Le dispositif voulu par Bercy prétend collecter et traiter informatiquement de grands volumes de données présentes sur Internet, sur les réseaux sociaux, à des fins de détection de fraude. La Cnil apprécie très moyennement.
Le projet de loi de finances pour 2020 prévoit, à son article 57, un nouveau dispositif de lutte contre la fraude. Celui-ci consistera, pour l’administration fiscale et les douanes, à « collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateforme en ligne ».
En d’autres termes, le fisc et la douane pourront exploiter, aux moyens d’algorithmes, tous les contenus publics sur les réseaux sociaux, mais aussi sur des sites tels que LeBonCoin ou Airbnb. « Un contexte d’usage de plus en plus massif des outils numériques, il est aisé de réaliser, de manière occulte ou sans respecter ses obligations fiscales ou douanières, une activité économique sur internet, notamment de commerce des marchandises prohibées, grâce aux réseaux sociaux et plateformes de mise en relation par voie électronique » explique le législateur.
« Le présent article propose d’autoriser l’administration à collecter en masse et exploiter, au moyen de traitements informatisés […] les données rendues publiques par les utilisateurs des réseaux sociaux et des plateformes de mise en relation par voie électronique ». Et ce afin de détecter des comportements frauduleux, là où un examen manuel aurait été fastidieux et coûteux.
Pas assez de garanties
Si le projet de loi a prévu quelques garde-fous, comme des durées de conservation, des habilitations d’accès et une évaluation « dont les résultats sont transmis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés au plus tard six mois » avant la fin de l’expérimentation, la Cnil émet de fortes réserves. La Commission déplore avoir été saisie dans l’urgence et décrit cette disposition comme « inédite ».
« Il témoigne d’un changement d’échelle dans l’utilisation de données personnelles par ces administrations. Il traduit également un changement de technique, en permettant le développement d’algorithmes pour améliorer le ciblage des contrôles fiscaux à partir de l’exploitation de ces données » écrit la Cnil. Et de s’inquiéter des atteintes aux libertés que ce dispositif pourrait représenter. D’autant qu’elle ne se dit pas convaincu de « l’efficience » et de la « faisabilité technique » d’un tel système.
Bye bye protection des données personnelles
Du fait du flou de la formulation, la question de « la collecte indifférenciée de ces données » pose quelques soucis en termes de proportionnalité du dispositif quant à ses finalités, elle exige donc que soit expressément exclue la reconnaissance faciale et que soient fournies des garanties « visant à limiter l’enregistrement des données sensibles, dont la collecte est par principe interdite ». Se pose également le problème des algorithmes utilisés, notamment dans leur phase d’apprentissage qui nécessitera d’ingurgiter de grandes quantités de données.
Surtout, la Cnil fait remarquer à juste titre que « la création volontaire d’un profil sur les plateformes en ligne n’emporte pas par principe la possibilité de leur aspiration, ainsi que de leur rediffusion sur d’autres supports non maîtrisés par les personnes concernées ». En outre cette collecte de grande ampleur « est susceptible de modifier, de manière significative, le comportement des internautes qui pourrait alors ne plus être en mesure de s’exprimer librement sur les réseaux et plateformes visés et, par voie de conséquence, de rétroagir sur l’exercice de leur liberté ». Ajoutons à cela les risques d’atteintes au droit à la vie privée et à la protection des données personnelles… A croire que Bercy a été inspiré par les GAFAM.