Le gouvernement veut collecter en masse les données sur les réseaux sociaux pour identifier les comportements frauduleux
Le gouvernement veut automatiser la collecte de données sur les réseaux sociaux tels que Facebook ou Instagram, mais aussi auprès des sites de petites annonces comme Leboncoin ou les places de marché comme Airbnb.
L’article 57 du projet de loi de finances 2020 intègre les dispositions encadrant ce traitement de datamining.
L’exposé des motifs dénonce la forte augmentation des infractions dues notamment à la simplicité de développement d’une activité commerciale non déclarée ou de vente de produits prohibés. Il précise également que les coûts de traitement manuel de ces informations est actuellement disproportionné.
L’objectif est de repérer les fraudes plus efficacement au moyen de cette « application innovante » (sic). Les expérimentations effectuées ont confirmé l’intérêt de tels traitement automatisés, selon l’auteur du texte.
En cas de suspicion de fraude, les informations seront conservées pendant un an. En cas d’infraction pénale, fiscale ou douanière, les informations seront conservées jusqu’à la fin de la procédure.
Cette collecte de données ne serait pas soumises à un traitement de reconnaissance faciale (pour le moment ndlr).
Selon nos confrères de Next INpact, qui ont révélé ce projet de loi, la CNIL n’a pas encore rendu public son avis sur ce dispositif. MAJ: la CNIL vient d’émettre un avertissement dans son avis du 12 septembre; mais rendu public lundi 30 septembre.
Exposés des motifs de l’article 57 du projet de loi de finances 2020
« Pour améliorer la détection de la fraude et le ciblage des contrôles fiscaux, l’administration fiscale développe, depuis 2013, un traitement automatisé de données dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) consistant à appliquer des méthodes statistiques innovantes sur des informations en provenance de l’administration fiscale et d’autres administrations, de bases de données économiques payantes et de données en libre accès. Pour sa part, la direction générale des douanes et droits indirects a confié, en 2016, l’exploitation de son patrimoine de données dématérialisées à son service d’analyse de risque et de ciblage (SARC) en vue de réaliser des traitements de type « datamining » dans le domaine de la lutte contre la fraude.
Les résultats encourageants des expérimentations menées ont confirmé l’intérêt de mettre en œuvre ce type de traitement, mais celui-ci est actuellement limité à l’exploitation de données déclarées à l’administration ou publiées par des acteurs institutionnels.
Dans un contexte d’usage de plus en plus massif des outils numériques, il est aisé de réaliser, de manière occulte ou sans respecter ses obligations fiscales ou douanières, une activité économique sur internet, notamment de commerce des marchandises prohibées, grâce aux réseaux sociaux et plateformes de mise en relation par voie électronique. L’administration est aujourd’hui largement démunie pour identifier ces fraudeurs, l’exploitation de ces informations ne pouvant être réalisée manuellement qu’à un coût humain disproportionné.
Le présent article propose d’autoriser l’administration à collecter en masse et exploiter, au moyen de traitements informatisés n’utilisant aucun système de reconnaissance faciale, les données rendues publiques par les utilisateurs des réseaux sociaux et des plateformes de mise en relation par voie électronique, lui permettant de mieux détecter des comportements frauduleux sans créer d’obligation déclarative nouvelle pour les contribuables et les opérateurs économiques.
Cette approche innovante, qui implique le traitement de données personnelles, nécessite toutefois d’être mise en œuvre de manière encadrée. Le présent article n’ouvre donc cette possibilité qu’à titre expérimental, pour une durée de trois ans, et dans le seul but de rechercher les manquements les plus graves. Compte tenu de l’impact de cette mesure sur le droit au respect de la vie privée et de la possibilité de recueillir des données sensibles, les informations ainsi collectées seront détruites dans un délai de trente jours si elles ne sont pas de nature à concourir à la constatation des infractions recherchées, et au maximum d’un an, si elles ne donnent pas lieu à l’ouverture d’une procédure pénale, fiscale ou douanière. Seuls les agents habilités des administrations fiscale et douanière pourront mettre en œuvre les traitements envisagés et le droit d’accès aux informations collectées pourra s’exercer auprès du service d’affectation de ces agents. En outre, la mise en œuvre de ce dispositif expérimental sera encadrée par un décret en Conseil d’État, soumis à l’avis de la Commission nationale de l’informatique et des libertés. Enfin, un rapport sera remis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés six mois avant la fin de cette expérimentation afin, notamment, d’évaluer si l’amélioration de la détection des fraudes est proportionnée à l’atteinte portée au respect de la vie privée ».