Dans le cadre du projet loi finances 2020 à l’initiative du gouvernement, la douane et les impôts pourraient collecter en masse les données que les utilisateurs publient sur les réseaux sociaux et les plates-formes.
Ces administrations exploiteraient ainsi l’ensemble des publications, photos, vidéos publiques que vous postez sur Facebook ou Instagram mais aussi les petites annonces que vous affichez sur LeBonCoin… pour traquer les fraudeurs. Selon un rapport publié en février 2018 par Solidaires-Finances publiques, la sous-déclaration des revenus reste la fraude « la plus courante ». Au total, le manque à gagner pour l’État s’élève à 100 milliards d’euros par an.
Combattre la fraude à tout prix ?
Si l’objectif affiché semble louable, la méthode développée par Bercy soulève de nombreuses interrogations au regard des libertés individuelles. En l’état actuel, cet article (57) bute contre le Règlement général sur la protection des données (RGPD), entré en vigueur depuis mai 2018. La Commission nationale de l’informatique et des libertés (Cnil), saisie en urgence fin août, a rendu un avis fortement « réservé » sur le dispositif expérimenté par le ministère de l’Économie et des Finances. Alors avons-nous vraiment à faire à un « Big Brother Bercy » ?
Selon le texte, le contribuable ne sera pas mis au courant si les administrations étudient ses données publiques. Cela pose problème puisque dans le règlement européen, il est mentionné que toute utilisation des données doit être précédée d’un consentement – qui plus est – actif de l’individu. Or, dans le cas du nouveau dispositif, le contribuable sera signifié de « l’enquête » en cours a posteriori.
Outre l’accord préalable bafoué, l’article 57 ne respecte pas le « principe de proportionnalité » consacré par le RGPD. Selon le règlement, on ne peut collecter que les données dont l’enquête a besoin. C’est-à-dire qu’en plus d’informer, il faut cibler les informations.
Sémantiquement parlant, une « collecte de masse » est à l’opposé de ce principe. L’expérimentation voulue par Bercy inverse totalement la dynamique classique. La logique passe du « on détecte une anomalie, on enquête dans ce sens, et on cherche x données » à « on récolte toutes les données, puis je trie pour détecter une anomalie ».
Toutes les réponses dans le futur décret
En dehors du périmètre du RGPD, une contradiction interne au dispositif vient fragiliser la crédibilité de la démarque gouvernementale. Il est stipulé dans le texte que seules les infractions « graves » sont visées. Or, les agents seraient également habilités à chercher des infractions de catégories moindres (notamment de 2 et 3e classes) qui sont habituellement sanctionnées par de « simples » amendes.
À ces incohérences s’ajoutent un flou qui interroge. Les contours de cette expérimentation ne sont pas très clairs. Le texte cible les données « publiques » sur les « réseaux sociaux » et « les plates-formes » sans autre précision. Même si cela assure qu’il n’y aura pas de truchement de la part du gouvernement pour obtenir ces données, puisqu’elles sont disponibles publiquement, l’article reste évasif sur le champ d’action du dispositif. C’est pourquoi d’ailleurs Bercy insiste quand on pose la question sur la durée limitée à trois ans de l’expérience.
Le temps envisagé de sauvegarde des données paraît également problématique. Selon le texte, les administrations peuvent garder les informations collectées pendant 30 jours s’il n’y a rien d’anormal et pendant un an si les informations font l’objet d’une procédure judiciaire. Mais, en un mois, l’utilisateur peut avoir dépublier, republier autre chose. Cela pose la question du caractère éphémère des publications utilisées dans le cadre rigide de l’administration.
L’intérêt général au détriment des libertés individuelles?
Et pour couronner le tout, cette durée implique, de fait, des problèmes de sécurité. Si l’utilisateur modifie son profil sur Facebook au cours du mois de l’enquête, l’administration aura une copie du profil – en plus du réseau social. Mais où va-t-elle être stockée ? Comment assurer la sécurité de ces données hébergées ? Et en l’état du projet de loi, rien n’indique que les pouvoirs publics ont pensé à cet aspect. En revanche, tout augmente le risque de fuite concernant les données des usagers.
Force est de constater que ce mécanisme de ciblage n’est – en l’état – pas applicable. Face à tous ces éléments, la seule et unique réponse de Bercy est pour l’instant : tout sera précisé dans le décret du Conseil d’État à venir. Mais en attendant, tout débat est stérile.
Pourtant, l’enjeu est sociétal. « Il s’agit de trouver l’équilibre entre l’intérêt général et la protection des libertés individuelles fondamentales », comme le souligne Me Guimberteau, avocate affiliée au cabinet FTPA. « On comprend bien l’utilité d’un tel dispositif mais cela va à l’encontre de toute la dynamique actuelle européenne de protection des données ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
