L’association La Quadrature du Net dénonce la mise en œuvre d’une surveillance généralisée et indifférenciée. Mais le Conseil d’Etat a rejeté sa demande d’annulation du décret qui autorise les deux administrations à collecter massivement les données des internautes.
Mauvaise nouvelle pour l’association La Quadrature du Net, qui lutte pour défendre et promouvoir les droits et les libertés sur Internet : le Conseil d’Etat vient de rejeter sa demande pour annuler un décret concernant la collecte et l’exploitation de données rendues publiques sur les sites Web des opérateurs de plates-formes en ligne. Ce décret, datant du 11 février 2021, permet en particulier aux douanes et au fisc de collecter des données publiées en mode public sur les réseaux sociaux. Il ne concerne donc pas en théorie les photos et les messages que vous avez partagés uniquement avec vos amis sur Facebook.
Il s’inscrit dans le cadre d’une expérimentation de trois ans, lancée lors de la loi de finances pour 2020. Adoptée à la fin de l’année 2019, cette loi stipule entre autres que :
« L’administration fiscale et l’administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles sur les sites internet des opérateurs de plate-forme en ligne, manifestement rendus publics par leurs utilisateurs. »
L’objectif est de se servir de ces données pour détecter des fraudes comme la vente illicite de produits, les fausses domiciliations ou les manquements dans la déclaration d’impôts. Par exemple, les services du fisc ou des douanes peuvent traquer la vente de Rolex contrefaites, de tabac ou de drogues sur Le Bon Coin, voire une piscine non déclarée, mais dont les photos ont été publiées sur Facebook ou Twitter. Bref, cette surveillance concerne tous les sites de mise en relation, en particulier les plates-formes de vente et les réseaux sociaux.
Le décret indique que l’opération va s’effectuer en deux temps : tout d’abord, une phase d’apprentissage, puis une phase d’exploitation. La première phase consiste à développer les outils de traitement nécessaires, qui seront ensuite utilisés lors de la seconde phase. Notons que depuis 2014, l’administration fiscale développe un logiciel de traitement automatique des données pour améliorer la détection de la fraude et faciliter le ciblage des contrôles. Le CFVR (Ciblage de la Fraude et Valorisation des Requêtes) utilise des techniques de data mining, en croisant les données de l’administration fiscale et des données en libre accès.
Un dispositif dénoncé par le hashtag #BigBrotherBercy
Le problème est que le dispositif implique une collecte massive de données, sans demander le consentement des personnes qui les ont publiées, sous le prétexte qu’elles sont publiques. Dans un second temps, les données qui ne concernent pas des infractions potentielles sont supprimées. Cette phase doit s’effectuer dans un délai maximum de cinq jours après la collecte.
La Quadrature du Net a tenté de s’opposer à ce décret en argumentant :
« Un tel dispositif affecte directement et gravement l’exercice des droits fondamentaux dans l’environnement numérique et les libertés individuelles en matière de traitement informatisé de données, exposant la population à une surveillance illégitime. »
Mais le Conseil d’Etat a justifié sa décision de rejet en indiquant que la collecte de données autorisée ne concerne que les contenus qui sont librement accessibles et se rapportent à la personne qui les a délibérément divulguées. En outre, il estime que le dispositif mis en œuvre lors de la phase d’apprentissage, qui s’arrête à la fin de l’année, n’engendre pas une collecte généralisée et indifférenciée de données à caractère personnel :
« Ces données sont collectées sur la base des seuls indicateurs et critères de pertinence qui ont été validés lors de la phase d’apprentissage et de conception […] Ces indicateurs et critères de pertinence permettent ainsi, en phase d’exploitation, d’aboutir à des résultats identifiant des personnes physiques ou morales à l’égard desquelles pourrait peser un soupçon raisonnable de commission d’un manquement ou d’une infraction et de circonscrire la collecte sur les plates-formes en ligne aux données les plus pertinentes pour la recherche de ces manquements et infractions.. »
Interrogé par nos collègues du site EURACTIV, Bastien Le Querrec de la Quadrature du Net fait part de sa déception et estime que le Conseil d’Etat se trompe sur la réalité technique de cette surveillance :
« A partir du moment où on collecte des données qui ne sont pas structurées, on ne peut pas, avant la collecte, savoir quelles données vont correspondre à ce qui est autorisé. »
La Quadrature du Net met en garde sur le fait que le Conseil d’État a validé juridiquement le dispositif, ce qui va donner encore plus de liberté au gouvernement pour rendre cette surveillance définitive.
Il faudra donc faire très attention à ce que vous postez publiquement sur les sites Web, qu’ils s’agissent de plate-forme de vente ou de location, et surtout sur les réseaux sociaux. Une photo de vous à côté d’une voiture de luxe pourrait éveiller les soupçons des services fiscaux…
Source :
Conseil d’Etat