Par Anna Tchavtchavadzé et Gérard Haas
La CNIL a publié le 30 septembre 2019 un avis concernant l’article 57 du projet de loi de finances pour 2020. Et pour cause, cet article introduit un nouveau dispositif expérimental de lutte contre la fraude, combat éternel des administrations publiques …
Cette nouvelle disposition prévoit la possibilité pour l’administration fiscale ainsi que l’administration des douanes et des droits indirects de collecter des données d’administrés qui seraient « librement accessibles » et rendues publiques sur les réseaux sociaux ainsi que sur « les plateformes de mise en relation par voie électronique » telles que Facebook, Twitter, Leboncoin …
La volonté de mettre en place un tel mécanisme de contrôle est surprenante et témoigne d’une nouvelle démarche offensive de la part de l’administration fiscale dans sa lutte contre la fraude fiscale. Ce dispositif permettra aux administrations de comparer le train de vie des citoyens par rapport à leurs déclarations fiscales en récoltant des données telles que leurs photos, publications …
En réaction à cette disposition, la CNIL a rendu une délibération[1] à l’occasion de laquelle elle se prononce sur le projet de loi de finances au regard des principes garantis par la loi Informatique et Libertés.
1. A cette occasion la CNIL revient sur des principes essentiels en matière de protection des données personnelles :
a. Principe de proportionnalité
Dans le projet de loi de finances, il est prévu que l’administration fiscale et l’administration douanière aient l’habilitation pour récolter des données sur les réseaux sociaux et plateformes d’administrés. Cette mesure sera mise en œuvre, à titre expérimental, pour une durée de 3 ans et pour les besoins de la recherche des infractions (fraude fiscale, douanière …).
Bien que s’inscrivant dans un mouvement de lutte contre la fraude, la CNIL insiste sur le fait que le nouveau système, conformément au principe de proportionnalité, devrait pousser les administrations concernées à récolter et exploiter uniquement « les données réellement nécessaires à la détection de la fraude ».
En l’espèce, le dispositif en question semble permettre aux administrations de « collecter en masse » des données auprès d’un nombre considérable de personnes. Il convient donc de prévoir des garanties suffisantes pour lutter contre la violation des droits et libertés des administrés, comme l’élaboration d’une analyse d’impact relative à la protection des données (AIPD) par exemple.
b. Principe de transparence et d’information des personnes concernées
Le projet mentionne uniquement le droit d’accès et le droit d’opposition des personnes concernées mais elle ne fait pas mention du droit d’information. La CNIL rappelle à ce sujet que les personnes concernées doivent être impérativement informées de la collecte des données les concernant, conformément aux articles 12,13 et 14 du RGPD[2].
c. Risque d’entrave au principe de liberté d’expression
La CNIL considère que la mise en place d’un tel système risque de porter atteinte aux libertés publiques des citoyens, notamment à leur liberté d’opinion et d’expression.
En effet, la collecte de données de citoyens sur internet risque de modifier le comportement des internautes et de les restreindre dans leur liberté d’expression, par crainte d’être surveillés et contrôlés par les administrations publiques.
Ainsi, la CNIL considère que le législateur devra apprécier l’opportunité d’un tel dispositif pour en fixer les règles au regard de garanties fondamentales nécessaires à la protection des droits des citoyens.
***
2. La délibération de la CNIL réaffirme strictement la nécessité de garantir les droits et libertés fondamentales des citoyens :
- La collecte des données doit se faire de manière proportionnée au regard de la finalité poursuivie par le traitement mis en œuvre ;
- Le dispositif doit présenter des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données personnelles
Avec le développement des nouvelles technologies, les mesures mises en place en matière de lutte contre la fraude tentent également de se moderniser, comme nous l’avions déjà relevé à l’occasion d’un article sur le traitement ciblage de la fraude et valorisation des requêtes (https://info.haas-avocats.com/droit-digital/controles-fiscaux-comment-collecter-et-traiter-les-donnees-personnelles). Toutefois, de telles expérimentations ne doivent pas mener à une violation des droits et libertés des citoyens, objectif que se fixe la CNIL, protectrice du respect de la vie privée de ses citoyens.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients en matière de protection de leur vie privée et de leurs données personnelles. Ainsi, si vous comptez collecter un nombre considérable de données personnelles dans le cadre de votre activité n’hésitez pas à nous contacter pour que l’on puisse vous guider et vous conseiller sur votre traitement. Contactez-nous ici
[1] Délibération n°2019-114 du 12 septembre 2019 portant avis sur le projet d’article 9 du projet de loi de finances pour 2020
[2] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
