Bien que vivement dénoncé comme attentatoire à la vie privée et à la liberté d’expression par la CNIL, le Conseil constitutionnel a adoubé dans sa grande majorité le dispositif de surveillance digitale des contribuables instauré par la dernière loi de finances. Ainsi, depuis le 1er janvier 2020, Bercy peut désormais collecter de manière automatisée l’ensemble des informations publiques disponibles sur internet.

Lesquelles de vos informations seront collectées, et selon quelles modalités ? Comment pourront-elles être utilisées et vous être opposées ? Retour sur ce nouvel outil de l’arsenal de l’administration dans la lutte contre la fraude fiscale.

(I) Pourquoi avoir automatisé la surveillance des contribuables ?

La surveillance des contribuables par l’administration fiscale n’a rien d’inédit. En effet, depuis 2014 pour les entreprises et 2017 pour les particuliers, Bercy dispose d’un outil de data mining : le « Ciblage de la Fraude et Valorisation des Requêtes » (CFVR). Concrètement, il permet aux contrôleurs de traiter et de recouper les données professionnelles, patrimoniales, bancaires et sociales d’un contribuable [1].

Son efficacité est redoutable en ce qu’elle a permis de récupérer 640 millions d’euros en 2019 et d’accroître le taux de recouvrement à 67,5%. Couplé aux autres moyens à sa disposition, l’administration peut se targuer d’avoir recouvert 5,6 milliards d’euros au titre de la lutte contre la fraude fiscale en 2019. Compte tenu, d’une part, des politiques en matière de civisme fiscal et de la situation budgétaire et, d’autre part, du très bon rendement de cet outil, l’automatisation et la généralisation du data mining se sont naturellement imposées.

Cependant, s’ils peuvent sembler similaires, le dispositif instauré par la loi de finances pour 2020 ne doit pas être perçu comme une simple amélioration de l’outil actuel. En réalité, le 1er janvier 2020 a marqué la fin d’un paradigme.

Plus précisément, à la logique actuelle « de traitement ciblé de données lorsqu’un doute ou des suspicions de commission d’une infraction préexistaient » a été substitué un système de « collecte générale et préalable des données relatives à l’ensemble des personnes accessibles sur des plateformes internet » selon les termes de la CNIL [2]. Certains députés et sénateurs se sont alors émus du passage à l’ère du « tous présumés fraudeurs » [3].

(II) Quelles informations l’administration fiscale possédait-elle déjà ?

L’administration n’était pourtant pas en reste, tant les informations en sa possession paraissaient d’ores et déjà vertigineuses (données professionnelles, patrimoniales, bancaires et sociales). Ce propos est d’autant plus vérifié que, depuis le 1er janvier 2020 [4], les plateformes de l’économie collaborative (Airbnb, Le Bon Coin, etc.) sont tenues d’envoyer aux contrôleurs fiscaux les informations de leurs utilisateurs réalisant plus de 20 transactions annuelles par leur intermédiaire ou générant des montants supérieurs à 3 000€ [5]. Il est ainsi indéniable que l’administration fiscale est informée de la grande majorité de vos flux financiers. Avec l’instauration d’une surveillance automatisée et généralisée de vos informations publiques sur internet, l’objectif est clair : pouvoir appréhender jusqu’aux derniers flux et même ceux difficilement détectables, comme des caméras de surveillance pourraient capter vos moindres déplacements.

(III) Lesquelles de vos données seront collectées ?

Ce nouveau terrain de chasse semble vaste puisque la collecte pourra porter sur l’ensemble des sites internet mettant en relation plusieurs personnes « en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou partage d’un contenu, d’un bien ou service » [6]. Pourrait ainsi être collecté l’ensemble des informations et contenus publiés sur les réseaux sociaux (Facebook, Instagram, Snapchat, Twitter, etc.) ou encore sur des plateformes de vente en ligne entre particuliers (Le Bon Coin, Gens de Confiance, etc.), d’échange de services (Drivy, etc.) et de partage de contenus (Youtube, Dailymotion, etc.).

La CNIL a désapprouvé, dans son avis du 12 septembre 2019, l’étendue des sites concernés par ce nouveau dispositif. Nous ne pourrons que la rejoindre sur ce point étant donné que, comme évoqué, ces acteurs de l’économie numérique sont tenus, sous peine d’une amende, de porter à la connaissance de l’administration fiscale les revenus qu’ils ont permis de dégager.

Pourtant, à bien y regarder, relativement peu de données sont concernées puisque seules celles « manifestement rendues publiques par leurs utilisateurs » peuvent être collectées. Seuls sont ainsi visés les contenus accessibles sans qu’il soit nécessaire de saisir un mot de passe ou de s’inscrire sur un site [7]. Pourquoi l’administration fiscale se contente de ces seules informations ? Tout simplement car l’article 9 du Règlement Général sur la Protection des Données (RGPD) dispose que seuls peuvent être collectés et exploités « les contenus se rapportant à la personne qui les a, délibérément, divulgués ». La CNIL a notamment rappelé à l’administration qu’il lui serait impossible de recourir à des identités d’emprunt ou à des comptes spécialement créés à cet effet.

(IV) Dans quelle mesure pourra-t-on vous opposer les informations collectées ?

Les informations collectées sont transmises à des contrôleurs spécialement habilités par leur propre direction – soit celle de l’administration fiscale, soit de celle des douanes – pour rechercher des infractions aux trois cas suivants : commerce de marchandises prohibées [8] (tabac, alcool et matières précieuses), dissimulation d’une activité professionnelle ou illicite [9] et domiciliation fiscale frauduleuse [10].

Voici quelques illustrations pratiques de ce qui est, ou non, susceptible d’être concerné par ce nouveau dispositif :

• Serez-vous inquiétés pour la vente de quelques vêtements sur Vinted, de votre voiture (hors véhicule de collection) sur Leboncoin ? Assurément non [11].

Il en ira généralement de même pour les trajets de covoiturage que vous proposez dès lors que vous ne générez pas de bénéfice sur le trajet [12].

• La réponse sera plus délicate lorsque vous fournirez des cours particuliers par le biais de plateformes comme Superprof – encore qu’une inscription soit nécessaire pour obtenir des informations vous concernant –, que vous exercerez une activité de brocanteur en ligne ou encore que vous loueriez votre voiture le week-end sur Drivy.

• Une vigilance toute particulière devra être apportée aux influenceurs et développeurs d’application webpuisque la non-déclaration des revenus perçus par Youtube, Android, ou autres pourra, sous conditions de fréquence et de régularité de l’activité, être poursuivie au titre d’une activité occulte.

(V) Comment contester le contrôle effectué par l’administration fiscale sur la base des informations ainsi collectées ?

Plusieurs arguments pourraient classiquement être opposés à l’administration fiscale.

(1) Le premier tient naturellement à l’atteinte à la vie privée.

En effet, le droit au respect de sa vie privée bénéficie d’une protection constitutionnelle tirée de l’article 2 de la Déclaration des Droits de l’Homme et du Citoyen (DDHC) de 1789 [13] ; celle-ci devant être conciliée avec l’objectif à valeur constitutionnelle de lutte contre la fraude et l’évasion fiscale [14]. A cette fin, il est de jurisprudence constante que le législateur peut procéder à « la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel » [15] dès lors qu’ils sont mis en œuvre de manière proportionnée et adéquate. Or, dans sa décision du 27 décembre 2019 [16], le Conseil constitutionnel estime que l’atteinte à la vie privée ne justifie pas, compte tenu des garanties offertes par le législateur, la censure du dispositif. Seuls en réalité les termes du décret à venir justifieraient ladite censure sur le fondement de l’atteinte au respect de la vie privée.

(2) Le deuxième, similaire, réside dans l’atteinte à la liberté d’expression.

Découlant de l’article 11 de la DDHC de 1789, la liberté d’expression est une liberté fondamentale [17] que le système de surveillance instauré par la loi de finances pour 2020 « est susceptible de dissuader et de conduire à en limiter l’utilisation » selon le Conseil constitutionnel. Cela étant, la collecte des données est autorisée en ce que l’administration ne peut pas fonder sa décision sur la seule base des algorithmes [18] et que les informations collectées sont supprimées dans un certain laps de temps défini (5, 30 ou 365 jours selon les cas). L’atteinte à la liberté d’expression ne serait donc pas un fondement opportun à opposer à l’administration.

(3) Le troisième se fonde sur l’interdiction d’opposer à un contribuable un contenu qu’il n’aurait pas lui-même rendu public.

Comme évoqué précédemment, l’administration peut collecter et traiter toutes informations publiques [19]. Pour ne prendre que l’exemple de Facebook il s’agira – même pour une personne non-inscrite et/ou non connectée – de votre photo de profil, photo de couverture, mais aussi de toutes vos publications partagées avec le paramètre « public », de celles partagées par d’autres personnes, de vos commentaires sur une publication publique ainsi que de vos publications au sein des pages Facebook ou des groupes publics.

L’administration pourra-t-elle vous opposer une information vous concernant mais publiée publiquement par un tiers [20] ? A notre sens, cela ne devrait pas être possible. En effet, comme le rappelle le Conseil constitutionnel dans sa décision du 27 décembre 2019 – en parfaite adéquation avec l’article 9 du RGPD – seuls l’information ou le contenu rendus publics par l’utilisateur lui-même peuvent être utilisés par l’administration.

(4) Le quatrième consiste à reprocher à l’administration une substitution de base légale.

A notre connaissance, un contentieux abondant pourrait d’ores et déjà être envisagé dans le cas où l’administration fiscale opèrerait une substitution de base légale dans le cadre de la procédure de contrôle. Autrement dit, lors de la recherche d’une activité occulte, celle-ci pourrait être amenée à connaître d’informations lui permettant en réalité de procéder à une rectification sur un autre fondement. Plus précisément, nous pensons à la procédure de taxation selon les signes extérieurs de richesse [21] ou celle relative aux activités lucratives non déclarées [22].

En effet, les données collectées dans le cadre de la lutte contre les activités occultes sont semblables à celles utilisées dans le cadre des deux autres procédures susvisées. Or, dans la mesure où « lorsqu’elles sont de nature à concourir à la constatation des infractions mentionnées au premier alinéa [notamment l’activité occulte], les données strictement nécessaires sont conservées et […] transmises au service compétent » et peuvent « être opposées au contribuable dans le cadre d’une procédure de contrôle », rien ne garantit que le fondement ayant permis la collecte des données soit bel et bien celui retenu pour procéder à la rectification. A cet effet, nous noterons que les cas de substitution de base légale en matière de taxation de signes extérieurs de richesse ne sont pas rares et ont fait par le passé l’objet d’un contentieux fourni [23].

En d’autres termes, une lecture « volontaire » de l’article 154 pourrait – sous couvert de la lutte contre les activités occultes spécialement visée par ce texte – être assimilé à l’un de ces chevaux de Troie de l’administration fiscale pour engager des contentieux bien éloignés de l’intention originelle. Les juridictions devront alors trancher le point de savoir si une telle substitution de base légale est valide ; le texte de l’article 154 ayant pourtant pris soin d’énumérer les 3 situations dans lesquelles les informations collectées pourraient être utilisées.

[1] L’ensemble des informations traitées par cet outil est visé par l’arrêté du 21 février 2014, notamment pris en son article 4-1. [2] Avis de la CNIL n°2019-114, rendu le 12 septembre 2019. [3] Public Sénat, article paru le 6 décembre 2019. [4] Par application de l’article 242 bis du Code général des impôts, entré en vigueur le 31 décembre 2018 et ayant donné lieu à la première collecte en janvier 2020. [5] Arrêté du 27 décembre 2018 pris pour l’application de l’article 242 bis du Code général des impôts, Article 1. [6] Article 111-7, I, 2°, Code de la consommation. [7] Rapport n° 2301 (Assemblée nationale – XVème législature) de M. Joël Giraud au nom de la commission des finances, tome III, déposé le 10 octobre 2019, p. 401 et avis n° 2368 (Assemblée nationale – XVème législature) de M. Philippe Latombe au nom de la commission des lois, déposé le 30 octobre 2019, p. 10. [8] Articles 1791 ter et 1810, 1°, 8° et 10° du Code général des impôts. [9] Selon l’article 1728, 1, c, Code général des impôts – tel que précisé par le BOFIP (BOI-CF-INF-10-20-10-20170308, n°40 et s.) et l’article L. 169 du Livre des procédures fiscales – sont ainsi visés l’ensemble des revenus d’un contribuable provenant soit d’une activité non déclarée soit d’une activité illicite non déclarée. [10] Article 1729, sur renvoi de l’article 4 B, du Code général des impôts. [11] Ces ventes sont par principe exonérées et non soumises à déclaration fiscale, comme l’indique l’administration fiscale elle-même. [12] Davantage d’informations sont fournies par l’administration fiscale à ce sujet. [13] Conseil constitutionnel, décision QPC n° 2011-209 du 17 janvier 2012. [14] Conseil constitutionnel, décision QPC n° 2011-165 du 16 septembre 2011. [15] Conseil constitutionnel, décision DC n° 2012-652 du 22 mars 2012. [16] Conseil constitutionnel, décision DC n° 2019-796 du 27 décembre 2019. [17] Conseil constitutionnel, décision DC n° 84-181 du 11 octobre 1984. [18] Conseil constitutionnel, décision DC n° 2018-765 du 12 juin 2018. [19] Pour plus d’informations sur les informations considérées comme publiques sur Facebook, voir cet article. [20] Hypothèse où un tiers vous aurait nominativement identifié – la collecte ne pouvant avoir recours à aucun système de reconnaissance facile – sur une publication configurée comme publique. [21] Article 168 du Code général des impôts. [22] Article 1649 quater-0 B ter du Code général des impôts. [23] CE, 13 avril 1988, n° 56250 ; CE, 31 octobre 1984, n° 21159 ; CE, 18 juin 1990, n°92163, etc.

réf. : POUMEAUD (L.), "Surveillance digitale par Bercy : lesquelles de vos informations sont encore privées ?", Doctrin'Actu avril 2020, art. 125

Photo by Tobias Jussen on Unsplash