Le data mining, la nouvelle arme des contrôles fiscaux

Dans sa lutte contre les fraudes, notamment en matière fiscale, l’administration a recours de plus en plus à l’extraction de connaissances à partir de données, connue sous le vocable anglais de « data mining ». Dans le prolongement du CFVR (pour « ciblage de la fraude et valorisation des requêtes ») mis en place en 2014, le fisc et les douanes vont désormais pouvoir investiguer et exploiter les données recueillies sur les réseaux sociaux et les plateformes en ligne de vente ou d’échanges de biens et de services. Menée sur 3 ans, l’expérimentation est toutefois encadrée et mise sous surveillance de la Cnil et du Conseil constitutionnel.

Afin de renforcer la lutte contre la fraude fiscale et douanière, les deux administrations de Bercy concernées sont autorisées depuis le 1er janvier 2020 et à titre expérimental à collecter et à exploiter au moyen de traitements informatisés et automatisés les contenus librement accessibles publiés sur Internet par les utilisateurs des réseaux sociaux et des plateformes en ligne de commerce et de fourniture de services afin de détecter les comportements frauduleux. Un décret, publié le 13 février 2021 au Journal officiel après avis de la Cnil, explicite les conditions d’application de la mesure prévue par la loi de finances pour 2020 et la rend désormais effective.

Remarque

Reste néanmoins à confirmer, compte tenu de la parution tardive du décret, à quel moment les 3 ans d’expérimentation ont commencé, le 1er janvier 2020 ou à la date de parution du décret…

Lors des débats parlementaires sur le projet de loi de finances pour 2020, le gouvernement avait justifié sa mesure en indiquant que le traitement de données envisagé devait permettre « d’une part de mieux lutter contre l’économie souterraine en facilitant la détection d’activités occultes, c’est-à-dire réalisées par l’intermédiaire d’entreprises non immatriculées et ne déclarant pas leurs revenus, ou sous couvert de sociétés en sommeil qui, bien qu’immatriculées, s’abstiennent de déposer leurs déclarations (…) et d’autre part, (…) de détecter plus facilement les fausses domiciliations à l’étranger de personnes physiques. »

Le nouveau dispositif vient en fait enrichir l’arsenal d’outils dont dispose l’administration fiscale pour détecter la fraude, notamment, depuis 2014, un traitement automatisé de données dénommé "ciblage de la fraude et valorisation des requêtes" (CFVR). Véritable outil de décloisonnement des données de l’administration, il exploite principalement les diverses bases existantes (déclarations fiscales, cadastre, etc.). Expérimental dans un premier temps et limité aux entreprises, le CFVR a par la suite été étendu aux particuliers, puis finalement pérennisé en 2019. Aujourd’hui, l’administration souhaite s’appuyer davantage sur les progrès de l’intelligence artificielle pour explorer les données publiées directement par les contribuables en vue d’améliorer le ciblage des contrôles fiscaux. Le traitement issu du CFVR servira de base aux premières prospections.

Exploitation des seuls contenus rendus publics

Les sites Internet que les agents de Bercy vont surveiller sont fixés par la loi et sont, pour beaucoup, bien connus de tous. Il s’agit des sites et plateformes proposant, « à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur (…) la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service". En clair, sont principalement visés les réseaux sociaux de type Facebook, Instagram, Twitter ou LinkedIn, les sites de vente en ligne type Leboncoin, Vinted, Ebay…, et les plates-formes d’échange de services (Blablacar, Airbnb, Allovoisins, Jwebi….).

Le champ de surveillance est néanmoins délimité aux contenus « librement accessibles » et « manifestement rendus publics » par les utilisateurs des plateformes. Tenant compte de la décision du Conseil constitutionnel du 27 décembre 2019 relative à la loi de finances pour 2020, le décret du 11 février précise que seuls les contenus se rapportant à la personne qui les a délibérément divulgués et dont l’accès ne nécessite ni saisie d’un mot de passe ni inscription sur le site en cause peuvent être collectés et exploités. En outre, la collecte des contenus au moyen d’identités d’emprunt ou de comptes spécialement utilisés par l’administration est prohibée, sous la seule réserve de la création de comptes pour l’utilisation d’interfaces de programmation (ou API) mises à disposition par les opérateurs de plateforme.

À noter cependant que lorsque la personne est titulaire sur internet d’une page personnelle permettant le dépôt de commentaires ou toute autre forme d’interactions avec des tiers, les commentaires et les interactions ne peuvent faire l’objet d’aucune exploitation.

Autre garde-fou important : la loi exclut, dans le cadre de cette veille à des fins de luttes contre la fraude fiscale, l’exploitation des données dites sensibles, c’est-à-dire celles qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne, les données génétiques et biométriques et celles concernant la santé et la vie ou l’orientation sexuelles.

Traque aux activités occultes et aux revenus dissimulés

La loi prévoit explicitement que les manquements et les infractions recherchés sont l’activité occulte et la fausse domiciliation à l’étranger en matière fiscale, la contrebande et la vente de produits contrefaits en matière douanière. Sur le plan fiscal, sont ainsi expressément visés :

  • le défaut ou le retard de production d’une déclaration en cas de découverte d’une activité occulte,
  • les inexactitudes ou omissions relevées dans une déclaration ou un acte comportant l’indication d’éléments à retenir pour l’assiette ou la liquidation de l’impôt ainsi que la restitution d’une créance de nature fiscale dont le versement a été indûment obtenu de l’État en cas de manquement délibéré, d’abus de droit ou de manœuvres frauduleuses ou de dissimulation d’une partie du prix stipulé dans un contrat dès lors que les inexactitudes ou omissions découlent d’un manquement aux règles de domiciliation fiscale.

Remarque

Le Conseil constitutionnel a censuré un des cas d’application initialement prévus. Ainsi n’est-il pas possible de recourir à ce dispositif en cas de défaut ou retard de production d’une déclaration fiscale dans les 30 jours suivant la réception d’une mise en demeure. « Dans une telle situation, l’administration, qui a mis en demeure le contribuable de produire sa déclaration, a déjà connaissance d’une infraction à la loi fiscale, sans avoir besoin de recourir au dispositif automatisé de collecte de données personnelles », a-t-il justifié. Dès lors, la mise en œuvre du dispositif en pareil cas aurait porté atteinte de façon disproportionnée au droit au respect de la vie privée et à la liberté d’expression et de communication.

Des modalités de collecte encadrées

À l’exception de la conception des outils de traitement des données, l’administration ne peut déléguer à un sous-traitant les opérations de collecte, de traitement et de conservation des données à caractère personnel. En matière fiscale, les traitements doivent être mis en œuvre par des agents qui ont au moins le grade de contrôleur, individuellement désignés et spécialement habilités par le directeur général des finances publiques.

Les traitements effectués par les agents font l’objet d’un contrôle interne. Afin d’assurer leur traçabilité, la réglementation prévoit la tenue d’un journal mémorisant les opérations de collecte, de modification, de consultation, de communication, d’interconnexion et d’effacement des données. Les informations de ces journaux sont conservées pendant un an. En outre, un ou plusieurs agents ayant au moins le grade d’inspecteur divisionnaire doivent s’assurer, chaque trimestre, que seuls les agents spécialement habilités consultent et réalisent les traitements. Ils s’assurent également, au moyen d’outils spécifiques développés en ce sens, que seules les données strictement nécessaires à la recherche des manquements et infractions visés par la loi sont collectées et traitées dans le respect des dispositions législatives et réglementaires.

Enfin, les informations recueillies permettant de considérer qu’une personne a pu commettre un des manquements ou infractions recherchés sont transmises de manière sécurisée et contrôlée à destination des seuls agents compétents en charge du contrôle. Les informations transmises se limitent aux renseignements strictement utiles à la mission de ces agents, lesquels précisent le cas échéant la personne physique ou morale visée, les infractions ou manquements détectés et le ou les indices de nature à concourir à leur constatation.

Pas de traitement automatisé du contrôle fiscal

Lorsque les traitements réalisés permettent d’établir qu’il existe des indices permettant de considérer qu’une personne a pu commettre un des manquements ou infractions recherchés, la loi pose le principe que les données collectées sont transmises au service compétent pour corroboration et enrichissement.

Par conséquent, les renseignements recueillis ne peuvent en aucun cas fonder directement un redressement. Ils peuvent être opposés au contribuable uniquement dans le cadre d’une procédure de contrôle (contrôle fiscal ou douanier). Il en résulte qu’aucune procédure pénale, fiscale ou douanière ne peut être engagée sans qu’ait été portée une appréciation individuelle de la situation de la personne par l’administration, qui ne peut alors se fonder exclusivement sur les résultats du traitement automatisé. Dès lors, les droits du contribuable inhérents au contrôle peuvent trouver à s’appliquer : le principe du contradictoire permettant au contribuable de prendre connaissance des documents obtenus de tiers et utilisés dans le cadre de la procédure de rectification, le droit de la défense, le droit au recours.

Droits d’accès et d’opposition

Comme c’est le cas pour l’ensemble des traitements de données personnelles, un droit d’accès aux informations collectées peut être exercé auprès du service dont dépendent les agents habilités. Les personnes peuvent obtenir du responsable du traitement la confirmation que des données à caractère personnel le concernant ne sont pas traitées. Elles peuvent également accéder auxdites données, connaître les finalités du traitement juridique, les catégories de données à caractère personnel concernées, leur durée de conservation, l’existence d’un droit de rectification ou d’effacement, etc.

Cependant, la loi prévoit expressément que le droit d’opposition ne s’applique pas aux traitements proprement dit. Il serait en effet contraire à l’objectif de lutte contre la fraude fiscale de permettre aux contribuables de s’opposer à la collecte d’informations les concernant.

La durée de conservation des données dépend de leur nature

Les données personnelles dites « sensibles » au sens de l’article 6 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (origine ethnique, opinions religieuses et politiques, etc.), ainsi que les autres données manifestement sans lien avec les infractions visées par la loi sont détruites au plus tard 5 jours après leur collecte. Lorsqu’elles sont de nature à concourir à la constatation des manquements et infractions visés par la loi, les données collectées strictement nécessaires sont conservées pour une période maximale d’un an à compter de leur collecte et sont détruites à l’issue de cette période. Toutefois, lorsqu’elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu’au terme de la procédure. Les autres données sont détruites dans un délai maximum de 30 jours à compter de leur collecte.

Une expérimentation sous haute surveillance

La loi de finances pour 2020 prévoit expressément l’expérimentation du dispositif pour une durée de 3 ans. Elle fera l’objet d’une analyse d’impact relative à la protection des données à caractère personnel dont les résultats seront transmis à la Cnil et d’une première évaluation dont les résultats seront transmis au Parlement au plus tard 18 mois avant son terme. Le bilan définitif sera transmis à la Cnil et au Parlement au plus tard 6 mois avant le terme prévu.

Dans sa décision rendue fin 2019, le Conseil constitutionnel s’est montré soucieux de l’évaluation qui sera apportée au dispositif, au regard, d’une part, des atteintes portées aux droits et libertés dénoncées par ses détracteurs et du respect des garanties mises en place pour les contrer et, d’autre part, de son efficacité dans la lutte contre la fraude et l’évasion fiscales. À la lumière de cette évaluation, le Conseil a indiqué que « la conformité à la Constitution de ce dispositif pourra alors de nouveau être examinée ».

Les phases de l’expérimentation

Selon les précisions apportées par le décret du 11 février 2021, l’expérimentation doit se dérouler en deux temps. Dans un premier temps, une phase d’apprentissage et de conception doit permettre à l’administration de se doter d’outils de collecte, de traitement et d’analyse des contenus auxquelles a accès, d’identifier des indicateurs de comportements susceptibles de révéler les infractions et manquements visés par la loi ainsi que des indicateurs de lieux géographiques, puis de procéder à la collecte et à la sélection des données pertinentes. Les indicateurs en question sont des mots-clés, des ratios ou encore des indications de dates et de lieux, caractérisant les manquements et les infractions recherchés. Ils seront déterminés par des algorithmes à partir d’échantillons de données.
 Pour la recherche d’activités occultes, les indicateurs seront identifiés à partir d’un échantillon d’entreprises constitué dans le cadre du CFVR et d’une recherche des contenus (écrits, images, photographies, sons, signaux ou vidéos) se rapportant à l’activité professionnelle de ces entreprises. Pour la recherche des manquements aux règles de la domiciliation fiscale, il s’agira de concevoir une technologie d’identification des personnes physiques à partir d’une liste issue également du traitement CFVR, permettant d’associer une personne à ses comptes détenus sur les plateformes en ligne, ainsi qu’une technologie d’identification des données de localisation géographique, afin d’identifier des indicateurs de lieux géographiques.

Le Conseil constitutionnel a indiqué qu’il appartiendra au pouvoir réglementaire, sous le contrôle du juge, de veiller à ce que les algorithmes utilisés permettent de collecter, d’exploiter et de conserver uniquement les données strictement nécessaires aux finalités du dispositif mis en place.

Le second temps, la phase d’exploitation, est constituée par l’analyse des données pertinentes collectées et sélectionnées, suivie éventuellement de leur transmission au service des impôts compétent.

© Copyright Editions Francis Lefebvre

Dossiers du mois

Afficher tous les contenus Afficher tous les contenus

Demande de contact