La Direction générale des finances publiques (DGFIP) se prépare à surveiller les réseaux sociaux des Français à l’occasion d’une expérimentation de trois ans afin de détecter les comportements frauduleux ou illégaux et de vérifier que leurs publications ne semblent pas contraires à leurs déclarations fiscales. Ce dispositif de surveillance a été initialement adopté par le biais de l’article 154 de la loi de Finances pour 2020.
Un décret publié le 13 février vient préciser les modalités d’intervention et d’application de ce dispositif, qui s’appuie sur des traitements informatisés des données rendues publiques par les utilisateurs. Dans cette publication, le gouvernement fait état de deux phases bien distinctes : une «phase d'apprentissage et de conception» suivie d'une «phase d'exploitation des données».
Les plateformes numériques visées par ce dispositif sont très variées : Instagram, Facebook, Twitter, YouTube, Airbnb, Blablacar, LeBonCoin, etc. D’après le décret, seules les données volontairement rendues publiques par les utilisateurs et accessibles sans mots de passe ni inscriptions pourront être traitées par les autorités fiscales.
«Tables informatiques» et «croisements de données»
Si les utilisateurs basculent leurs comptes en mode «privé» et que leurs publications ne peuvent être vues que par des personnes préalablement autorisées, les données publiées seront à l’abri du fisc. De même, si les utilisateurs modifient les paramètres de confidentialité d'une ou plusieurs publications (sur Facebook par exemple) pour en restreindre l’accès, elles deviennent inaccessibles. Enfin, les commentaires laissés par les utilisateurs ne pourront pas être pris en compte.
Côté technique, et dans un langage technico-juridique d’une rare complexité, le fisc compte s’appuyer sur un algorithme qui pourra identifier «des mots-clés, des ratios ou encore des indications de dates et de lieux». L’institution souhaite entraîner son algorithme à la recherche d’infractions bien précises ; les publications qui pourront démontrer que le contribuable trafique de la drogue ou verse dans la contrebande sont notamment concernées.
Evoquant plusieurs «tables informatiques» ainsi que le «croisement avec des bases de données», l’administration fait état d’un traitement automatisé dénommé «ciblage de la fraude et valorisation des requêtes» qui devra trier les données avant de signaler ou non des profils potentiellement frauduleux. D’après Le Figaro, «pour faire la distinction entre les publications douteuses de celles qui ne le sont pas, le ministère de l'Economie entend, pour cela, s'appuyer sur les API (c'est-à-dire des interfaces mises en place par les applications pour permettre à des tiers de les exploiter) et sur la technique de "webscraping" qui permet d'extraire le contenu de sites». Etant donnée l’ampleur de la tâche, le fisc évoque notamment une «mise en œuvre de modélisations de détection des activités frauduleuses reposant sur l'analyse et la corrélation des différentes informations collectées».
La CNIL et le Conseil constitutionnel très prudents
La publication de ce décret fait aussi mention d'une délibération de la Commission nationale de l'informatique et des libertés (CNIL), le 10 décembre 2020, qui se penche sur les implications du texte en matière de respect de la vie privée des contribuables. Rappelons que la CNIL avait été saisie par le gouvernement dès le 28 août 2019 et avait rendu un avis le 12 septembre 2019 en faisant état de nombreuses réserves, tant sur le fond du dispositif que sur son efficacité ou sa faisabilité. À l’époque, la CNIL évoquait «plusieurs réserves de nature à préserver un strict équilibre entre l’objectif de lutte contre la fraude fiscale et le respect des droits et libertés des personnes concernées». Elle jugeait également que la mise en œuvre de cette mesure était «susceptible de porter atteinte à la liberté d'opinion et d'expression».
L'institution se montre toujours très prudente et s’appuie notamment sur une décision rendue par le Conseil constitutionnel le 27 décembre 2019 pour émettre ses réserves. Elle insiste sur le fait que «les données susceptibles d'être collectées et exploitées doivent répondre à deux conditions cumulatives. D'une part, il doit s'agir de contenus librement accessibles sur un service de communication au public. […] D'autre part, ces contenus doivent être manifestement rendus publics par les utilisateurs de ces sites.» La CNIL rappelle que le dispositif doit faire l'objet d'une première évaluation à mi-chemin de l’expérimentation puis six mois avant le terme de cette dernière.
Comme le rappelle Le Figaro, s’agissant de la phase d’exploitation des données qui pourra donner lieu à des poursuites ou des injonctions du Fisc, la CNIL rappelle que si la collecte d'information peut être automatisée, ce n'est pas le cas des décisions de l'administration fiscale, qui doivent être motivées. Le fisc est, enfin, sommé de détruire les données dans un délai de trente jours si elles n'illustrent pas un manquement à la loi, et dans un délai d'un an si, au contraire, elles posent un problème légal.