La loi de finances pour 2020 a été promulguée le 28 décembre 2019. Le nouveau dispositif de surveillance des administrés sur internet, consacré à l’article 57 du projet de loi, a fait l’objet d’un vif débat, et de nombreux amendements parlementaires. Le Conseil constitutionnel a finalement validé l’essentiel de l’article de loi qui consacre ce dispositif dans sa décision du 27 décembre 2019.
L’article 154 de la loi de finances pour 2020 autorise ainsi, à titre expérimental, la direction générale des finances publiques (DGFiP) et la direction générale des douanes et des droits indirects (DGDDI) à collecter et exploiter, au moyen de traitements automatisés et informatisés, les informations publiées par les utilisateurs de plateforme en ligne, afin de rechercher d’éventuelles infractions au code général des impôts ainsi qu’au code des douanes. Cette expérimentation est autorisée pour une durée de trois ans.
Un dispositif conforme à la Constitution selon le Conseil constitutionnel
Le Conseil constitutionnel a validé presque intégralement les dispositions de la loi de finances pour 2020 consacrant le nouveau dispositif de surveillance.
En premier lieu, le Conseil réfute la qualification de « cavalier budgétaire » attribuée à l’article 57 du projet de loi de finances pour 2020. Il argumente sa décision en qualifiant le dispositif déféré de « nouveau dispositif de recouvrement de l’impôt » qui « a donc sa place dans une loi de finances ».
Le Conseil constitutionnel poursuit en expliquant que l’encadrement apporté au dispositif à travers les amendements parlementaires adoptés est suffisant : « le législateur a, compte tenu de l’ensemble des conditions énoncées aux paragraphes précédents, assorti le dispositif critiqué de garanties propres à assurer, entre le droit au respect de la vie privée et l’objectif de valeur constitutionnelle de lutte contre la fraude et l’évasion fiscales, une conciliation qui n’est pas déséquilibrée. Il en résulte également que l’atteinte à l’exercice de la liberté d’expression et de communication est nécessaire, adaptée et proportionnée aux objectifs poursuivis. ». Le Conseil qualifie ainsi le dispositif de « nécessaire et proportionné », compte tenu de l’objectif de lutte contre la fraude, et malgré les atteintes aux libertés individuelles. Il rappelle à cet égard l’interdiction du recours à la reconnaissance faciale, l’interdiction d’exploitation de données à caractère sensibles et les conditions de durées de conservation de données qui encadrent le dispositif.
Sur le fond, le Conseil a donc jugé l’expérimentation conforme à la Constitution, à l’exception des dispositions qui autorisent la collecte et l’exploitation automatisées de données pour la recherche du manquement sanctionnant d’une majoration de 40 % le défaut ou le retard de production d’une déclaration fiscale dans les trente jours suivant la réception d’une mise en demeure. Le Conseil estime que, dans ce cas, l’administration ayant déjà connaissance d’une infraction à la loi fiscale puisque le contribuable a été préalablement mis en demeure, la recherche du manquement n’apparait plus comme proportionnée au but poursuivi.
Le champ d’application du dispositif consacré
Dans sa décision, le Conseil constitutionnel soutient que les contenus collectés et exploités « doivent être manifestement rendus publics par les utilisateurs de ces sites. […] Il en résulte que ne peuvent être collectés et exploités que les contenus se rapportant à la personne qui les a, délibérément, divulgués ».
Le texte de l’article 154 de la loi de finances pour 2020 précise effectivement que les dispositions consacrées s’appliquent aux contenus « manifestement rendus publics par leurs utilisateurs ». Cependant, la mention « se rapportant à la personne qui les a, délibérément, divulgués » n’est pas expressément prévue par l’article. Un amendement qui proposait que « Seules peuvent être exploitées les données manifestement rendues publiques par la personne concernée et se rapportant à elle » a effectivement été déposé par le député Philippe Latombe, mais celui-ci a été rejeté. Un amendement similaire, visant à limiter la collecte et l’exploitation aux données « manifestement rendus publics par les utilisateurs », a cependant été adopté.
Lors du vote des amendements parlementaires le 13 novembre 2019, à l’occasion de l’élaboration de la loi de finances pour 2020, le député Phillipe Latombe expliquait que l’amendement qu’il a déposé « vise à indiquer que seules peuvent être exploitées les données mentionnées au premier alinéa manifestement rendues publiques par la personne concernée et se rapportant à elle. Il s’agit en effet de limiter le champ de collecte et d’utilisation des données sur la base de tags ou de commentaires qui ne sont pas publiés par les personnes concernées, mais par des tiers. […] sur le plan des libertés publiques et de la proportionnalité, il faut absolument pouvoir limiter le champ aux personnes concernées ».
La députée Emmanuelle Ménard avait ajouté être tout à fait d’accord avec M. Latombe : « autoriser la collecte d’informations venant de tiers soulève un vrai problème. C’est la porte ouverte aux règlements de comptes sur les réseaux sociaux et il est évident que des tiers, parfois tout à fait innocents, mais parfois pas du tout, exprimeront des commentaires qui pourront inciter l’administration fiscale à regarder avec plus d’attention les données concernant n’importe quel utilisateur qui n’aurait peut-être pas fait l’objet d’un contrôle sans ces commentaires provenant de tiers. C’est vraiment là une porte ouverte à la délation ».
Le rejet de cet amendement a tout de même été soutenu par le rapporteur général, Joël Giraud, qui explique que cet amendement « priverait le dispositif de beaucoup d’efficacité », assumant pleinement l’intention de collecter et exploiter des informations divulguées par des tiers : « quand on veut « truander » par le biais d’un réseau social, on utilise un tiers de confiance, qui envoie différentes informations pour promouvoir l’activité occulte de son commanditaire et qui ne sera pas concerné. L’adoption de votre amendement poserait donc un énorme problème. »
Le ministre de l’action et des comptes publics, Gérald Darmanin, a également défendu le droit de collecter et d’exploiter des données personnelles divulguées par des tiers : « Quelqu’un pourrait assurément remonter du lac de données et être confondu, par exemple, pour vente de tabac sur internet si ses amis les plus proches placent des commentaires destinés à attirer l’attention sur lui – car c’est là, je l’ai compris, votre crainte la plus absolue –, mais le vérificateur dispose de données variées, car les informations de l’administration fiscale ne se limitent pas au seul internet […] les indications fournies par les aviseurs sont vérifiées et le contrôle n’est déclenché que si ces informations sont sérieuses ». Le ministre voit en cet amendement un moyen de faire pression sur le gouvernement : « Je comprends aussi que vous tentez de faire en sorte que le Conseil constitutionnel, en se penchant sur nos débats, considère que l’article 57 ne serait pas constitutionnel – comme si le principe de la proportionnalité et des libertés individuelles était son seul critère ».
Alors que l’adoption de son amendement avait été rejetée, le député Phillipe Latombe avait soulevé la contradiction du raisonnement du gouvernement : « Comment peut-on utiliser des données fournies par des tiers sans autorisation de la personne mentionnée, alors qu’il est affirmé qu’on utilise des données manifestement rendues publiques ? Il y a là un véritable problème de libertés publiques et de libertés individuelles. Nous ne sommes donc pas ici dans le cadre de l’article 9 du RGPD ».
Pourtant, l’autre amendement, proposant de restreindre la collecte et l’exploitation seulement aux contenus « manifestement rendus publics par leurs utilisateurs » a été adopté de manière consensuelle. Il a reçu un « Avis bien sûr favorable » de la part du rapporteur général Joël Giraud, ainsi que de la part du Ministre Gérald Darmanin.
Le fait que seuls les contenus « manifestement rendues publics par les utilisateurs » sont concernés ne signifie donc pas que les informations issues de tiers ne seront pas collectées et exploitées par les administrations fiscales et douanières, selon le gouvernement lui-même.
Un dispositif expérimental à vocation pérenne
Dans sa décision, le Conseil constitutionnel rappelle qu’en vertu de l’article 34 de la Constitution, « il appartient au législateur d’assurer la conciliation entre l’objectif de valeur constitutionnelle de lutte contre la fraude et l’évasion fiscales et le droit au respect de la vie privée ». Il met ainsi en exergue la nécessité d’assurer la conciliation entre le respect de la vie privée et l’objectif de lutte contre la fraude fiscale. La collecte et l’exploitation de données à caractère personnel « doivent être justifiées par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif ».
A cet égard, le Conseil explique qu’il « appartiendra au législateur de tirer les conséquences de l’évaluation de ce dispositif et, en particulier, au regard des atteintes portées aux droits et libertés précités et du respect des garanties précitées, de tenir compte de son efficacité dans la lutte contre la fraude et l’évasion fiscales ». Il rappelle ainsi le caractère expérimental du dispositif : à l’issue d’un délai de trois ans, « la conformité à la Constitution de ce dispositif pourra alors de nouveau être examinée ». Pour permettre cette évaluation, l’article 154 de la loi de finances pour 2020 dispose qu’un « bilan définitif de l’expérimentation est transmis au Parlement ainsi qu’à la Commission nationale de l’informatique et des libertés au plus tard six mois avant son terme ».
La Commission Nationale de l’Informatique et des Libertés (CNIL), dans son avis en date du 12 septembre 2019, a souligné le caractère inédit de ce nouveau dispositif qui témoigne « d’un changement d’échelle significatif dans le cadre des prérogatives confiées à ces administrations pour l’exercice de leurs missions ». Elle explique également que ce type de traitement « présente des enjeux très particuliers du point de vue des libertés, compte tenu de l’impact du dispositif sur la vie privée et ses possibles effets sur la liberté d’expression en ligne ». Pour la CNIL, la mise en place de ce dispositif « est susceptible de modifier, de manière significative, le comportement des internautes qui pourraient alors ne plus être en mesure de s’exprimer librement sur les réseaux et plateformes visés ».
Saisie en urgence le 28 août 2019, la CNIL s’était exprimée sur son vif regret « d’avoir à se prononcer dans des conditions d’urgence sur la mise en œuvre de tels traitements compte tenu des enjeux associés à la collecte massive des données sur les plateformes en ligne et les impacts substantiels s’agissant de la vie privée des personnes qui en résultent ». La collecte et l’exploitation de données personnelles, en particulier lorsqu’elles sont traitées en masse, constituent en effet des enjeux considérables du point de vue des libertés fondamentales. Les principes de transparence et de loyauté fondent le socle juridique concernant le régime de protection des données personnelles en France et en Europe. Il convient donc d’éclaircir les problématiques juridico-techniques liées à ce nouveau dispositif de surveillance au service des administrations fiscales et douanières.
La CNIL a rappelé cette nécessité dans son avis : « Bien que la Commission aura à connaitre des conditions précises de mise en œuvre des traitements projetés dans le cadre de l’examen du décret d’application de cette disposition, elle rappelle d’ores-et-déjà la nécessité de mener une réflexion approfondie, en amont de la mise en œuvre de ces traitements, sur les moyens mis en œuvre afin de s’assurer du respect des principes de minimisation des données et de ²Privacy by design² ».
Les conditions de mise en œuvre de ce dispositif seront soumises pour avis à la CNIL puis au Conseil d’État avant le lancement de l’expérimentation. Un bilan sera dressé en 2021 puis en 2023 afin d’évaluer la proportionnalité et l’efficacité du dispositif en matière lutte contre la fraude fiscale, et d’apprécier s’il convient de pérenniser le dispositif.
Le 17 février 2020, le gouvernement a présenté le bilan 2019 de son action en matière de lutte contre la fraude fiscale. Près de 10 milliards d’euros auraient été encaissés par l’Etat en 2019, dont 9 milliards d’euros à la suite de contrôles fiscaux, soit 1,3 milliard de plus qu’en 2018. Près de 54 000 opérations de contrôle auraient été menées en 2019. Environ 22% de ces contrôles fiscaux auraient été ciblés grâce au datamining. Cette intelligence artificielle aurait permis de récupérer 785 millions d’euros en 2019, contre 324 millions d’euros en 2018 (+142%). L’objectif annoncé du gouvernement est d’atteindre 50% de contrôles recommandés par le datamining en 2022. Dans son rapport, le gouvernement inscrit le dispositif de l’article 154 de la loi de finances 2020 dans le cadre de cet objectif.
Aysegul Ceylan