Le Conseil Constitutionnel vient de valider le système de collecte automatisée des données sur les réseaux sociaux afin de lutter contre la fraude fiscale. Largement critiqué par les défenseurs des libertés individuelles, le processus a été globalement validé, en raison des nombreux garde-fous dont ils s’entourent.
Le gouvernement va donc pouvoir lancer les trois années d’expérimentation de son système de surveillance des réseaux sociaux pour y trouver des indices de fraude fiscale. Le système, très décrié par les défenseurs des libertés individuelles, qui y voient une intrusion de l’autorité publique dans la sphère privée, a été jugé constitutionnel par les sages du Conseil Constitutionnel, le 27 décembre 2019.
Des atteintes aux libertés individuelles « nécessaires, adaptées et proportionnées à l’objectif poursuivi »
L’institution a en effet estimé que la lutte contre la fraude et l’évasion fiscales était un « objectif de valeur constitutionnelle » : il permet donc certaines atteintes à l’exercice des libertés individuelles (dont la garantie reste une charge fondamentale du législateur), pour peu qu’elles soient « nécessaires, adaptées et proportionnées à l’objectif poursuivi ».
En clair : le projet gouvernemental dispose de suffisamment de garde-fous pour être certain qu’il ne sera pas dévoyé. Pour commencer, les algorithmes chargés de collecter les données sur les réseaux sociaux seront programmés pour ne viser que les fraudes les plus graves, en particulier les plus difficile à déceler. La domiciliation fiscale est l’un d’eux : tel contribuable se prenant très régulièrement en photos dans une ville, alors qu’il indique que son domicile principal est ailleurs, pourra être épinglé.
La lutte contre la fraude fiscale passe par des contenus publics, exclusivement
Mais le point le plus important, pour le Conseil Constitutionnel est que la recherche ne portera que sur les « contenus librement accessibles » sur le net, et « manifestement rendus publics », de manière délibérée. Dit autrement : pour que les algorithmes puissent collecter des données, il faut qu’elles apparaissent sur des profils publics, disponibles sans connexion ni mot de passe, et qu’elles aient été publiées par les principaux intéressés.
La loi impose également que la collecte, le traitement ou la conservation des données soient effectués en interne, par les services de l’administration fiscale, et pas confiés à des tiers. La conception des outils peut être externalisée, mais leur utilisation ne pourra être effectuée que par des agents spécialement habilités et ayant un certain grade (contrôleur) – soumis, bien entendu,au secret professionnel.
Qui plus est, si la collecte d’informations et la détection des fraudes seront effectués par des algorithmes, un agent sera seul habilité à les transformer en procédure pénale, fiscale ou douanière, après une appréciation individuelle.
Effacement des données après 5 ou 30 jours
Par ailleurs, un processus d’effacement des données est prévu. Les informations collectées seront supprimés au bout de cinq jours pour les données sensibles ou sans lien avec la fraude ; au bout de trente jours pour les autres, si elles n’apportent rien à une éventuelle enquête.
Le procédé prévoit aussi que les internautes visés disposent d’un droit d’accès, de rectification et d’effacement desdites données. Seul le droit d’opposition leur est ôté, assez logiquement. Pour autant, on n’imagine mal un contribuable venir demander quelles données ont été collectées sur lui par le système de contrôle de la fraude fiscale : ce serait un appel du pied trop évident à un contrôle !
Le principe tient, mais comment sera-t-il mis en œuvre ?
Enfin, le système est théoriquement chapeauté par un juge, qui a le pouvoir de contrôler que l’exécutif n’utilise pas ces algorithmes pour autre chose que la lutte contre la fraude. Si, dans le cas d’une enquête poussée et précise, le principe peut se comprendre et être appliqué, peu de chance qu’un juge vienne vérifier l’ensemble des données collectées dans le cadre de toutes les affaires de fraudes fiscales potentielles dont il a la charge. Le garde-fou est nécessaire, il sera utile en cas de dérive manifeste, mais ne permettra en aucun cas de prévenir lesdites dérives.
Reste à suivre, de très près, le développement de ce projet, la mise en place des algorithmes, la façon dont ils seront contrôlés et comment les données collectées seront protégées. Les trois années d’expérimentation seront là pour cela. En espérant que ce projet ne débouche pas sur un des ces éléphants blancs dont le gouvernement français s’est fait, en matière de nouvelles technologies, un spécialiste.