Le Décret n° 2024-1274 du 31 décembre 2024

Le Décret n° 2024-1274 du 31 décembre 2024 permet aux services des impôts et aux service des douanes la collecte et l’exploitation de données rendues publiques sur les sites internet des opérateurs de plateforme en ligne (modification de l’article 154 de la loi de finances pour 2020 par l’article 112 de la loi de finances pour 2024). 

Il s’agit notamment de détecter la minoration ou la dissimulation de recettes et de débusquer les entreprises dont l’activité est manifeste sur les réseaux sociaux mais qui déclarent un statut incohérent ou de très faibles recettes.

L’application du RGDP 

Il précise notamment les conditions assurant que les traitements mis en œuvre sont proportionnés aux finalités poursuivies et en quoi les données personnelles traitées sont adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est strictement nécessaire.

Pour rappel, l’article 154 de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020 a autorisé, à titre expérimental pour une durée de trois ans, les administrations fiscale et douanière à collecter et exploiter les contenus librement accessibles et manifestement rendus publics par les utilisateurs sur les sites web de certains opérateurs de plateforme en ligne. Cette collecte doit permettre de rechercher des indices relatifs à la commission de certaines infractions limitativement énumérées par la loi.

L’article 122 de la loi de finances pour 2024 a prolongé pour une durée de deux ans et étendu le périmètre de cette expérimentation.

La position de la CNIL 

La CNIL s’est prononcée sur le principe de cette expérimentation (CNIL, SP, 12 septembre 2019, avis sur projet de loi, n° 2019-114, publié ; CNIL, SP, 21 septembre 2023, avis sur projet de loi, n° 2023-090, publié), ainsi que sur la mise en œuvre des traitements afférents encadrés par le Décret n° 2021-148 du 11 février 2021 (CNIL, SP, 10 décembre 2020, avis sur projet de Décret, n° 2020-124, publié). 

Elle a rappelé que ce type de traitements, qui reposent sur une vaste collecte préalable de données en vue du ciblage des actions ultérieures de contrôle, et qui concernent l’ensemble des personnes rendant accessibles des contenus sur les plateformes, nécessitent des mesures pour compenser les atteintes potentielles portées à la vie privée des utilisateurs.

Cette expérimentation repose sur la mise en œuvre, par la direction générale des finances publiques et la direction générale des douanes et droits indirects, de traitements de données à caractère personnel qui comprennent :

– d’une part, une phase d’apprentissage et de conception (développement des outils de collecte, de nettoyage et d’analyse des données pour identifier les titulaires des comptes et pages internet ; modélisation et identification des agissements susceptibles de révéler la commission des infractions et manquements prévus à l’article 154 précité) ;

– d’autre part, une phase d’exploitation (déploiement des outils conçus lors de la première phase, afin de recueillir des données pertinentes destinées à être exploitées par les services compétents pour la recherche des infractions et manquements prévus).

Cette première expérimentation a fait l’objet d’un bilan intermédiaire et d’un bilan définitif, dont la CNIL a été rendue destinataire. Il en ressort une faible efficacité du dispositif initial du fait de son périmètre limité (au regard, notamment, de l’exclusion des plateformes requérant un compte pour y accéder), restreignant les capacités de collecte de données. Le législateur a fait le choix, le 29 décembre 2023, d’étendre le périmètre des données accessibles dans le cadre de l’expérimentation.

Le Décret prévoit ainsi : 

– l’extension de la possibilité de collecter et exploiter des contenus accessibles sur les plateformes en ligne à celles dont « l’accès (…) requiert une inscription à un compte » ;

– l’extension du périmètre de l’expérimentation à la recherche des manquements et infractions découlant d’une minoration ou d’une dissimulation de recettes ;

– la transmission régulière, à la CNIL, d’informations sur ces opérations ;

– la collecte des métadonnées, notamment les informations relatives aux dates, heures et géolocalisation des contenus collectés ;

– les conditions d’information du public.

L’extension des conditions de collecte

Dans sa version initiale, l’article 154 ne permettait que la collecte de contenus « librement accessibles » et « manifestement rendus publics ». Le Conseil constitutionnel avait précisé qu’étaient exclues la collecte et l’exploitation des « contenus accessibles seulement après saisie d’un mot de passe ou après inscription sur le site en cause » (CC, 27 décembre 2019, 2019-796 DC, point 87). Au vu du bilan intermédiaire de l’expérimentation, l’article 154 a été modifié afin d’étendre ce dispositif aux plateformes dont l’accès requiert la création d’un compte.

Il est désormais permis aux administrations concernées de collecter et d’exploiter des contenus, « y compris lorsque l’accès à ces plateformes requiert une inscription à un compte ». La CNIL, dans son avis du 21 septembre 2023, avait relevé que cette évolution conduirait à une collecte beaucoup plus large de données et que, par conséquent, l’atteinte portée à la vie privée des utilisateurs serait beaucoup plus importante que dans le cadre de la version initiale de l’expérimentation.

En premier lieu, le Décret prévoit des mesures compensatoires qui encadrent la mise en œuvre de cette collecte étendue, en précisant que les agents des administrations concernées ne sont pas autorisés à entrer en relation avec d’autres détenteurs de compte ou à diffuser des contenus. Ils ne sont autorisés qu’à procéder à la collecte et l’exploitation de contenus.

Ces limitations ne permettent donc pas d’accéder à des données qui ne seraient pas rendues disponibles à l’ensemble des utilisateurs de la plateforme ou du réseau social (par exemple, le « suivi » d’une personne ou d’un compte) ni de rejoindre une conversation de groupe, même sans prendre la parole.

Par ailleurs, il ressort des précisions apportées par le ministère que la création de ces comptes ne permettra pas d’utiliser des identités d’emprunt et laissera apparaitre, en clair, qu’il s’agit d’un compte de l’administration fiscale ou des douanes.

Serait enfin exclu, pour ces administrations, l’usage d’interfaces de mise à disposition des données des sites (API) proposées par les plateformes ou les réseaux sociaux pour collecter des données, dans l’hypothèse où elles permettraient d’obtenir des informations supplémentaires à celles accessibles à partir d’un compte avec le niveau de permission minimum.

Les plateformes concernées

En deuxième lieu, le Décret prévoit que la liste des opérations de collecte transmise à la CNIL (telle que prévue à l’article 154 de la loi de finances pour 2020) mentionne, pour chacune des collectes mises en œuvre, les objectifs poursuivis ainsi que les plateformes en ligne concernées.

S’agissant du périmètre des plateformes concernées, la CNIL prend acte des précisions apportées, selon lesquelles aucune collecte ne sera réalisée sur des plateformes « sensibles » au sens de l’article 9 du RGPD (à l’instar d’applications de rencontres ou de santé).

En dernier lieu, le Décret prévoit que les habilitations délivrées aux agents réalisant les traitements peuvent être accordées par les directeurs des administrations concernées.

Les infractions recherchées 

La collecte et l’exploitation des données sont possibles pour la recherche d’une activité occulte et des inexactitudes ou omissions découlant d’un manquement aux règles de la domiciliation fiscale (fixées à l’article 4 B du code général des impôts). 

Le Décret encadre l’extension du champ infractionnel des traitements en ajoutant, conformément à ce que la loi a prévu, la minoration ou la dissimulation de recettes afin de détecter les entreprises dont l’activité est manifeste sur les réseaux sociaux mais qui déclarent un statut incohérent ou de très faibles recettes.

Une telle évolution conduit à la collecte de données dont le ciblage se limitera à certains critères objectifs (par exemple, les auto-entrepreneurs avec un chiffre d’affaires déclaré nul). Au regard de cette limitation, la CNIL a estimé la collecte légitime.

Les données accessibles

L’extension de l’expérimentation aux données manifestement rendues publiques et publiquement accessibles, lorsqu’un compte est requis pour accéder à la plateforme ou au réseau social, implique la collecte d’un plus grand nombre de données.

En premier lieu, il est prévu l’ajout (que ce soit pour la recherche d’activités occultes, de manquements aux règles de domiciliation ou de minoration ou dissimulation de recettes) de la collecte de métadonnées liées aux données précédemment collectées, incluant « notamment les informations relatives aux dates, heures et géolocalisation de leur création ». 

Il ressort des précisions apportées que seules les données de géolocalisation ont vocation à être exploitées. Les autres métadonnées seront supprimées dans un délai de cinq jours. 

Au-delà de la rédaction du Décret, la distinction entre des contenus « manifestement rendus publics » ou non, peut être délicate en certaines circonstances, notamment lorsque qu’il n’est pas clair que l’utilisateur ait eu conscience d’avoir publié certaines données, lorsque celles-ci sont automatiquement incluses dans le contenu publié sous forme de métadonnées. Par exemple, des métadonnées relatives à la géolocalisation peuvent être incluses dans le fichier photographique lors de la prise d’une photo depuis un téléphone mobile sans que l’utilisateur en ait conscience. Dès lors, la mise à disposition du fichier par le réseau social lors de sa publication par l’utilisateur permet la collecte de cette donnée.

Par ailleurs, la collecte étant limitée aux contenus se rapportant à la personne les ayant délibérément divulgués, tout traitement d’information fournie par un tiers (par exemple lorsqu’une photo est « taguée » par ce tiers) est exclu.

En deuxième lieu, s’agissant des contenus relatifs à l’activité professionnelle ou illicite des personnes, le Décret prévoit la collecte de QR-codes, ceux-ci pouvant être utilisés au sein des plateformes pour partager des données de diverse nature, dont notamment des liens vers des contenus ou des profils, comme précisé par le ministère.

D’une part, le terme de QR-code désigne une technologie spécifique de code barre bidimensionnel permettant de partager des données.

En troisième lieu, le Décret prévoit la collecte, dans le cadre de la recherche d’une activité occulte, de « données susceptibles d’étayer une suspicion de manquement ». Or, cette formulation ne désigne pas une catégorie de données de manière suffisamment précise, et permettrait la collecte de toute catégorie de données dès lors qu’elle poursuit la finalité indiquée. Selon le ministère, aucune autre catégorie de données que celles énumérées par le Décret ne sera collectée dans ce cadre. La CNIL a pris acte de l’engagement du ministère de modifier le Décret pour supprimer la mention des « données susceptibles d’étayer une suspicion de manquement ».

A noter que le modèle de détection automatique de la fraude repose sur une phase préalable d’apprentissage machine. Cet apprentissage consiste à fournir au modèle une vaste quantité de données pour obtenir des performances satisfaisantes. La CNIL a  appelé à une certaine prudence dans l’utilisation de ce type d’algorithmes, eu égard aux risques qu’ils comportent et aux biais qu’ils peuvent présenter (v. CNIL, SP, 16 novembre 2023, avis sur projet de Décret, « dispositif ressources mensuelles », n° 2023-120, publié). Elle estime que le développement et l’utilisation de tels modèles d’apprentissage devraient être faits en analysant la possibilité de l’émergence de tels biais et le cas échéant de documenter les mesures permettant d’en diminuer l’impact.

L’information des personnes concernées 

Le Décret en vigueur prévoit que le droit d’information prévu par les articles 104 de la loi « informatique et libertés » et 14 du RGPD ne s’appliquent pas. Ces dispositions sont inchangées. La CNIL s’est interrogé sur le régime juridique applicable et les modalités d’exercice des droits à aménager en conséquence, compte tenu de la jurisprudence récente de la CJUE en la matière.

L’article 154 de la loi de finances pour 2020 prévoit une information générale du public et charge le Décret de préciser les conditions dans lesquelles les administrations concernées mettent à disposition du public une information facilement accessible en ligne sur les finalités et les modalités de fonctionnement des traitements.

Le Décret précise qu’une information générale du public est diffusée sur les sites web de la direction générale des finances publiques et de la direction générale des douanes et droits indirects.

Dans une perspective d’accessibilité, cette information devra être actualisée sur les pages dédiées des sites web des directions concernées. Elle devra par ailleurs contenir le champ infractionnel des traitements ainsi que les modalités de collecte des données (y compris lorsqu’un compte est requis pour y accéder).

La CNIL rappelle que, dans le cas d’une infraction ou d’un manquement avérés et des suites procédurales qui y seront données, l’information des personnes sera individuelle, conformément aux dispositions de la loi « informatique et libertés ».

Pour la recherche de minoration ou de dissimulation de recettes, sanctionnée par l’application de la majoration mentionnée à l’article 1729 du code général des impôts, la conception d’outils de collecte et d’analyse des données comporte les étapes suivantes :

« 1° La conception de la technologie d’identification des entreprises à partir d’une liste, dont l’ampleur ne dépasse pas ce qui est strictement nécessaire, des entreprises préalablement identifiées au moyen des données de l’administration fiscale. Sont utilisées les données permettant l’identification des entreprises issues du traitement automatisé de lutte contre la fraude dénommé “ ciblage de la fraude et valorisation des requêtes ”.

« Ces travaux ont pour objectif de développer un outil permettant d’associer une entreprise à ses comptes détenus sur les plateformes en ligne définies au i de l’article 3 du règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques.

« Seules sont collectées pour ces travaux les données d’identification des titulaires de comptes de plateformes en ligne. Les données d’identification collectées sont conservées pendant un délai maximum de trente jours après leur collecte. Les autres données sont supprimées dès leur collecte ;

« 2° La conception de la technologie d’identification des données relatives à l’intensité de l’activité économique à partir de la collecte des données des comptes d’un échantillon d’entreprises préalablement identifiées au moyen des données de l’administration fiscale.

« L’échantillon, dont l’ampleur ne dépasse pas ce qui est strictement nécessaire à l’identification d’indicateurs permettant de mesurer le volume de l’activité économique, est constitué à partir des données d’identification d’entreprises issues du traitement automatisé de lutte contre la fraude dénommé “ ciblage de la fraude et valorisation des requêtes ”.

« A partir de cet échantillon, sont collectées, à partir des contenus visés à l’article 2, les données suivantes :

« a) Les données d’identification des titulaires des pages internet analysées ;

« b) Les contenus des pages permettant d’identifier une activité économique qui peuvent notamment être des écrits, des images, des photographies, des sons, des icônes ou des vidéos.

« Les données sensibles, au sens du I de l’article 6 de la loi du 6 janvier 1978 susvisée sont détruites au plus tard cinq jours ouvrés après leur collecte. Les autres données sont conservées pendant un délai maximum de trente jours à compter de leur collecte ;

« 3° L’identification des indicateurs à partir des données issues des traitements mentionnés au 2°.

« L’administration fiscale identifie les indicateurs laissant présumer le volume de l’activité économique sur le site internet des entreprises de l’échantillon mentionné au 2°. » ;

Les actifs numériques contrôlés portent aussi sur les contenus, lorsqu’ils sont accessibles au moyen de QR-codes ou de tout autre vecteur, des pages se rapportant à l’activité professionnelle ou l’activité illicite qui peuvent notamment être des écrits, des images, des photographies, des sons, des icônes, des vidéos, ainsi que les QR-codes et autre vecteurs eux-mêmes ; ».

Pour la recherche des minorations ou des dissimulations de recettes, l’administration fiscale collecte et traite de manière automatique les contenus correspondant à des données susceptibles de mesurer le volume d’une activité économique et au rattachement de ces dernières à une personne physique ou morale identifiée à partir d’une liste de personnes physiques et morales préalablement déterminée en fonction des données détenues par l’administration fiscale et qui seraient susceptibles d’être en infraction.

La liste des entreprises concernées est établie à partir des données d’identification et d’ordre économique et financier issues du traitement automatisé de lutte contre la fraude dénommé “ciblage de la fraude et valorisation des requêtes”.

L’administration recense, au moyen des outils dans des tables informatiques, les indicateurs permettant de mesurer le volume de l’activité économique, ainsi que les éléments d’identification des comptes et des publications s’y rattachant.

Les données collectées qui ne figurent pas dans les tables informatiques ainsi que les données sensibles, au sens du I de l’article 6 de la loi du 6 janvier 1978 susmentionnée, sont détruites au plus tard cinq jours ouvrés après leur collecte.

Les informations issues des tables informatiques sont transférées vers le traitement automatisé de lutte contre la fraude dénommé “ciblage de la fraude et valorisation des requêtes” pour y être rapprochées des données détenues par l’administration fiscale dans le cadre dudit traitement.

Les informations figurant dans les tables informatiques sont réputées constituer un indice lorsque le rattachement à une personne physique ou morale connue de l’administration fait apparaître une incohérence entre le volume de l’activité économique mesurée sur le site internet et le montant du chiffre d’affaires déclaré à l’administration fiscale, à la suite du transfert effectué. Les autres informations figurant dans ces tables sont détruites dans un délai maximum de trente jours à compter de la collecte à laquelle elles se rapportent.

Les informations réputées constituer un indice sont conservées pour un examen approfondi pour une période maximale d’un an à compter de la collecte à laquelle elles se rapportent. Elles sont détruites à l’issue de cette période sauf si elles sont utilisées dans le cadre d’une procédure pénale ou fiscale. Dans ce cas, elles ne sont détruites qu’au terme de la procédure. 

Les administrations fiscales et douanières adressent avant la fin de chaque semestre de l’année civile à la Commission nationale de l’informatique et des libertés la liste des opérations de collecte qui seront engagées au semestre suivant. Cette liste mentionne les objectifs poursuivis ainsi que les plateformes en ligne concernées.

Une information générale du public sur les finalités et les modalités de fonctionnement des traitements permis par l’article 154 de la loi du 28 décembre 2019 mentionnée ci-dessus est diffusée sur le site internet de la direction générale des finances publiques et le site internet de la direction générale des douanes et des droits indirects. Elle est directement accessible depuis la page d’accueil de ces sites.