Ce week-end, Gérald Darmanin a posé la dernière pierre à l’édifice CFVR. Derrière l’acronyme du « ciblage de la fraude et valorisation des requêtes », l’exploitation de multiples fichiers pour détecter de possibles fraudes fiscales par des entreprises ou des particuliers. Au même moment, le Sénat examine #BigBrotherBercy.

Le ministère de l’Action et des Comptes publics a fait publier samedi un arrêté pour modifier un précédent texte de 2014.  L'occasion d'un retour cinq années en arrière.

Ce 21 février 2014, la direction générale des finances publiques accouche d’un traitement automatisé de lutte contre la fraude baptisé « ciblage de la fraude et valorisation des requêtes » ou CFVR. À l’origine, devaient tomber dans cet estomac les données issues de onze traitements différents : ADELIE, MEDOC, FNDP, Obligation déclarative des domiciliantes, BODACC, REBECA, TSE, SIR, ALPAGE, COMPAS (relatif à la présence d'un compte bancaire à l'étranger) et SIRIUS-PRO. Soit des fichiers essentiellement professionnels.

Derrière ce datamining, une « fouille approfondie des données s'appuyant sur des méthodes exploratoires basées sur la statistique et des algorithmes et permettant de modéliser des comportements », expliquait la CNIL dans sa délibération, première avant une longue série, comme nous le verrons.   

Le CFVR ne devait mouliner de la donnée qu’à titre expérimental, seulement pour 6 mois.  « En aucun cas, les calculs opérés ne constitueront le résultat final du traitement » se rassurait encore la commission. Elle y voyait alors « une garantie selon laquelle l'outil constitue bien une aide au ciblage et à l'optimisation de la détection de la fraude et non pas un outil de profiling destiné à identifier directement des fraudeurs potentiels ».

Conclusion : « les éléments qui en seront issus n'auront qu'une valeur de signalement parmi d'autres à la disposition des services fiscaux et ne conduiront en aucun cas à une programmation automatique des contrôles ni a fortiori à des décisions de redressement directement opposables aux contribuables ».

Bref, listes d’indices ou de soupçons transmises aux agents, dès lors qu’un risque de fraude significative est détecté.  

Première pérennisation, première extension

Le 16 juillet 2015, un arrêté rend pérenne le CFVR pour les données relatives au secteur professionnel. Par la technique du pied dans la porte, il étend l’expérimentation aux personnes physiques, du moins seulement celles « ayant un lien avec une entreprise ». 

Parmi les données traitées, outre les éléments d’identification des personnes physiques et des entreprises, s’ajoutent désormais celles issues des déclarations et des obligations fiscales annuelles, les données bancaires et patrimoniales, les « données et indicateurs internes à l'administration fiscale ». Et d'autres informations externes.

Sont rangées dans cette dernière catégorie les données issues d'autres administrations, celles d'organismes sociaux, les données provenant de bases privées (les états financiers standardisés, des informations sur les sociétés implantées à l'étranger, les indicateurs financiers, les données d'identification des personnes en lien avec ces entreprises).

La CNIL rend son deuxième avis. Elle réclame que les informations externes exploitées soient précisées, ce qu’elle avait finalement obtenu du ministère, outre la promesse de se voir transmettre un bilan annuel.

Tout le secteur professionnel mis sous surveillance 

Un arrêté du 24 mai 2017 rend pérenne le traitement à la fois pour les données relatives au secteur des professionnels et pour les personnes physiques ayant un lien avec une entreprise. Les coordonnées postales, téléphoniques et électroniques sont désormais avalées.

Troisième délibération rendue le 20 septembre 2016. Pour la CNIL, « compte tenu de l'ensemble des garanties encadrant la mise en œuvre du traitement, et notamment le caractère progressif de son alimentation et des modalités d'exploitation des données concernées, cette pérennisation n'appelle pas d'observation particulière de la part de la commission ».

Elle relève toutefois que la notion de personnes en lien avec l’entreprise comprend finalement beaucoup de monde : « les personnes y détenant ou y ayant détenu des parts sociales ou des actions, les personnes y exerçant ou y ayant exercé des fonctions de dirigeant et celles présentant des liens interpersonnels avec les personnes précitées ».

Une expérimentation visant cette fois toutes les personnes physiques

Le 28 août 2017, nouvel arrêté modifiant le texte initial. Le traitement est toujours pérenne « pour les fraudes relatives aux professionnels » mais cette fois expérimenté « pour une durée de deux ans, pour les fraudes relatives aux particuliers ». C’est donc une nouvelle extension qui frappe l’ensemble des personnes physiques jusqu’en août 2019. 

Les données personnelles traitées par ces algorithmes sont encore et toujours élargies, notamment aux données du journal d'annonces légales et des tribunaux de commerce. Les informations peuvent également être puisées depuis de nombreuses bases comme la taxe d’habitation, l’impôt sur le revenu, le fichier des comptes bancaires, etc. 

• Fraude fiscale : Bercy va utiliser du « data mining » pour cibler les particuliers

Dans son quatrième avis, la CNIL devine sans mal une « extension significative du traitement, dans la mesure où l'ensemble des contribuables français sera concerné ». Elle réclame encore une fois des « garanties appropriées ».

En effet, « au regard du volume très important de données qui seront exploitées, de l'ampleur des personnes concernées et des modalités d'exploitation des données », la Commission demande notamment « une réduction du champ matériel ou géographique du traitement », sachant que ces restrictions ne devaient pas nécessairement apparaître dans les arrêtés.

En 2018, un document du syndicat FO-DGFIP nous apprend que cette année, 24 000 dossiers ont été envoyés aux services du contrôle via des listes générées par ce traitement.  Fin octobre 2019, l’AFP indique que 640 millions d’euros ont pu être récupérés depuis le début de l’année.

Le CFVR généralisé, arrivée des données issues des plateformes

L’annonce de ces chiffres a d’une certaine manière préparé le terrain à la publication au Journal officiel ce week-end. Ce 30 novembre, nouvelle modification du CFVR par arrêté. Sans surprise, le texte inscrit dans la durée le ciblage de l’ensemble des particuliers. Mieux ou pire, c’est selon, le champ des « données à caractère personnel traitées » est aussi élargi.

Y sont désormais incluses, les « données transmises par les opérateurs de plateformes collaboratives », conformément à l’article 242 bis du Code général des impôts.

Depuis la loi du 23 octobre 2018 relative à la lutte contre la fraude, qui a réécrit cette obligation, les plateformes de vente comme eBay sont en effet tenues de déclarer chaque année les ventes réalisées par leur intermédiaire.

Ces informations sont transmises par voie électronique à l'administration fiscale chaque 31 janvier. Elles comprennent le nom de la plateforme, les éléments d'identification de l'utilisateur, son statut (pro ou particulier), le nombre et le montant total brut des transactions réalisées au cours de l'année civile précédente et si elles sont connues de l'opérateur, les coordonnées du compte bancaire sur lequel les revenus sont versés.

Une dispense de déclaration existe, sous forme de seuil, lorsque l’utilisateur a réalisé  moins de 3 000 euros de transaction ou bien moins de 20 transactions dans l’année (notre actualité détaillée). Dit autrement, ce samedi au Journal officiel, l’ensemble des transactions sur eBay ou encore Airbnb, dépassant l’un ou l’autre de ces seuils, alimente désormais le datamining « Ciblage de la fraude et valorisation des requêtes ».

Le ministère a expliqué à la CNIL que ces transmissions auront pour finalité la détection d’activités commerciales occultes, la recherche de dissimulation de chiffre d’affaires (impôts sur les sociétés, le revenu ou la TVA), et enfin la « dissimulation des recettes de location de biens immobiliers par des particuliers ou des sociétés » (la cinquième délibération CNIL en date du 20 juin 2019)

Dans une dernière délibération datant du 20 septembre 2019 et portant sur le même texte, l’autorité de contrôle répète que la lutte contre la fraude fiscale est un objectif à valeur constitutionnel. Elle souligne que l’arrêté vient certes sacraliser le CFVR sans que lui ait été présentées les justifications de l’expérimentation réalisée entre 2017 et 2019.  

Désormais, le fisc pourra en tout cas procéder « à l’envoi automatique de demandes de renseignement aux contribuables suit à un rapprochement des informations décelant des incohérences dans les déclarations fiscales ». Les personnes concernées pourront, selon Bercy, régulariser leur situation sans subir de procédure de contrôle plus approfondie. 

La CNIL voit toutefois dans ce dernier arrêté « un changement d’échelle significatif dans la mesure où l’ensemble des contribuables français sera potentiellement concerné ». Les services de Gérald Darmanin ont tenté de l'apaiser en soutenant que « les données des personnes physiques contenues dans le traitement CFVR ne seront utilisées » que dans certains cas particuliers. À savoir :  

• La recherche d’anomalie et d’incohérences déclaratives ;
• Les travaux d’analyse risque consistant à identifier des évènements ou des occurrences déclaratives qui caractérisent des anomalies potentielles prédéfinies, puis à sélectionner les dossiers dans lesquels ces éléments sont constatés ;
• L’identification des contribuables dont le comportement d’achat semble incohérent ;
• L’identification d’indicateurs de fraude par analyse des contrôles antérieurs.

Autre chose. À la lecture de cette dernière délibération, on découvre que durant les précédentes expérimentations, seules les anomalies les plus flagrantes ont été épinglées, et encore, seules n’ont été ciblées celles aux enjeux financiers les plus importants. Mieux, moins d’une dizaine de personnes de la DGFIP ont eu accès aux données des particuliers, preuve en creux que la surveillance n’est pas si étendue...

Bref, l’ampleur de cette surveillance ne serait finalement pas si importante. Mais rien n’empêchera toutefois le renforcement des troupes, ni que le datamining soit étendu à la détection d’autres signes infractionnels moins graves. En tout cas, la commission a pris acte de ces informations, non sans regretter que « le bilan de l’expérimentation ne contienne pas la liste précise des critères caractéristiques du risque de fraude ».

Pas de journalisation avant 2023

Selon l’article 101 de la loi de 1978 modifiée, un responsable de traitement a l’obligation de tenir « un journal des opérations de collecte, de modification, de consultation, de communication, y compris les transferts, d'interconnexion et d'effacement, portant sur de telles données ».

Cette journalisation a pour objectif d’établir « le motif, la date et l'heure » et donc d’assurer dans la mesure du possible, l’identification des personnes « qui consultent ou communiquent les données et les destinataires de celles-ci ». Un outil précieux « à des fins de vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données et à des fins de procédures pénales ».

Cependant, la DGFIP n’organisera pas une telle journalisation, du moins pas « avant le 6 mai 2023 ». Elle a soutenu qu’une telle procédure exigerait d’elle des « efforts disproportionnés ». L’expression n'est pas hasardeuse. Elle est utilisée par l’article 62 de la directive de 2016 sur la prévention et de détection des infractions pénales pour justifier un tel déport dans le temps.

Doutes de la CNIL, qui s'est limitée à relever que « le ministère ne justifie en rien des éléments qui lui permettraient de se prévaloir de cette dérogation ».

Et pendant ce temps, #BigBrotherBercy au Sénat

Au même moment que le CFVR est généralisé à l’ensemble de la population française tout en assurant l’exploitation des informations fournies par les plateformes, le Sénat examine le projet de loi de finances 2020 et en particulier l’article 57.

Pour mémoire, celui-ci autorisera le fisc et les Douanes à aspirer puis traiter l’ensemble des sources ouvertes présentes sur les réseaux sociaux et les plateformes de ventes de biens ou services. Comme à l’Assemblée nationale, quelques sénateurs se sont émus de cette collecte de masse. En particulier, François Bonhomme.

L’élu LR plaide pour une suppression pure et simple de cet article. Reprenant les arguments de la CNIL, il expose que « les utilisateurs des réseaux sociaux et des plateformes d’échanges devront limiter leur liberté d’expression et leur liberté d’opinion lors de leurs échanges, afin d’éviter que ces contenus ne soient utilisés contre eux par l’administration ». 

Il reproche également au mécanisme de ne pas interdire la sous-traitance, ce qui pose « une réelle difficulté s’agissant de la nature des données collectées ». En outre, il se souvient qu’à l’Assemblée nationale, « le gouvernement a refusé de limiter la collecte aux seules données manifestement rendues publiques par la personne concernée et se rapportant à elle ». Ainsi, « des données rendues publiques sur une personne par des tiers sur les réseaux sociaux ou les plateformes pourront être collectées et utilisées par l’administration à l’encontre de cette personne ».

Enfin, avance-t-il dans son exposé des motifs, « l’article 57 autorise la collecte de données sensibles et leur conservation jusqu’à 5 jours avant destruction ». Comme le député Philippe Latombe (Modem), il pense que c’est là « une violation de l’article 9 du RGPD qui interdit la collecte des données sensibles, sous un certain nombre de réserves dont aucune ne peut être reprise pour autoriser cette collecte ».

Du côté de l’Union Centriste, inspiré par le même article du règlement, le sénateur Laurent Lafon voudrait que les données dites sensibles (comme les opinions religieuses ou les orientations sexuelles), alpaguées par la collecte de masse du fisc ou des douanes, soient supprimées immédiatement. 

Le couplage de l’article 57 du projet de loi de finances et du CFVR permettra en tout cas ceux qui souhaitaient contourner la surveillance en usant d’un pseudonyme sur les plateformes de vente. Puisque les plateformes devront révéler les vraies identités, le croisement en sera facilité.

Les débats auront lieu prochainement en séance.

Chalutage des réseaux sociaux... et des cartes Google Maps

Dans le Parisien, on apprend encore ce week-end que le fisc teste cette fois « Accenture », un logiciel développé par la société éponyme. Il est destiné à détecter cette fois des erreurs de cadastre. Outre la Charente-Maritime, une expérimentation a déjà eu lieu dans les Alpes-Maritimes. Environ 3 000 piscines y ont été décelées.

Le logiciel sait ainsi repérer ces rectangles bleutés et « même faire la différence entre une piscine hors sol, non soumise à l'impôt, et une piscine enterrée » indique un haut fonctionnaire des impôts dans les colonnes du Parisien.

Accenture peut aussi repérer les extensions de maison ou les vérandas non déclarées. Le test se poursuit aujourd’hui dans la Drôme et utilise notamment les données fournies par Google Street View. Le logiciel aura été facturé 20 millions d’euros par Accenture. Toujours selon nos confrères, « le fisc prévoit de déposer, début 2020, un appel d’offres pour généraliser l’expérimentation menée initialement dans trois départements ».

À terme, la DGFIP espère qu’un contrôle sur quatre aura été initié par le recours à l’intelligence artificielle.