Le projet de loi de finances 2020 prévoit la mise en place par les autorités fiscales et les douanes d'un vaste dispositif de collecte automatisée de données publiées sur internet et les réseaux sociaux. L'objectif ? Mettre en évidence les disparités entre ce qui est déclaré au fisc et ce qui est affiché sur la Toile par les internautes.
Internet a grandement facilité les fraudes fiscales et les activités économiques non déclarées. Les autorités ont pris conscience de ce constat et souhaitent siffler la fin de la récréation. Dans le viseur du fisc, les internautes qui multiplient sur les réseaux sociaux les publications qui ne sont pas en adéquation avec leur déclaration de revenus. En novembre 2018 déjà, Gérald Darmanin, le ministre de l'Action et des Comptes publics, prévenait les contribuables adeptes du selfie lors d'une interview au magazine Capital (M6) : « si vous vous faites prendre en photo, de nombreuses fois, avec une voiture de luxe alors que vous n'avez pas les moyens pour le faire. Peut-être que votre cousin ou votre copine vous l'a prêtée, ou peut-être pas ». L'article 57 du projet de loi de finances pour 2020 passe à la vitesse supérieure.
Collecte massive
Le texte prévoit en effet la mise en place d'une expérimentation, sur trois ans, d'une collecte automatisée et massive des données disponibles sur la Toile. Ces enquêtes, portant le sigle CFVR pour Ciblage de la fraude et valorisation des requêtes, s'attacheront à traquer les messages postés publiquement (textes, photos, vidéos) sur Facebook, Instagram, Twitter, etc., ainsi que les petites annonces publiées sur des plateformes comme Leboncoin ou eBay, puis de les comparer avec les données transmises par les contribuables aux autorités fiscales. En cas d'inadéquation, une procédure de contrôle sera lancée. La reconnaissance faciale est, pour le moment, exclue du texte. « Pour améliorer la détection de la fraude et le ciblage des contrôles, l'administration s'appuie de plus en plus sur l'exploitation des données par des techniques innovantes de '' datamining '', qui ont d'ores et déjà prouvé leur intérêt », confirme le ministère de l'Économie et des Finances sur son site. « Ces traitements sont aujourd'hui limités aux données déclarées à l'administration et ne s'étendent pas aux données ouvertes, notamment celles des réseaux sociaux. Celles-ci pourraient pourtant permettre, par exemple, d'établir l'existence d'une activité non déclarée sur internet, ou constituer un indice de résidence fiscale. Bien qu'il s'agisse de données librement publiées par les utilisateurs, leur exploitation implique un traitement de données à caractère personnel qu'il est proposé d'encadrer par une disposition spécifique, assortie de garanties, et limitée à la recherche des manquements les plus graves. Cette possibilité serait ouverte à titre expérimental, pour une durée de trois ans ».
Respect de la vie privée
Cette annonce inquiète les défenseurs de la vie privée qui voient dans le dispositif une atteinte liberticide. Il faut dire que la moindre photo de vacances publiée sur Facebook pourra être retenue contre un contribuable et servir d'élément déclencheur à un redressement. La Commission nationale de l'informatique et des libertés (Cnil) sera sollicitée pour encadrer la mesure. Six mois avant la fin de son expérimentation, l'autorité rendra public un rapport chargé d'évaluer « si l'amélioration de la détection des fraudes est proportionnée à l'atteinte portée au respect de la vie privée ». Le 12 septembre dernier, la Cnil rendait déjà un premier avis sur le futur dispositif et appelait le gouvernement à « la plus grande prudence ». La commission estime que « la collecte de l'ensemble des contenus librement accessibles publiés sur internet est susceptible de modifier, de manière significative, le comportement des internautes qui pourraient alors ne plus être en mesure de s'exprimer librement sur les réseaux et les plateformes visés et, par voie de conséquence, de rétroagir sur l'exercice de leurs libertés ». Face à la levée de boucliers, le fisc annonce qu'il ne recherchera que les manquements les plus graves et que les données seront détruites au bout de 30 jours si rien de suspect n'a été découvert. Les autorités marchent sur un fil.