Dans son célèbre roman intitulé « 1984 », George Orwell décrit une société totalitaire dans sa conception la plus absolutiste, dans laquelle la vie privée des individus n’existe plus, donnant à l’État un droit de regard, au sens propre comme au figuré, sur ses administrés.
Le texte de l’article 57 du projet de loi de finances pour 2020 permet, toute proportion gardée, une certaine analogie avec cette société orwellienne où la surveillance permanente de l’État est intrinsèque.

En effet, l’Assemblée nationale a procédé, en première lecture, à l’adoption du projet de loi de finances pour 2020 dont l’article 57 permet à l’administration fiscale de collecter et d’exploiter les données publiques des utilisateurs de différentes plateformes en ligne pour contrôler d’éventuels manquements aux obligations fiscales, sans leur consentement.

Le dispositif initial prévoit d’autoriser, à titre expérimental et pour une durée de trois ans, la direction générale des finances publiques (DGFIP) et la direction générale des douanes et des droits indirects (DGDDI) à collecter en masse des données personnelles publiques rendues librement accessibles par les utilisateurs de certaines plateformes en ligne.
Le délai de conservation des données est fixé à une durée maximale de trente jours lorsqu’elles ne sont pas de nature à concourir à la constatation d’un manquement fiscal ou d’une infraction douanière visé « aux b et c du 1 de l’article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du Code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du Code des douanes ».
La durée de détention est amenée à une durée maximale d’une année lorsqu’elles sont de nature à « concourir à la constatation » d’un manquement fiscal ou d’une infraction douanière parmi la liste précitée, ainsi que la possibilité de les garder jusqu’au terme de la procédure si une procédure pénale, fiscale ou douanière est engagée.

Le dispositif adopté a fait l’objet de nombreux amendements [1], notamment, s’agissant du champ d’application des infractions, sur le recours à la sous-traitance et l’utilisation limitée du dispositif, à certaines infractions telles que les infractions liées à la domiciliation fiscale et à la soustraction au paiement de l’impôt.

Cependant, de nombreuses interrogations persistent, plus particulièrement sur la difficulté d’appréciation du législateur de la portée d’une loi véritablement attentatoire à la vie privée des citoyens, qui interroge sur la nécessité de ce dispositif inédit.

I. La lutte contre la fraude fiscale au détriment de la vie privée du contribuable.

A. Un motif légitime pour un dispositif absurde.

La lutte contre la fraude fiscale est un objectif à valeur constitutionnelle [2], face à l’ingéniosité, à la complexité des montages juridiques et des comportements frauduleux, les pouvoirs publics se doivent de réagir en adaptant constamment leurs techniques d’investigation. En ce sens, les agents du fisc disposent de plusieurs prérogatives dans la recherche de renseignements, comme le droit de communication, les demandes d’éclaircissement et de justification, le droit de visite et de saisie, les vérifications approfondies, qui ont pour finalité l’obtention de renseignements permettant de mettre en lumière un éventuel manquement aux obligations fiscales.
Ces différentes prérogatives, mentionnées dans le Code général des impôts, mettent en exergue la réaction de l’administration à un soupçon de fraude et à des éléments préalables objectivement caractérisés. Cette logique est d’ailleurs caractéristique de la répression en matière pénale, la réaction face à un fait ou à un comportement laissant présupposer une infraction.

Toutefois, l’article 57 du projet de loi de finances vient imposer une toute autre logique en opérant un renversement des méthodes de travail des administrations ainsi que des traitements auxquels elles ont recours pour lutter contre la fraude [3]. En effet, ledit projet opère un basculement entre un traitement ciblé des données jusqu’ici mis en œuvre par l’administration lorsqu’un doute ou des suspicions de commission d’infraction préexistaient, vers une collecte générale préalable de données, en amont, en vue de cibler des actions ultérieures. Cette nouvelle logique du « tous suspects », permettant une véritable traque de l’infraction posée par l’article 57 du projet de loi de finances, est dubitable tant dans son opportunité que dans le message qu’elle véhicule, à contre-courant de la volonté des pouvoirs publics de restaurer la confiance du contribuable envers son administration.

Au-delà du côté symbolique de la mesure, de nombreuses difficultés sous-jacentes méritent d’être soulevées. Tout d’abord, s’agissant de la circonscription de la mesure, le champ d’application initial était prévu pour les infractions mentionnées aux b et c du 1 de l’article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du Code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du Code des douanes. En d’autres termes, le champ d’application se veut extrêmement large, donnant même aux agents des douanes le pouvoir de collecter les données pour de simples amendes allant de 150 euros à 1.500 euros.
Les amendements n°2552 et 2168, adoptés lors de la première lecture, ont cependant limité le dispositif en supprimant les infractions visées par l’article 1791, en retirant les infractions douanières les moins graves et en recentrant le dispositif sur les infractions mentionnées à l’article 1729 du CGI découlant d’un manquement aux règles fixées à l’article 4 B.

En dépit de cette limitation, se pose également la question des infractions hors champ d’application de la mesure. Il est difficile de concevoir qu’un fonctionnaire, qui par une collecte de masse des données aurait connaissance d’un éventuel manquement non mentionné dans le texte, ferme les yeux et traite uniquement des manquements mentionnés. Il est certain qu’il existe un véritable risque de détournement de la loi, du fait de la nature humaine du fonctionnaire.

B. Une atteinte manifeste au droit à la vie privée du contribuable.

Le droit au respect de la vie privée a été introduit dans le droit français par la loi n° 70-643 du 17 juillet 1970. L’article 9, alinéa 1er, du Code civil dispose que « chacun a droit au respect de sa vie privée ». La notion de vie privée figure également à l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
Cet article renvoie plus largement à la « vie privée et familiale », et aux notions de protection de « domicile » et « correspondances ». Le droit au respect de la vie privée a également valeur constitutionnelle [4]. En effet, c’est un droit subjectif que le Conseil constitutionnel a fait entrer dans le bloc de constitutionnalité en le rattachant à l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789.

En vertu de l’article 9 du code civil et de son interprétation par la jurisprudence, toute personne, quels que soient son rang, sa naissance, sa fortune, ses fonctions présentes et à venir, a droit au respect de sa vie privée [5].

L’article 6 de la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, dispose « qu’un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :

 1° Les données sont collectées et traitées de manière loyale et licite ;

 2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) ;

 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;

 4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;

 5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Le développement des systèmes d’information et de communication a évidemment changé la perception qu’il est possible d’avoir de la vie privée. Des informations à caractère général, mais aussi des données plus intimes, sont maintenant disponibles. La question est dès lors de savoir comment elles peuvent être conservées, utilisées et communiquées. Sans donner une réponse unique pour toutes ces données, la Cour considère que les États doivent se doter de législations efficaces [6], c’est-à-dire, qui permettent de concilier les impératifs de protection de la vie privée et d’information lorsque cette protection paraît nécessaire, voire indispensable.

L’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d’informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes et si le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités [7].

La protection des données à caractère personnel joue donc un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale. La législation interne doit ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues à l’article 8. La nécessité de disposer de telles garanties se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières. Le droit interne doit notamment assurer que ces données sont pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées. Le droit interne doit aussi contenir des garanties aptes à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs [8].

En l’espèce, l’article 57 du projet de loi de Finances pour 2020 prévoit la possibilité, pour les administrations fiscale et douanière, de collecter et exploiter les données rendues publiques par leurs utilisateurs sur les sites internet des réseaux sociaux et des opérateurs de plateforme. Il devient possible pour l’État, de façon générale et hors toute infraction, de détecter les données personnelles d’une très grande partie de la population. Cette collecte est permise pour lever des doutes ou soupçons de l’administration sur la commission d’une infraction mais aussi pour cibler des actions ultérieures de contrôle lorsque le traitement des données aura révélé un doute. Ce n’est plus une logique de traitement ciblé de données après l’apparition d’un doute sur la commission d’une infraction, mais la mise en place par ce système de détection d’infraction via la collecte de données personnelles [9].

Le 12 septembre 2019, la CNIL soulève les carences du projet de loi, notamment le manque de garanties dans la protection des droits et liberté des individus concernant la protection du droit à la vie privée des utilisateurs des réseaux sociaux [10].

Par conséquent, selon le droit positif, lorsque sont en jeu des données personnelles sur des sites internet qui dans la mesure où elles contiennent des photos ou des messages personnels revêtant une grande importance, tant pour la personne que pour son cercle intime, le régime de conservation desdites données par l’administration dans un fichier de personnes soupçonnées d’avoir commis des fraudes mais non condamnées, doit traduire un juste équilibre entre les intérêts publics et privés concurrents en jeu.

Or, même si la conservation des informations insérées dans le fichier est limitée dans le temps, il apparaît que ladite loi de finances n’offre pas de garanties suffisantes en termes de protection du droit à la vie privée. La loi souffre également de son imprécision sur les chances de succès des demandes d’effacement desdites données, une telle imprécision est en pratique assimilable à une conservation indéfinie et est donc considérée comme une intrusion dans la vie privée, non proportionnelle à l’objectif poursuivi.

L’absence manifeste de garanties autour de ce procédé attentatoire au droit au respect de la vie privée du contribuable a conduit la CNIL à considérer, à juste titre, que le mécanisme prévu par l’article 57 du projet de loi de finances n’est pas proportionné au but poursuivi.

II. Des conséquences désastreuses pour les libertés individuelles.

A. Un impact collatéral négatif sur les libertés individuelles.

En permettant cette collecte de données en masse, l’article 57 du projet de loi de finances aura indubitablement un impact sur la liberté d’expression et de manifestation des opinons. Le réflexe naturel, face à une telle mesure, sera pour les différents usagers des plateformes en ligne de se prémunir contre une intrusion et une appropriation de leurs données privées. Ils seront de facto moins enclins à s’exprimer et à partager des données qu’ils estiment être personnelles.
Rappelons que la création volontaire de profils sur les plateformes en ligne ne justifie, ni n’autorise, leur collecte et leur rediffusion sur d’autres supports, tels les bases de données auxquelles les utilisateurs n’auraient pas accès et n’ayant donc aucune possibilité de les modifier à leur guise.
Le comportement des usagers va être amené à changer à la suite de cette mesure. C’est d’ailleurs dans ce sens que va l’avis du CNIL n°2019–1114 du 12 septembre 2019 quand il estime que « la collecte de l’ensemble des contenus librement accessibles publiés sur Internet est susceptible de modifier, de manière significative, le comportement des internautes qui pourraient alors ne plus être en mesure de s’exprimer librement sur les réseaux et plateformes visés ».

S’agissant des garanties du contribuable sur la protection de ces données, là encore les précisions apportées par la loi restent sommaires. Le projet de loi en son article 9 se réfère aux « contenus librement accessibles, publiés sur internet ».
La teneur et la précision des données collectées seront amenées à varier selon les différentes politiques de confidentialité des sites auxquels aucune mention n’est faite dans le projet de loi. Les amendements n°2169 et n°2153 ont restreint la collecte des informations aux seuls contenus « manifestement rendus publics » par les utilisateurs de certaines plateformes en ligne. Ils reprennent en cela les termes de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016, dit « règlement RGPD ».

Reste encore à pouvoir définir ce qui est contenu dans la notion de « manifestement rendus publics ». Cela concerne-t-il de la même manière une photo publiée sur son mur Facebook, accessible à tous et une photographie publiée sur Instagram seulement accessible aux amis ? Des éclaircissements jurisprudentiels seront nécessaires.

Par ailleurs, sur la manipulation et la conservation des données, le projet d’article prévoit que les données seront détruites au plus tard à l’issue d’un an à compter de leur collecte. Le gouvernement a déjà modifié les modalités de conservation des données en précisant que les données sensibles seront supprimées sous cinq jours, et trente jours pour les autres données, les données utiles pouvant être conservées un an ou tout au long de la procédure pénale. On déplore qu’aucun texte ne garantisse cependant l’information du contribuable sur l’acquisition et la manipulation de ces données.

B. Vers une banalisation de la collecte de masse pour la protection de l’ordre public.

Cet article peut être analysé comme « liberticide » et selon la CNIL, de plus de plus de lois ayant pour but la protection de l’ordre public restreignent les droits et libertés en ligne des individus.

Par exemple, le 17 octobre 2019, les membres de la CNIL, réunis suite à la saisie par la région Provence-Alpes-Côte d’Azur, se sont prononcés sur une expérimentation qui prévoyait le recours à la reconnaissance faciale à l’entrée de deux lycées. Considérant que ce dispositif concernant des élèves, dans le seul but de fluidifier et de sécuriser les accès, n’apparaissait ni nécessaire ni proportionné pour atteindre ces finalités, la CNIL a estimé que ce dispositif ne pouvait être légalement mis en œuvre [11].

La CNIL considère qu’il y a là un phénomène de banalisation de la collecte de masse des informations personnelles qui est plus que jamais un sujet d’actualité.

Il en a tout d’abord été ainsi pour les caméras individuelles des agents de police municipale. Initialement déployé dans le cadre d’une expérimentation, ce dispositif vient d’être pérennisé à l’issue de l’adoption de la loi n° 2018-697 du 3 août 2018. Aux termes du nouvel article L. 241-2 du Code de la sécurité intérieure, les agents de police municipale sont donc, pour leur part, désormais pleinement autorisés à procéder à l’enregistrement audiovisuel de leurs interventions au moyen de caméras mobiles. Celles-ci peuvent être utilisées en tous lieux [12].

Ceci n’est pas sans poser question, comme l’a relevé la CNIL dans son avis du 13 décembre 2018 [13], ces enregistrements étant susceptibles de filmer le domicile de particuliers, voire de contenir des « conversations privées » s’ils sont accompagnés de dispositifs sonores. Certes, une condition est requise, puisqu’il faut que se produise ou soit susceptible de se produire un incident lié aux circonstances de l’intervention ou au comportement des protagonistes. D’où la nécessité de définir, toujours comme le recommande la CNIL, une « doctrine d’emploi qui, sans dresser une liste exhaustive des circonstances de nature à justifier le déclenchement des caméras, définirait des critères objectifs commandant l’utilisation des dispositifs » [14].

La CNIL tient compte également du risque de stigmatisation qui découle du fait que les personnes dans la situation des utilisateurs accusés, qui n’ont été reconnus coupables d’aucune infraction et sont en droit de bénéficier de la présomption d’innocence, sont traitées de la même manière que des condamnés. Il convient de ne pas perdre de vue à cet égard que le droit de toute personne à être présumée innocente que garantit la Convention EDH comporte une règle générale en vertu de laquelle on ne peut plus exprimer de soupçons sur l’innocence d’un accusé une fois que celui-ci a été acquitté [15].

Ce phénomène de loi liberticide peut donner l’impression qu’ont les intéressés de ne pas être considérés comme innocents et se trouve renforcé par le fait que les données les concernant peuvent être conservées indéfiniment, tout comme celles relatives à des personnes condamnées, alors que celles concernant des individus n’ayant jamais été soupçonnés d’une infraction doivent être détruites [16].

La banalisation des lois permettant la collecte de masse ne prévoit pas en général un cadre permettant de concilier les différents intérêts à protéger, c’est-à-dire l’ordre public face aux droits et au libertés des individus. L’écoute des plateformes reste un outil de surveillance de masse. Compte tenu de l’importance qu’ont pris les données personnelles dans notre quotidien, et de leur utilisation aux fins de publicité, démarchage, et aujourd’hui surveillance fiscale, il est permis, voire plausible, d’imaginer que de tels moyens de surveillance soient pérennisés. En effet, demain, cette méthode pourrait être utilisée pour repérer la fraude aux allocations, pour identifier les résidents étrangers ou encore faire du fichage politique. Ainsi, la question des données personnelles est plus que jamais le sujet du XXIème siècle, la surveillance de masse façon Big Brother n’est plus très loin…

Jocelyn ZIEGLER Avocat Associé https://www.ziegler-associes.com/