Lors du dépôt du projet (n°2272) de loi de finance pour 2020 en septembre dernier devant l’Assemblée nationale, un article de ce projet s’est particulièrement fait remarquer : l’article 57 et pour cause.
Ce dernier dont le titre figurant dans le projet est : « possibilité pour les administrations fiscale et douanière de collecter et exploiter les données rendues publiques sur les sites internet des réseaux sociaux et des opérateurs de plateforme », prévoyait et cela pour une durée limitée à 3 ans, que l’administration fiscale française ainsi que l’administration des douanes et droits indirects pourront collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateforme en ligne mentionnés au 2° du I de l’article L. 111-7 du code de la consommation et cela afin de rechercher des infractions telles que celles mentionnées aux b et c du 1 de l’article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du CGI, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du code des douanes.
Cet article prévoyait en outre que ces données pourraient être conservées pour une durée maximale de 1 an à compter de leur collecte et seront détruits à l’issue de ce délai, que toutefois ces données pourraient être conservées dans le cadre d’une procédure pénale, fiscale ou douanières et cela jusqu’au terme de la procédure.
Donc pour illustrer ce propos on prend l’exemple de l’agent habilité qui récupère vos données sur une plateforme en ligne, et décide de vous poursuivre dans le cadre d’un ESPF (examen de la situation fiscale personnelle), vos données seront conservées jusqu’à la fin de celui-ci.
Toutefois, si vos données sont récupérées et que vous ne faites finalement l’objet d’aucune poursuite (pénale, fiscale ou douanière) vos données devraient être supprimées automatiquement au bout d’un an, mais quid de la suppression de ces données ? Cette suppression sera-t-elle automatique tel qu’indiqué ou devrons faire une demande pour cela ? Sous réserve que la personne ait été informée que ses données aient été collectées.
Il a été publié sur le site de l’assemblée nationale un document « faisant état de l’avancement des travaux du rapporteur pour avis, M. Philippe Latombe » en date du 28 octobre 2019 et dénommé : « Article 57 du projet de loi de finances pour 2020 (n° 2272) », qui dispose que : « L’article 57 précise les modalités d’exercice des droits d’accès et d’opposition, dans le respect des dispositions du règlement européen sur la protection des données qui régirait les traitements de cette nature et de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
En vertu de ces dispositions et en l’absence de précision contraire à l’article 57, le droit à l’information des personnes concernées s’appliquerait de plein droit et sans restriction, dans les conditions prévues à l’article 48 de la loi précitée du 6 janvier 1978. ».
Mais comme indiqué précédemment, encore faut-il que la personne dont les données auraient été collectées puisse envisager que ces dernières aient été collectées afin de pouvoir demander l’application de son droit d’accès à ces dernières.
De plus nous nous interrogeons grandement sur « le logiciel » qui collectera vos données, ce dernier sera-t-il apte à les effacer de lui-même au bout d’une année ou cela nécessitera une intervention humaine, dans le second cas encore faudra t’il que celui-ci émette une surveillance rigoureuse de l’ensemble des données devant être supprimées à une date précise. Par ailleurs comment opérer une distinction avec les données qui pourraient s’avérer utiles pour la lutte contre la fraude fiscale et le reste ? En collectant massivement les données des internautes, ne risque t’il pas d’y avoir des abus ? Des données collectées inutiles pour la recherche d’infractions fiscales ou douanières, seraient certes supprimées sous un délai de 30 jours, mais auront tout de même été collectées et exploitées ? Ne pouvons-nous pas y voir une atteinte à la liberté de la vie privée des internautes ?
Comment l’Assemblée Nationale a-t-elle pu valider cet article 57 de ce projet n°2272 ? Sachant que la CNIL avait averti dès le mois de septembre que cela porterait grandement atteinte à la vie privée des internautes.
Alors oui des garde-fous ont été pris puisque les députés ont voulu interdire de sous-traiter cela avec une entreprise privée, de même que seules les données « strictement nécessaires » devront être collectées, mais quid de ce qui est entendu par « strictement nécessaire » ? Qui pourra déterminer ce qui l’est et ce qui ne l’est pas ?
Il sera dès lors impératif d’examiner avec soin le futur décret du Conseil d’état qui devra encadrer cette nouvelle pratique.
Par ailleurs cet article 57 n’aurait pas à figurer sur ce projet de loi, en effet un certain nombre d’auteur mais aussi le Conseil d’État n’ont pas manqué de faire remarquer que : « cela ne concerne ni les ressources ni les charges de l’État et ne sont pas davantage relatives à l’assiette, au taux et aux modalités de recouvrement des impositions de toute nature qui n’affectent pas l’équilibre budgétaire », dès lors cela n’a pas à figurer dans la loi de finance.
La commission des finances est restée hermétique à ces diverses critiques.
Les députés de l’Assemblée Nationale voient en cet article la possibilité d’améliorer la détection de la fraude fiscale et renforcer le ciblage des contrôles fiscaux. Cela permettrait de fournir un panel d’informations plus importants à l’administration fiscale dans sa lutte contre la fraude fiscale (sachant que cette dernière dispose déjà d’un traitement automatisé de données dénommé « ciblage de la fraude et valorisation des requêtes, (CFVR), tout en lui permettant de ne pas rester démunie face aux avancées techniques et informatiques.
Si certains auteurs pensaient que cet article 57 de ce projet de loi serait déclaré contraire à la Constitution par le Conseil Constitutionnel, au regard des diverses interrogations que celui-ci soulève et notamment au regard de son insertion au sein du projet de loi de finance pour 2020, il n’en fut rien.
Dans sa décision n°2019-796, en date du 27 décembre 2019, le Conseil Constitutionnel a décrété que l’article 154 (nommé article 57 dans le projet de loi) avait sa place dans la loi de finance, en effet le Conseil Constitutionnel énonce en son point 78 de sa décision que : « L’article 154 de la loi déférée vise, afin de lutter contre la fraude fiscale, à doter les administrations fiscale et douanière d’un nouveau dispositif de contrôle pour le recouvrement de l’impôt. Cet article a donc sa place dans une loi de finances. »
Concernant les dispositions de l’article 154, le Conseil Constitutionnel a rappelé qu’il fallait concilier le droit au respect de la vie privée (article 2 de la DDHC) avec l’objectif à valeur constitutionnelle de lutte contre la fraude fiscale.
Le Conseil Constitutionnel rappelle qu’en octroyant de tels pouvoirs aux administrations fiscales et douanières, le législateur a souhaité renforcer les moyens de contrôles de ces administrations afin de leur permettre de lutter efficacement contre la fraude fiscale, toutefois le Conseil Constitutionnel reconnait que de telles dispositions risquent de dissuader les internautes d’utiliser des services en ligne ou du moins à en réduire leur utilisation, ce qui porte atteinte à leur liberté d’expression et de communication.
Le Conseil Constitutionnel rappelle aussi qu’en plus de permettre de lutter contre la fraude fiscale, ces dispositions seront encadrées puisque limitées pour les besoins de la recherche de certaines infractions limitativement énumérées.
Le Conseil Constitutionnel rappelle qu’en troisième lieu, les données susceptibles d’être collectées et exploitées devront répondre à deux conditions cumulatives :
- Que ces données soient librement accessibles sur un service de communication au public en ligne, ce qui exclut les données accessibles par la saisie d’un mot de passe ou après inscription sur le site disposant des informations ;
- Que ces données soient rendues publiques par les utilisateurs du site, de plus ces données doivent concerner uniquement la personne qui les a délibérément divulguées.
Le Conseil Constitutionnel rappelle certains garde-fous tel que le fait que ces données ne pourront être collectées et exploitées uniquement par des agents habilités à cela et que le traitement de ces données ne pourrait comporter aucun système de reconnaissance faciale.
Le Conseil Constitutionnel apporte quelques précisions en son paragraphe 89 : « les données qui s’avèrent manifestement sans lien avec les manquements et infractions recherchés ou qui constituent des données sensibles sont détruites au plus tard dans les cinq jours suivant leur collecte, sans aucune autre exploitation possible de ces données pendant ce délai. Les autres données doivent être détruites dans les trente jours si elles ne sont pas de nature à concourir à la constatation des manquements ou infractions. »
Il énonce aussi en son paragraphe 90 que : « Il en résulte qu’aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu’ait été portée une appréciation individuelle de la situation de la personne par l’administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé. » par ailleurs les personnes intéressées par la collecte et l’exploitation de leurs données pourront bénéficier des garanties relatives à l’accès aux données, à la rectification et à l’effacement de ces données ainsi qu’à la limitation de leur traitement. Mais une nouvelle fois, comme énoncé plus haut, encore faut-il que la personne intéressée ait été informée de la collecte et de l’exploitation de ses données…
Le Conseil Constitutionnel conclut en rappelant que la mise en œuvre du traitement des données, tant au regard de leur création que de leur utilisation, doit être proportionnée aux buts poursuivis.
Pour le Conseil Constitutionnel au regard des limites et garanties apportées par le législateur dans la rédaction de cet article 154, celui-ci permet de concilier « le droit au respect de la vie privée et l’objectif de valeur constitutionnelle de lutte contre la fraude et l’évasion fiscales. Il en résulte également que l’atteinte à l’exercice de la liberté d’expression et de communication est nécessaire, adaptée et proportionnée aux objectifs poursuivis. »
A noter toutefois que le Conseil Constitutionnel a déclaré que « la collecte et l’exploitation automatisées de données pour la recherche du manquement prévu au b du 1 de l’article 1728 du code général des impôts, qui sanctionne d’une majoration de 40 % le défaut ou le retard de production d’une déclaration fiscale dans les trente jours suivant la réception d’une mise en demeure. Or, dans une telle situation, l’administration, qui a mis en demeure le contribuable de produire sa déclaration, a déjà connaissance d’une infraction à la loi fiscale, sans avoir besoin de recourir au dispositif automatisé de collecte de données personnelles. Dès lors, en permettant la mise en œuvre d’un tel dispositif pour la simple recherche de ce manquement, les dispositions contestées portent au droit au respect de la vie privée et à la liberté d’expression et de communication une atteinte qui ne peut être regardée comme proportionnée au but poursuivi. Par suite, les mots « b et » figurant au premier alinéa du paragraphe I de l’article 154 sont contraires à la Constitution. »
Le reste du Paragraphe I de l’article 154, selon le Conseil Constitutionnel ne méconnaît aucune autre exigence constitutionnelle, et il est conforme à la Constitution.
Dès lors au regard de cette décision, il semblerait qu’il faille désormais redoubler de vigilance quant aux données qui seront publiées sur des sites internet et accessibles au public.