L’essentiel : L’administration fiscale a le droit de collecter des données personnelles à partir de comptes de réseaux sociaux, comme LinkedIn et societe.com. La Cour de cassation a validé cette pratique, considérant que l’administration peut recueillir des informations issues de sites d’accès public. Selon l’article 154 de la loi de finances pour 2020, l’administration fiscale peut, à titre expérimental, collecter des données accessibles publiquement pour détecter des infractions fiscales. Les données collectées doivent être strictement nécessaires et conservées pour une durée maximale d’un an, sauf si elles sont utilisées dans le cadre d’une procédure légale.

L’administration fiscale est en droit de collecter des données personnelles à partir de vos comptes de réseaux sociaux.  La Cour de cassation a validé la possibilité pour l’administration de recueillir des informations tirées de la consultation de sites d’accès public et les profils LinkedIn ou societe.com.en font partie.

Origine licite des données collectées

Si le juge qui autorise la perquisition doit vérifier l’origine apparemment licite des pièces fournies, l’article 2 de la loi n° 78-17 du 6 janvier 1978 n’interdit pas de faire état d’informations diffusées par des systèmes informatiques. Par ailleurs, l’hypothèse de la collecte de masse de données sur les réseaux sociaux visée par l’article 154 de la loi de finances pour 2020 n’a rien de semblable avec l’enquête mise en oeuvre par l’administration fiscale dans le litige de cette affaire.

Pour rappel, l’article 154 de la loi de finances pour 2020 (pris dans l’urgence, après avis de la CNIL / décision de la CNIL n° 2019-114 du 12 septembre 2019), l’article 154 de la loi de finances pour 2020 prévoit à titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des manquements et infractions fiscales, que l’administration fiscale et l’administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles sur les sites internet des opérateurs de plateforme en ligne, manifestement rendus publics par leurs utilisateurs.

Les traitements sont mis en œuvre par des agents de l’administration fiscale et de l’administration des douanes et des droits indirects ayant au moins le grade de contrôleur et spécialement habilités par le directeur général. Les données à caractère personnel mentionnées au même premier alinéa ne peuvent faire l’objet d’une opération de collecte, de traitement et de conservation de la part d’un sous-traitant, à l’exception de la conception des outils de traitement des données.

Lorsqu’elles sont de nature à concourir à la constatation des manquements et infractions mentionnés au même premier alinéa, les données collectées strictement nécessaires sont conservées pour une période maximale d’un an à compter de leur collecte et sont détruites à l’issue de cette période. Toutefois, lorsqu’elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu’au terme de la procédure.

Les autres données sont détruites dans un délai maximum de trente jours à compter de leur collecte.

Le droit d’accès aux informations collectées s’exerce auprès du service d’affectation des agents habilités à mettre en œuvre les traitements. Le droit d’opposition prévu à l’article 110 de la même loi ne s’applique pas à ces traitements.

Droit de collecte de l’administration fiscale

En l’espèce, l’administration n’a procédé à aucune collecte d’informations qui soit automatique, massive, préalable et en dehors de toute suspicion de fraude puisqu’elle s’est bornée à consulter manuellement dans le cadre d’une démarche ciblée des sites d’accès public tels que Linkedin ou societe.com. Les traitements mis en oeuvre par l’administration s’inscrivent dans le cadre de l’article 87 de la loi du 6 janvier 1978, tel qu’issu de la transposition de la directive (UE) 216/680 du 27 avril 2016. En l’espèce, le traitement sui generis mis en oeuvre par la DGFP disposait bien d’une base juridique suffisamment précise.

Question de l’analyse d’impact

Aux termes de l’article 90 de la loi du 6 janvier 1978, issue de la transposition de la directive (UE) 216/680 du 27 avril 2016, une analyse d’impact relative à la protection des données à caractère personnel est nécessaire « si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », notamment parce qu’il porte sur des données sensibles visées au I de l’article 6 de la loi du 6 janvier 1978.

En matière de données sensibles, le I de l’article 6 de ladite loi vise notamment l’origine raciale, l’origine éthique, les opinions politiques, les convictions religieuses, philosophiques, l’appartenance syndicale d’une personne physique, le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé, des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Or, force est de constater qu’aucune donnée listée au I de l’article 6 n’a fait l’objet d’une quelconque collecte par l’administration fiscale. Aucune des données collectées par l’administration ne rentre non plus dans l’un des cas visés par l’article 35 du RGPD relatif aux analyses d’impact.

En effet, l’administration n’a procédé à aucune évaluation systématique et approfondie d’informations personnelles, fonctionnant par un procédé automatisé, et sur la base desquelles sont prises des décisions ; aucun traitement des données sensibles à grande échelle n’a été effectué ; aucune surveillance systématique à grande échelle d’une zone accessible au public n’a été faite.

Enfin, s’agissant des trois critères relatifs à la nécessité d’une analyse d’impact, il est précisé que : en ce qui concerne une prétendue collecte « à grande échelle », le considérant 91 du RGPD définit ce terme par « un volume considérable de données à caractère personnel au niveau régional, national ou supranational » ; concernant le croisement des données, celles-ci doivent provenir de traitement « d’une manière qui outrepasserait les attentes raisonnables de la personne concernée », ce qui n’est pas le cas en l’espèce ; s’agissant de la surveillance systématique, cette hypothèse renvoie à la troisième hypothèse visée par l’article 35 de l’article précité.

Par conséquent, l’administration fiscale n’avait pas à mener d’analyse d’impact pour effectuer un traitement sui generis.

Droit d’information et droit à l’oubli en matière fiscale

Aux termes de l’article 13 du RGPD, lorsque des données à caractère personnel sont collectées directement auprès de la personne concernée, les informations à lui fournir sont les suivantes : identité du responsable de traitement, coordonnées du délégué à la protection des données, finalité et base juridique du traitement, intérêts légitimes poursuivis par le responsable lorsque le traitement est fondé sur cette base légale, destinataire des données et éventuelle possibilité de transferts, durée de conservation, possibilité d’en demander l’accès, la rectification ou l’effacement, le droit d’introduire une réclamation auprès d’une autorité de contrôle, conséquences éventuelles de la non fourniture de ces données, existence éventuelle d’une prise de décision automatisée, informations relatives à une autre finalité éventuelle.

Concernant le droit à l’effacement (« droit à l’oubli »), l’article 17 du RGPD prévoit qu’il n’est pas applicable, dans la mesure où ce traitement est nécessaire « pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public pu relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

Il est évident que l’administration fiscale est légalement tenue de ne pas satisfaire aux demandes de droit à l’oubli, puisqu’elle se trouve dans une situation légale et réglementaire à l’égard des contribuable, dans sa mission d’établissement, de recouvrement et de contrôle de l’impôt.

S’agissant du droit à la limitation du traitement, l’article 18 du RGPD prévoit que les données à caractère personnel peuvent néanmoins être traitées pour des motifs importants d’intérêt public de l’Union ou d’un État membre. Au cas présent, l’administration fiscale exerçait une mission régalienne qui constitue un intérêt public fondamental.

Quid des fichiers FICOBA, SIR et A?

Quant aux autres informations, elles sont précisées au sein de l’arrêté du 5 avril 2002 pour le fichier A, au sein de l’arrêté du 14 juin 1982 pour le fichier FICOBA et au sein de l’arrêté du 28 avril 1987 pour le fichier SIR. En outre, ces informations ont fait l’objet d’une information complémentaire sur le site gouvernemental ‘impots.gouv.fr’, d’accès public. Au vu de ce qui précède, il était donc inexact d’indiquer que les informations ont été rappelées aux personnes concernées de manière incomplète. Dès lors, les informations extraites des fichiers FICOBA, SIR et A étaient parfaitement licites et ne pouvaient entraîner l’annulation de la procédure. Télécharger la décision

Q/R juridiques soulevées :

Quelles sont les bases légales pour la collecte de données par l’administration fiscale ?

L’administration fiscale peut collecter des données personnelles à partir de comptes de réseaux sociaux, comme le confirme la Cour de cassation. Cette collecte est légale tant qu’elle respecte les dispositions de la loi n° 78-17 du 6 janvier 1978, qui autorise l’utilisation d’informations diffusées par des systèmes informatiques.

L’article 154 de la loi de finances pour 2020, pris en urgence après avis de la CNIL, permet à l’administration fiscale de collecter des données accessibles publiquement sur des plateformes en ligne. Cette collecte doit être effectuée sans reconnaissance faciale et est limitée à des agents habilités.

Les données collectées doivent être strictement nécessaires à la constatation des manquements fiscaux et sont conservées pour une durée maximale d’un an, sauf si elles sont utilisées dans le cadre d’une procédure légale, où elles peuvent être conservées plus longtemps.

Quelles sont les conditions de conservation des données collectées ?

Les données collectées par l’administration fiscale doivent être conservées pour une période maximale d’un an, sauf si elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière. Dans ce cas, la conservation peut se prolonger jusqu’à la fin de la procédure.

Les autres données, qui ne sont pas nécessaires à la constatation des infractions, doivent être détruites dans un délai maximum de trente jours après leur collecte. Cela garantit que seules les informations pertinentes et nécessaires sont conservées, respectant ainsi les droits des individus.

Il est également important de noter que les données à caractère personnel ne peuvent pas être traitées par un sous-traitant, sauf pour la conception des outils de traitement. Cela renforce la sécurité et la confidentialité des données collectées.

Quelles sont les obligations d’information de l’administration fiscale ?

L’article 13 du RGPD impose à l’administration fiscale de fournir des informations claires aux personnes concernées lors de la collecte de données. Cela inclut l’identité du responsable du traitement, les finalités de la collecte, la durée de conservation des données, et les droits des individus, tels que le droit d’accès et de rectification.

Cependant, le droit à l’oubli, prévu par l’article 17 du RGPD, ne s’applique pas dans le cadre des traitements effectués par l’administration fiscale. Cela est dû à la nécessité de respecter des obligations légales et d’exécuter des missions d’intérêt public, telles que le recouvrement et le contrôle de l’impôt.

Ainsi, l’administration fiscale est légalement contrainte de ne pas répondre aux demandes de droit à l’oubli, car elle agit dans le cadre de ses missions régaliennes, qui sont essentielles pour le bon fonctionnement de l’État.

Quelles sont les implications de l’analyse d’impact sur la protection des données ?

Selon l’article 90 de la loi du 6 janvier 1978, une analyse d’impact est requise si le traitement des données présente un risque élevé pour les droits et libertés des personnes. Cela est particulièrement pertinent pour les données sensibles, telles que celles concernant l’origine raciale ou les opinions politiques.

Cependant, l’administration fiscale n’a pas collecté de données sensibles au sens de l’article 6 de la loi. De plus, aucune évaluation systématique et approfondie d’informations personnelles n’a été réalisée, ce qui signifie qu’aucune analyse d’impact n’était nécessaire pour le traitement effectué.

Les critères définis par le RGPD pour déterminer la nécessité d’une analyse d’impact n’étaient pas remplis dans ce cas. Par conséquent, l’administration fiscale a agi dans le cadre de la légalité sans avoir à mener une analyse d’impact.

Comment sont régulés les fichiers FICOBA, SIR et A ?

Les fichiers FICOBA, SIR et A sont régulés par des arrêtés spécifiques qui définissent les informations qu’ils contiennent. Le fichier A est régi par l’arrêté du 5 avril 2002, le fichier FICOBA par l’arrêté du 14 juin 1982, et le fichier SIR par l’arrêté du 28 avril 1987.

Ces fichiers contiennent des informations qui sont accessibles au public via le site gouvernemental ‘impots.gouv.fr’. Cela signifie que les données extraites de ces fichiers sont considérées comme licites et ne peuvent pas entraîner l’annulation de la procédure fiscale.

Il est donc inexact de dire que les informations n’ont pas été correctement communiquées aux personnes concernées. Les règles de transparence et d’accès à l’information sont respectées, garantissant ainsi la légalité des traitements effectués par l’administration fiscale.