Si les Gafam sont friands des données publiées par les internautes, le fisc et les douanes s’y intéressent aussi. Comme l’indique nos confrères de Nextinpact, le projet de loi de finances 2020 prévoit dans son article 9 une expérimentation prévoyant que les services de Bercy puissent « collecter et exploiter les données rendues publiques sur les sites Internet des réseaux sociaux et les opérateurs de plateformes ». Il faut entendre par là les médias sociaux comme Facebook, Instagram, Twitter, ou autres et des services comme le Bon Coin ou Airbnb, par exemple.
Cette expérimentation est prévue pour durer 3 ans. Le traitement des données se fera par des agents spécialement habilités à cet effet par les administrations fiscales et douanières. Par ailleurs, l’article 9 indique que la durée de conservation des données sera limitée à 30 jours sauf dans le cas où une procédure pénale, fiscale ou douanière est enclenchée, les données seront alors conservées jusqu’au terme de la procédure. Sur le plan technique, le fisc va s’appuyer sur un outil développé en 2013 nommé « ciblage de la fraude et valorisation des requêtes ». Ce dernier utilise « des méthodes statistiques innovantes, sur des provenances de l’administration fiscale et d’autres administrations, de bases de données économiques payantes et de données en libre accès ». Les autorités douanières se base, elles, sur le service d’analyse de risque et de ciblage (SARC) pour réaliser du datamining sur son patrimoine de données dématérialisées pour la lutte contre la fraude.
La CNIL veut des garanties fortes pour les droits et libertés des personnes concernées
Pour ce projet ciblant directement les données personnelles, la Cnil a été sollicitée pour donner son avis sur l’expérimentation de Bercy. Dire que le régulateur est mitigé sur ce test est un euphémisme. Il souligne que ce dispositif est inédit et qu’il témoigne d’un changement d’échelle dans l’utilisation des données personnelles par ces administrations. De même, les outils évoluent avec le développement d’algorithmes pour améliorer le ciblage des contrôles fiscaux à partir de l’exploitation des données.
En dehors de ces propos liminaires, la Cnil regrette d’avoir été saisie en urgence et de ne pas avoir le temps d’analyser en profondeur l’impact d’une telle expérience. La Commission rappelle néanmoins que par principe il faut faire preuve d’une grande prudence sur le développement de « traitements informatisés » permettant de collecter les contenus librement accessibles et publiés sur Internet. Elle émet donc plusieurs réserves sur le test. D’abord, elle sera vigilante sur « les modalités d’information des personnes concernées ». Ensuite, elle souligne que « la création volontaire d’un profil sur les plateformes en ligne n’emporte pas par principe la possibilité de leur aspiration, ainsi que de leur rediffusion sur d’autres supports non maîtrisés par les personnes concernées ». Cela signifie que les personnes peuvent supprimer des données publiques ou des informations sur leur profil. Autre point, le traitement des données pourrait avoir un impact sur la liberté d’opinion et d’expression. « Les internautes ne pourraient plus s’exprimer librement sur les réseaux et les plateformes visés et par voie de conséquence de rétro-agir sur l’exercice de leurs libertés ». Enfin, la Cnil émet des doutes sur la proportionnalité du test au regard du volume de données et du nombre de personnes concernées. Le régulateur donne déjà rendez-vous pour le bilan de ce test avec plusieurs recommandations devant figurer dans ce retour d'expérience.
Commentaire