Dans le cadre du projet de loi de finances pour 2020, le gouvernement entend armer les douanes et les services fiscaux d’un nouvel outil aux implications considérables. Une collecte de masse, pour lutter contre les infractions douanières et fiscales. La CNIL a rendu un avis au vitriol contre ce dispositif d’une ampleur inédite.

Ce système de traitement automatisé n’a pas laissé insensible la CNIL. Comme annoncé, celle-ci vient de rendre publique sa délibération, rendue en septembre dernier.

L’enjeu ? Détecter, à l’aide de ces sources ouvertes, d’éventuelles contrariétés avec les déclarations fiscales, et s’agissant des douanes, traquer des opérations frauduleuses peu en phase avec la législation du secteur.

Ces deux entités pourront en effet effectuer une « collecte de masse » sur les réseaux sociaux et les plateformes de vente. L’expression anxiogène a été utilisée par l’exécutif dans le texte explicatif du projet de loi de finances pour 2020.

Cet oubli a été corrigé dans le projet de loi de finances pour 2020, comme révélé par Next Inpact (notre actualité de jeudi , celle révélant le texte , vendredi).

La mesure avait été annoncée l’an passé par Gérald Darmanin. La CNIL, contactée en novembre 2018, nous avait rappelé la nécessité de prévoir une solide base légale qui faisait jusqu’ici défaut.

Premièrement, la commission a été saisie en urgence par le gouvernement le 28 août, ce qu’elle regrette « vivement » au regard « des enjeux associés à la collecte massive de données » et aux « impacts s’agissant de la vie privée des personnes concernées ».

Même si ces mesures avaient été annoncées fin 2018, avec les détails fournis par le gouvernement, la CNIL constate qu’il s’agit d’un « changement d’échelle significatif dans le cadre des prérogatives confiées à ces administrations pour l’exercice de leur mission ». Ce projet traduit également « une forme de renversement des méthodes de travail ».

En effet, cette collecte massive et préalable vise « l’ensemble des personnes rendant accessibles des contenus sur les plateformes en ligne ». Avec ce stock, les administrations cibleront ensuite les actions. Autrefois, les traitements étaient ciblés dès lors qu’un doute ou des suspicions préexistaient.

L’information préalable des personnes physiques

La CNIL fait plusieurs rappels de rigueur. Déjà, ce n’est pas parce que les données sont publiées sur Internet que les administrations peuvent tout en faire. Celles qui souhaitent les exploiter ont l’obligation de les collecter « de manière loyale et licite ». Les internautes devront donc disposer d’une information préalable. Merci le RGPD.

Autre principe issu du règlement : la proportionnalité. Où se niche-t-elle face à une telle collecte de masse ? En outre, le texte vise les contenus librement publiés en ligne. Pour la CNIL, il faudra impérativement exclure les données publiées sous pseudonymes, sauf à aller au-delà de ce critère.

L’autorité craint de multiples violations à la vie privée. Et de fait, elle demande à ce qu’une analyse d’impact soit réalisée, comme le veut le même texte européen.

Quand Macron fustigeait « l’anonymat » sur les plateformes

On se souvient d’ailleurs qu’Emmanuel Macron et le gouvernement ont plusieurs fois critiqué « l’anonymat » en ligne, le président souhaitant savoir qui écrit quoi… « Moi je ne veux plus de l’anonymat sur les plateformes Internet » exposait Emmanuel Macron en février dernier, soit trois mois après l’avis de la CNIL, tout juste rendu public.

Ce n’est pas tout. Cette collecte doit se faire sur trois ans, dans le cadre d’une expérimentation. Problème, la CNIL n’a reçu aucun élément lui permettant de comprendre un tel délai, ni surtout le périmètre des infractions justifiant cette collecte, extrêmement large.

En face, le gouvernement a voulu rassurer la CNIL : il n’y aura aucun contrôle automatique à partir des données collectées par ce dispositif. L’an passé, la DGFIP nous avait d’ailleurs indiqué que ces éléments serviraient d’indices, non de preuves. Par exemple, en exploitant les métadonnées des photos, les services fiscaux pourraient déterminer la résidence fiscale d’une personne.

Le Bon Coin, Facebook, eBay au crible d’algorithmes auto-apprenants

Mais les inquiétudes de la commission ne s’arrêtent pas là. Elles frappent aussi l’étendue des plateformes visées. Au regard des critères choisis par le projet de loi de finances, tomberont dans la marmite Facebook, Twitter, Instagram, Le Bon Coin, eBay, etc. Bref, des pans entiers du Web dont les contenus sont librement accessibles.

Le texte évoque aussi la mise en œuvre de « traitements automatisés ». L’expression est suffisamment vaste pour y inclure les algorithmes et autres solutions auto-apprenantes, estime la commission. Le champ du possible est également infini s’agissant des données chalutées. Cela peut concerner les posts des individus, mais également les partages ou les commentaires de tiers.

Au travers l’avis, on découvre que le texte initial n’excluait pas juridiquement la reconnaissance faciale. La CNIL a obtenu cette interdiction dans le projet de loi de finances.

Rappelons que les données collectées seront conservées durant un an si elles sont utiles. Celles jugées inutiles seront supprimées au bout de 30 jours. La CNIL aurait souhaité une suppression immédiate, qui n’a donc pas été retenue.

En août 2019, le gouvernement n’avait pas prévu d’adresser à la CNIL le bilan intermédiaire de cette collecte de masse. La commission a, en dernière ligne droite, obtenu d’être mise dans la boucle.

Enfin, la commission, très pédagogique dans son avis, souligne les effets sur la liberté d’expression et de communication d’une telle collecte. Se sentant surveillés par Bercy ou les Douanes, les internautes pourraient modifier « de manière significative » leur comportement en ligne. Un appel du pied au Conseil constitutionnel, lorsque viendra le temps du contrôle.

La délibération de la CNIL n'est pas contraignante. Le gouvernement peut donc l'ignorer et passer outre.