Le gouvernement français a franchi une nouvelle étape dans sa lutte contre la fraude fiscale. Un décret adopté le 31 décembre 2024 et publié le lundi 1ᵉʳ janvier 2025 étend les prérogatives de l’administration fiscale, qui pouvaient déjà accéder aux données publiées sur les plateformes de vente ou de location entre particuliers à des fins de détection de fraude. Désormais, en plus de ces plateformes, le fisc pourra analyser les données publiques issues de plateformes comme Instagram, TikTok ou Facebook pour détecter des comportements frauduleux. Inscrite dans la loi de finances, l’objectif affiché par l’administration fiscale est clair : utiliser les informations publiques disponibles sur les réseaux sociaux pour repérer des incohérences entre le train de vie apparent d’un individu et ses déclarations fiscales. Par exemple, un utilisateur affichant régulièrement des photos de voyages luxueux ou de biens coûteux pourrait être ciblé si ces éléments ne correspondent pas à ses revenus déclarés. Cette mesure repose sur des algorithmes capables de collecter et d’analyser des masses de données, tout en respectant un cadre juridique précis.
Pour émettre ce décret, le gouvernement a du demander l'avis de la CNIL, dont l'avis est consultatif. Cette dernière a demandé que lui soit communiqué un bilan du dispositif avant de se prononcer.
Dans sa délibération du 14 novembre, publiée également ce 1er janvier, la CNIL estime que « Cette première expérimentation a fait l'objet d'un bilan intermédiaire et d'un bilan définitif, dont la CNIL a été rendue destinataire. Il en ressort une faible efficacité du dispositif initial du fait de son périmètre limité (au regard, notamment, de l'exclusion des plateformes requérant un compte pour y accéder), restreignant les capacités de collecte de données. Le législateur a fait le choix, le 29 décembre 2023, d'étendre le périmètre des données accessibles dans le cadre de l'expérimentation ».
Bercy semble n'avoir communiqué que le strict minimum nécessaire à l'évaluation de la Commission. En effet, la CNIL « regrette que le bilan ne comporte pas d'éléments d'analyse qui auraient permis d'apprécier l'efficience du dispositif, ainsi que la proportionnalité entre l'objectif poursuivi (le renforcement de l'efficacité dans la lutte contre la fraude) et l'atteinte aux libertés individuelles ».
Le dispositif étend le périmètre des données accessibles
Bien qu'elle ait émis des réserves, la CNIL a validé les nouvelles prérogatives du Fisc et des Douanes. Dorénavant, les agents de l’administration fiscale pourront collecter et analyser les données publiées sur les réseaux sociaux, sous certaines conditions.
Le dispositif qui implique des traitements automatisés, étend les conditions de collecte, le champ infractionnel mais aussi le périmètre des données accessibles, a été jugé suffisamment protecteur par la CNIL.
Par exemple, la collecte de données est désormais élargie aux plateformes en ligne dont l'accès requiert une inscription à un compte, une nouvelle disposition qui augmente de façon considérable le nombre de données que peuvent collecter et exploiter les administrations. Le texte prévoit également la possibilité de collecter des métadonnées liées aux données précédemment collectées, soit les informations relatives aux dates, heures et géolocalisation de leur création.
À ce sujet, la CNIL explique :
Envoyé par CNIL
L'extension de l'expérimentation aux données manifestement rendues publiques et publiquement accessibles, lorsqu'un compte est requis pour accéder à la plateforme ou au réseau social, implique la collecte d'un plus grand nombre de données.
En premier lieu, il est prévu l'ajout (que ce soit pour la recherche d'activités occultes, de manquements aux règles de domiciliation ou de minoration ou dissimulation de recettes) de la collecte de métadonnées liées aux données précédemment collectées, incluant « notamment les informations relatives aux dates, heures et géolocalisation de leur création ».
Il ressort des précisions apportées que seules les données de géolocalisation ont vocation à être exploitées. Les autres métadonnées seront supprimées dans un délai de cinq jours.
La CNIL prend acte de l'engagement du ministère de modifier le décret pour prévoir, tant pour les phases d'apprentissage et de conception que d'exploitation, la suppression de ces données sous ce délai maximal.
En premier lieu, il est prévu l'ajout (que ce soit pour la recherche d'activités occultes, de manquements aux règles de domiciliation ou de minoration ou dissimulation de recettes) de la collecte de métadonnées liées aux données précédemment collectées, incluant « notamment les informations relatives aux dates, heures et géolocalisation de leur création ».
Il ressort des précisions apportées que seules les données de géolocalisation ont vocation à être exploitées. Les autres métadonnées seront supprimées dans un délai de cinq jours.
La CNIL prend acte de l'engagement du ministère de modifier le décret pour prévoir, tant pour les phases d'apprentissage et de conception que d'exploitation, la suppression de ces données sous ce délai maximal.
La loi autorise désormais la collecte de QR-codes sur des pages « se rapportant à l'activité professionnelle ou l'activité illicite »
Par ailleurs, parmi les catégories de données collectées, le texte de loi autorise la collecte de QR-codes lorsqu'ils se trouvent sur des pages « se rapportant à l'activité professionnelle ou l'activité illicite » : « Les catégories de données collectées sont : [...]Les contenus, lorsqu'ils sont accessibles au moyen de QR-codes ou de tout autre vecteur, des pages se rapportant à l'activité professionnelle ou l'activité illicite qui peuvent notamment être des écrits, des images, des photographies, des sons, des icônes, des vidéos, ainsi que les QR-codes et autre vecteurs eux-mêmes ».
Une disposition validée par la CNIL :
Envoyé par CNIL
En deuxième lieu, s'agissant des contenus relatifs à l'activité professionnelle ou illicite des personnes, le projet de décret prévoit la collecte de QR-codes, ceux-ci pouvant être utilisés au sein des plateformes pour partager des données de diverse nature, dont notamment des liens vers des contenus ou des profils, comme précisé par le ministère.
D'une part, le terme de QR-code désigne une technologie spécifique de code barre bidimensionnel permettant de partager des données. La CNIL invite le ministère à modifier le projet de décret en ce sens.
D'autre part, la CNIL rappelle que les liens obtenus via ces codes-barres ne devraient pas être appelés s'ils donnent à l'utilisateur qui scanne le code barre un accès à des données non disponibles par défaut à l'ensemble des utilisateurs de la plateforme ou du réseau social (par exemple en provoquant automatiquement le « suivi » d'une personne, ou l'inscription à un groupe de discussion ; à ce propos, v. supra, point 13). Sous réserve de ce qui précède, la collecte de QR-code apparait proportionnée.
D'une part, le terme de QR-code désigne une technologie spécifique de code barre bidimensionnel permettant de partager des données. La CNIL invite le ministère à modifier le projet de décret en ce sens.
D'autre part, la CNIL rappelle que les liens obtenus via ces codes-barres ne devraient pas être appelés s'ils donnent à l'utilisateur qui scanne le code barre un accès à des données non disponibles par défaut à l'ensemble des utilisateurs de la plateforme ou du réseau social (par exemple en provoquant automatiquement le « suivi » d'une personne, ou l'inscription à un groupe de discussion ; à ce propos, v. supra, point 13). Sous réserve de ce qui précède, la collecte de QR-code apparait proportionnée.
Les entreprises qui minorent ou dissimulent leurs recettes sont également dans le collimateur du Fisc
Concernant l'élargissement du dispositif aux minorations et / ou dissimulations de recettes par les entreprises, celui-ci vise à détecter les entreprises dont l'activité est manifeste sur les réseaux sociaux mais qui déclarent un statut incohérent ou de très faibles recettes. La CNIL estime « qu'une telle évolution conduira à la collecte de données dont le ciblage se limitera à certains critères objectifs (par exemple, les auto-entrepreneurs avec un chiffre d'affaires déclaré nul). Au regard de cette limitation, la CNIL estime la collecte légitime ».
Le texte prévoit, par contre, que les agents « ne sont autorisés ni à entrer en relation avec d'autres détenteurs de compte, ni à diffuser des contenus », ni à utiliser le système pour d'autres activités que la recherche d'indices de certaines fraudes fiscales.
Les agents ne pourront pas utiliser des « identités d'emprunt » lorsqu'ils collectent les données sur les réseaux sociaux
Côté garanties, l’autorité précise que les agents des administrations concernées ne sont pas autorisés à entrer en relation avec d'autres détenteurs de compte ou à diffuser des contenus : « ils ne sont autorisés qu'à procéder à la collecte et l'exploitation de contenus ». L'objectif de ces limitations est de n'accéder qu'à des informations disponibles publiquement : « Ces limitations ne permettent donc pas d'accéder à des données qui ne seraient pas rendues disponibles à l'ensemble des utilisateurs de la plateforme ou du réseau social (par exemple, le « suivi » d'une personne ou d'un compte) ni de rejoindre une conversation de groupe, même sans prendre la parole ».
Par ailleurs, il ressort des précisions apportées par le ministère que la création de ces comptes ne permettra pas d'utiliser des identités d'emprunt et laissera apparaitre, en clair, qu'il s'agit d'un compte de l'administration fiscale ou des douanes.
Serait enfin exclu, pour ces administrations, l'usage d'interfaces de mise à disposition des données des sites (API) proposées par les plateformes ou les réseaux sociaux pour collecter des données, dans l'hypothèse où elles permettraient d'obtenir des informations supplémentaires à celles accessibles à partir d'un compte avec le niveau de permission minimum.
Aucune collecte sur des plateformes « sensibles » comme « des applications de rencontre ou de santé »
« S'agissant du périmètre des plateformes concernées, la CNIL prend acte des précisions apportées, selon lesquelles aucune collecte ne sera réalisée sur des plateformes "sensibles" au sens de l'article 9 du RGPD (à l'instar d'applications de rencontres ou de santé). »
L’autorité estime enfin que l’administration devra faire preuve « d’une certaine prudence » en mettant en place ces systèmes d’intelligence artificielle qui collecteront et analyseront les données, notamment en raison des biais qu’ils peuvent présenter :
En dernier lieu, le bilan intermédiaire de l'expérimentation en cours, transmis à la CNIL, confirme que le modèle de détection automatique de la fraude repose sur une phase préalable d'apprentissage machine. Cet apprentissage consiste à fournir au modèle une vaste quantité de données pour obtenir des performances satisfaisantes. La CNIL appelle à une certaine prudence dans l'utilisation de ce type d'algorithmes, eu égard aux risques qu'ils comportent et aux biais qu'ils peuvent présenter. Elle estime que le développement et l'utilisation de tels modèles d'apprentissage devraient être faits en analysant la possibilité de l'émergence de tels biais et le cas échéant de documenter les mesures permettant d'en diminuer l'impact.
Sources : journal officiel, délibération de la Cnil
Et vous ?
Est-il acceptable que des données publiques soient utilisées à des fins fiscales, même si elles sont librement accessibles ? Cette mesure pourrait-elle inciter les individus à réduire leur présence en ligne ou à se censurer sur les réseaux sociaux ? Ce dispositif pourrait-il créer un déséquilibre entre ceux qui exposent publiquement leur vie et ceux qui ne le font pas ? Comment concilier la lutte contre la fraude fiscale avec le respect des libertés individuelles et de la vie privée ? Les garanties juridiques actuelles sont-elles suffisantes pour éviter les abus ou les dérives potentielles ? Existe-t-il un risque que certains groupes soient ciblés de manière disproportionnée par ce dispositif ? Si cette expérimentation est validée, comment éviter que cette méthode ne soit étendue à d’autres domaines (justice, assurance, etc.) ? 
)
