Article mis à jour le 4 février 2020 à 11:39
Sous couvert de la lutte contre la fraude fiscale, le Conseil constitutionnel a validé l’essentiel des mesures du projet de loi de finances pour 2020 [1]. Ce dernier permet notamment la collecte et l’exploitation par le fisc de données personnelles publiées par exemple sur les réseaux sociaux. Selon les sages, ce dispositif comporte suffisamment de garanties pour éviter l’atteinte au respect de la vie privée des contribuables. Pourtant, cet avis, non partagé par toutes les institutions, peut porter à débats. Article co-écrit par Victorien De Faria et Jocelyn Ziegler, adapté pour Made In Perpignan.
♦ Contrôler d’éventuels manquements aux obligations sans consentement
L’Assemblée nationale avait procédé, le 19 décembre 2019, en première lecture, à l’adoption du projet de loi de finances pour 2020. L’article 154 permet à l’administration fiscale de collecter et d’exploiter les données publiques des utilisateurs de différentes plateformes en ligne. Et ce pour contrôler d’éventuels manquements aux obligations fiscales, sans leur consentement.
À titre expérimental et pour une durée de trois ans, le dispositif prévoit d’autoriser la direction générale des finances publiques (DGFIP) et la direction générale des douanes et des droits indirects (DGDDI) à collecter en masse des données personnelles publiques rendues librement accessibles par les utilisateurs de certaines plateformes en ligne.
Le délai de conservation des données sera d’une durée maximale de trente jours. Mais lorsqu’elles ne sont pas de nature à concourir à la constatation d’un manquement fiscal ou d’une infraction douanière visée « aux b et c du 1 de l’article 1728, aux articles 1729, 1791, 1791 ter, aux 3°, 8° et 10° de l’article 1810 du code général des impôts, ainsi qu’aux articles 411, 412, 414, 414-2 et 415 du code des douanes ». La durée de détention s’allonge à une durée maximale d’une année lorsqu’elles sont de nature à « concourir à la constatation » d’un manquement fiscal ou d’une infraction douanière parmi la liste précitée, ainsi que la possibilité de les garder jusqu’au terme de la procédure si une procédure pénale, fiscale ou douanière est engagée.
♦ Un dispositif déféré par les parlementaires, le 20 décembre 2019 au Conseil constitutionnel
Le Conseil constitutionnel, par sa décision n° 2019-796 DC du 27 décembre 2019, estime que « le législateur a assorti (…) le dispositif contesté de garanties propres ». De manière à concilier « le droit au respect de la vie privée et l’objectif de valeur constitutionnelle de lutte contre la fraude et l’évasion fiscales ». En outre, le pouvoir réglementaire veillera notamment, « sous le contrôle du juge, à ce que les algorithmes utilisés » pour traiter les données « ne permettent de collecter et de conserver que les données strictement nécessaires à ces finalités ».
En revanche, le Conseil censure partiellement l’article 154. « pour la recherche du manquement sanctionnant d’une majoration de 40% le défaut ou le retard de production d’une déclaration fiscale dans les trente jours suivant la réception d’une mise en demeure ». Le conseil estime en effet que « dans une telle situation, l’administration, qui a mis en demeure le contribuable de produire sa déclaration a déjà connaissance d’une infraction à la loi fiscale, sans avoir besoin de recourir au dispositif automatisé de collecte de données personnelles ».
Cette décision apparaît critiquable tant sur l’atteinte à la vie privée que sur l’atteinte aux autres libertés fondamentales.
♦ La lutte contre la fraude fiscale au détriment de la vie privée du contribuable
Le Conseil a rappelé dans sa décision que la lutte contre la fraude fiscale est un objectif à valeur constitutionnelle[2]. Face à l’ingéniosité, à la complexité des montages juridiques et des comportements frauduleux, les pouvoirs publics se doivent de réagir en adaptant constamment leurs techniques d’investigation. En ce sens, les agents du fisc disposent de plusieurs prérogatives dans la recherche de renseignements. Comme le droit de communication, les demandes d’éclaircissement et de justification, le droit de visite et de saisie, les vérifications approfondies.
Ils ont pour finalité l’obtention de renseignements permettant de mettre en lumière un éventuel manquement aux obligations fiscales. Ces différentes prérogatives, mentionnées dans le Code général des impôts, mettent en exergue la réaction de l’administration à un soupçon de fraude et à des éléments préalables objectivement caractérisés. Cette logique est d’ailleurs caractéristique de la répression en matière pénale. La réaction face à un fait ou à un comportement laissant présupposer une infraction.
♦ Un motif légitime pour un dispositif absurde
Toutefois, l’article 154 de la loi de finances pour 2020 vient imposer une tout autre logique en opérant un renversement des méthodes de travail des administrations. Mais aussi des traitements auxquels elles ont recours pour lutter contre la fraude[3]. En effet, ledit article opère un basculement entre un traitement ciblé des données jusqu’ici mis en œuvre par l’administration lorsqu’un doute ou des suspicions de commission d’infraction préexistaient, vers une collecte générale préalable de données, en amont, en vue de cibler des actions ultérieures.
Cette nouvelle logique du « tous suspect », permettant une véritable traque de l’infraction, est dubitable. Tant dans son opportunité que dans le message qu’elle véhicule, à contre-courant, de la volonté des pouvoirs publics de restaurer la confiance du contribuable envers son administration.
Il se pose également la question des infractions hors champ d’application de la mesure. En effet, il est difficile de concevoir qu’un fonctionnaire, qui par une collecte de masse des données aurait connaissance d’un éventuel manquement non mentionné dans le texte, ferme les yeux et traite uniquement des manquements mentionnés. Or, les sages affirment qu’il appartient au pouvoir réglementaire de veiller, « sous le contrôle du juge, à ce que les algorithmes utilisés » pour traiter les données « ne permettent de collecter et de conserver que les données strictement nécessaires à ces finalités ».
Pourtant, il est certain qu’il existe un véritable risque de détournement de la loi, du fait de la nature humaine du fonctionnaire.
♦ Une atteinte manifeste au droit à la vie privée du contribuable
La loi n° 70-643 du 17 juillet 1970 a introduit le droit au respect de la vie privée dans le droit français. L’article 9, alinéa 1er, du Code civil dispose que « chacun a droit au respect de sa vie privée ». La notion de vie privée figure également à l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Cet article renvoie plus largement à la « vie privée et familiale », et aux notions de protection de « domicile » et « correspondances ». Le droit au respect de la vie privée a également valeur constitutionnelle. En effet, c’est un droit subjectif que le Conseil constitutionnel a fait entrer dans le bloc de constitutionnalité en le rattachant à l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789[4].
En vertu de l’article 9 du Code civil et de son interprétation par la jurisprudence, toute personne, quels que soient son rang, sa naissance, sa fortune, ses fonctions présentes et à venir, a droit au respect de sa vie privée[5].
♦ L’article 6 de la loi du 6 janvier 1978 relative à l’informatique
L’article 6 de la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, dispose « qu’un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
1° les données sont collectées et traitées de manière loyale et licite ;
2° elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités (…) ;
3° elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
4° elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
5° elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
Le développement des systèmes d’information et de communication a évidemment changé la perception qu’il est possible d’avoir de la vie privée. Des informations à caractère général, mais aussi des données plus intimes, sont maintenant disponibles. La question est dès lors de savoir comment elles peuvent être conservées, utilisées et communiquées. Sans donner une réponse unique pour toutes ces données, la Cour considère que les États doivent se doter de législations efficaces[6]. C’est-à-dire, qui permettent de concilier les impératifs de protection de la vie privée et d’information lorsque cette protection paraît nécessaire, voire indispensable.
♦ Le rôle fondamental de la protection des données personnelles
L’ingérence dans l’exercice du droit de toute personne au respect de sa vie privée que constituent la collecte, la conservation et le traitement, par une autorité publique, d’informations personnelles nominatives, ne peut être légalement autorisée que si elle répond à des finalités légitimes, et si le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités[7].
La protection des données à caractère personnel joue donc un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale. La législation interne doit ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel. Utilisation non conforme aux garanties prévues à l’article 8. La nécessité de disposer de telles garanties se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique. En particulier lorsque ces données sont utilisées à des fins policières[8].
♦ Un système de détection d’infraction via la collecte de données personnelles
En l’espèce, l’article 154 prévoit la possibilité, pour les administrations fiscales et douanières, de collecter et exploiter les données rendues publiques par leurs utilisateurs sur les sites internet des réseaux sociaux et des opérateurs de plateforme. Il devient possible pour l’État, de façon générale et hors toute infraction, de détecter les données personnelles d’une très grande partie de la population. Une collecte permise pour lever des doutes ou soupçons de l’administration sur la commission d’une infraction. Mais aussi pour cibler des actions ultérieures de contrôle lorsque le traitement des données aura révélé un doute. Ce n’est plus une logique de traitement ciblé de données après l’apparition d’un doute sur la commission d’une infraction, mais la mise en place par ce système de détection d’infraction via la collecte de données personnelles[9].
Le 12 septembre 2019, la CNIL soulève les carences cet article, notamment le manque de garanties dans la protection des droits et liberté des individus concernant la protection du droit à la vie privée des utilisateurs des réseaux sociaux[10].Celle-ci a considérée, à juste titre, que le mécanisme prévu par l’article 154 du projet de loi de finances n’est pas proportionné au but poursuivi.
Or, le Conseil constitutionnel estime que « le législateur a assorti (…) le dispositif contesté de garanties propres » à concilier « le droit au respect de la vie privée et l’objectif de valeur constitutionnelle de lutte contre la fraude et l’évasion fiscales ».
♦ Des conséquences désastreuses pour les libertés individuelles
En permettant cette collecte de données en masse, l’article 154 a indubitablement un impact sur la liberté d’expression et de manifestation des opinons. Le réflexe naturel, face à une telle mesure, sera pour les différents usagers des plateformes en ligne de se prémunir contre une intrusion et une appropriation de leurs données privées. Ils seront de facto moins enclins à s’exprimer et à partager des données qu’ils estiment être personnelles.
Rappelons que la création volontaire de profils sur les plateformes en ligne ne justifie ni n’autorise, leur collecte et leur rediffusion sur d’autres supports. Tels les bases de données auxquelles les utilisateurs n’auraient pas accès et n’ayant donc aucune possibilité de les modifier à leur guise. Le comportement des usagers changera à la suite de cette mesure. C’est d’ailleurs dans ce sens que va l’avis de la CNIL n°2019–1114 du 12 septembre 2019 quand il estime que « la collecte de l’ensemble des contenus librement accessibles publiés sur Internet est susceptible de modifier, de manière significative, le comportement des internautes qui pourraient alors ne plus être en mesure de s’exprimer librement sur les réseaux et plateformes visés ».
♦ Un impact collatéral négatif sur les libertés individuelles
Le Conseil dans sa décision du 27 décembre 2019 déclare que « la liberté d’expression et de communication est précieuse, car son exercice est une condition de la démocratie et l’une des garanties du respect des autres droits et libertés ». Il apparaît que les atteintes portées à l’exercice de cette liberté sont « nécessaires, adaptées et proportionnées à l’objectif poursuivi ».
Or, s’agissant des garanties du contribuable sur la protection de ces données, les précisions apportées par la loi restent sommaires. La loi se réfère aux « contenus librement accessibles, publiés sur internet ». La teneur et la précision des données collectées varieront donc selon les différentes politiques de confidentialité des sites sans mention faite dans le projet de loi.
Ladite loi restreint la collecte des informations aux seuls contenus « manifestement rendus publics » par les utilisateurs de certaines plateformes en ligne. La loi reprend en cela les termes de l’article 9 du règlement (UE) 2016/679 du 27 avril 2016, dit « règlement RGPD ». Reste encore à pouvoir définir le contenu de la notion de « manifestement rendus publics ». Cela concerne-t-il de la même manière une photo publiée sur son mur Facebook, accessible à tous et une photographie publiée sur Instagram seulement accessible aux amis ? Des éclaircissements jurisprudentiels seront nécessaires.
♦ Vers une banalisation de la collecte de masse des données personnelles pour la protection de l’ordre public
L’article 154 s’analyser comme « liberticide ». Et selon la CNIL, de plus de plus de lois ayant pour but la protection de l’ordre public restreignent les droits et libertés en ligne des individus.
Par exemple, le 17 octobre 2019, les membres de la CNIL, réunis suite à la saisie par la région Provence-Alpes-Côte d’Azur, se sont prononcés sur une expérimentation qui prévoyait le recours à la reconnaissance faciale à l’entrée de deux lycées. Ce dispositif concernant des élèves, dans le seul but de fluidifier et de sécuriser les accès, n’apparaissait ni nécessaire ni proportionné pour atteindre ces finalités. La CNIL a estimé que ce dispositif ne pouvait être légalement mis en œuvre[11].
La CNIL considère qu’il y a là un phénomène de banalisation de la collecte de masse des informations personnelles. Un sujet qui est plus que jamais d’actualité.
♦ L’exemple des caméras individuelles des agents de police municipale
Il en a tout d’abord été ainsi pour les caméras individuelles des agents de police municipale. Initialement déployé dans le cadre d’une expérimentation, l’adoption de la loi n° 2018-697 du 3 août 2018 a pérennisé ce dispositif. Aux termes du nouvel article L. 241-2 du Code de la sécurité intérieure, les agents de police municipale sont donc, pour leur part, désormais pleinement autorisés à procéder à l’enregistrement audiovisuel de leurs interventions au moyen de caméras mobiles. Celles-ci peuvent être utilisées en tous lieux[12].
Ceci n’est pas sans poser question, comme l’a relevé la CNIL dans son avis du 13 décembre 2018[13]. Ces enregistrements susceptibles de filmer le domicile de particuliers, voire de contenir des « conversations privées » en cas de dispositifs sonores. Certes, une condition existe, puisqu’il faut que se produise ou soit susceptible de se produire un incident lié aux circonstances de l’intervention ou au comportement des protagonistes. D’où la nécessité de définir, toujours comme le recommande la CNIL, une « doctrine d’emploi qui, sans dresser une liste exhaustive des circonstances de nature à justifier le déclenchement des caméras, définirait des critères objectifs commandant l’utilisation des dispositifs »[14].
♦ Des innocents traités de la même manière que des condamnés
La CNIL tient compte également du risque de stigmatisation. Ce dernier découle du fait que les personnes dans la situation des utilisateurs accusés, reconnus coupables d’aucune infraction et en droit de bénéficier de la présomption d’innocence, ont le même traitement que des condamnés. Il convient de ne pas perdre de vue à cet égard que le droit de toute personne à être présumée innocente que garantit la Convention EDH comporte une règle générale en vertu de laquelle on ne peut plus exprimer de soupçons sur l’innocence d’un accusé une fois que celui-ci a été acquitté[15].
Ce phénomène de loi liberticide peut donner l’impression aux intéressés de ne pas être innocents. Ce phénomène se trouve renforcé par la conservation à l’infini des données les concernant. Tout comme celles relatives à des personnes condamnées. Alors que celles concernant des individus n’ayant jamais été soupçonnés d’une infraction doivent être détruites[16].
♦ Des données personnelles et de leur utilisation aux fins de publicité, démarchage, et aujourd’hui surveillance fiscale
La banalisation des lois permettant la collecte de masse ne prévoit pas en général un cadre permettant de concilier les différents intérêts à protéger, c’est-à-dire l’ordre public, face aux droits et aux libertés des individus. L’écoute des plateformes reste un outil de surveillance de masse. Compte tenu de l’importance qu’ont pris les données personnelles dans notre quotidien, et de leur utilisation aux fins de publicité, démarchage, et aujourd’hui surveillance fiscale, on peut imaginer de manière plausible la pérennité de tels moyens de surveillance. Pourquoi pas, demain, cette méthode pour repérer la fraude aux allocations, pour identifier les résidents étrangers ou encore faire du fichage politique.
Le Conseil constitutionnel nous donne rendez-vous dans 3 ans. En effet, celui-ci déclare que « pour apprécier s’il convient de pérenniser », ce dispositif expérimental, de sa conformité à la Constitution, la loi « pourra de nouveau être examinée ». La question des données personnelles est plus que jamais le sujet du XXIe siècle, la surveillance de masse façon Big Brother n’est plus très loin…
♦ Biographie de Jocelyn Ziegler
Jocelyn Ziegler est depuis janvier 2018 inscrit à l’école de formation du barreau des avocats de Paris. Il réalise son stage en droit public des affaires dans un cabinet d’avocats parisien.
Nous avons rencontré Jocelyn alors qu’il était étudiant à l’université de Perpignan. Inscrit en droit de 2011 à 2016, Jocelyn Ziegler a présidé l’association des juristes de Perpignan (2015 à 2016). Il s’est brillamment qualifié pour la finale du concours d’éloquence en 2016. Les éditions Presses universitaires de Perpignan ont publié son mémoire intitulé « Cyberdémocratie et démocratie participative ».
Depuis janvier 2018 il est le vice président de la clinique juridique de l’école des avocats de Paris. Il est également responsable de la rubrique du droit administratif pour la revue Le Petit juriste, et collabore au blog spécialisé Habeas Corpus Blog.
♦ Références
[1] Décision n° 2019-796 DC du 27 décembre 2019
[2] Décision du conseil constitutionnel, Wildenstein, 24 juin 2016
[3] Avis de la CNIL du 12 septembre 2019 sur le projet d’article 9 du projet de loi de finances pour 2020
[4] Décision du conseil constitutionnel du 23 juill. 1999
[5] Civ. 1re, 23 oct. 1990
[6] CEDH 10 oct. 2006, L. L. c/ France, no 7508/02
[7] CE 18 oct. 2018, no 404996
[8] CEDH, gr. ch., 4 déc. 2008, S. et Marper c/ Royaume-Uni, no 30562/04
[9] Sophie Ferry-Bouillon, Associée au sein de FILOR Avocats, membre du CNB et Présidente de l’ACE Lorraine
[10] https://www.cnil.fr/sites/default/files/atoms/files/d2019-114_projet_article_9_plf_vs.pdf)
[11] Protection des données personnelles : quelles garanties face à l’émergence des dispositifs innovants de sécurité ? – Romain Perray – Hélène Adda – AJCT 2019. 499
[12] Op. cit.
[13] CNIL, délib. n° 2018-358 du 13 déc. 2018
[14] Protection des données personnelles : quelles garanties face à l’émergence des dispositifs innovants de sécurité ? – Romain Perray – Hélène Adda – AJCT 2019. 499
[15] V. Conv. EDH, art. 6 § 2
[16] CEDH, gr. ch., 4 déc. 2008, S. et Marper c/ Royaume-Uni, no 30562/04
