Dans sa mission de régulation des individus, l’Etat a toujours fait un grand usage des registres et titres. Une information (par exemple votre identité) a vocation à être enregistrée de manière fiable et officielle dans un registre tenu par la puissance publique (l’Etat civil dans notre exemple) et le lien entre cette information et la réalité (vous êtes bien qui vous êtes !) est justifié par un titre officiel (la carte d’identité) qui peut être contrôlé par un représentant de l’Etat ou un tiers.
Registre centralisé et preuve déportée d’une information présente sur le registre constituent un processus de régulation mise en œuvre par l’Etat depuis que l’écrit et le papier existent. On pourrait multiplier les exemples (RCS, Cadastre, Publicité foncière, Immatriculation des véhicules, etc. etc.). Mais entre l’information, sa preuve et son utilisation, dans le monde analogique d’avant, il y avait une large sphère de liberté qui s’ouvrait : on ne pouvait pas à tout bout de champ modifier l’information sur le registre, produire les titres faisant la preuve de l’information sur le registre, contrôler la fiabilité de ces titres au regard du registre, etc. Les contraintes matérielles du monde analogique assuraient une liberté. Elles permettaient la fraude aussi, certainement.
Les progrès incroyables des technologies de l’information et de la communication au cours de 20 dernières années ont une conséquence à laquelle on ne prête plus attention : l’information (la « data ») est accessible immédiatement, en permanence et partout.
Pour l’Etat, c’est quelque chose de formidable. Avec un serveur de base de données, (aujourd’hui dans le cloud), une liaison data (aujourd’hui 4g ou 5g) et un terminal (aujourd’hui un smartphone), l’Etat peut immédiatement contrôler une information ou contrôler la détention d’une information.
Il n’y a plus aucune limitation au contrôle des individus par la « data ».
Premier exemple : Le passe-sanitaire
Chaque citoyen français a vécu pendant plusieurs mois avec ce controversé passe-sanitaire, sésame d’actes de la vie courante anodins, et auparavant libres, comme aller au restaurant ou au cinéma.
Qu’est-ce que le passe-sanitaire ?
- Une base de données centralisée et contrôlée par l’Etat : le registre des personnes vaccinées ou testées ;
- Un titre permettant de faire la preuve de son inscription dans le registre : le QR code.
C’est ici que les choses deviennent amusantes. La vérification de la fiabilité ne pouvait s’opérer que parce que la personne contrôlant l’information (le serveur du restaurant, par exemple) était en mesure, grâce à son smartphone, de décrypter le QR code qui lui était présenté (quel que soit le support, papier ou numérique, du QR code) par l’application dédiée à cette vérification et l’interrogation du serveur central [1]. Sans smartphone, pas de contrôle [2].
Pourtant, l’auteur de ces lignes a été le témoin à deux reprises, ayant eu l’occasion de prendre l’avion pour une destination française puis européenne, que les préposés de deux grandes compagnies aériennes françaises étaient un peu perdus dans la subtilité du contrôle du passe vaccinal. Ceux-ci exigèrent, avec toute l’autorité qui leur était conférée par leurs fonctions, la présentation du QR code exclusivement sous forme papier pour autoriser l’embarquement, sans jamais scanner ledit QR code. Le contrôle visuel du QR code ne pouvait évidemment pas remplir sa fonction : la feuille sur laquelle il est imprimé n’ayant aucunement vocation à lui conférer les qualités d’un titre infalsifiable.
Car nous vivons encore avec le réflexe du titre officiel matériel (cf. la carte d’identité) alors que le contrôle du passe-vaccinal n’est effectif qu’avec le contrôle informatique du QR code. Le passe-sanitaire n’aurait pas été possible sans la 4G et les smartphones, même si beaucoup de ceux censés le contrôler, par incompréhension, transformèrent ledit contrôle en une mascarade. De facto, l’innovation a fourni une possibilité de limitation des libertés individuelles impossible dans un passé pas si lointain et permis de transformer des milliers de salariés en des agents de la force publique, sans que ces agents comprennent toujours ce qu’on leur demandait.
Deuxième exemple : Les transactions en crypto-monnaies
L’usage de la monnaie fiduciaire se réduit tous les jours un peu plus. Les confinements ont même accéléré l’utilisation de la carte bancaire, associée aux smartphones… toujours eux, même pour les petites sommes. Les flux informatiques de ces milliards de transactions bancaires sont formidables : ils peuvent être intégralement surveillés. Le payeur, le payé, le montant, le jour, l’heure, tout est conservé, analysé, contrôlé.
Les bons vieux billets et pièces du monde analogique ne le permettaient pas. Pour autant, quelques informaticiens doublés de mathématiciens inventifs ont créé à la fin des années 2000 un système de paiement entièrement décentralisé qui se passe des banques et des Etats. Le bitcoin est né en 2009. En 2020, le bitcoin était devenu la sixième monnaie mondiale… Le besoin impérieux de l’Etat de réguler ne pouvait se satisfaire de la situation.
En France, le premier mouvement législatif avait des intentions louables évidentes : il s’agissait de protéger les investisseurs sur le marché très complexe et spéculatif des crypto-actifs. Ce fut fait avec la loi dite « PACTE » du 22 mai 2019 qui créa dans le code monétaire et financier le statut des Prestataires Sur Actifs Numériques (PSAN) dans le but principal de les soumettre à la supervision de l’AMF. Très vite, il fut considéré qu’il était également nécessaire d’étendre les obligations liées à la lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT)[3] mises à la charge des PSAN. L’ordonnance n° 2020-1544 du 9 décembre 2020 a ajouté deux services sur actifs numériques soumis à l’enregistrement obligatoire auprès de l’AMF et aux obligations LCB/FT qui en découlent : l’échange dit « crypto contre crypto » et l'exploitation d’une plateforme de négociation d’actifs numériques.
La course au contrôle continu… continue. Les institutions européennes sont actuellement en train de discuter de la refonte du règlement sur les informations accompagnant les transferts de fonds (dit « TFR »). Règlement auquel sont soumis les acteurs de la chaine des paiements électroniques dans le même objectif LCB/FT. Le règlement TFR de 2015 laissait jusqu’alors de côté l’ensemble des transferts en crypto-actifs. L’Europe entend siffler la fin de la récréation sur le présupposé qui veut que « non-contrôlé = illicite ». L’ingéniosité des paiements reposant sur un système de blockchain est que le transfert des crypto-actifs s’opère entre des personnes qui ne sont identifiées dans la transaction que par leur couple d’adresse cryptographique privée/publique. Mais il est impossible d’obtenir l’identité réelle de la personne derrière l’adresse privée, à moins qu’elle ne la divulgue volontairement. L’anonymat est absolu. L’opération d’un portefeuille (« wallet ») autonome, sans avoir recours aux services d’un PSAN, nécessitant un minimum d’efforts et de compétences informatiques, beaucoup de détenteurs de crypto-monnaies utilisent le service d’un PSAN qui est leur mandataire dans leurs opérations de paiement en crypto-monnaies. Mais pas tout le monde. Il reste énormément d’opérations entre un portefeuille « déposé » chez un PSAN et un portefeuille « autonome », le projet TFR parle de « portefeuille non-hébergé ».
En d’autres termes, une seule partie à l’opération de paiement est connue du PSAN, son client, mais pas l’autre. Cela chagrine les rédacteurs du projet de règlement TFR qui, comme certains voulaient lutter contre un virus avec l’application « tous anti-covid », veulent lutter contre cet état de fait technologique imparable par l’accumulation d’informations. Le projet de règlement TFR impose notamment aux PSAN de conserver de nombreuses informations sur l’opération de transfert de crypto-actifs auquel ils participent, notamment :
- le nom de l’initiateur et du bénéficiaire ;
- l’adresse de portefeuille ou le compte de l’initiateur et du bénéficiaire ;
- l’adresse, le pays, le numéro du document d’identité officiel, le numéro d’identification de client ou la date et le lieu de naissance de l’initiateur ;
- le cas échéant, l’identifiant d’entité juridique actuel de l’initiateur et du bénéficiaire ou tout autre identifiant officiel équivalent disponible.
Pour les opérations vers « un portefeuille non-hébergé », le PSAN de l’initiateur devra recueillir et conserver ces informations, « y compris auprès de son client », en vérifier l’exactitude « sur la base de documents, de données ou de renseignements obtenus d’une source fiable et indépendante », mettre ces informations à la disposition des autorités compétentes sur demande et veiller à ce que le transfert de crypto-actifs puisse être identifié individuellement. Comment recueillir les données fiables d’identification d’une adresse privée sur la blockchain structurellement anonyme ? Aujourd’hui, personne ne sait comment cela peut être réalisé. Les parlementaires européens n’ont donc pas peur de poser des obligations un rien « incantatoires » en espérant peut-être que l’accumulation d’informations non-fiables aboutira à une régulation efficace… Un registre public des prestataires de transferts de crypto-actifs « non conformes » et des adresses « à haut risque » sur la blockchain serait également créé et tenu par l’Autorité Bancaire Européenne. Revoici le « registre », pierre angulaire de toute régulation.
Troisième exemple : la facture électronique
Depuis le 1er janvier 2017, tous les fournisseurs de l’Etat doivent adresser leur facture sous forme électronique à la plateforme publique dénommée « Chorus Pro ». Entre 2016 et 2020, plus de 145 millions de factures ont été échangées via cet outil, pour un montant dépassant 1 trilliard d’euros. Si la facturation électronique et centralisée est un moyen d’améliorer le règlement de ses fournisseurs par l’Etat, personne ne peut s’en plaindre. Mais l’article 153 de la loi de finances pour 2020 a prévu que « les factures des transactions entre assujettis à la taxe sur la valeur ajoutée sont émises sous forme électronique et les données y figurant sont transmises à l'administration pour leur exploitation à des fins, notamment, de modernisation de la collecte et des modalités de contrôle de la taxe sur la valeur ajoutée ».
Au plus tard au 31 décembre 2024, toutes les entreprises françaises vont donc devoir adresser, sous forme électronique, leurs factures à l’Etat même dans le cadre des opérations privées-privées. 2 milliards de factures par an sont attendues, même celles de plus petites TPE assujetties à la TVA qui facturent leurs plus petits clients pour les plus petites sommes. L’Etat français ne surestimerait-il pas ses capacités de traitement informatique ? Rendez-vous en 2025 pour le vérifier. Qu’apportera à l’Etat cette gigantesque centralisation de données ? Selon les promoteurs du texte : une réduction « substantielle » de l’écart annuel de TVA, lequel écart est chiffré à 7,1% du montant théorique de la collecte ; la détection des transactions conclues dans des conditions anormales susceptibles de dissimuler d'éventuelles minorations des bases d'imposition à l'impôt sur les sociétés et un pilotage « au plus fin » des politiques publiques par l’analyse économique de ces données... Peut-être.
Nous finirons là notre tour d’horizon du mythe de la régulation par la « data ». Sur les bénéfices de la centralisation des factures électroniques par l’Etat, nous nous permettrons de juger sur pièces. Mais il est fort probable que le bilan ne soit jamais tiré. Or, nous en voyons immédiatement les désavantages : contraintes pour les entreprises, coût pour les finances publiques d’opérer une telle plateforme informatique, intrusion dans les libertés individuelles car une facture peut révéler de nombreuses choses qui n'ont rien à voir avec la TVA.
La fraude et le risque sont aussi le prix à payer de la liberté. Le monde numérique offre en trompe-l’œil le mythe d’une régulation par l’accumulation et le contrôle des flux de données que l’activité numérique génère, sans réflexion et bilan sur l’efficacité réelle du contrôle de ces flux, alors que les facultés d’analyse et la fiabilité des données collectées pêchent. Les citoyens doivent être présumés honnêtes et n’ont pas à être contrôlés en permanence. Le monde analogique ne le permettait pas, il faut se garder d’aller vers un monde numérique qui le permettrait.
[1] Voir : Délibération de la CNIL 2021-067 du 7 juin 2021 portant avis sur le projet de décret portant application du II de l'article 1er de la loi du 31 mai 2021
[2] Ajoutons pour être précis et complet que le contrôle fiable ne pouvait être atteinte qu’avec la présentation concomitante d’une pièce officielle d’identité du porteur du QR code.
[3] Ils l’étaient même, avant d’avoir été créé, par l’ordonnance n° 2016-1635 du 1er décembre 2016 transposant la 4ème directive anti-blanchiment.