| N° de demande d’avis : 24014572. | Thématiques : lutte contre les fraudes fiscale et douanière, collecte et exploitation de contenus sur les plateformes et réseaux sociaux, traitements automatisés, intelligence artificielle. |
| Organisme(s) à l’origine de la saisine : ministère de l’économie, des finances et de l’industrie. | Fondement de la saisine : article 154 de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020. |
L’essentiel :
1. Le projet de décret encadre l’élargissement de l’expérimentation prévue par l’article 154 modifié de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020, permettant aux administrations fiscales et des douanes et droits indirects de collecter et exploiter les contenus rendus publics sur les plateformes et réseaux sociaux.
2. La CNIL estime que les garanties prévues sont satisfaisantes.
3. A ce stade de l’expérimentation, les données apparaissent adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées.
4. Néanmoins, la CNIL regrette que le bilan transmis ne soit pas suffisamment étayé pour lui permettre d’apprécier la proportionnalité et l’efficience du dispositif.
5. La CNIL émet des recommandations sur :
– les mesures à prendre pour encadrer la collecte des contenus publiquement accessibles (doctrine d’emploi explicitant la teneur des limitations prévues par le décret, notamment) ;
– l’information du public, qui devra être facilement accessible et suffisamment complète.
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31 ;
Après avoir entendu le rapport de M. Philippe-Pierre Cabourdin, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
L’article 154 de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020 a autorisé, à titre expérimental pour une durée de trois ans, les administrations fiscale et douanière à collecter et exploiter les contenus librement accessibles et manifestement rendus publics par les utilisateurs sur les sites web de certains opérateurs de plateforme en ligne. Cette collecte doit permettre de rechercher des indices relatifs à la commission de certaines infractions limitativement énumérées par la loi.
L’article 122 de la loi de finances pour 2024 a prolongé pour une durée de deux ans et étendu le périmètre de cette expérimentation.
La CNIL s’est prononcée sur le principe de cette expérimentation (CNIL, SP, 12 septembre 2019, avis sur projet de loi, n° 2019-114, publié ; CNIL, SP, 21 septembre 2023, avis sur projet de loi, n° 2023-090, publié), ainsi que sur la mise en œuvre des traitements afférents encadrés par le décret n° 2021-148 du 11 février 2021 (CNIL, SP, 10 décembre 2020, avis sur projet de décret, n° 2020-124, publié). Elle a rappelé que ce type de traitements, qui reposent sur une vaste collecte préalable de données en vue du ciblage des actions ultérieures de contrôle, et qui concernent l’ensemble des personnes rendant accessibles des contenus sur les plateformes, nécessitent des mesures pour compenser les atteintes potentielles portées à la vie privée des utilisateurs.
Cette expérimentation repose sur la mise en œuvre, par la direction générale des finances publiques et la direction générale des douanes et droits indirects, de traitements de données à caractère personnel qui comprennent :
– d’une part, une phase d’apprentissage et de conception (développement des outils de collecte, de nettoyage et d’analyse des données pour identifier les titulaires des comptes et pages internet ; modélisation et identification des agissements susceptibles de révéler la commission des infractions et manquements prévus à l’article 154 précité) ;
– d’autre part, une phase d’exploitation (déploiement des outils conçus lors de la première phase, afin de recueillir des données pertinentes destinées à être exploitées par les services compétents pour la recherche des infractions et manquements prévus).
Cette première expérimentation a fait l’objet d’un bilan intermédiaire et d’un bilan définitif, dont la CNIL a été rendue destinataire. Il en ressort une faible efficacité du dispositif initial du fait de son périmètre limité (au regard, notamment, de l’exclusion des plateformes requérant un compte pour y accéder), restreignant les capacités de collecte de données. Le législateur a fait le choix, le 29 décembre 2023, d’étendre le périmètre des données accessibles dans le cadre de l’expérimentation.
B. – L’objet de la saisine
La CNIL a été saisie, par le ministère de l’économie, des finances et de la souveraineté industrielle et numérique, d’un projet de décret modifiant le décret n° 2021-148 du 11 février 2021. Ce décret modifie les modalités de mise en œuvre, par la direction générale des finances publiques et la direction générale des douanes et droits indirects, de traitements permettant la collecte et l’exploitation de données rendues publiques sur les sites web des opérateurs de plateforme en ligne.
Il prévoit, notamment pour prendre en compte l’évolution de l’article 154 de la loi :
– l’extension de la possibilité de collecter et exploiter des contenus accessibles sur les plateformes en ligne à celles dont « l’accès (…) requiert une inscription à un compte » ;
– l’extension du périmètre de l’expérimentation à la recherche des manquements et infractions découlant d’une minoration ou d’une dissimulation de recettes ;
– la transmission régulière, à la CNIL, d’informations sur ces opérations ;
– la collecte des métadonnées, notamment les informations relatives aux dates, heures et géolocalisation des contenus collectés ;
– les conditions d’information du public.
II. – L’avis de la CNIL
A. – Sur l’extension des conditions de collecte
Dans sa version initiale, l’article 154 ne permettait que la collecte de contenus « librement accessibles » et « manifestement rendus publics ». Le Conseil constitutionnel avait précisé qu’étaient exclues la collecte et l’exploitation des « contenus accessibles seulement après saisie d’un mot de passe ou après inscription sur le site en cause » (CC, 27 décembre 2019, 2019-796 DC, point 87). Au vu du bilan intermédiaire de l’expérimentation, l’article 154 a été modifié afin d’étendre ce dispositif aux plateformes dont l’accès requiert la création d’un compte.
Il est désormais permis aux administrations concernées de collecter et d’exploiter des contenus, « y compris lorsque l’accès à ces plateformes requiert une inscription à un compte ». La CNIL, dans son avis du 21 septembre 2023, avait relevé que cette évolution conduirait à une collecte beaucoup plus large de données et que, par conséquent, l’atteinte portée à la vie privée des utilisateurs serait beaucoup plus importante que dans le cadre de la version initiale de l’expérimentation.
La CNIL avait souhaité disposer d’un bilan étayé avant d’avoir à se prononcer sur toute prolongation ou pérennisation du dispositif. En l’espèce, dans le bilan transmis, la nécessité d’étendre et de prolonger l’expérimentation n’est justifiée que par l’existence de conditions initiales trop restrictives. La CNIL regrette que le bilan ne comporte pas d’éléments d’analyse qui auraient permis d’apprécier l’efficience du dispositif, ainsi que la proportionnalité entre l’objectif poursuivi (le renforcement de l’efficacité dans la lutte contre la fraude) et l’atteinte aux libertés individuelles.
En premier lieu, le projet de décret prévoit des mesures compensatoires qui encadrent la mise en œuvre de cette collecte étendue, en précisant que les agents des administrations concernées ne sont pas autorisés à entrer en relation avec d’autres détenteurs de compte ou à diffuser des contenus. Ils ne sont autorisés qu’à procéder à la collecte et l’exploitation de contenus.
Ces limitations ne permettent donc pas d’accéder à des données qui ne seraient pas rendues disponibles à l’ensemble des utilisateurs de la plateforme ou du réseau social (par exemple, le « suivi » d’une personne ou d’un compte) ni de rejoindre une conversation de groupe, même sans prendre la parole.
Par ailleurs, il ressort des précisions apportées par le ministère que la création de ces comptes ne permettra pas d’utiliser des identités d’emprunt et laissera apparaitre, en clair, qu’il s’agit d’un compte de l’administration fiscale ou des douanes.
Serait enfin exclu, pour ces administrations, l’usage d’interfaces de mise à disposition des données des sites (API) proposées par les plateformes ou les réseaux sociaux pour collecter des données, dans l’hypothèse où elles permettraient d’obtenir des informations supplémentaires à celles accessibles à partir d’un compte avec le niveau de permission minimum.
La CNIL prend acte de ces garanties, qui reprennent partiellement celles qu’elle avait proposées dans son avis sur la modification législative.
Il conviendra que le ministère s’assure de la bonne diffusion des pratiques qui découlent de ces dispositions et qui permettront de garantir l’effectivité de ces limitations : une doctrine d’emploi à destination des agents concernés pourrait expliciter la teneur ainsi que les impacts pratiques de ces restrictions.
En deuxième lieu, la CNIL prend acte que le projet de décret prévoit que la liste des opérations de collecte transmise à la CNIL (telle que prévue à l’article 154 de la loi de finances pour 2020) mentionne, pour chacune des collectes mises en œuvre, les objectifs poursuivis ainsi que les plateformes en ligne concernées.
S’agissant du périmètre des plateformes concernées, la CNIL prend acte des précisions apportées, selon lesquelles aucune collecte ne sera réalisée sur des plateformes « sensibles » au sens de l’article 9 du RGPD (à l’instar d’applications de rencontres ou de santé).
En dernier lieu, le projet de décret prévoit que les habilitations délivrées aux agents réalisant les traitements peuvent être accordées par les chefs de service des administrations concernées. Or, l’article 154 prévoit que ces habilitations doivent être accordées par les directeurs de ces administrations. La CNIL prend acte de l’engagement du ministère de revenir à la rédaction du décret actuellement en vigueur.
B. – Sur l’extension du champ infractionnel
La collecte et l’exploitation des données sont possibles pour la recherche d’une activité occulte et des inexactitudes ou omissions découlant d’un manquement aux règles de la domiciliation fiscale (fixées à l’article 4 B du code général des impôts). Le projet de décret encadre l’extension du champ infractionnel des traitements en ajoutant, conformément à ce que la loi a prévu, la minoration ou la dissimulation de recettes afin de détecter les entreprises dont l’activité est manifeste sur les réseaux sociaux mais qui déclarent un statut incohérent ou de très faibles recettes.
Une telle évolution conduira à la collecte de données dont le ciblage se limitera à certains critères objectifs (par exemple, les auto-entrepreneurs avec un chiffre d’affaires déclaré nul). Au regard de cette limitation, la CNIL estime la collecte légitime.
C. – Sur l’extension du périmètre de données accessibles
L’extension de l’expérimentation aux données manifestement rendues publiques et publiquement accessibles, lorsqu’un compte est requis pour accéder à la plateforme ou au réseau social, implique la collecte d’un plus grand nombre de données.
En premier lieu, il est prévu l’ajout (que ce soit pour la recherche d’activités occultes, de manquements aux règles de domiciliation ou de minoration ou dissimulation de recettes) de la collecte de métadonnées liées aux données précédemment collectées, incluant « notamment les informations relatives aux dates, heures et géolocalisation de leur création ». Il ressort des précisions apportées que seules les données de géolocalisation ont vocation à être exploitées. Les autres métadonnées seront supprimées dans un délai de cinq jours. La CNIL prend acte de l’engagement du ministère de modifier le décret pour prévoir, tant pour les phases d’apprentissage et de conception que d’exploitation, la suppression de ces données sous ce délai maximal.
Au-delà de la rédaction du décret, la distinction entre des contenus « manifestement rendus publics » ou non, peut être délicate en certaines circonstances, notamment lorsque qu’il n’est pas clair que l’utilisateur ait eu conscience d’avoir publié certaines données, lorsque celles-ci sont automatiquement incluses dans le contenu publié sous forme de métadonnées. Par exemple, des métadonnées relatives à la géolocalisation peuvent être incluses dans le fichier photographique lors de la prise d’une photo depuis un téléphone mobile sans que l’utilisateur en ait conscience. Dès lors, la mise à disposition du fichier par le réseau social lors de sa publication par l’utilisateur permet la collecte de cette donnée.
Par ailleurs, la collecte étant limitée aux contenus se rapportant à la personne les ayant délibérément divulgués, tout traitement d’information fournie par un tiers (par exemple lorsqu’une photo est « taguée » par ce tiers) est exclu.
En deuxième lieu, s’agissant des contenus relatifs à l’activité professionnelle ou illicite des personnes, le projet de décret prévoit la collecte de QR-codes, ceux-ci pouvant être utilisés au sein des plateformes pour partager des données de diverse nature, dont notamment des liens vers des contenus ou des profils, comme précisé par le ministère.
D’une part, le terme de QR-code désigne une technologie spécifique de code barre bidimensionnel permettant de partager des données. La CNIL invite le ministère à modifier le projet de décret en ce sens.
D’autre part, la CNIL rappelle que les liens obtenus via ces codes-barres ne devraient pas être appelés s’ils donnent à l’utilisateur qui scanne le code barre un accès à des données non disponibles par défaut à l’ensemble des utilisateurs de la plateforme ou du réseau social (par exemple en provoquant automatiquement le « suivi » d’une personne, ou l’inscription à un groupe de discussion ; à ce propos, v. supra, point 13). Sous réserve de ce qui précède, la collecte de QR-code apparait proportionnée.
En troisième lieu, le projet de décret prévoit la collecte, dans le cadre de la recherche d’une activité occulte, de « données susceptibles d’étayer une suspicion de manquement ». Or, cette formulation ne désigne pas une catégorie de données de manière suffisamment précise, et permettrait la collecte de toute catégorie de données dès lors qu’elle poursuit la finalité indiquée. Selon le ministère, aucune autre catégorie de données que celles énumérées par le décret ne sera collectée dans ce cadre. La CNIL prend acte de l’engagement du ministère de modifier le décret pour supprimer la mention des « données susceptibles d’étayer une suspicion de manquement ».
En dernier lieu, le bilan intermédiaire de l’expérimentation en cours, transmis à la CNIL, confirme que le modèle de détection automatique de la fraude repose sur une phase préalable d’apprentissage machine. Cet apprentissage consiste à fournir au modèle une vaste quantité de données pour obtenir des performances satisfaisantes. La CNIL appelle à une certaine prudence dans l’utilisation de ce type d’algorithmes, eu égard aux risques qu’ils comportent et aux biais qu’ils peuvent présenter (v. CNIL, SP, 16 novembre 2023, avis sur projet de décret, « dispositif ressources mensuelles », n° 2023-120, publié). Elle estime que le développement et l’utilisation de tels modèles d’apprentissage devraient être faits en analysant la possibilité de l’émergence de tels biais et le cas échéant de documenter les mesures permettant d’en diminuer l’impact.
D. – Sur l’information des personnes
Le décret en vigueur prévoit que le droit d’information prévu par les articles 104 de la loi « informatique et libertés » et 14 du RGPD ne s’appliquent pas. Ces dispositions sont inchangées. La CNIL s’interroge sur le régime juridique applicable et les modalités d’exercice des droits à aménager en conséquence, compte tenu de la jurisprudence récente de la CJUE en la matière.
L’article 154 de la loi de finances pour 2020 prévoit une information générale du public et charge le décret de préciser les conditions dans lesquelles les administrations concernées mettent à disposition du public une information facilement accessible en ligne sur les finalités et les modalités de fonctionnement des traitements.
Le projet de décret précise qu’une information générale du public est diffusée sur les sites web de la direction générale des finances publiques et de la direction générale des douanes et droits indirects.
Dans une perspective d’accessibilité, cette information devra être actualisée sur les pages dédiées des sites web des directions concernées. Elle devra par ailleurs contenir le champ infractionnel des traitements ainsi que les modalités de collecte des données (y compris lorsqu’un compte est requis pour y accéder).
La CNIL rappelle que, dans le cas d’une infraction ou d’un manquement avérés et des suites procédurales qui y seront données, l’information des personnes sera individuelle, conformément aux dispositions de la loi « informatique et libertés ».