Exploitation des Data : les réserves de la CNIL

Bercy projette d’utiliser les données rendues publiques par les utilisateurs des réseaux sociaux et des plates-formes de mises en relation électronique pour intensifier la lutte contre la fraude. Pour La CNIL, une telle expérimentation doit s’accompagner de garanties fortes afin de préserver les droits et libertés des personnes concernées.

La Commission nationale de l’informatique et des libertés (CNIL) s’est prononcée le 12 septembre 2019 sur un article du projet de loi de finances pour 2020 permettant, à titre expérimental, la collecte de données à caractère personnel publiées sur internet par les utilisateurs de plates-formes en ligne (Délibération 2019-114 du 12 septembre 2019 portant avis sur le projet d’article 9 du projet de loi de finances pour 2020, devenu article 57 dans le projet de loi déposé au Parlement).

Le projet de Bercy consiste à créer un nouveau dispositif expérimental de lutte contre la fraude. Il s’agit de permettre à l’administration fiscale ainsi qu’à l’administration des douanes et droits indirects, de manière expérimentale, de collecter les données « librement accessibles » rendues publiques sur les réseaux sociaux ainsi que sur les plates-formes de mise en relation par voie électronique, mentionnées à l’article L. 111-7-I-2° du Code de la consommation (comme Facebook, Le Bon Coin, ou encore Twitter…), et d’exploiter ces données à l’aide de traitements « informatisés ». Cette expérimentation, qui doit durer 3 ans, vise à détecter les infractions considérées comme les plus graves.

Un dispositif de ce type est inédit. La Commission relève qu’il s’agit, de manière générale, de permettre aux administrations fiscales et douanières d’exploiter les données rendues publiques sur les réseaux sociaux ainsi que sur les plates-formes de mise en relation par voie électronique afin de permettre la recherche d’infractions relatives aux manquements fiscaux et douaniers considérés comme les plus graves par ces administrations. Elle relève d’emblée que la mise en œuvre de ce type de traitement, d’un genre nouveau par rapport à ce dont la Commission a eu à connaître jusqu’à présent, témoigne d’un changement d’échelle significatif dans le cadre des prérogatives confiées à ces administrations pour l’exercice de leurs missions. Il traduit également un changement de technique, en permettant le développement d’algorithmes pour améliorer le ciblage des contrôles fiscaux à partir de l’exploitation de ces données. La mise en œuvre d’un tel dispositif constitue en effet une forme de renversement des méthodes de travail des administrations visées ainsi que des traitements auxquels elles ont recours pour lutter contre la fraude. Elle repose en effet sur une collecte générale préalable de données relatives à l’ensemble des personnes rendant accessibles des contenus sur les plates-formes en ligne visées, en vue de cibler des actions ultérieures de contrôle lorsque le traitement de ces données aura fait apparaître un doute, et non sur une logique de traitement ciblé de telles données lorsqu’un doute ou des suspicions de commission d’une infraction préexistent.

La CNIL considère à ce titre qu’il y a lieu, par principe, de faire preuve d’une grande prudence quant au développement de traitements informatisés permettant de collecter les contenus librement accessibles et publiés sur internet, qui posent des questions inédites en matière de protection de données à caractère personnel. Elle souligne qu’il revient au législateur d’apprécier l’opportunité d’un tel dispositif et, le cas échéant, d’en fixer les règles au regard des garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Elle précise à cet égard qu’elle entend faire un examen circonstancié du présent dispositif sans que cela ne préjuge d’une part, de son analyse quant à la possibilité de recourir à des traitements de cette nature dans le contexte d’autres politiques publiques et pour d’autres finalités que celles mentionnées à l’article 9 du projet de loi ni, d’autre part, de son appréciation du respect des principes relatifs à la protection des données à caractère personnel s’agissant des conditions de mise en œuvre effectives des traitements dans d’autres hypothèses. En tout état de cause, elle regrette vivement d’avoir à se prononcer dans des conditions d’urgence sur la mise en œuvre de tels traitements compte tenu des enjeux associés à la collecte massive de données sur les plates-formes en ligne et les impacts substantiels s’agissant de la vie privée des personnes concernées qui en résultent.

Une collecte loyale

La seule circonstance que les données soient accessibles sur internet, et que les personnes aient éventuellement conscience qu’un potentiel risque d’aspiration de leurs données existe, ne suffit pas pour que les administrations qui souhaitent les exploiter soient exonérées de l’obligation de collecter ces données de manière loyale et licite. À ce titre, la Commission précise qu’elle sera particulièrement vigilante quant aux modalités d’information des personnes concernées. La création volontaire de profils sur les plates-formes en ligne n’emporte pas, par principe, la possibilité de leur aspiration ainsi que de leur rediffusion sur d’autres supports non maîtrisés par les personnes concernées. En effet, si les personnes décident de leur plein gré de rendre publiques un certain nombre d’informations sur les plates-formes de leur choix, celles-ci ont nécessairement le contrôle de leurs profils et peuvent à tout moment rectifier ou supprimer leurs données.

Si la lutte contre la fraude fiscale constitue un objectif à valeur constitutionnelle et sans remettre en cause la nécessité opérationnelle de développer des mécanismes performants en ce sens, la Commission considère que les traitements projetés sont, par nature, susceptibles de porter atteinte aux droits et libertés des personnes concernées. Elle relève en effet que la mise en œuvre de tels traitements interviendra de facto, bien au-delà du périmètre des données susceptibles d’avoir une incidence en matière fiscale et douanière, dans le champ des libertés publiques des citoyens en étant susceptible de porter atteinte, par exemple, à leur liberté d’opinion et d’expression. La Commission observe ainsi que la collecte de l’ensemble des contenus librement accessibles publiés sur internet est susceptible de modifier, de manière significative, le comportement des internautes qui pourraient alors ne plus être en mesure de s’exprimer librement sur les réseaux et plates-formes visés et, par voie de conséquence, de rétroagir sur l’exercice de leurs libertés.

Une atteinte proportionnée au respect de la vie privée ?

Au regard de l’ampleur du dispositif projeté, tant au niveau du nombre de personnes concernées que du volume de données collectées, une atteinte particulièrement importante au droit au respect de la vie privée et à la protection des données à caractère personnel est susceptible d’être caractérisée. La Commission rappelle qu’une telle atteinte ne saurait être admise que si elle apparaît strictement nécessaire et proportionnée au but poursuivi et qu’elle présente des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données personnelles. À cet égard, la Commission estime que l’un des enjeux majeurs associé à la collecte de contenus librement accessibles publiés sur internet, reposera sur la nécessité de pouvoir garantir la stricte proportionnalité des données collectées au regard de la finalité poursuivie par le traitement mis en œuvre ainsi que du dispositif dans son ensemble, sans qu’à ce stade, celle-ci ne soit assurée. La Commission relève la nécessité d’avoir une compréhension claire de la notion de « contenus librement accessibles » publiés sur internet, visé par le projet d’article dans la mesure où, en pratique, cette notion pourra renvoyer à des réalités différentes selon la politique de confidentialité de la plate-forme en ligne concernée. La Commission considère par ailleurs que cette notion conduit à exclure, par exemple, la collecte de données au moyen d’identités d’emprunts ou par des comptes spécialement créés par l’administration à cet effet.

Une nécessaire analyse d’impact

L’ampleur du dispositif, la nature des données traitées, ainsi que la volonté d’automatiser la détection de la fraude sont de nature à accroître les risques en termes d’atteinte à la vie privée des personnes concernées. À cet égard, la commission estime qu’une analyse d’impact relative à la protection des données à caractère personnel (AIPD) devra être réalisée et transmise, dans les conditions prévues par la réglementation applicable. Elle rappelle dès à présent qu’il conviendra de faire preuve d’une vigilance particulièrement importante s’agissant des mesures de sécurité et de confidentialité mises en œuvre afin de remédier au maximum à la survenance de risques liés à une violation de données. En tout état de cause, la Commission, au demeurant réservée quant à l’efficience ainsi qu’à la faisabilité technique d’un tel dispositif, rappelle que le recours à titre expérimental à des traitements informatisés, qui reposent sur la collecte massive de données publiées sur les plates-formes, doit s’accompagner de garanties fortes prévues par le législateur, et devra faire l’objet d’une évaluation rigoureuse, à la hauteur des enjeux soulevés par ce type de dispositif, en particulier si une pérennisation était envisagée. La conformité aux textes supérieurs d’un dispositif pérenne appellerait nécessairement un nouvel examen, au vu des résultats de cette évaluation.

Champ d’application de la mesure

Le projet d’article 9 prévoit que la collecte et l’exploitation des contenus librement accessibles publiés sur internet pourront être réalisées à titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des infractions mentionnées aux b et c du 1 de l’article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du Code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du Code des douanes. Les éléments permettant de justifier de cette durée d’expérimentation ainsi que du périmètre d’infractions précité n’ont pas été communiqués à la Commission, ce qui ne lui a pas permis en l’espèce d’appréhender le dispositif dans sa globalité. À ce titre, si la durée de l’expérimentation ne lui semble pas, par principe, disproportionnée, au regard notamment des développements techniques à effectuer, la Commission apparaît plus réservée sur le périmètre de certaines des infractions visées.

Elle s’interroge, en particulier, compte tenu de la finalité affichée du dispositif, à savoir, la recherche des infractions, sur la pertinence de viser les contribuables ayant d’ores et déjà reçu une mise en demeure de l’administration fiscale pour défaut de production d’éléments sur le fondement de l’article 1728-1)-b) du code général des impôts (CGI) dans la mesure où, dans cette hypothèse, l’infraction aura déjà été caractérisée. Elle prend au demeurant acte que les traitements envisagés visent à cibler une population, selon le gouvernement, inconnue de l’administration fiscale, à l’égard de laquelle aucune procédure n’est en cours. De la même manière, si certaines des infractions visées au projet d’article 9 semblent correspondre à des manquements fiscaux considérés comme graves par l’administration dans la mesure où ils sont passibles d’une majoration importante, elle s’interroge sur la pertinence de recourir à un tel dispositif pour les infractions visées à l’article 1791 du CGI dans la mesure où cet article encadre l’ensemble des violations du régime fiscal des contributions indirectes indépendamment d’un niveau particulier de gravité. Sans remettre en cause les justifications apportées par le ministère selon lesquelles exclure ces infractions conduirait à écarter du périmètre de la mesure la recherche de comportements intentionnels ou frauduleux qui ne sont pas couverts par des articles d’incrimination et de sanctions spécifiques, la Commission considère que la légitimité de recourir à un tel dispositif pour l’ensemble des infractions visées à l’article 1791 du CGI, n’apparaît pas à ce stade démontrée. Elle considère, en tout état de cause, que le recours à l’ensemble du périmètre de ces infractions devra être précisé dans le décret d’application du projet d’article.

Enfin, en ce qui concerne l’administration douanière, la Commission estime que la mise en œuvre d’une telle collecte, particulièrement intrusive, conduisant à la collecte d’un nombre très important de données, n’apparaît pas à ce stade précisément justifiée pour les infractions portant sur des contraventions de deuxième et troisième classe (C. douanes, art. 411 et 412). Elle prend toutefois acte des précisions apportées par le ministère selon lesquelles ces articles, bien que visant des infractions contraventionnelles, prévoient des sanctions d’un niveau élevé.

Pas de programmation de contrôle automatique possible

La mesure vise des plates-formes en ligne pouvant permettre la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service. Le champ des plates-formes concernées par le projet d’article est particulièrement étendu. Au regard du caractère par nature intrusif du dispositif projeté et des risques de surveillance des personnes qu’il engendre, la Commission s’interroge, en l’état des justifications fournies et dès le stade d’une expérimentation, sur la nécessité de viser l’ensemble des plates-formes mentionnées à l’article L. 111-7-I-2° du Code de la consommation.

En tout état de cause, elle rappelle qu’une vigilance particulière s’impose s’agissant des méthodes d’investigations qui seront mises en œuvre à partir des informations recueillies sur ces plates-formes. Sur ce point, la Commission estime indispensable, comme pour tous les traitements autorisés à finalité de lutte contre la fraude, que la mise en œuvre des traitements projetés ne conduise pas à la programmation de contrôles automatiques mais ne soit qu’un indicateur permettant de mieux guider les enquêteurs dans l’exercice de leurs missions. À cet égard, elle prend acte de l’engagement du ministère de ne procéder à aucun contrôle automatique à partir des traitements mis en œuvre.

Limiter les données collectées

L’expérimentation envisagée est susceptible de permettre la collecte et le traitement de données non pertinentes au regard des finalités poursuivies. La Commission rappelle la nécessité de mener une réflexion approfondie, en amont de la mise en œuvre de ces traitements, sur les moyens mis en œuvre afin de s’assurer du respect des principes de minimisation des données et de privacy by design, une des notions clé du RGPD. À ce stade, le projet ne contient aucune précision sur la personne ayant publié les données collectées, un individu en particulier ou les tiers pouvant être amenés à émettre des commentaires sur cette dernière, ou encore sur la nature de ces données dès lors qu’elles figurent dans des contenus librement accessibles et publiés sur internet. Dès lors la Commission estime que la collecte indifférenciée de ces données soulève des difficultés particulières en termes de proportionnalité du dispositif, a fortiori s’il s’agit de données sensibles. Elle considère ainsi que seules les données publiées par les personnes inscrites sur les plates-formes visées et les concernant devraient être collectées, et que des garanties visant à limiter l’enregistrement des données sensibles, dont la collecte est par principe interdite, à ce qui est strictement nécessaire aux finalités poursuivies par des dispositifs de cette nature doivent impérativement être mises en œuvre.

Attention au délai de conservation

À défaut de procédés techniques permettant d’opérer une distinction quant à la nature des données collectées, permettant ainsi de garantir le respect du principe de minimisation, la Commission souligne a minima l’impérieuse nécessité d’envisager et de mettre en œuvre des mesures permettant, à l’issue de leur collecte, de procéder à la suppression immédiate des données considérées comme non pertinentes. Enfin, la Commission considère que certaines catégories de données sont susceptibles de soulever des problématiques particulières comme, les photographies. Dans ce contexte, si elle prend acte de ce qu’aucun traitement visant à mettre en œuvre des dispositifs de reconnaissance faciale ne sera mis en œuvre, elle demande que soit expressément exclue la possibilité d’y recourir. La Commission considère en effet que la mise en œuvre de tels dispositifs serait de nature à porter une atteinte disproportionnée aux droits des personnes concernées au regard des objectifs poursuivis par ces traitements.

Le projet d’article prévoit que ces données sont détruites au plus tard à l’issue d’un délai d’un an à compter de leur collecte. Sans remettre en cause, par principe, la durée ainsi retenue, la Commission regrette de ne pas avoir disposé d’éléments lui permettant d’apprécier de la pertinence et de la nécessité de conserver les données enregistrées dans le traitement pour une telle durée. Compte tenu du volume important de données susceptibles d’être collectées et plus particulièrement, d’informations se révélant potentiellement non nécessaires aux finalités poursuivies par le traitement, elle demande que les données considérées comme non pertinentes soient supprimées immédiatement à l’issue de leur collecte et que la durée de conservation soit significativement réduite sauf à démontrer la nécessité d’une conservation d’une durée d’un an.