LinkedIn et societe.com : l’administration fiscale veille

·

·

LinkedIn et societe.com : l’administration fiscale veille
,

L’administration fiscale est en droit de collecter des données personnelles à partir de vos comptes de réseaux sociaux.  La Cour de cassation a validé la possibilité pour l’administration de recueillir des informations tirées de la consultation de sites d’accès public et les profils LinkedIn ou societe.com.en font partie.

Origine licite des données collectées

Si le juge qui autorise la perquisition doit vérifier l’origine apparemment licite des pièces fournies, l’article 2 de la loi n° 78-17 du 6 janvier 1978 n’interdit pas de faire état d’informations diffusées par des systèmes informatiques. Par ailleurs, l’hypothèse de la collecte de masse de données sur les réseaux sociaux visée par l’article 154 de la loi de finances pour 2020 n’a rien de semblable avec l’enquête mise en oeuvre par l’administration fiscale dans le litige de cette affaire.

Pour rappel, l’article 154 de la loi de finances pour 2020 (pris dans l’urgence, après avis de la CNIL / décision de la CNIL n° 2019-114 du 12 septembre 2019), l’article 154 de la loi de finances pour 2020 prévoit à titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des manquements et infractions fiscales, que l’administration fiscale et l’administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles sur les sites internet des opérateurs de plateforme en ligne, manifestement rendus publics par leurs utilisateurs.

Les traitements sont mis en œuvre par des agents de l’administration fiscale et de l’administration des douanes et des droits indirects ayant au moins le grade de contrôleur et spécialement habilités par le directeur général. Les données à caractère personnel mentionnées au même premier alinéa ne peuvent faire l’objet d’une opération de collecte, de traitement et de conservation de la part d’un sous-traitant, à l’exception de la conception des outils de traitement des données.

Lorsqu’elles sont de nature à concourir à la constatation des manquements et infractions mentionnés au même premier alinéa, les données collectées strictement nécessaires sont conservées pour une période maximale d’un an à compter de leur collecte et sont détruites à l’issue de cette période. Toutefois, lorsqu’elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu’au terme de la procédure.

Les autres données sont détruites dans un délai maximum de trente jours à compter de leur collecte.

Le droit d’accès aux informations collectées s’exerce auprès du service d’affectation des agents habilités à mettre en œuvre les traitements. Le droit d’opposition prévu à l’article 110 de la même loi ne s’applique pas à ces traitements.

Droit de collecte de l’administration fiscale

En l’espèce, l’administration n’a procédé à aucune collecte d’informations qui soit automatique, massive, préalable et en dehors de toute suspicion de fraude puisqu’elle s’est bornée à consulter manuellement dans le cadre d’une démarche ciblée des sites d’accès public tels que Linkedin ou societe.com. Les traitements mis en oeuvre par l’administration s’inscrivent dans le cadre de l’article 87 de la loi du 6 janvier 1978, tel qu’issu de la transposition de la directive (UE) 216/680 du 27 avril 2016. En l’espèce, le traitement sui generis mis en oeuvre par la DGFP disposait bien d’une base juridique suffisamment précise.

Question de l’analyse d’impact

Aux termes de l’article 90 de la loi du 6 janvier 1978, issue de la transposition de la directive (UE) 216/680 du 27 avril 2016, une analyse d’impact relative à la protection des données à caractère personnel est nécessaire « si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », notamment parce qu’il porte sur des données sensibles visées au I de l’article 6 de la loi du 6 janvier 1978.

En matière de données sensibles, le I de l’article 6 de ladite loi vise notamment l’origine raciale, l’origine éthique, les opinions politiques, les convictions religieuses, philosophiques, l’appartenance syndicale d’une personne physique, le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé, des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Or, force est de constater qu’aucune donnée listée au I de l’article 6 n’a fait l’objet d’une quelconque collecte par l’administration fiscale. Aucune des données collectées par l’administration ne rentre non plus dans l’un des cas visés par l’article 35 du RGPD relatif aux analyses d’impact.

En effet, l’administration n’a procédé à aucune évaluation systématique et approfondie d’informations personnelles, fonctionnant par un procédé automatisé, et sur la base desquelles sont prises des décisions ; aucun traitement des données sensibles à grande échelle n’a été effectué ; aucune surveillance systématique à grande échelle d’une zone accessible au public n’a été faite.

Enfin, s’agissant des trois critères relatifs à la nécessité d’une analyse d’impact, il est précisé que : en ce qui concerne une prétendue collecte « à grande échelle », le considérant 91 du RGPD définit ce terme par « un volume considérable de données à caractère personnel au niveau régional, national ou supranational » ; concernant le croisement des données, celles-ci doivent provenir de traitement « d’une manière qui outrepasserait les attentes raisonnables de la personne concernée », ce qui n’est pas le cas en l’espèce ; s’agissant de la surveillance systématique, cette hypothèse renvoie à la troisième hypothèse visée par l’article 35 de l’article précité.

Par conséquent, l’administration fiscale n’avait pas à mener d’analyse d’impact pour effectuer un traitement sui generis.

Droit d’information et droit à l’oubli en matière fiscale

Aux termes de l’article 13 du RGPD, lorsque des données à caractère personnel sont collectées directement auprès de la personne concernée, les informations à lui fournir sont les suivantes : identité du responsable de traitement, coordonnées du délégué à la protection des données, finalité et base juridique du traitement, intérêts légitimes poursuivis par le responsable lorsque le traitement est fondé sur cette base légale, destinataire des données et éventuelle possibilité de transferts, durée de conservation, possibilité d’en demander l’accès, la rectification ou l’effacement, le droit d’introduire une réclamation auprès d’une autorité de contrôle, conséquences éventuelles de la non fourniture de ces données, existence éventuelle d’une prise de décision automatisée, informations relatives à une autre finalité éventuelle.

Concernant le droit à l’effacement (« droit à l’oubli »), l’article 17 du RGPD prévoit qu’il n’est pas applicable, dans la mesure où ce traitement est nécessaire « pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public pu relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

Il est évident que l’administration fiscale est légalement tenue de ne pas satisfaire aux demandes de droit à l’oubli, puisqu’elle se trouve dans une situation légale et réglementaire à l’égard des contribuable, dans sa mission d’établissement, de recouvrement et de contrôle de l’impôt.

S’agissant du droit à la limitation du traitement, l’article 18 du RGPD prévoit que les données à caractère personnel peuvent néanmoins être traitées pour des motifs importants d’intérêt public de l’Union ou d’un État membre. Au cas présent, l’administration fiscale exerçait une mission régalienne qui constitue un intérêt public fondamental.

Quid des fichiers FICOBA, SIR et A?

Quant aux autres informations, elles sont précisées au sein de l’arrêté du 5 avril 2002 pour le fichier A, au sein de l’arrêté du 14 juin 1982 pour le fichier FICOBA et au sein de l’arrêté du 28 avril 1987 pour le fichier SIR. En outre, ces informations ont fait l’objet d’une information complémentaire sur le site gouvernemental ‘impots.gouv.fr’, d’accès public. Au vu de ce qui précède, il était donc inexact d’indiquer que les informations ont été rappelées aux personnes concernées de manière incomplète. Dès lors, les informations extraites des fichiers FICOBA, SIR et A étaient parfaitement licites et ne pouvaient entraîner l’annulation de la procédure. Télécharger la décision

Questions / Réponses juridiques

Quels types de données l’administration fiscale peut-elle collecter ?

L’administration fiscale a le droit de collecter des données personnelles à partir de comptes de réseaux sociaux, notamment des informations accessibles publiquement sur des plateformes comme LinkedIn ou societe.com.

Cette collecte est encadrée par la loi n° 78-17 du 6 janvier 1978, qui permet de faire état d’informations diffusées par des systèmes informatiques.

Il est important de noter que l’administration ne peut pas procéder à une collecte massive ou automatique sans suspicion de fraude.

Les agents habilités, ayant au moins le grade de contrôleur, sont responsables de cette collecte, qui doit être effectuée de manière ciblée et manuelle.

Quelles sont les conditions de conservation des données collectées ?

Les données collectées par l’administration fiscale sont conservées pour une période maximale d’un an, à condition qu’elles soient nécessaires à la constatation des manquements ou infractions fiscales.

À l’issue de cette période, les données doivent être détruites, sauf si elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière, où elles peuvent être conservées jusqu’à la fin de la procédure.

Les autres données, qui ne sont pas nécessaires, doivent être détruites dans un délai maximum de trente jours après leur collecte.

Cela garantit que les données personnelles ne sont pas conservées indéfiniment et respectent le droit à la vie privée des individus.

Quelles sont les obligations de l’administration fiscale en matière d’information des contribuables ?

L’article 13 du RGPD impose à l’administration fiscale de fournir plusieurs informations aux personnes concernées lors de la collecte de données personnelles.

Ces informations incluent l’identité du responsable de traitement, les coordonnées du délégué à la protection des données, la finalité du traitement, ainsi que la durée de conservation des données.

Les contribuables doivent également être informés de leur droit d’accès, de rectification ou d’effacement de leurs données, ainsi que de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle.

Cependant, le droit à l’oubli n’est pas applicable dans le cadre des obligations légales de l’administration fiscale, qui doit conserver certaines données pour des raisons d’intérêt public.

Quelles sont les implications de l’analyse d’impact sur la protection des données ?

Selon l’article 90 de la loi du 6 janvier 1978, une analyse d’impact est requise si le traitement des données présente un risque élevé pour les droits et libertés des personnes physiques.

Cependant, dans le cas de l’administration fiscale, aucune donnée sensible n’a été collectée, et il n’y a pas eu de traitement automatisé à grande échelle.

Les critères pour une analyse d’impact, tels que la collecte à grande échelle ou la surveillance systématique, ne s’appliquent pas ici.

Ainsi, l’administration fiscale n’était pas tenue de mener une analyse d’impact pour le traitement des données dans ce contexte.

Comment l’administration fiscale gère-t-elle le droit à l’oubli ?

L’article 17 du RGPD stipule que le droit à l’effacement, ou droit à l’oubli, n’est pas applicable lorsque le traitement des données est nécessaire pour respecter une obligation légale.

L’administration fiscale, dans le cadre de sa mission de contrôle et de recouvrement de l’impôt, est légalement contrainte de conserver certaines données, ce qui rend ce droit inapplicable.

De plus, l’article 18 du RGPD permet le traitement des données pour des motifs d’intérêt public, ce qui s’applique à la mission de l’administration fiscale.

Ainsi, les demandes de droit à l’oubli ne peuvent pas être satisfaites dans ce contexte légal et réglementaire.

Quelles sont les spécificités des fichiers FICOBA, SIR et A ?

Les fichiers FICOBA, SIR et A sont régis par des arrêtés spécifiques qui précisent les informations qu’ils contiennent.

Ces fichiers sont utilisés par l’administration fiscale pour le recouvrement et le contrôle de l’impôt, et les informations qu’ils contiennent sont accessibles au public via le site ‘impots.gouv.fr’.

Il a été jugé que les informations extraites de ces fichiers étaient licites et que leur utilisation ne pouvait pas entraîner l’annulation de la procédure fiscale.

Cela souligne l’importance de la transparence et de la légalité dans la gestion des données fiscales par l’administration.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

  • Bienvenue, je suis votre assistant juridique
Rédaction en cours .... ...
Chat Icon