Délibération 2019-114 du 12 septembre 2019

Commission Nationale de l’Informatique et des Libertés

  • Nature de la délibération : Avis
  • Etat juridique : En vigueur
  • Date de publication sur Légifrance : Jeudi 03 octobre 2019
Délibération n° 2019-114 du 12 septembre 2019 portant avis sur le projet d’article 9 du projet de loi de finances pour 2020

(demande d’avis n° 19015685)

La Commission nationale de l'informatique et des libertés,

Saisie d’une demande d’avis relative au projet d’article 9 du projet de loi de finances pour 2020 ;

Vu la charte des droits fondamentaux de l’Union européenne, notamment ses articles 7 et 8 ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;

Vu le code de la consommation, notamment son article L. 111-7 ;

Vu le code général des impôts ;

Vu le code des douanes ;

Vu le livre des procédures fiscales, notamment son article L. 103 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-4°-a) ;

Vu la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, notamment son article 22 ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu M. Philippe-Pierre CABOURDIN, commissaire en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Émet l’avis suivant :

La Commission a été saisie en urgence, le 28 août 2019, d’un article du projet de loi de finances pour 2020 (article 9), sur le fondement de l’article 8-I-4°-a) de la loi n° 78- 17 du 6 janvier 1978 modifiée. En application de l’article 22 de la loi n° 2017-55 du 20 janvier 2017 portant statut général des autorités administratives indépendantes et des autorités publiques indépendantes, cet avis sera rendu public.

Ce projet d’article prévoit la possibilité pour l’administration fiscale ainsi que pour l’administration des douanes et des droits indirects, de manière expérimentale et pour une durée de trois ans, de collecter et d’exploiter au moyen de traitements informatisés, les contenus librement accessibles publiés sur internet par les utilisateurs des opérateurs de plateformes en ligne mentionnées à l’article L. 111-7-I-2° du code de la consommation.

La Commission relève qu’il s’agit, de manière générale, de permettre aux administrations fiscales et douanières d’exploiter les données rendues publiques sur les réseaux sociaux ainsi que sur les plateformes de mise en relation par voie électronique afin de permettre la recherche d’infractions relatives aux manquements fiscaux et douaniers considérés comme les plus graves par ces administrations. Elle relève d’emblée que la mise en œuvre de ce type de traitement, d’un genre nouveau par rapport à ce dont la Commission a eu à connaître jusqu’à présent, témoigne d’un changement d’échelle significatif dans le cadre des prérogatives confiées à ces administrations pour l’exercice de leurs missions.

La mise en œuvre d’un tel dispositif traduit également une forme de renversement des méthodes de travail des administrations visées ainsi que des traitements auxquels elles ont recours pour lutter contre la fraude. Elle repose en effet sur une collecte générale préalable de données relatives à l’ensemble des personnes rendant accessibles des contenus sur les plateformes en ligne visées, en vue de cibler des actions ultérieures de contrôle lorsque le traitement de ces données aura fait apparaître un doute, et non sur une logique de traitement ciblé de telles données lorsqu’un doute ou des suspicions de commission d’une infraction préexistent.

Elle considère à ce titre qu’il y a lieu, par principe, de faire preuve d’une grande prudence quant au développement de traitements informatisés permettant de collecter les contenus librement accessibles et publiés sur internet, qui pose des questions inédites en matière de protection de données à caractère personnel.

La Commission souligne qu’il revient au législateur d’apprécier l’opportunité d’un tel dispositif et, le cas échéant, d’en fixer les règles au regard des garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Elle précise à cet égard qu’elle entend faire un examen circonstancié du présent dispositif sans que cela ne préjuge d’une part, de son analyse quant à la possibilité de recourir à des traitements de cette nature dans le contexte d’autres politiques publiques et pour d’autres finalités que celles mentionnées à l’article 9 du projet de loi ni, d’autre part, de son appréciation du respect des principes relatifs à la protection des données à caractère personnel s’agissant des conditions de mise en œuvre effectives des traitements dans d’autres hypothèses.

En tout état de cause, elle regrette vivement d’avoir à se prononcer dans des conditions d’urgence sur la mise en œuvre de tels traitements compte tenu des enjeux associés à la collecte massive de données sur les plateformes en ligne et les impacts substantiels s’agissant de la vie privée des personnes concernées qui en résultent.

Sur le principe posé à l’article 9 du projet de loi de finances pour 2020

De manière générale, la Commission rappelle que la seule circonstance que les données soient accessibles sur internet, et que les personnes aient éventuellement conscience qu’un potentiel risque d’aspiration de leurs données existe, ne suffit pas pour que les administrations qui souhaitent les exploiter soient exonérées de l’obligation de collecter ces données de manière loyale et licite. A ce titre, elle sera particulièrement vigilante quant aux modalités d’information des personnes concernées.

Elle souligne également que la création volontaire de profils sur les plateformes en ligne n’emporte pas, par principe, la possibilité de leur aspiration ainsi que de leur rediffusion sur d’autres supports non maîtrisés par les personnes concernées. En effet, si les personnes décident de leur plein gré de rendre publiques un certain nombre d’informations sur les plateformes de leur choix, celles-ci ont nécessairement le contrôle de leurs profils et peuvent à tout moment rectifier ou supprimer leurs données.

Si la lutte contre la fraude fiscale constitue un objectif à valeur constitutionnelle et sans remettre en cause la nécessité opérationnelle de développer des mécanismes performants en ce sens, la Commission considère que les traitements projetés sont, par nature, susceptibles de porter atteinte aux droits et libertés des personnes concernées. Elle relève en effet que la mise en œuvre de tels traitements interviendra de facto, bien au-delà du périmètre des données susceptibles d’avoir une incidence en matière fiscale et douanière, dans le champ des libertés publiques des citoyens en étant susceptible de porter atteinte, par exemple, à leur liberté d’opinion et d’expression. La Commission observe ainsi que la collecte de l’ensemble des contenus librement accessibles publiés sur internet est susceptible de modifier, de manière significative, le comportement des internautes qui pourraient alors ne plus être en mesure de s’exprimer librement sur les réseaux et plateformes visés et, par voie de conséquence, de rétroagir sur l’exercice de leurs libertés.

Elle considère en outre qu’au regard de l’ampleur du dispositif projeté, tant au niveau du nombre de personnes concernées que du volume de données collectées, qu’une atteinte particulièrement importante au droit au respect de la vie privée et à la protection des données à caractère personnel est susceptible d’être caractérisée. La Commission rappelle qu’une telle atteinte ne saurait être admise que si elle apparaît strictement nécessaire et proportionnée au but poursuivi et qu'elle présente des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données personnelles.

A cet égard, la Commission estime que l’un des enjeux majeurs associé à la collecte de contenus librement accessibles publiés sur internet, reposera sur la nécessité de pouvoir garantir la stricte proportionnalité des données collectées au regard de la finalité poursuivie par le traitement mis en œuvre ainsi que du dispositif dans son ensemble, sans qu’à ce stade, celle-ci ne soit assurée.

La Commission relève que le projet de loi fait référence à son article 9 aux contenus, librement accessibles, publiés sur internet . Elle observe qu’internet est un réseau qui permet le fonctionnement d’un certain nombre de services dont notamment le web, permettant la consultation au travers d’un navigateur de sites offrant des services variés. La Commission interprète donc la référence aux contenus publiés sur internet comme visant les contenus publiés sur le web.

Elle relève également la nécessité d’avoir une compréhension claire de la notion de contenus librement accessibles publiés sur internet visée par le projet d’article dans la mesure où, en pratique, cette notion pourra renvoyer à des réalités différentes selon la politique de confidentialité de la plateforme en ligne concernée. La Commission considère par ailleurs que cette notion conduit à exclure, par exemple, la collecte de données au moyen d’identités d’emprunts ou par des comptes spécialement créés par l’administration à cet effet.

Si le principe d’une telle collecte était fixé par le législateur, la Commission rappelle que des mesures juridiques et techniques adaptées doivent être prévues afin d'assurer un haut niveau de protection des données. A ce titre, si la Commission relève que le projet d’article qui lui est soumis précise que les modalités d’application du présent article sont fixées par décret en Conseil d’Etat , elle rappelle la nécessité de la saisir, conformément aux dispositions de la loi du 6 janvier 1978 modifiée et dans des conditions lui permettant effectivement de rendre un avis éclairé, du décret d’application qui sera nécessaire à la mise en œuvre effective des traitements permettant la collecte et l’exploitation des données à caractère personnel mentionnées au projet d’article 9.

Sans préjudice des réserves générales formulées sur le développement de ce type de traitement, la Commission, qui considère que l’ampleur du dispositif, la nature des données traitées, ainsi que la volonté d’automatiser la détection de la fraude sont de nature à accroître les risques en termes d’atteinte à la vie privée des personnes concernées, estime qu’une analyse d’impact relative à la protection des données à caractère personnel (AIPD) devra être réalisée et transmise, dans les conditions prévues par la réglementation applicable. Elle rappelle dès à présent qu’il conviendra de faire preuve d’une vigilance particulièrement importante s’agissant des mesures de sécurité et de confidentialité mises en œuvre afin de pallier au maximum la survenance de risques liés à une violation de données.

En tout état de cause, la Commission, au demeurant réservée quant à l’efficience ainsi qu’à la faisabilité technique d’un tel dispositif, rappelle que le recours à titre expérimental à des traitements informatisés, qui reposent sur la collecte massive de données publiées sur les plateformes, doit s’accompagner de garanties fortes prévues par le législateur, et devra faire l’objet d’une évaluation rigoureuse, à la hauteur des enjeux soulevés par ce type de dispositif, en particulier si une pérennisation était envisagée. La conformité aux textes supérieurs d’un dispositif pérenne appellerait nécessairement un nouvel examen, au vu des résultats de cette évaluation.

Ces éléments généraux rappelés, la Commission entend formuler les observations suivantes.

Sur la durée de l’expérimentation et la nature des fraudes concernées

Le projet d’article 9 prévoit que la collecte et l’exploitation des contenus librement accessibles publiés sur internet pourront être réalisés à titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des infractions mentionnées aux b et c du 1 de l'article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du code des douanes .

Sans se prononcer sur les raisons ayant conduit le ministère à retenir une telle durée ainsi que le périmètre d’infractions précité, la Commission regrette de ne pas avoir eu communication des éléments permettant d’en justifier et ainsi lui permettre d’appréhender le dispositif dans sa globalité. A ce titre, si la durée de l’expérimentation ne lui semble pas, par principe, disproportionnée, au regard notamment des développements techniques à effectuer, la Commission est plus réservée sur le périmètre de certaines des infractions visées.

En particulier, la Commission s’interroge, compte tenu de la finalité affichée du dispositif ( pour les besoins de la recherche des infractions (… )), sur la pertinence de viser les contribuables ayant d’ores et déjà reçu une mise en demeure de l’administration fiscale pour défaut de production d’éléments sur le fondement de l’article 1728-1)-b) du code général des impôts (CGI) dans la mesure où, dans cette hypothèse, l’infraction aura déjà été caractérisée. Elle prend au demeurant acte que les traitements envisagés visent à cibler une population, selon le Gouvernement, inconnue de l’administration fiscale, à l’égard de laquelle aucune procédure n’est en cours.

De la même manière, si certaines des infractions visées au projet d’article 9 semblent correspondre à des manquements fiscaux considérés comme graves par l’administration en tant qu’ils sont passibles d’une majoration importante, elle s’interroge sur la pertinence de recourir à un tel dispositif pour les infractions visées à l’article 1791 du CGI dans la mesure où cet article encadre l’ensemble des violations du régime fiscal des contributions indirectes indépendamment d’un niveau particulier de gravité.

Sans remettre en cause les justifications apportées par le ministère selon lesquelles exclure ces infractions conduirait à écarter du périmètre de la mesure la recherche de comportements intentionnels ou frauduleux qui ne sont pas couverts par des articles d’incrimination et de sanctions spécifiques , elle considère que la légitimité de recourir à un tel dispositif pour l’ensemble des infractions visées à l’article 1791 du CGI, n’apparait pas à ce stade démontrée. Elle considère, en tout état de cause, que le recours à l’ensemble du périmètre de ces infractions devra être précisé dans le décret d’application du projet d’article.

Enfin, en ce qui concerne l’administration douanière, la Commission estime que la mise en œuvre d’une telle collecte, particulièrement intrusive, conduisant à la collecte d’un nombre très important de données, n’apparait pas à ce stade précisément justifiée pour les infractions portant sur des contraventions de deuxième et troisième classe (articles 411 et 412 du code des douanes). Elle prend toutefois acte des précisions apportées par le ministère selon lesquelles ces articles, bien que visant des infractions contraventionnelles, prévoient des sanctions d’un niveau élevé.

Sur les opérateurs de plateformes visés et la nature des traitements envisagés

En premier lieu, le projet d’article 9 prévoit que sont collectés les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateformes en ligne mentionnés au 2° du I de l’article L. 111-7 du code de la consommation .

Si la rédaction projetée témoigne notamment de l’évolution des méthodes de travail de l’administration fiscale telle qu’elle a pu être encouragée depuis 2012 par les pouvoirs publics au soutien d’une finalité légitime, la Commission s’interroge sur certaines modalités qui permettront cette collecte ainsi que les contenus précisément visés, ce qui appelle de sa part les observations suivantes.

Elle relève que sont visées les plateformes en ligne pouvant permettre la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service.

La Commission observe que le champ des plateformes concernées par le projet d’article est particulièrement étendu. Au regard du caractère par nature intrusif du dispositif projeté et des risques de surveillance des personnes qu’il engendre, la Commission s’interroge, en l’état des justifications fournies et dès le stade d’une expérimentation, sur la nécessité de viser l’ensemble des plateformes mentionnées à l’article L. 111-7-I-2° du code de la consommation.

En tout état de cause, elle rappelle qu’une vigilance particulière s’impose s’agissant des méthodes d’investigations qui seront mises en œuvre à partir des informations recueillies sur ces plateformes. Sur ce point, la Commission estime indispensable, comme pour tous les traitements autorisés à finalité de lutte contre la fraude, que la mise en œuvre des traitements projetés ne conduise pas à la programmation de contrôles automatiques mais ne soit qu’un indicateur permettant de mieux guider les enquêteurs dans l’exercice de leurs missions. Elle prend acte de l’engagement du ministère de ne procéder à aucun contrôle automatique à partir des traitements mis en œuvre.

En deuxième lieu, le projet d’article 9 prévoit la collecte de contenus librement accessibles publiés sur internet au moyen de traitements informatisés . La Commission observe que la terminologie employée est susceptible de couvrir tant les opérations manuelles à partir de moyens informatisés que les traitements automatisés algorithmiques, s’inscrivant le cas échéant dans une logique d’auto-apprentissage.

Elle relève que le recours à cette dernière catégorie de traitements informatisés (algorithmes de type auto-apprenants ) soulève des enjeux particuliers du point de vue de la protection des données dans la mesure où leur mise en œuvre reposera, au cours de l’expérimentation, sur une phase d’apprentissage qui conduira à collecter un volume important de données afin d’identifier les indicateurs caractérisant la fraude recherchée avant de rechercher, à partir de ces indicateurs, les données correspondant aux comportements préalablement identifiés (phase de production ) et, le cas échéant, les transmettre aux agents des services des administrations concernées.

La Commission observe que la nécessaire mise en œuvre en deux temps de ce type de traitements conduit à formuler une réserve de principe quant à la possibilité pour les administrations visées de déterminer les modalités précises de conception et de mise en œuvre des algorithmes auxquels il pourrait être recourus et ainsi, les caractéristiques principales des traitements qui seraient mis en œuvre. Elle sera particulièrement attentive, à cet égard, à la précision des textes réglementaires qui seront pris pour l’application du projet d’article.

Dans ces conditions, elle estime, outre les précisions qui pourraient être apportées sur les catégories de traitements visés, que le projet d’article devrait prévoir la transmission d’un bilan intermédiaire à l’issue de la phase d’apprentissage , lequel lui serait transmis ainsi qu’au Parlement.

Sur la nature des données collectées

La Commission relève qu’il résulte des caractéristiques des traitements pouvant être mis en œuvre conformément au projet d’article, que ces derniers sont susceptibles de permettre la collecte et le traitement de données non pertinentes au regard des finalités poursuivies, en particulier s’ils devaient être mis en œuvre au moyen d’algorithmes auto-apprenants par exemple (voir supra, § 30 à 32).

Bien que la Commission aura à connaitre des conditions précises de mise en œuvre des traitements projetés dans le cadre de l’examen du décret d’application de cette disposition, elle rappelle d’ores-et-déjà la nécessité de mener une réflexion approfondie, en amont de la mise en œuvre de ces traitements, sur les moyens mis en œuvre afin de s’assurer du respect des principes de minimisation des données et de privacy by design .

A ce stade, la Commission relève que le projet d’article ne contient aucune précision sur la personne ayant publié les données collectées (un individu en particulier ou les tiers pouvant être amenés à émettre des commentaires sur cette dernière) ou sur la nature de ces données dès lors qu’elles figurent dans des contenus librement accessibles et publiés sur internet.

Elle estime que la collecte indifférenciée de ces données soulève des difficultés particulières en termes de proportionnalité du dispositif, a fortiori s’il s’agit de données sensibles. La Commission considère ainsi que seules les données publiées par les personnes inscrites sur les plateformes visées et les concernant devraient être collectées, et que des garanties visant à limiter l’enregistrement des données sensibles, dont la collecte est par principe interdite, à ce qui est strictement nécessaire aux finalités poursuivies par des dispositifs de cette nature doivent impérativement être mises en œuvre.

A défaut de procédés techniques permettant d’opérer une distinction quant à la nature des données collectées, permettant ainsi de garantir le respect du principe de minimisation, la Commission souligne a minima l’impérieuse nécessité d’envisager et de mettre en œuvre des mesures permettant, à l’issue de leur collecte, de procéder à la suppression immédiate des données considérées comme non pertinentes.

Enfin, la Commission considère que certaines catégories de données sont susceptibles de soulever des problématiques particulières comme par exemple, les photographies. Dans ce contexte, si elle prend acte de ce qu’aucun traitement visant à mettre en œuvre des dispositifs de reconnaissance faciale ne sera mis en œuvre, elle demande que soit expressément exclue la possibilité d’y recourir. La Commission considère en effet que la mise en œuvre de tels dispositifs serait de nature à porter une atteinte disproportionnée aux droits des personnes concernées au regard des objectifs poursuivis par ces traitements.

Sur la durée de conservation des données

Le projet d’article prévoit que ces données sont détruites au plus tard à l’issue d’un délai d’un an à compter de leur collecte .

Sans remettre en cause, par principe, la durée ainsi retenue, la Commission regrette de ne pas avoir disposé d’éléments lui permettant d’apprécier de la pertinence et de la nécessité de conserver les données enregistrées dans le traitement pour une telle durée.

Compte tenu du volume important de données susceptibles d’être collectées et plus particulièrement, d’informations se révélant potentiellement non nécessaires aux finalités poursuivies par le traitement, elle demande que les données considérées comme non pertinentes soient supprimées immédiatement à l’issue de leur collecte et que la durée de conservation soit significativement réduite sauf à démontrer la nécessité d’une conservation d’un an.

Sur le bilan transmis

Le projet d’article 9 prévoit que l’expérimentation fait l’objet d’une évaluation dont les résultats sont transmis au Parlement au plus tard six mois avant son terme .

Si la Commission ne peut que rappeler la nécessité de réaliser un tel bilan, elle considère qu’il devrait également lui être transmis. Au regard des enjeux attachés à la mise en œuvre de ce type de dispositif, elle estime que le principe d’une telle transmission devrait être expressément prévu par le législateur, comme pour sa demande d’un bilan intermédiaire à l’issue de la phase d’apprentissage (voir supra, § 33) et demande par conséquent que le projet d’article 9 soit modifié en ce sens.

La Commission entend par ailleurs d’ores-et-déjà rappeler l’importance qui devra être accordée à la réalisation de ces bilans, lesquels devront – au regard de l’économie générale du dispositif projeté qui reposera sur une exploitation de données au moyen de traitements informatisés – comporter a minima :

  • une description des conditions de mise en œuvre techniques et opérationnelles des traitements créés sur ce fondement ;
  • la liste précise des catégories de données, des indicateurs et des informations utilisés ;
  • la liste exhaustive des sites/sources internet sur lesquels les données auront été collectées ;
  • le détail des algorithmes éventuellement implémentés, de leur paramétrage et de leur fonctionnement ;
  • les résultats quantifiés obtenus, comprenant notamment les recettes estimées et les couts engendrés résultant du dispositif mis en œuvre ;
  • une description du protocole d’évaluation mis en œuvre pour l’appréciation de la qualité de la méthode ;
  • des éléments chiffrés sur l’exercice des droits ;
  • les mesures de sécurité mises en place afin d’assurer la confidentialité et l’intégrité des données collectées ;
  • des éléments de conclusion généraux relatifs au fonctionnement des traitements, aux éventuelles difficultés rencontrées, aussi bien éthiques, juridiques et techniques.

La Présidente

M-L. DENIS

Retourner en haut de la page