Il y a plus d’un an, l’article 154 de la loi de finances pour 2020 a donné à l’administration fiscale et douanière, à titre expérimental et ce pour une durée de trois ans, le droit d’utiliser les données rendues publiques par les contribuables sur les sites internet. Le décret 2021-148 paru le 13 février dernier est enfin venu préciser les conditions d’application de ce nouveau dispositif. L’objectif de cette expérimentation ?  La détection d’une série de comportements frauduleux.

Par comportement frauduleux, on entend en matière fiscale les omissions ou manquements aux règles de domiciliation fiscale ou encore les activités occultes. En matière douanière, il s’agit d’actes de contrebande ou de produits contrefaits.

Champ d’application du dispositif

Quel contenu visé ? Les contenus consultables par Bercy sont ceux librement accessibles sur les plateformes et les réseaux sociaux, à savoir les contenus qui ne sont pas publiés en mode privé ou en accès restreint à un cercle de contacts.

Les données visées par le décret sont principalement « les données d’identification des titulaires des pages internet analysées », « des données de localisation », « des données relatives aux moyens de transport utilisés », « les contenus des pages se rapportant à l’activité professionnelle des entreprises de l’échantillon » ou encore « les contenus des pages permettant d’identifier des lieux géographiques », ces deux derniers types de contenus pouvant notamment être « des écrits, des images, des photographies, des sons, des signaux ou des vidéos. » (Articles 4 et 5).

Concrètement, pourront être concernés par ce nouveau dispositif la publication sur Instagram d’une photographie montrant un patrimoine plus important que celui déclaré ou un tweet ou un post Facebook qui témoigne de l’existence d’une activité qui rapporte de l’argent.

Enfin, seuls les contenus se rapportant à la personne qui les a divulgués peuvent être collectés. Ainsi, les commentaires ou interactions déposées sur une page internet ne peuvent faire l’objet d’aucune exploitation (Article 2).

Quelles plateformes sont concernées ? Sont concernés par le dispositif les opérateurs de plateforme de mise en relation en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service, tels que définis par l’article L. 111-7 I 2° du Code de la consommation.

A titre d’exemple, peuvent être citées les plateformes telles que Airbnb, Facebook, Twitter, YouTube, BlaBlaCar ou encore leBoncoin.

Méthodes et moyens utilisés

Les autorités ayant autorisation d’effectuer une telle collecte ne sont autres que la Direction Générale des Finances publiques et la Direction Générale des Douanes et Droits indirects.

Ces deux autorités auront à leur disposition des outils de traitement seront développés dans une phase d’apprentissage puis utilisés dans une phase d’exploitation.

La première phase a pour objet de permettre à l’administration de se doter d’outils de collecte, de traitement et d’analyse des contenus des données auxquelles cette dernière a accès. Elle a également pour objet d’élaborer des critères de pertinence ou des indicateurs susceptibles de caractériser des manquements et des infractions ou encore des indicateurs de lieux géographiques afin de procéder au mieux à la sélection et à la collecte des données.

Il est à noter que pour la recherche d’activités occultes, les indicateurs seront identifiés à partir d’un échantillon d’entreprises constitué sur la base du traitement automatisé de lutte contre la fraude : « ciblage de la fraude et valorisation des requêtes » ou CVFR. A cela s’ajoutera une recherche de contenus, qui se rapportent à l’activité professionnelle de ces entreprises. En ce qui concerne la recherche des manquements aux règles de domiciliation fiscale, l’administration devra concevoir une technologie d’identification des personnes physiques à partir d’une liste issue du traitement CFVR. Elle permettra d’associer une personne à ses comptes détenus sur les plateformes en ligne. Bercy devra également mettre sur pied une technologie d’identification des données de localisation géographique, qui permettra d’identifier des indicateurs de lieux.

La seconde phase correspond notamment à l’analyse des données et la collecte des contenus sensibles susceptibles de révéler un manquement ou une infraction en matière fiscale ou douanière.

Pour la recherche d’activités occultes, le décret prévoit une collecte automatique des contenus relatifs aux personnes physiques et morales qui sont susceptibles d’exercer une activité économique dissimulée. Pour la recherche des manquements aux règles de domiciliation fiscale, le décret prévoit qu’une liste de personnes physiques susceptibles d’être en infraction avec les règles de l’article 4B du CGI sera établie à partir du traitement CFVR (Article 7). A partir de cette liste, Bercy pourra collecter les éléments figurant sur les pages dont ces personnes sont titulaires. Elle pourra d’ailleurs recenser les éléments de localisation en France ainsi que les éléments d’identification des publications et comptes en lien avec les personnes précitées.

Des garanties mises en place

La Commission nationale informatique et liberté (CNIL) et le Conseil constitutionnel s’étaient prononcés en 2019 sur cet article du projet de loi de finances. Le Conseil constitutionnel (1) avait d’ailleurs justifié les atteintes au droit au respect de la vie privée et à la liberté d’expression et de communication par l’objectif à valeur constitutionnelle de lutte contre la fraude fiscale.

Afin d’éviter au mieux l’altération de ces libertés et assurer une conciliation entre les deux objectifs, le décret a mis en place des garanties devant être respectées (Article 2). Le mode de collecte est très réglementé, puisqu’il ne peut se faire au moyen d’une identité d’emprunt ou de comptes spécialement utilisées à cet effet par les administrations concernées.

De plus, l’exclusion des contenus accessibles par le biais d’un mot de passe ou d’une inscription sur le site suit cette même logique. Enfin, seul le contenu se rapportant à la personne concernée et qui l’a délibérément divulgué ne peut être collecté.

Outre un encadrement des modalités de collecte, et afin d’assurer la traçabilité des traitements, le décret prévoit également la tenue d’un journal retraçant les opérations de collecte, de modification, de consultation, de communication, d’interconnexion et d’effacement des données. A ce titre, les informations recensées sont conservées pendant 30 jours sauf information de nature à concourir à la constatation d’un manquement fiscal. Dans une telle situation, le délai de conservation est d’un an maximum et jusqu’à la fin du contentieux si une procédure de rectification est ouverte le cas échéant. En revanche le délai est de 5 jours pour les données sensibles ou manifestement sans lien avec un manquement ou une omission.

Autre garantie, les indices recueillis ne peuvent fonder seuls et directement un redressement. Lorsque les traitements réalisés permettent d’établir qu’il existe des indices qu’une personne a pu commettre un des manquements ou infractions concernés, les données collectées sont transmises au service compétent pour qu’elles soient corroborées et enrichies. Cette transmission s’effectue de manière sécurisée et contrôlée à destination des seuls agents des services chargés de la recherche et du contrôle territorialement compétents. Les renseignements recueillis ne peuvent être opposés au contribuable que dans le cadre d’une procédure de contrôle.

Par ailleurs, le décret précise que les personnes concernées pourront exercer leurs droits d’accès aux informations collectées, à la rectification et à l’effacement de leurs données ainsi qu’à la limitation de leur traitement dans les conditions prévues par le Règlement général sur la protection des données (RGPD) et par la loi du 6 janvier 1978 (2). Il est tout de même précisé que les droits d’information et d’opposition ne s’appliquent pas à ces traitements (Article 11).

Les résultats d’une première évaluation de l’expérimentation seront transmis à la CNIL et au Parlement 18 mois avant son terme et un bilan définitif six mois avant.

(1) Décision n°2019-796 DC, 27 décembre 2019.

(2) Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.