut être respecté le caractère privé et le droit de rectification des données personnelles et donc le RGPD ? Il serait bon que la Cnil, à défaut d’être parvenue à décourager le gouvernement à ce sujet, influe fortement sur les décrets d’application à venir et exerce par la suite un contrôle serré sur l’exploitation de données.