Data-mining et fraudes fiscales : Bercy ignore deux des recommandations de la CNIL
Bercy patron
Bercy vient de mettre à jour la base légale de son algorithme de « ciblage de la fraude et valorisation des requêtes » (CFVR). Il révèle que « moins de 700 infractions liées à la fraude fiscale » seraient constatées par le juge chaque année, « soit moins de 1 % des contrôles réalisés ». 10 ans après la création du fichier, le « droit à l'information » des personnes fichées n'est toujours pas mis en œuvre par le ministère, qui ne semble pas non plus avoir tenu compte de deux des recommandations de la CNIL.
Le 16 décembre 2024 à 14h00
16 min
Droit
Droit
Ce vendredi 13 décembre, le Journal Officiel publiait un « arrêté du 21 octobre » modifiant le traitement automatisé de lutte contre la fraude du ministère des Finances dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR).
L'arrêté ne précise pas pourquoi il a fallu attendre près de deux mois après sa signature par le chef de service des systèmes d'information de la Direction générale des Finances publiques (DGFiP) pour être publié au JO. Mais la publication conjointe de la délibération du 14 décembre 2023 de la CNIL associée indique que l'affaire était pendante depuis un an.
L'arrêté vise, en particulier, à préciser les finalités du CFVR, à modifier les destinataires des données et à prévoir son alimentation par les résultats du traitement de plusieurs autres outils métiers de la DGFiP.
Ce traitement n'a pas pour but de remplacer l'analyse des agents
Le fichier CFVR, rappelle la CNIL, recourt à des techniques de fouille de données (« datamining ») et des modèles statistiques probabilistes « afin de faire apparaître de possibles liens entre des personnes physiques ou morales » et de « caractériser une personne ou une entreprise potentiellement frauduleuse » :
« Ce traitement, qui n'a pas pour but de remplacer l'analyse des agents, vise un meilleur ciblage du contrôle des particuliers et des professionnels qui pourraient se trouver en situation de manquement ou de fraude. »
Créé en 2014 à titre expérimental, dans le cadre de la recherche de « fraudes commises par les contribuables professionnels », CFVR avait été pérennisé en 2015 et étendu, toujours à titre d'expérimentation, aux « personnes physiques impliquées dans le fonctionnement des entités professionnelles ».
Cette extension fut elle-même pérennisée en 2016, et le fichier une nouvelle fois élargi, en 2017, cette fois pour y inclure les particuliers, « à titre expérimental jusqu'en août 2019 ». Ses finalités ont en outre été étendues afin de « permettre la détection anticipée des entreprises en difficulté », ainsi que l'envoi automatique de demandes de compléments d'informations aux contribuables.
Enfin, et toujours à titre expérimental, la loi a autorisé fin 2019 l'administration fiscale, « à des fins de recherche d'infractions limitativement énumérées », à collecter et à exploiter les contenus « librement accessibles et manifestement rendus publics » par les utilisateurs sur les plateformes et les réseaux sociaux.
Des bilans annuels qui se font attendre depuis 5 ans
À titre liminaire, la CNIL rappelle l'engagement du ministère, datant de 2019, « de lui communiquer régulièrement des bilans sur les conditions d'utilisation et d'exploitation [du] traitement [CFVR] et sur les coûts afférents ». Or, même si le ministère s'est engagé à fournir ce bilan « au plus tard au deuxième trimestre 2023 », la CNIL n'a toujours rien reçu.
Le ministère s'était également engagé, en 2018, à édicter un « acte réglementaire dédié au traitement relatif à la détection anticipée des entreprises en difficulté », ce qu'il n'a toujours pas fait, 6 ans après, déplore la CNIL :
« Compte tenu de la multiplicité des finalités du traitement CFVR, ce texte apparait nécessaire afin, d'une part, de rendre intelligibles les objectifs des traitements respectifs de CFVR et, d'autre part, de distinguer clairement les régimes juridiques applicables. »
Moins de 700 fraudes fiscales constatées chaque année
Depuis sa création en 2014, CFVR vise à modéliser et visualiser les « comportements frauduleux », afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d' « infractions pénales » ou de « manquements fiscaux ».
La nouvelle rédaction remplace l'expression « comportements frauduleux » par celle d'« anomalies fiscales », et ne fait plus mention de la notion d' « infractions pénales ». Elle y ajoute, en outre, un objectif « d'amélioration du respect des obligations fiscales des usagers ».
Le traitement permet de modéliser et de visualiser les comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d'infractions pénales ainsi que des opérations de recherche, de constatation ou de poursuite de manquements fiscaux. | Le traitement permet de modéliser et de visualiser les anomalies fiscales afin de programmer des opérations de recherche, de constatation ou de poursuite de manquements fiscaux et d'amélioration du respect des obligations fiscales des usagers. |
Le ministère précise à la CNIL que cette modification « n'est pas un changement de nature du traitement CFVR mais permet de mieux rendre compte de ses finalités ». Il souligne que « CFVR n'a qu'à titre accessoire » pour objet de détecter des manquements fiscaux susceptibles de donner lieu à une transmission au parquet en vue d'une poursuite pénale.
« Moins de 700 infractions liées à la fraude fiscale » seraient ainsi constatées par le juge chaque année, « soit moins de 1 % des contrôles réalisés ». La finalité principale du traitement serait, en effet, la « constatation des manquements fiscaux » dans le cadre de la lutte contre la fraude fiscale opérée par l'administration.
En outre, le ministère souligne que « l'extension régulière du champ du traitement CFVR » le conduit à considérer que « la régularisation de la situation fiscale des redevables est une finalité importante du traitement ». Et ce, du fait de la correction facilitée des erreurs commises par les contribuables de bonne foi ouverte par la loi ESSOC (loi pour un État au service d'une société de confiance) de 2018.
Par ces éléments, et plus particulièrement de l'évolution de la jurisprudence en la matière, tant nationale qu'européenne, la CNIL estime de son côté que « le traitement CFVR est soumis au RGPD », et considère que les modifications envisagées « sont légitimes ».
Il en résulte que « les droits des personnes ne doivent pas faire l'objet des restrictions prévues par la directive Police-justice » et qu'ils « ne peuvent être aménagés que lorsque cela pourrait nuire à l'objectif de lutte contre la fraude fiscale ». La CNIL précise qu'elle « sera attentive au respect des droits des personnes s'agissant notamment du recours à ces dérogations ».
Un élargissement significatif du nombre d'accédants aux dossiers
Jusqu'alors, ne pouvaient être rendus destinataires des « données personnelles strictement utiles à leur mission » que les seuls agents « territorialement compétents chargés de la programmation et du contrôle » des dossiers des professionnels et des particuliers, ainsi que ceux en charge de la « gestion » des dossiers des professionnels.
L'arrêté y ajoute ceux en charge de la gestion des dossiers des particuliers ce qui, souligne la CNIL, « élargit significativement le nombre de services accédant aux dossiers ayant été ciblés par le traitement CFVR ».
Le ministère précise qu'il s'agit « notamment » de prévoir l'accès des agents en charge du recouvrement et de ceux en charge du contentieux à « certains éléments de ces dossiers ».
Le ministère indique également que les agents en charge du recouvrement et du contentieux n'auront pas accès aux fiches produites par le service SJCF-1D, accompagnant les dossiers ciblés par le traitement CFVR.
Le « croisement de données en masse », « force de détection rapide »
Créée en octobre 2020 dans le cadre de la mise en place du nouveau service de la sécurité juridique et du contrôle fiscal (SJCF), la section SJCF-1D est chargée de la « Programmation des contrôles et analyse des données », et plus particulièrement de la conduite du projet CFVR :
« Le bureau SJCF-1D met à profit les effets de décloisonnement permis par l’existence d’un entrepôt de données unique pour détecter des anomalies simples (incohérences entre différentes déclarations, erreurs…) ou pour enrichir et automatiser certaines requêtes élaborées au niveau local. »
Un rapport (.pdf) de la Cour des comptes en 2023 sur la détection de la fraude fiscale des particuliers revient en longueur sur la programmation dite « croisement de données en masse » issue de listes de dossiers établies par le bureau SJCF-1D. Qualifiée de « force de détection rapide et massive », elle constituerait « le cœur de la stratégie technologique » mise en œuvre depuis le milieu des années 2010 :
« CFVR signale toute divergence entre les déclarations des redevables avec les données détenues ou avec les estimations statistiques produites par l’administration fiscale. L’algorithme de croisement des données trie les divergences par seuil d’enjeu dans un premier temps puis calcule dans un second temps un écart relatif en pourcentage entre la valeur déclarée et la valeur réelle ou estimé. »
La Cour souligne aussi que ce croisement de données en masse « couvre actuellement 50 risques fiscaux » pour les particuliers. Ils peuvent, par exemple, porter sur des fraudes à l’impôt sur le revenu, aux réductions et crédits d'impôt, aux droits de succession ou de mutation à titre onéreux, ou encore aux cessions de parts sociales à prix symbolique ou minoré.
Un rapport (le n°4, .pdf) du Conseil des prélèvements obligatoires publié en octobre dernier précise que ce bureau serait « rapidement » monté en puissance en passant de 14 à 31 professionnels spécialisés (data scientists) entre 2017 et 2022.
Il souligne qu'il est notamment chargé de « corriger les éventuelles erreurs (pouvant notamment être liées à un manque de qualité des données) », afin de dresser « des listes, issues du recoupement de données et de la détection de comportement ou indicateurs qui caractérisent des risques fiscaux », à destination des services de programmation locaux, les pôles de contrôle et d’expertise (PCE).
Une demande de modification non prise en compte par le ministère
Dans sa délibération, la CNIL indique avoir demandé au ministère de modifier le projet d'arrêté afin de détailler les services pouvant avoir accès aux différentes bases de données dans le cadre du développement des traitements algorithmiques de CFVR, aux fiches produites par le service SJCF-1D, « ou seulement à certains éléments des dossiers ciblés par ce traitement, voire au dossier dans son ensemble ».
Une demande de modification que ne semble pas avoir prise en compte le ministère. Pour rappel, depuis la refonte de la loi informatique et libertés de 2004, les avis de la CNIL ne sont plus que consultatifs, le gouvernement n'étant plus obligé de les suivre.
L'arrêté prévoit également, dans le cadre du projet « pilotage et analyse du contrôle » (PILAT) visant à moderniser et à simplifier le travail des agents de l'administration fiscale, l'alimentation de « deux nouvelles applications » grâce aux résultats du traitement CFVR :
- « GALAXIE », qui a déjà fait l'objet d'un avis de la CNIL en 2022, un outil de visualisation des liens existant entre des entités professionnelles et des personnes physiques (liens de dirigeant, d'associé ou d'actionnaire), et d'autre part, des éléments de contexte sur la situation patrimoniale et fiscale de ces personnes ;
- « PILOT CF » ayant pour objet le suivi de l'ensemble du processus de contrôle fiscal, le pilotage des services et le suivi d'activité pour les agents concernés et, enfin, le suivi statistique du contrôle.
Le ministère précise que le bureau SJCF-1D intégrera à PILOT CF, « trimestriellement ou mensuellement », des « listes de dossiers » de contribuables professionnels et particuliers « présentant des risques fiscaux » et détectés par le traitement CFVR.
La CNIL, qui rappelle l'importance de la protection de la vie privée « dès la conception et par défaut », « accueille favorablement » les mécanismes d'habilitation stricts mis en œuvre dans l'application « PILOT CF », permettant de dissocier les envois des listes de programmation en fonction des missions des agents. Elle « appelle le ministère à mettre en place des méthodes équivalentes pour les autres applications métiers ».
Un fichier, développé depuis 2022, mais pas encore déclaré à la CNIL
La CNIL appelle également à « une grande prudence » dans la conception et l'utilisation de ce type d'algorithmes, « eu égard aux risques, notamment de discriminations, qu'ils comportent et aux biais qu'ils peuvent présenter », qui sont également et « régulièrement » rappelés par le Défenseur des droits :
« L'exemple du traitement algorithmique déployé aux Pays-Bas pour détecter des situations de fraude à certaines prestations sociales a montré que la confiance accordée par une administration à un traitement algorithmique de détection de la fraude, sans précautions et contrôles humains suffisants, pouvait avoir des conséquences graves pour les personnes. »
Elle rappelle en outre qu' « aucune décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel, y compris le profilage ».
La CNIL estime dès lors que le déploiement de tels algorithmes devrait s'accompagner :
- de formations spécifiques permettant aux agents en charge de la programmation et des contrôles de maîtriser les principes des algorithmes utilisés ;
- d'une documentation couvrant le risque de biais algorithmiques, ainsi que d'un ensemble de mesures et de tests permettant un suivi continu des performances et des évolutions des algorithmes, à des fins d'analyse proactive.
La CNIL estime que les dossiers considérés comme à risque par le traitement CFVR, puis écartés par les services de la programmation et des contrôles :
- « ne devraient plus apparaitre » dans les applications de ciblage de la fraude, et qu'il revient à l'administration d'améliorer les traitements algorithmes de détection de la fraude afin de réduire le risque de faux positifs ;
- « ne doivent pas comporter » de mention du fait qu'ils aient déjà été ciblés par les algorithmes de CFVR. Elle souligne aussi que « le fait d'avoir déjà été ciblé à tort » ne « devrait pas constituer un indice » augmentant la probabilité d'être une nouvelle fois considéré comme un dossier à risque.
Elle invite enfin le ministère à prendre l'arrêté d'autorisation de ce traitement de données à caractère personnel après avis motivé et publié de la CNIL. PILOT CF, qui serait développé depuis 2022, n'aurait donc pas encore été déclaré à la CNIL.
Un droit à l'information encore inexistant, 10 ans après la création du CFVR
La CNIL constate par ailleurs que le projet d'arrêté ne contenait « aucune dérogation ou aménagement au droit à l'information ». Or, et en application des articles 12 et suivants du RGPD, les informations relatives au traitement « doivent être aisément accessibles pour toute personne, rédigées de manière intelligible, pédagogique et spécifique au traitement concerné » :
« En conséquence, et compte tenu des enjeux importants du traitement CFVR en termes de protection des données à caractère personnel, la CNIL estime que la politique d'information du ministère pour ce traitement devra être complétée et être plus facilement accessible au grand public. »
Elle recommande dès lors que la politique d'information du ministère soit mise en œuvre, « a minima, en deux temps distincts » :
- une information générale de l'ensemble des personnes concernées sur la possibilité d'utilisation de leurs données à des fins de lutte contre la fraude ;
- une information spécifique des personnes effectivement contrôlées dès lors que cette information n'est plus susceptible de nuire à l'efficacité du contrôle, « c'est-à-dire au plus tard » lorsqu'il est procédé à un échange contradictoire avec la personne soupçonnée de fraude.
La CNIL invite aussi le ministère à compléter le projet d'arrêté en ce sens. Ce que le ministère ne semble, là encore, pas avoir pris en compte.
L'arrêté n'évoque aucun « droit à l'information ». En l'état, la seule page du ministère consacrée au data-mining du CFVR n'explique pas aux personnes concernées que leurs données peuvent être traitées, ni quels sont leurs droits d'accès, de rectification, de limitation et d'opposition, ni comment les mettre en œuvre.
De plus, la page n'a pas été mise à jour depuis novembre 2020. On y lit en effet que « la montée en puissance des contrôles ciblés par le data-mining reposera par ailleurs, en 2021 et 2022, sur l’exploitation accrue des données extérieures aux déclarations fiscales afin d’avoir une vision plus globale des entreprises et des particuliers qui prenne en compte les éléments de contexte (patrimoine et comportement des dirigeants, antécédents fiscaux …) » :
« Dans cette optique, seront notamment exploitées les données des plateformes collaboratives obtenues par la DGFiP et les données collectées sur les réseaux sociaux. »
L'arrêté se borne de son côté à préciser que les droits d'accès et de rectification s'exercent auprès du bureau SJCF-1D (64 - 70, allée de Bercy, 75574 Paris Cedex 12) « sauf en ce qui concerne les données issues des applications de consultation, de gestion et de contrôle fiscal de la direction générale des finances publiques », pour lesquelles ces droits s'exercent auprès du centre des finances publiques dont relève le requérant.
Il rappelle en outre – pour les traitements mis en œuvre par les administrations publiques et les personnes privées chargées d'une mission de service public qui ont pour mission de contrôler ou recouvrer des impositions – que les droits d'accès, de rectification et d'effacement peuvent faire l'objet de « restrictions ». Et donc que les personnes concernées devront dès lors exercer leurs droits d'accès « indirects » en passant par la CNIL.
L'arrêté précise enfin que le « droit à la limitation » (qui permet de demander à un organisme de geler temporairement l’utilisation de certaines de vos données) s'exerce auprès du bureau SJCF-1D, et que le droit d'opposition « ne s'applique pas au présent traitement ».
- Fraude fiscale : Bercy va utiliser du « data mining » pour cibler les particuliers
- Contre la fraude fiscale, toute la population française sous l’œil du « datamining » CFVR
- Le datamining, cache-misère contre la fraude fiscale
- IA : Bercy veut multiplier par deux les contrôles fiscaux de particuliers grâce au datamining
- Fraudes fiscales : les criblages par IA de Bercy ont contribué à supprimer des centaines d’emplois
- L’IA au ministère de l’Économie et des finances : utile, mais peut mieux faire, d’après la Cour des Comptes
Data-mining et fraudes fiscales : Bercy ignore deux des recommandations de la CNIL
-
Ce traitement n'a pas pour but de remplacer l'analyse des agents
-
Des bilans annuels qui se font attendre depuis 5 ans
-
Moins de 700 fraudes fiscales constatées chaque année
-
Un élargissement significatif du nombre d'accédants aux dossiers
-
Le « croisement de données en masse », « force de détection rapide »
-
Une demande de modification non prise en compte par le ministère
-
Un fichier, développé depuis 2022, mais pas encore déclaré à la CNIL
-
Un droit à l'information encore inexistant, 10 ans après la création du CFVR
Commentaires (7)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 16/12/2024 à 16h09
Le 16/12/2024 à 19h01
C'est un indicateur sans intérêt.
Le but des contrôles n'est pas d'aller devant le juge mais de faire des redressements fiscaux suite à des détections d'anomalies. Il est normal qu'il y ait peu de contrôles aboutissent devant les juges.
Un bon contrôle est un contrôle qui aboutit et qui n'est pas contesté par le contribuable.
Une tentative de redressement qui aboutit devant le juge peut avoir 2 causes :
- Le contribuable conteste le redressement devant un juge
- l'administration transmet un dossier à la justice parce que c'est devenu obligatoire par la loi du 23 octobre 2018 (1 373 dossiers en 2022) ou en déposant plainte.
Il serait bien plus intéressant de connaître le taux de contrôle aboutissant à un redressement suite à une erreur de bonne foi ou suite à une fraude.
Le 16/12/2024 à 21h31
Modifié le 17/12/2024 à 00h04
= >
" Le traitement permet de modéliser et de visualiser les anomalies fiscales "
En 2024, le Wokisme n'est apparemment toujours pas mort...
Comme disait Jean Réno dans "L'Opération Corned Beef" : "il faut appeler un chat un chat"
Le 17/12/2024 à 12h10
Modifié le 17/12/2024 à 13h25
De toute façon, courant en voie de disparition. Le wokisme peut être défini comme un virus de la pensée.
Je pense que tu poses innocemment la question tout en connaissant pertinemment la réponse.
On va dire du wokisme "étendu", pas raciale, mais toutes les dérives qui ont abouti à lutte contre les discours, les représentations ou les comportements qui pourraient de près ou de loin heurter la sensibilité des plus facilement offensés.
En clair, mettre une bonne couche de sucre ou édulcorer beaucoup de sujets.
Enfin tu vois quand même le changement flagrant de sémantique entre "comportements frauduleux" remplacé par "anomalie fiscale" ?
C'était un gros mot avant de parler de
"FRAUDE FISCALE" ?
Bref... si tu as accès à Internet, Wiki est ton ami...
Le 18/12/2024 à 00h18
Les derniers changements purement sémantiques datent de 2006, quand Coppé (qui n'est pas particulièrement "woke") était ministre : le terme "mauvaise foi", qualification qui permet de mettre une majoration de 40 %, a alors été remplacé par "manquements délibérés", Dans le même temps, le courrier n°2120 (en cas de contrôle du bureau) ou 3924 (en cas de contrôle sur place), par lequel sont notifiées au contribuable ses erreurs et par conséquent le montant des redressements, a pris le nom de "proposition de rectification" alors qu'il portait jusque-là le nom de '"notification de redressement". Dans les 2 cas, c'était essentiellement sémantique et en très grande partie hypocrite. Politiquement correct aurait-on dit dans les années 90 et 2000.
Mais dans le cadre du présent article, les mots employés n'ont pas du tout le même sens. Un comportement frauduleux, c'est quelque chose de suffisamment grave pour devoir être signalé à la justice et être passible de poursuites. Alors qu'une anomalie fiscale, ça peut aller de la simple erreur commise de bonne foi jusqu'aux manœuvres frauduleuses ou aux abus de droit qui sont passibles de majorations de 80 %.
Ici, le changement dans les termes signifie "simplement" que, sans l'avouer ouvertement, Bercy tire les conséquences de son échec : le CFVR était prétendument là pour détecter en (plus) grand nombre la très grande fraude, celle que les agents fiscaux ne seraient pas en capacité de découvrir (que ce soit pour des raison de compétence, d'organisation ou d'effectifs suffisants), mais l'expérience a permis de constater qu'il n'en est pas capable.
D'où le changement de nom pour modérer les prétentions de ce sur quoi peut déboucher le CFVR : la détection d'anomalies, qui peuvent néanmoins dans un certain nombre de cas (environ 700 par an selon l'article) se révéler suffisamment importantes pour déboucher sur des poursuites.
Bref, y'a absolument rien de "woke" là-dedans si tant soit que le terme veuille dire la moindre chose en France...
Quant à l'ajout d'un objectif « d'amélioration du respect des obligations fiscales des usagers », j'imagine que c'est une façon d'ajouter un objectif qui est presque automatiquement (en partie) rempli du fait des contrôles.
Le droit à l'erreur est en effet proposé automatiquement aux contribuables dès lors qu'ils ont déposé dans les temps et que les erreurs rectifiées par les services fiscaux ne s'accompagnent pas de majoration de 40 % ou 80 % (celles qui sanctionnent des comportement frauduleux). Inconvénient pour les contribuables, il ne peuvent normalement plus contester ensuite. Mais l'avantage pour eux, c'est que le droit à l'erreur permet de supprimer la majoration de 10 % des droits et de réduire les intérêts de retard à 70 % de leur montant initial. La plupart des contribuables demandent donc à en bénéficier. Et pour ce faire, ils doivent remplir une déclaration de régularisation. L'administration fiscale considère alors que le contribuable est à l'origine de la démarche, presque comme s'il avait corrigé spontanément sa déclaration. Alors que ça n'est que la résultante d'un contrôle... Et surtout, l'administration semble en conclure que le civisme fiscal a été amélioré grâce à CFVR, ce qui lui permet d'en justifier l'existence...