L’administration fiscale met en place la surveillance des réseaux sociaux et des plateformes en ligne pour lutter contre la fraude fiscale.

Depuis le 1er janvier 2021, les agents de l’administration fiscale et des douanes sont officiellement habilités à collecter en masse les données publiques des utilisateurs des plateformes en ligne et des réseaux sociaux (Facebook, Youtube, Twitter, Le Bon Coin, LinkedIn, etc.) afin de détecter et sanctionner certains manquements et infractions en matière de fiscalité ou de douanes (revenus dissimulés, fausses déclarations relatives à la domiciliation fiscale, trafics en tous genres, notamment de drogues, d’alcools, le tabac ou les métaux précieux etc.) qu’on a l’habitude de ranger sous l’expression de fraudes fiscales ou douanières.

Pour rappel, ce dispositif de surveillance a été autorisé par le Parlement pour une période test de 3 ans à l’issue de laquelle le Parlement et la CNIL (Commission nationale de l’informatique et des libertés) se prononceront sur le fait de savoir si le dispositif permet de lutter efficacement contre la fraude fiscale et douanière tout en assurant le droit au respect de la vie privée.

Les agents des administrations fiscales et des douanes habilités à utiliser ce nouveau dispositif attendaient néanmoins la publication d’un décret du Gouvernement pour leur permettre de pouvoir lancer la mise en œuvre de la collecte et l’exploitation des données. Ce décret a été publié le 13 février 2021.

Les agents ont désormais carte blanche pour lancer les premières collectes de données à condition de respecter, entre autres, les modalités suivantes fixées par décret.

Limitation concernant la collecte des données.

Pour rappel, la loi prévoit que les agents ne peuvent pas utiliser des systèmes de reconnaissance faciale.

Les données d’identification des comptes et les données sensibles à caractère personnel (qui révèlent la prétendue origine raciale ou ethnique, opinions politiques, convictions religieuses ou politiques etc.) peuvent être collectées mais ne peuvent pas être exploitées. Elles doivent être supprimées sous un délai de 5 jours (voir plus bas).

La loi prévoit que les agents ne peuvent collecter, pour les analyser, que les données que les utilisateurs ont manifestement rendu publiques et qui sont strictement nécessaires à l’identification et la poursuite des fraudes.

Le décret précise à ce titre :
 qu’il s’agit des contenus (notamment écrits, images, photographies, sons, signaux, vidéos ou données de localisation) qui peuvent être accessibles par tous sans qu’il soit nécessaire de saisir un mot de passe ou d’être inscrit sur le réseau social ou à la plateforme en ligne,
 qu’il est interdit aux agents de collecter des données en utilisant des identités d’emprunt, en créant des comptes utilisateurs directement auprès des réseaux sociaux et des plateformes ou en utilisant des comptes déjà existants,
 que lorsqu’un utilisateur est titulaire sur internet d’une page personnelle permettant le dépôt de commentaires ou toute autre forme d’interactions avec des tiers (commentaires sur les Murs Facebook, sous les Posts LinkedIn, sous les vidéos Youtube etc.), ces commentaires et interactions ne peuvent faire l’objet d’aucune exploitation,
 pour la recherche des fraudes liées à la domiciliation fiscale d’une personne en particulier (fausse déclaration de résidence fiscale par exemple), les agents ne peuvent utiliser que les contenus des pages dont cette personne est titulaire.

Précisions sur la méthode de surveillance automatique des données.

Le décret précise que la surveillance automatique des données sera en pratique réalisée dans le cadre de deux phases distinctes.

1°) Phase d’apprentissage et de conception.

Lors de cette phase, les agents pourront collecter et analyser des données dans le but de concevoir et développer les outils techniques qui leur permettront :
 de déterminer, à partir de la masse des données collectées, des indicateurs précis (tels que des mots-clés, des indicateurs de date et de lieux, typologies, expressions etc.) qui permettront d’identifier plus facilement les fraudes recherchées,
 d’associer une personne physique à tous ses comptes détenus en ligne,
 de mette en place des dispositifs de croisement avec des bases de données de lieux géographiques et des moteurs de recherche spécialisés dans l’identification des lieux correspondant à des images, afin d’identifier des indicateurs de lieux géographiques.

2°) Phase d’exploitation.

Une fois la phase d’apprentissage terminée, le décret précise les modalités permettant l’exploitation des données aux fins de recherche et de poursuite des fraudes fiscales et douanières.

De manière générale, les agents devront procéder de la sorte :
 Les agents collectent au moyen des outils développés en phase d’apprentissage les indicateurs susceptibles de démontrer l’existence d’une fraude,
 Les agents recensent dans une matrice informatique les indicateurs collectés et les éléments d’identification des comptes et des publications contenant ces indicateurs,
 Les informations ainsi recensées dans les matrices informatiques sont transférées vers le logiciel déjà existant depuis 2014 de traitement automatisé des fraudes fiscales pour effectuer des rapprochements (outil fondé sur des techniques de data mining, c’est-à-dire, en particulier, de modélisation prédictive, de requêtes d’analyses risques, de recherches d’atypie ou d’incohérences et de liens entre différentes personnes ou avec des entités professionnelles).

A l’issue de ces procédures, si des fraudes sont constatées ou s’il existe des indices de fraudes, les informations sont transmises par les agents aux contrôleurs fiscaux ou douaniers habilités à mener des opérations de contrôle. En effet, ces informations ne peuvent être opposables aux utilisateurs que dans le cadre des procédures de contrôles fiscaux ou douaniers prévues par la loi (vérification de comptabilité, contrôles fiscaux personnels etc.).

Durée de conservation des données.

A l’occasion des phases d’apprentissage et de d’exploitation, les agents auront vocation à collecter une quantité gigantesque de données.

En fonction de leur nature, des délais de conservation différents ont été prévus :
 5 jours maximum avant leur destruction concernant les données d’identification des comptes et les données sensibles à caractère personnel,
 1 an concernant les données de nature à concourir à la constatation d’une fraude ou constituant des indices de fraude,
 Toute la durée de la procédure lorsque les données sont utilisées dans le cadre d’une procédure pénale, fiscale ou douanière,
 30 jours maximum concernant toutes les autres données.

Conclusion.

Par ce nouveau dispositif, l’Etat renforce ainsi considérablement son arsenal de surveillance et de contrôle informatique des contribuables.

Il conviendra néanmoins de patienter avant de voir les effets concrets et pratiques de ces outils, pour déterminer notamment les cas de fraudes que les administrations entendent cibler en priorité.

Sans pour autant attendre ces effets, il est néanmoins conseillé de prendre attache avec un avocat fiscaliste si vous estimez que votre activité est de nature à être impactée par ces mesures.

Abdallah Ziouche Centurion Avocat [->abdallah.ziouche@centurion-avocat.com] www.centurion-avocat.com