La CNIL a rendu un avis réservé sur le Projet de Loi de Finances pour 2020 (PLF) qui prévoit une collecte de masse des données personnelles sur les réseaux sociaux (Twitter, Facebook, Instagram, etc.) et les plateformes d’e-commerce (Amazon, Le Bon Coin, Ebay, etc.) pour lutter contre les infractions douanières et fiscales.
Article 57 PLF 2020 :
(1) I. – A titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des infractions mentionnées aux b et c du 1 de l’article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du code des douanes, l’administration fiscale et l’administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n’utilisant aucun système de reconnaissance faciale les contenus, librement accessibles, publiés sur internet par les utilisateurs des opérateurs de plateforme en ligne mentionnés au 2° du I de l’article L. 111-7 du code de la consommation.
(2) Les traitements mentionnés au premier alinéa sont mis en œuvre par des agents spécialement habilités à cet effet par les administrations fiscale et douanière.
(3) Lorsqu’elles sont de nature à concourir à la constatation des infractions mentionnées au premier alinéa, les données collectées sont conservées pour une durée maximale d’un an à compter de leur collecte et sont détruites à l’issue de ce délai. Toutefois, lorsqu’elles sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu’au terme de la procédure.
(4) Les autres données sont détruites dans un délai maximum de trente jours à compter de leur collecte.
(5) Le droit d’accès aux informations collectées s’exerce auprès du service d’affectation des agents habilités à mettre en œuvre les traitements mentionnés au deuxième alinéa dans les conditions prévues par l’article 42 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
(6) Le droit d’opposition, prévu par l’article 38 de la même loi, ne s’applique pas aux traitements mentionnés au deuxième alinéa.
La collecte massive et préalable vise l’ensemble des personnes rendant accessibles des contenus sur les plateformes en ligne. Il n’y aura aucun contrôle automatique à partir des données collectées qui ne doivent servir que de faisceau d’indices. Les données collectées seront conservées durant un an si elles sont utiles ou jusqu’au terme de la procédure pénale, fiscale ou douanière ou, à défaut, supprimées au bout de 30 jours après avoir été collectées.
La CNIL rappelle l’obligation de collecter de manière loyale et licite, ce qui implique que les internautes disposent d’une information préalable. Elle s’interroge par ailleurs sur le caractère proportionnel du traitement de masse de contenus librement publiés en ligne, ce qui, selon elle, devrait exclure les données publiées sous pseudonymes. Enfin, elle soulève les risques de violations de la vie privée et les effets sur la liberté d’expression et de communication d’une telle collecte qui pourrait modifier de manière significative le comportement des internautes.
Ce dispositif complète la loi contre la fraude publiée au Journal officiel le 24 octobre 2018 et l’arrêté du 14 novembre 2017 conférant aux services fiscales et douaniers:
- de nombreux pouvoirs (gardes à vue, filatures, écoutes téléphoniques, perquisitions, etc.);
- un droit de communication des documents de toute nature relatifs aux opérations intéressant leur service chez les opérateurs de télécommunications, les hébergeurs et les FAI mais limité à la constatation des infractions les plus graves (contrebande de produits stupéfiants ou d’armes, délit de blanchiment douanier ou la violation d’un embargo financier, détention de comptes à l’étranger non déclarés, fausses factures, montages destinés à induire en erreur l’administration fiscale, etc.);
- le droit de croiser les données personnelles (data mining) issues de nombreux fichiers permettant de collecter un faisceau d’indices démontrant la domiciliation ou l’établissement en France d’une personne physique ou morale, une activité occulte ou permettant de reconstituer des recettes non déclarées. Pour améliorer la détection de la fraude et le ciblage des contrôles fiscaux, l’administration fiscale développe, depuis 2013, un traitement automatisé de données dénommé Ciblage de la Fraude et Valorisation des Requêtes (CFVR) consistant à appliquer des méthodes statistiques innovantes sur des informations en provenance de l’administration fiscale et d’autres administrations, de bases de données économiques payantes et de données en libre accès. Pour sa part, la direction générale des douanes et droits indirects a confié, en 2016, l’exploitation de son patrimoine de données dématérialisées à son Service d’Analyse de Risque et de Ciblage (SARC).
https://www.nextinpact.com/news/108248-collecte-masse-cnil-critique-megafichier-bercy.htm