Le gouvernement franais a franchi une nouvelle tape dans sa lutte contre la fraude fiscale. Un dcret adopt le 31 dcembre 2024 et publi le lundi 1ᵉʳ janvier 2025 tend les prrogatives de ladministration fiscale, qui pouvaient dj accder aux donnes publies sur les plateformes de vente ou de location entre particuliers des fins de dtection de fraude. Dsormais, en plus de ces plateformes, le fisc pourra analyser les donnes publiques issues de plateformes comme Instagram, TikTok ou Facebook pour dtecter des comportements frauduleux.
Inscrite dans la loi de finances, lobjectif affich par ladministration fiscale est clair : utiliser les informations publiques disponibles sur les rseaux sociaux pour reprer des incohrences entre le train de vie apparent dun individu et ses dclarations fiscales. Par exemple, un utilisateur affichant rgulirement des photos de voyages luxueux ou de biens coteux pourrait tre cibl si ces lments ne correspondent pas ses revenus dclars. Cette mesure repose sur des algorithmes capables de collecter et danalyser des masses de donnes, tout en respectant un cadre juridique prcis.
Pour mettre ce dcret, le gouvernement a du demander l’avis de la CNIL, dont l’avis est consultatif. Cette dernire a demand que lui soit communiqu un bilan du dispositif avant de se prononcer.
Dans sa dlibration du 14 novembre, publie galement ce 1er janvier, la CNIL estime que Cette premire exprimentation a fait l’objet d’un bilan intermdiaire et d’un bilan dfinitif, dont la CNIL a t rendue destinataire. Il en ressort une faible efficacit du dispositif initial du fait de son primtre limit (au regard, notamment, de l’exclusion des plateformes requrant un compte pour y accder), restreignant les capacits de collecte de donnes. Le lgislateur a fait le choix, le 29 dcembre 2023, d’tendre le primtre des donnes accessibles dans le cadre de l’exprimentation .
Bercy semble n’avoir communiqu que le strict minimum ncessaire l’valuation de la Commission. En effet, la CNIL regrette que le bilan ne comporte pas d’lments d’analyse qui auraient permis d’apprcier l’efficience du dispositif, ainsi que la proportionnalit entre l’objectif poursuivi (le renforcement de l’efficacit dans la lutte contre la fraude) et l’atteinte aux liberts individuelles .
Le dispositif tend le primtre des donnes accessibles
Bien qu’elle ait mis des rserves, la CNIL a valid les nouvelles prrogatives du Fisc et des Douanes. Dornavant, les agents de ladministration fiscale pourront collecter et analyser les donnes publies sur les rseaux sociaux, sous certaines conditions.
Le dispositif qui implique des traitements automatiss, tend les conditions de collecte, le champ infractionnel mais aussi le primtre des donnes accessibles, a t jug suffisamment protecteur par la CNIL.
Par exemple, la collecte de donnes est dsormais largie aux plateformes en ligne dont l’accs requiert une inscription un compte, une nouvelle disposition qui augmente de faon considrable le nombre de donnes que peuvent collecter et exploiter les administrations. Le texte prvoit galement la possibilit de collecter des mtadonnes lies aux donnes prcdemment collectes, soit les informations relatives aux dates, heures et golocalisation de leur cration.
ce sujet, la CNIL explique :
Envoy par CNILEn premier lieu, il est prvu l’ajout (que ce soit pour la recherche d’activits occultes, de manquements aux rgles de domiciliation ou de minoration ou dissimulation de recettes) de la collecte de mtadonnes lies aux donnes prcdemment collectes, incluant notamment les informations relatives aux dates, heures et golocalisation de leur cration .
Il ressort des prcisions apportes que seules les donnes de golocalisation ont vocation tre exploites. Les autres mtadonnes seront supprimes dans un dlai de cinq jours.
La CNIL prend acte de l’engagement du ministre de modifier le dcret pour prvoir, tant pour les phases d’apprentissage et de conception que d’exploitation, la suppression de ces donnes sous ce dlai maximal.
La loi autorise dsormais la collecte de QR-codes sur des pages se rapportant l’activit professionnelle ou l’activit illicite
Par ailleurs, parmi les catgories de donnes collectes, le texte de loi autorise la collecte de QR-codes lorsqu’ils se trouvent sur des pages se rapportant l’activit professionnelle ou l’activit illicite : Les catgories de donnes collectes sont : […]Les contenus, lorsqu’ils sont accessibles au moyen de QR-codes ou de tout autre vecteur, des pages se rapportant l’activit professionnelle ou l’activit illicite qui peuvent notamment tre des crits, des images, des photographies, des sons, des icnes, des vidos, ainsi que les QR-codes et autre vecteurs eux-mmes .
Une disposition valide par la CNIL :
Envoy par CNILD’une part, le terme de QR-code dsigne une technologie spcifique de code barre bidimensionnel permettant de partager des donnes. La CNIL invite le ministre modifier le projet de dcret en ce sens.
D’autre part, la CNIL rappelle que les liens obtenus via ces codes-barres ne devraient pas tre appels s’ils donnent l’utilisateur qui scanne le code barre un accs des donnes non disponibles par dfaut l’ensemble des utilisateurs de la plateforme ou du rseau social (par exemple en provoquant automatiquement le suivi d’une personne, ou l’inscription un groupe de discussion ; ce propos, v. supra, point 13). Sous rserve de ce qui prcde, la collecte de QR-code apparait proportionne.
Les entreprises qui minorent ou dissimulent leurs recettes sont galement dans le collimateur du Fisc
Concernant l’largissement du dispositif aux minorations et / ou dissimulations de recettes par les entreprises, celui-ci vise dtecter les entreprises dont l’activit est manifeste sur les rseaux sociaux mais qui dclarent un statut incohrent ou de trs faibles recettes. La CNIL estime qu’une telle volution conduira la collecte de donnes dont le ciblage se limitera certains critres objectifs (par exemple, les auto-entrepreneurs avec un chiffre d’affaires dclar nul). Au regard de cette limitation, la CNIL estime la collecte lgitime .
Le texte prvoit, par contre, que les agents ne sont autoriss ni entrer en relation avec d’autres dtenteurs de compte, ni diffuser des contenus , ni utiliser le systme pour d’autres activits que la recherche d’indices de certaines fraudes fiscales.
Les agents ne pourront pas utiliser des identits d’emprunt lorsqu’ils collectent les donnes sur les rseaux sociaux
Ct garanties, lautorit prcise que les agents des administrations concernes ne sont pas autoriss entrer en relation avec d’autres dtenteurs de compte ou diffuser des contenus : ils ne sont autoriss qu’ procder la collecte et l’exploitation de contenus . L’objectif de ces limitations est de n’accder qu’ des informations disponibles publiquement : Ces limitations ne permettent donc pas d’accder des donnes qui ne seraient pas rendues disponibles l’ensemble des utilisateurs de la plateforme ou du rseau social (par exemple, le suivi d’une personne ou d’un compte) ni de rejoindre une conversation de groupe, mme sans prendre la parole .
Par ailleurs, il ressort des prcisions apportes par le ministre que la cration de ces comptes ne permettra pas d’utiliser des identits d’emprunt et laissera apparaitre, en clair, qu’il s’agit d’un compte de l’administration fiscale ou des douanes.
Serait enfin exclu, pour ces administrations, l’usage d’interfaces de mise disposition des donnes des sites (API) proposes par les plateformes ou les rseaux sociaux pour collecter des donnes, dans l’hypothse o elles permettraient d’obtenir des informations supplmentaires celles accessibles partir d’un compte avec le niveau de permission minimum.
Aucune collecte sur des plateformes sensibles comme des applications de rencontre ou de sant
S’agissant du primtre des plateformes concernes, la CNIL prend acte des prcisions apportes, selon lesquelles aucune collecte ne sera ralise sur des plateformes « sensibles » au sens de l’article 9 du RGPD ( l’instar d’applications de rencontres ou de sant).
Lautorit estime enfin que ladministration devra faire preuve dune certaine prudence en mettant en place ces systmes dintelligence artificielle qui collecteront et analyseront les donnes, notamment en raison des biais quils peuvent prsenter :
En dernier lieu, le bilan intermdiaire de l’exprimentation en cours, transmis la CNIL, confirme que le modle de dtection automatique de la fraude repose sur une phase pralable d’apprentissage machine. Cet apprentissage consiste fournir au modle une vaste quantit de donnes pour obtenir des performances satisfaisantes. La CNIL appelle une certaine prudence dans l’utilisation de ce type d’algorithmes, eu gard aux risques qu’ils comportent et aux biais qu’ils peuvent prsenter. Elle estime que le dveloppement et l’utilisation de tels modles d’apprentissage devraient tre faits en analysant la possibilit de l’mergence de tels biais et le cas chant de documenter les mesures permettant d’en diminuer l’impact.
Le dcret prvoit aussi que les administrations donne chaque semestre la CNIL la liste des oprations de collecte qui seront engages.
Sources : journal officiel, dlibration de la Cnil
Et vous ?
Est-il acceptable que des donnes publiques soient utilises des fins fiscales, mme si elles sont librement accessibles ?
Cette mesure pourrait-elle inciter les individus rduire leur prsence en ligne ou se censurer sur les rseaux sociaux ? Ce dispositif pourrait-il crer un dsquilibre entre ceux qui exposent publiquement leur vie et ceux qui ne le font pas ?
Comment concilier la lutte contre la fraude fiscale avec le respect des liberts individuelles et de la vie prive ?
Les garanties juridiques actuelles sont-elles suffisantes pour viter les abus ou les drives potentielles ?
Existe-t-il un risque que certains groupes soient cibls de manire disproportionne par ce dispositif ?
Si cette exprimentation est valide, comment viter que cette mthode ne soit tendue dautres domaines (justice, assurance, etc.) ?