Fraude fiscale : Comment Bercy va surveiller nos publications sur les réseaux sociaux

BIG BROTHER L’administration fiscale vient d’obtenir le dernier feu vert pour la mise en place d’un algorithme visant à scruter les publications des contribuables sur les réseaux sociaux afin de détecter d’éventuelles fraudes fiscales

Hakima Bounemoura

— 

Bercy va surveiller nos publications sur les réseaux sociaux.
Bercy va surveiller nos publications sur les réseaux sociaux. — Rafael Ben-Ari/Cham/NEWSCOM/SIPA
  • Un décret datant du 13 février autorise Bercy à exploiter les données publiées par les contribuables sur les réseaux sociaux (Facebook, Twitter, Instagram, LinkedIn…) et les marketplaces (eBay, LeBonCoin…).
  • « Cette surveillance automatisée ne concerne que les données rendues publiques par les utilisateurs, pas les contenus "privés" », explique Adrien Aulas, avocat spécialiste en droit numérique.
  • Cette collecte massive de données accessibles en ligne suscite de nombreuses craintes en matière de respect de la vie privée des contribuables.

« Big Brother is watching you »… Avec la publication du décret d’application le 13 février dernier, Bercy vient d’obtenir le dernier feu vert pour la mise en place d’un algorithme visant à scruter les publications des contribuables sur les réseaux sociaux afin de détecter d’éventuelles fraudes fiscales. Les plateformes et marketplaces, qui regorgent de données comme Facebook, Instagram, Twitter, LeBonCoin, eBay ou encore AirBnb, vont donc désormais permettre au fisc d’obtenir d’éventuelles preuves de fraude.

« C’est un dispositif qui a été acté dans l’article 154 de la loi de finances 2020. Il a fallu un peu de temps pour que le décret d’application soit publié. Aujourd’hui, on aborde concrètement la mise en œuvre de ce dispositif expérimental, qui va se dérouler sur trois ans. Durant cette période, l’objectif va être de vérifier la faisabilité et la pertinence de ce système de data mining [exploration de données] qui a pour but d’accroître la détection de certaines infractions à la loi fiscale. Et à l’issue de cette expérimentation, on saura si le dispositif sera reconduit de manière pérenne », explique Adrien Aulas, avocat spécialiste en droit numérique.

Pourquoi mettre en place cet algorithme ?

Jusqu’à aujourd’hui, le fisc ne pouvait croiser que des données issues de ses propres fichiers (comptes bancaires, fichiers des contrats de capitalisation et d’assurance-vie, base nationale des données patrimoniales) et des fichiers provenant d’autres administrations françaises ou étrangères. « La mise en place de cet algorithme est aujourd’hui un outil nécessaire pour faire face aux évolutions de la société » et aux « limites de nos systèmes de détection actuels », explique l’administration fiscale.

Ce dispositif a pour objectif de cibler certaines fraudes : les trafics de produits de contrebande, les stupéfiants, mais aussi les contribuables qui s’adonnent à du commerce à grande échelle sans le déclarer via LeBonCoin ou eBay par exemple. « La mise en place de cet algorithme va également servir à déterminer si une domiciliation fiscale est frauduleuse, en exploitant les données de localisation des publications sur les réseaux sociaux », explique Mathias le Masne de Chermont, avocat spécialisé dans la protection des données personnelles.

En se basant sur le tableau de géolocalisation d’Instagram, la justice avait ainsi permis d’établir en 2019 que Johnny Hallyday était résident fiscal français et non américain. En analysant les publications du chanteur entre 2012 à 2017, il en était ressorti qu’il avait passé 151 jours en France en 2015, 168 jours en 2016, et les huit derniers mois de 2017. « Le fisc va pouvoir désormais se baser aussi sur ces informations pour initier des redressements fiscaux ».

Quelles données pourront être collectées ?

Le décret publié mi-février au Journal officiel détaille de quelle façon l’administration fiscale et les douanes vont pouvoir collecter ces données. L’article 154 évoque des « contenus librement accessibles sur les sites Internet des opérateurs de plateforme en ligne, manifestement rendus publics par leurs utilisateurs ». Bercy précise de son côté que « seuls les contenus se rapportant à la personne qui les a délibérément divulgués et dont l’accès ne nécessite ni saisie d’un mot de passe, ni inscription sur le site en cause, pourront être collectés et exploités ».

Les contenus publiés « en privé » ne seront donc pas concernés, confirme l’avocat Adrien Aulas, soulignant ainsi l’importance de bien renseigner les paramètres de confidentialité de ses différents comptes sur les réseaux sociaux. « Les commentaires, les « j’aime » et autres partage de contenus tiers ne pourront également pas être pris en compte, pas plus que les informations divulguées par un utilisateur sur le profil d’un contribuable ».

Les données collectées pourront être de diverses natures, cela pourra aussi bien être une photo postée sur Facebook qui montre un patrimoine plus important que celui déclaré, ou un tweet qui trahit une activité professionnelle non déclarée. « A ce stade, on ne sait pas précisément quels indicateurs seront pris en compte par l’algorithme, qui doit encore passer par une phase d’entraînement et d’apprentissage. Mais il devrait se baser sur des indications de localisation, des écrits, des images, des photos, des sons ou des vidéos susceptibles de caractériser une infraction », confirme Mathias le Masne de Chermont.

Quels risques pour le respect de la vie privée et la protection des données personnelles ?

Cette collecte massive de données, qui se concentre sur des éléments publiquement accessibles en ligne, suscite des craintes en matière de respect de la vie privée des contribuables. « C’est tout l’enjeu de ce nouveau dispositif. Il y a en effet le risque d’une collecte de données trop large qui porterait atteinte à la vie privée des citoyens de manière systématique », explique Adrien Aulas. « Il y a des points d’amélioration possible dans le dispositif actuel. Mais d’une manière générale, tout est très encadré. Le dispositif a été passé au crible à plusieurs reprises par la Cnil [une analyse d’impact sur la protection des données est également prévue], et a été validé par le Conseil constitutionnel ».

« L’hôtel où vous passez vos vacances ne nous intéresse pas », assure-t-on du côté de Bercy, qui tente de rassurer en précisant « cet algorithme est surveillé par les agents des administrations concernées, et qu’ils veillent au bon fonctionnement du traitement des données (…) Ce sont les agents qui déclenchent d’éventuels contrôles, pas la technologie ». Les données récoltées seront détruites au bout de 30 jours si elles ne présentent pas de preuve d’un manquement. Les usagers auront par ailleurs la possibilité d’avoir accès aux informations collectées les concernant, et disposeront d’un droit à la rectification ou à l’effacement de ces données.