La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu le rapport de M. Philippe-Pierre CABOURDIN, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,

ADOPTE LA DELIBERATION SUIVANTE :

I. La saisine

A. Le contexte de la saisine

La lutte contre les fraudes fiscale et douanière sont des objectifs de valeur constitutionnelle qui légitiment des actions du Gouvernement et de l’administration en faveur d’une détection efficiente des manquements et infractions prévus aux codes des impôts et des douanes. Comme le rappelle le Conseil constitutionnel, en vertu de l’article 34 de la Constitution, il appartient au législateur d’assurer la conciliation entre ces objectifs de valeur constitutionnelle et le droit au respect de la vie privée (CC, 27 décembre 2019, 2019-796 DC).

L’article 154 de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020 a autorisé, à titre expérimental pour une durée de trois ans, les administrations fiscale et douanière à collecter et à exploiter les contenus librement accessibles et manifestement rendus publics par les utilisateurs sur les sites web des opérateurs de plateforme en ligne mentionnés au 2° du I de l’article L. 111-7 du code de la consommation (ci-après les « plateformes et réseaux sociaux »). Cette collecte doit permettre de rechercher des indices relatifs à la commission de certaines infractions limitativement énumérées par la loi.

Dans sa décision du 27 décembre précitée, le Conseil constitutionnel a considéré que le législateur avait assorti le dispositif de garanties propres à assurer "une conciliation qui n’est pas déséquilibrée« entre le droit au respect de la vie privée et la lutte contre la fraude fiscale et que l’atteinte à l’exercice de la liberté d’expression et de communication est »nécessaire, adaptée et proportionnée aux objectifs poursuivis".

La CNIL s’est déjà prononcée à plusieurs reprises sur les principes et les modalités d’application de cet article (délibérations n° 2019-114 du 12 septembre 2019, n° 2020-123 du 10 décembre 2020, n° 2020-124 du 10 décembre 2020). Ce type de traitements repose sur une collecte générale préalable de données relatives à l’ensemble des personnes rendant accessibles des contenus sur les plateformes et réseaux sociaux en vue du ciblage des actions ultérieures de contrôle. La CNIL a toujours rappelé la nécessité de faire preuve d’une grande prudence quant au développement de traitements automatisés permettant de collecter en masse des contenus publiés sur Internet.

L’expérimentation ouverte par l’article 154 précité a fait l’objet d’une première évaluation, prévue par son II, transmise à la CNIL le 28 mars 2023. La CNIL relève notamment :

• que les travaux déjà engagés, en particulier en ce qui concerne l’identification d’activités occultes, donnent des résultats que l’administration estime encourageants. A titre illustratif, lors de la deuxième campagne d’automne 2021 visant une plateforme de ventes de véhicules automobiles entre particuliers et professionnels, la collecte de données, sur une seule journée, a permis de confirmer une activité occulte dans 13% des dossiers pour un montant global de cessions atteignant quasiment 22 millions d’euros ;
• qu’en l’état actuel de la loi, qui interdit la collecte de données nécessitant la création d’un compte, l’expérimentation atteint certaines limites lorsqu’il s’agit d’identifier une fraude aux règles de domiciliation ou certains comportements manifestement frauduleux. En particulier, la Direction générale des finances publiques (DGFiP) a signalé à la commission des finances de l’Assemblée nationale, dès le 28 juin 2021, qu’il était impossible d’effectuer des recherches visant à identifier des personnes faussement domiciliées à l’étranger. Ces recherches reposent en effet sur la collecte de données sur les réseaux sociaux pour lesquels une connexion préalable est nécessaire ;
• que le rapport d’évaluation propose, outre la pérennisation de l’expérimentation, une extension du champ du dispositif à d’autres manquements et infractions ainsi qu’une modification du périmètre des données susceptibles d’être collectées et exploitées ;
• que ce rapport aurait dû lui être adressé, comme au Parlement, au plus tard le 10 août 2022 et que le bilan définitif aurait dû lui être transmis au moins depuis le 10 août 2023. La CNIL constate que la prolongation de l’expérimentation est demandée sans que ce bilan définitif ait été réalisé, ce qu’elle regrette fortement.

Les évolutions de ce dispositif s’inscrivent dans la feuille de route gouvernementale de lutte contre toutes les fraudes aux finances publiques, présentée en juin 2023, et font suite au rapport d’information n° 72 (2022-2023) du Sénat relatif à la lutte contre la fraude et l’évasion fiscales.

B. L’objet de la saisine

La CNIL a été saisie pour avis, sur le fondement de l’article a) du 4° du I du 8 de la loi du 6 janvier 1978 modifiée, par le ministère de l’économie, des finances et de la souveraineté industrielle et numérique, d’une disposition du projet de loi de finances initiale pour 2024 visant à modifier l’article 154 susmentionné de la loi de finances pour 2020.

Le projet d’article :

• élargit le champ des manquements et des infractions pour lesquels la collecte et l’exploitation des données sont possibles ;
• rend possible l’accès aux données manifestement rendues publiques et publiquement accessibles sur les plateformes et réseaux sociaux, y compris celles accessibles après création d’un compte ;
• aménage, au profit de la CNIL, une possibilité d’émettre des observations et des recommandations sur la liste des opérations de collecte envisagées par les administrations fiscale et douanière, et ce préalablement à toute mise en œuvre de ces opérations ;
• abrège de deux mois le délai d’envoi du bilan définitif de l’expérimentation au Parlement et à la CNIL et supprime l’obligation de transmission d’un bilan intermédiaire ;
• prolonge l’expérimentation de deux ans suivant la publication du nouveau décret d’application et au plus tard jusqu’au 31 décembre 2026.

La CNIL regrette d’avoir à se prononcer dans des conditions d’urgence sur la mise en œuvre de telles modifications compte tenu des enjeux associés à la collecte massive de données sur les plateformes en ligne et des impacts substantiels qui en résultent sur la vie privée des personnes concernées, alors même que le ministère s’est abstenu de produire le bilan définitif de l’expérimentation prévu par la loi.

II. L’avis de la CNIL

A. Sur l’extension de l’expérimentation aux contenus publiquement accessibles et manifestement rendus publics

L’article 154 de la loi de finances permet, dans sa version actuelle, la collecte de contenus "librement accessibles" pour une durée de trois ans. Le Conseil constitutionnel a exclu la collecte et l’exploitation des "contenus accessibles seulement après saisie d’un mot de passe ou après inscription sur le site en cause" (CC, 27 décembre 2019, 2019-796 DC, point 87).

Le projet d’article b) du 1° du A du I prévoit la possibilité de collecter et d’exploiter des contenus "manifestement rendus publics par leurs auteurs et publiquement accessibles« sur les plateformes et réseaux sociaux, et ce, »y compris lorsque l’accès à ces plateformes requiert une inscription à un compte.". Le ministère précise que cette évolution permettrait de remédier aux limites du dispositif actuel et ainsi d’étendre de manière significative les possibilités de collecte de données sur les plateformes concernées. La CNIL relève que la modification des critères d’accès, par la création d’un compte, conduit nécessairement à une collecte beaucoup plus large de données par rapport à ce que peut actuellement faire l’administration.

Dans le rapport intermédiaire précité, l’intérêt d’une telle collecte de contenus est considéré comme légitime, du fait du grand nombre d’utilisateurs des réseaux sociaux et la place montante de ces réseaux dans la vente en ligne (les "MarketPlace"). De plus, l’extension du dispositif permettrait de contourner deux difficultés mises en lumière par l’administration :

• d’une part, les plateformes d’échanges traditionnelles subordonne de plus en plus l’accès à certaines informations, telles que les numéros de téléphone, à la création d’un compte ;
• d’autre part, la limitation actuelle du champ des données collectées affaiblit l’efficacité de l’algorithme visant la détection automatique d’annonces et de profils vraisemblablement frauduleux.

A titre liminaire, l’administration avance que l’efficacité d’un tel algorithme participe au principe de minimisation des données dans la mesure où celle-ci réduit le risque de collecte d’annonces non frauduleuses (« faux positifs ») ou, au contraire, d’annonces frauduleuses non détectées (« faux négatifs »). Néanmoins, la CNIL regrette l’absence d’éléments objectifs permettant d’étayer certaines positions de l’administration, notamment en ce qui concerne l’appréciation, d’une part, des plateformes sur lesquelles l’activité frauduleuse est potentiellement plus importante et, d’autre part, des indicateurs permettant le ciblage des contenus collectés sur les plateformes et les réseaux sociaux. Le ministère indique que les plateformes de collecte seront choisies en fonction du nombre important de leurs utilisateurs, de la présence de professionnels sur ces sites et, par conséquent, de l’activité économique.

En premier lieu, la CNIL souligne que, du fait de la possibilité de moissonner des données après création d’un compte sur la plateforme, l’atteinte portée à la vie privée des utilisateurs sera beaucoup plus importante que dans le cadre de l’expérimentation actuelle. En outre, le maniement du critère de distinction entre les données « manifestement » rendues publiques et celles qui ne le sont pas dans l’intention de l’utilisateur les ayant déposées sur la plateforme, tout en étant accessibles à un grand nombre de personnes, sera délicat. La CNIL rappelle que la création de comptes dédiés ne doit pas permettre aux directions concernées d’entrer en relation avec des personnes sur les plateformes et réseaux sociaux, de demander à intégrer des groupes privés ni d’utiliser des identités d’emprunt. Elle demande que la dénomination de ces administrations apparaisse en clair sur le libellé du compte, et que celle-ci ne soit pas trompeuse en laissant clairement apparaître qu’il s’agit d’un compte de l’administration fiscale ou de celui des douanes. En outre, la CNIL considère que doivent être exclus du champ de la collecte les contenus relevant de la correspondance privée qui incluent, a minima, les conversations par messagerie au sein de la plateforme. Les conversations de groupe, lorsqu’elles sont limitées à un cercle restreint, devront également être exclues. Elle appelle l’attention du Gouvernement sur les conversations de groupe dans un cadre élargi qui pourraient aussi relever de la correspondance privée. Le ministère s’engage à assurer le respect de ces garanties.

En deuxième lieu, la CNIL estime que l’évolution projetée constitue un changement significatif du périmètre des données susceptibles d’être collectées par les administrations fiscale et douanière. Si elle prend acte des garanties déjà mises en œuvre, elle souligne la nécessité d’encadrer plus strictement cette collecte. La CNIL :

• insiste sur la nécessité de délivrer une information compréhensible par le plus grand nombre afin de permettre aux internautes de prendre conscience des conditions précises dans lesquelles leurs données à caractère personnel sont susceptibles d’être collectées à tout moment par ces administrations. Cette information devra permettre aux personnes concernées de savoir que leurs données seront accessibles et susceptibles d’être collectées par les organismes de contrôle. En ce sens, la CNIL rappelle que, dans un contexte différent, la Cour de justice de l’Union européenne (CJUE, 4 juillet 2023, C-252/21 ) a estimé qu’un internaute ne rend « manifestement publiques » des données sensibles le concernant, au sens de l’article 9, paragraphe 2, sous e) du RGPD, que dans le cas où il a explicitement exprimé son choix au préalable, le cas échéant sur la base d’un paramétrage individuel effectué en toute connaissance de cause, de rendre les données le concernant publiquement accessibles à un nombre illimité de personnes ;
• souligne que, préalablement à toute collecte de données à caractère personnel, un ciblage des plateformes et des réseaux sociaux les plus pertinents eu égard aux finalités poursuivies devra être effectué. Elle indique que certains de ces services, accessibles via un compte, présentent des enjeux importants de protection de la vie privée : c’est le cas notamment des applications de rencontre, pouvant révéler une orientation sexuelle, ou des applications de santé. En tout état de cause, la CNIL considère que le choix des plateformes visées devra être documenté et justifié au regard de ces finalités ;
• recommande également d’encadrer dans le temps la collecte des données sur les plateformes et réseaux sociaux. La profondeur historique de récupération des données pourra concerner aussi bien plusieurs années que seulement quelques jours en fonction de l’infraction recherchée et de l’antériorité nécessaire pour comprendre la situation. La CNIL invite donc à définir au cas par cas la période de récupération des données, qui devra être également documentée et justifiée.

En troisième lieu, les techniques de collecte des contenus publiquement accessibles et manifestement rendus publics sur les plateformes et réseaux sociaux devront également évoluer dans un cadre délimité. La CNIL :

• considère que l’usage d’interfaces de mise à disposition des données des sites (API), proposé par les plateformes ou les réseaux sociaux pour collecter des données, ne doit pas permettre d’obtenir des informations supplémentaires par rapport à celles accessibles par un utilisateur qui disposerait d’un compte sur la plateforme avec le niveau de permission minimum. De plus, dans sa délibération n°2023-050 du 25 mai 2023 relative à l’utilisation d’API, la CNIL recommande l’usage de toute fonctionnalité de l’API permettant de minimiser les données collectées ;
• prend acte, concernant les techniques de moissonnage des données (techniques d’extraction du contenu de sites, via des scripts ou des programmes automatisés, autrement appelées "webscraping"), de ce que les modifications envisagées permettront de collecter un ensemble plus large de données sur les plateformes et les réseaux sociaux concernés. La CNIL considère néanmoins qu’il convient d’exclure toute action automatisée permettant d’accéder à des données qui ne seraient pas rendues disponibles par défaut à l’ensemble des utilisateurs de la plateforme ou du réseau social (par exemple, des privilèges qui pourraient être accordés à la suite de l’utilisation intensive d’un réseau social ou de l’acceptation de demandes de contact de la part d’autres utilisateurs) ;
• remarque qu’une telle collecte de contenus publiquement accessibles par ces techniques de moissonnage des données est susceptible d’entrer en contradiction avec les procédures de sécurité et les conditions générales d’utilisation des plateformes et des réseaux sociaux visés ;
• prend acte de ce que le ministère exclut les contenus faisant l’objet d’un accès restreint, notamment lorsque que ceux-ci nécessitent une demande d’accès préalable ou une étape de validation de connexion. Par exemple, un groupe fermé sur un réseau social ou un service de messagerie en ligne ne sera pas concerné par le dispositif.

Sous ces réserves, la CNIL estime que l’extension de l’expérimentation aux contenus publiquement accessibles et manifestement rendus publics peut être légitime et proportionnée aux finalités poursuivies.

B. Sur l’extension du périmètre des manquements et infractions concernées

Le projet d’article prévoit également, à son a) du 1° du A du I, d’ajouter à la liste des manquements et des infractions pour lesquels la collecte et l’exploitation des données sont possibles, les inexactitudes ou les omissions, telles que prévues à l’article 1729 du code général des impôts, lorsque celles-ci découlent "d’une minoration ou d’une dissimulation de recettes". Cette infraction n’est pas caractérisée lorsque le contribuable est de bonne foi.

Le ministère précise que les premiers travaux ont démontré le potentiel d’une telle extension du champ de l’expérimentation. Celle-ci viserait à détecter les entreprises dont l’activité économique est visible sur les réseaux sociaux et déclarant à l’administration fiscale un statut incohérent ou des recettes probablement minorées.

La CNIL comprend que cette évolution conduira à la collecte généralisée de données dont le ciblage se limitera à certains critères objectifs et non nominatifs (par exemple, les auto-entrepreneurs avec un chiffre d’affaires déclaré nul). La CNIL rappelle, à l’instar du Conseil constitutionnel (CC, 27 décembre 2019, 2019-796 DC), qu’il appartient au ministère de veiller à ce que les algorithmes utilisés par ces traitements ne permettent de collecter, d’exploiter et de conserver que les données strictement nécessaires à ces finalités. En outre, l’article 154 précité, dans sa version actuelle, prévoit que le décret d’application doit préciser en quoi "les données sont adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est strictement nécessaire.". Pour ce faire, la CNIL considère que les indicateurs permettant le ciblage des données collectées devront être justifiés et leur sélection documentée.

Sous ces réserves, la CNIL considère cette évolution comme légitime.

C. Sur les opérations de collecte pouvant être adressées à la CNIL

Le projet d’article 2° du A du I prévoit la transmission à la CNIL, préalablement à toute opération de collecte, de la "liste des opérations de collecte envisagées« par les administrations fiscale et douanière. La CNIL pourrait alors, dans un délai de deux mois suivant la réception de ces informations, »adresser des recommandations". Les opérations de collecte ne pourraient être lancées par l’administration qu’à l’issue de ce délai.

La CNIL prend acte de la volonté du ministère de prévoir de nouvelles garanties en termes de protection des droits et libertés individuels. Elle estime cependant que :

• les termes employés, à savoir la "liste des opérations de collecte", sont particulièrement imprécis. En l’état, ils ne permettent pas d’apprécier la nature des informations qui lui seraient effectivement transmises ;
• une telle transmission serait de nature à créer, en l’absence de recommandation de la CNIL, une présomption de conformité des opérations de traitement réalisées ;
• la CNIL rappelle que la loi du 6 janvier 1978 modifiée lui confère d’ores et déjà un pouvoir de contrôle lui permettant d’apprécier la conformité des dispositifs à la réglementation en matière de protection des données, ces pouvoirs devant s’exercer indépendamment de toute recommandation. Elle exerce par ailleurs une mission d’accompagnement des pouvoirs publics qui permet aux administrations concernées de la solliciter ponctuellement dans le cadre de leur mise en conformité ;
• conformément au RGPD, il revient au ministère de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer d’être en mesure de démontrer que le traitement est effectué conformément aux principes de la protection des données.

La CNIL considère qu’une telle transmission préalable d’informations constituerait une garantie en termes de protection de la vie privée en ce qu’elle permettrait une forme de contrôle du dispositif. Elle estime cependant, compte tenu des raisons énumérées ci-dessus, qu’un tel contrôle ne devrait pas lui être confié. La CNIL recommande que cette garantie soit attribuée à une autre entité administrative, telle qu’un tiers indépendant.

Elle recommande par ailleurs qu’une documentation spécifique soit produite en fonction des manquements et des infractions recherchés et des collectes de données afférentes. Cette liste des opérations de collecte envisagées devra systématiquement être examinée par le délégué à la protection des données du ministère et transmise au tiers indépendant.

D. Sur l’évaluation de l’expérimentation

Le B du I du projet d’article prévoit, d’une part, de retarder de deux mois la date de remise du bilan définitif de la nouvelle période d’expérimentation envisagée et, d’autre part, de supprimer le bilan intermédiaire d’une telle expérimentation.

En premier lieu, la CNIL constate et déplore :

• que le bilan définitif de l’expérimentation ne lui ait pas été transmis. Elle estime que cela aurait permis au ministère de mieux étayer sa demande et, à elle-même, de pouvoir apprécier concrètement le bien-fondé de la prolongation de l’expérimentation au regard des résultats obtenus ;
• le manque d’exhaustivité du bilan intermédiaire, en particulier en ce qui concerne les éléments chiffrés sur l’exercice des droits, les justifications fondant l’utilisation des indicateurs, la mise à jour du suivi de l’avancement des administrations fiscale et douanière, la liste exhaustive des sites et sources Internet sur lesquels les données ont été collectées ou encore le détail des algorithmes mis en œuvre, de leur paramétrage et de leur fonctionnement. Le document transmis ne peut, au mieux, être considéré que comme une note d’étape et en rien comme une première évaluation intermédiaire.

En second lieu, la CNIL estime que la disposition projetée a pour effet d’affaiblir la qualité de l’évaluation de l’expérimentation en ce qu’elle crée une discontinuité dans les conditions de mise en œuvre de celle-ci. Elle rappelle que toute expérimentation doit faire l’objet d’une évaluation rigoureuse, à la hauteur des enjeux soulevés, en particulier si une pérennisation était envisagée. Elle estime que la réalisation d’un bilan intermédiaire permet de mesurer l’efficacité du dispositif et d’en apprécier les enjeux. Les modifications prévues par le projet d’article étaient d’ailleurs, pour partie, présentes dans le bilan intermédiaire de l’expérimentation, et ce, illustrant l’utilité d’un tel bilan.

Pour ces raisons, la CNIL considère que la réalisation d’un bilan intermédiaire est nécessaire et estime qu’il doit être maintenu.

Par ailleurs, en l’absence de justification du ministère quant à la nécessité de réduire le délai du bilan définitif, la CNIL estime que le délai de six mois avant le terme de l’évaluation doit être maintenu.

La Présidente

Marie-Laure DENIS