—  1  —

 

N° 2368

______

ASSEMBLÉE   NATIONALE

CONSTITUTION DU 4 OCTOBRE 1958

QUINZIÈME LÉGISLATURE

 

Enregistré à la Présidence de l’Assemblée nationale le 30 octobre 2019

AVIS

FAIT

AU NOM DE LA COMMISSION DES LOIS CONSTITUTIONNELLES, DE LA LÉGISLATION
ET DE L’ADMINISTRATION GÉNÉRALE DE LA RÉPUBLIQUE SUR LE PROJET DE LOI (n° 2272)
de finances pour 2020
 

PAR M. Philippe LATOMBE

Député

——

 

Voir les numéros :

Assemblée nationale : 2301 – III.

 


—  1  —

 

SOMMAIRE

___

Pages

COMMENTAIRE DE L’ARTICLE DU PROJET DE LOI

Article 57 Possibilité pour les administrations fiscale et douanière de surveiller les données publiées sur les plateformes en ligne pour la lutte contre la fraude

COMPTE RENDU DES DÉBATS

PERSONNES ENTENDUES

 


—  1  —

 

   AVANT-PROPOS

Mesdames, Messieurs,

La commission des Lois s’est saisie pour avis de l’article 57 de la seconde partie du projet de loi de finances pour 2020. Cet article vise à expérimenter la possibilité pour les administrations fiscale et douanière de détecter les fraudes par la collecte et le traitement des informations rendues publiques sur les plateformes de partage en ligne.

Cette saisine, inédite par son objet, puisqu’elle porte sur un article « non rattaché » de la seconde partie de la loi de finances, sans lien avec les missions dont se saisit chaque année la Commission, se justifie par la nature de cet article et ses implications en matière de droits fondamentaux, de libertés publiques et de droit pénal.

La mise en place de tels traitements de données à caractère personnel est susceptible d’avoir des conséquences sur les droits au respect de la vie privée et à la protection de ces données mais aussi sur la libre communication des pensées et des opinions eu égard au rôle joué par internet dans l’exercice de cette liberté. Elle serait justifiée par la nécessité de renforcer la lutte contre la fraude, qui prive l’État de plusieurs dizaines de milliards d’euros de ressources chaque année.

Ces considérations avaient déjà conduit la Commission à examiner, au fond ou pour avis, des dispositions relatives à la lutte contre la fraude ([1]). Surtout, elle avait été saisie au fond de la loi du 20 juin 2018 relative à la protection des données personnelles, qui a notamment transposé dans notre droit la directive du 27 avril 2016 sur le traitement des données personnelles à des fins pénales ([2]) dont relèveraient, selon le Gouvernement, les traitements envisagés par l’article 57 du projet de loi de finances pour 2020.


—  1  —

 

   COMMENTAIRE DE L’ARTICLE DU PROJET DE LOI

Article 57
Possibilité pour les administrations fiscale et douanière de surveiller les données publiées sur les plateformes en ligne pour la lutte contre la fraude

       Résumé du dispositif et effets principaux

Le présent article vise à compléter les outils d’investigation à la disposition des administrations fiscale et douanière dans le domaine de la lutte contre la fraude en leur donnant la possibilité, à titre expérimental, d’analyser les données personnelles, publiques, des personnes figurant sur les plateformes de partage en ligne afin d’y détecter des suspicions d’activités illicites et de lancer des contrôles ciblés.

       Avis de la commission des Lois

La Commission a adopté plusieurs amendements de votre rapporteur afin de mieux garantir la proportionnalité du dispositif, en limitant le champ des plateformes visées, en interdisant le recours à des sous-traitants pour le traitement et la conservation des données collectées, en précisant le contenu du décret en Conseil d’État qui définira les modalités d’application de l’expérimentation et en renforçant son évaluation.

I.   le dispositif envisagÉ

L’article 57 du projet de loi de finances pour 2020 autorise, à titre expérimental pour une durée de trois ans, les administrations fiscale et douanière, pour les besoins de la recherche de certaines infractions, à collecter et exploiter les données publiées par les utilisateurs de plateformes en ligne.

A.   l’objectif poursuivi

Cette expérimentation aurait pour finalité de renforcer l’efficacité de la lutte contre la fraude par la détection de comportements illégaux sans créer de nouvelle obligation déclarative.

Elle complèterait les outils à la disposition des administrations fiscale et douanière pour mener à bien cette lutte, lesquels reposent, en l’état du droit, sur l’exploitation de données préalablement déclarées à l’administration ou publiées par des acteurs institutionnels :

–  le traitement dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR), mis en œuvre depuis 2013 par la direction générale des finances publiques aux fins de lutte contre la fraude fiscale et reposant sur la technique d’exploration de données (datamining([3]) issues de l’administration fiscale ou d’autres administrations et d’informations externes (bases de données économiques payantes, données en libre accès…) ;

–  les techniques d’exploitation en masse de données mises en œuvre, depuis 2016, par le service d’analyse de risque et de ciblage (SARC) de la direction générale des douanes et des droits indirects, à partir des données dématérialisées qu’elle recueille pour identifier des anomalies de nature à dissimuler une éventuelle faute déclarative.

L’article 57 énumère les infractions à la législation fiscale et douanière qui justifieraient la collecte et l’exploitation des données en visant celles qui sont constitutives de manquements d’une certaine gravité.

1.   La recherche de certaines infractions fiscales

Les infractions à la législation fiscale concernées seraient :

–  le défaut de production à temps d’une déclaration comportant des éléments à retenir pour l’assiette ou la liquidation de l’impôt, après mise en demeure de l’administration ou en cas de découverte d’une activité occulte (b et c du 1 de l’article 1728 du code général des impôts) ;

–  les inexactitudes ou omissions relevées dans une déclaration (article 1729 du même code) ;

–  les infractions à la législation sur les contributions indirectes et taxes diverses et les manœuvres ayant pour but ou résultat de frauder ou compromettre les droits, taxes, redevances, soultes et autres impositions (article 1791 du même code) ;

–  la fabrication, la détention, la vente ou le transport illicite de tabac (article 1791 ter du même code) ;

–  certains délits à la réglementation sur les alcools et le tabac ([4]) (3°, 8° et 10° de l’article 1810 du même code).

2.   La recherche de certaines infractions douanières

Parmi les infractions douanières dont la poursuite justifierait la mise en œuvre de ces traitements, figureraient les contraventions de deuxième et troisième classes, qui s’apparentent à des tromperies envers les douanes, ainsi que certains délits douaniers de première et deuxième classes, que sont la contrebande et le blanchiment douaniers.

Liste des infractions douaniÈres visÉes par l’article 57 du projet de loi de finances pour 2020

Nature de l’infraction

Éléments constitutifs de l’infraction

Contraventions de deuxième classe

(article 411 du code des douanes)

Infraction aux lois et règlements douaniers ayant pour but ou résultat d’éluder ou de compromettre le recouvrement d’un droit ou d’une taxe (hors répression spéciale).

Toutes infractions compromettant le recouvrement de droits de port ou de redevances d’équipement.

Contraventions de troisième classe

(article 412 du code des douanes)

1° Contrebande, importation ou exportation sans déclaration (hors produits du tabac manufacturé et marchandises prohibées à l’entrée, soumises à des taxes de consommation intérieure ou prohibées ou taxées à la sortie) ;

2° Fausse déclaration dans l’espèce, la valeur ou l’origine des marchandises importées, exportées ou placées sous un régime suspensif lorsqu’un droit ou une taxe se trouve éludé ou compromis ;

3° Fausse déclaration dans la désignation du destinataire ou de l’expéditeur réel ;

4° Fausse déclaration tendant à obtenir indûment le bénéfice des dispositions prévues par la réglementation communautaire en matière de franchises ;

5° Détournement de marchandises non prohibées de leur destination privilégiée ;

6° Présentation comme unité dans les manifestes ou déclarations de plusieurs balles ou autres colis fermés ;

7° Transport de marchandises par navires étrangers d’un port français à un autre port français ;

8° Absence de manifeste ou non-représentation de l’original du manifeste ; omission de marchandises dans les manifestes ou dans les déclarations sommaires ; différence dans la nature des marchandises manifestées ou déclarées sommairement ;

9° Contravention à l’interdiction d’habiter en zone franche, d’y vendre au détail ou d’y effectuer des manipulations non autorisées.

Délit douanier de première classe

(article 414 du code des douanes)

Contrebande, importation ou exportation sans déclaration de marchandises prohibées ou de produits du tabac manufacturé.

Délits douaniers de première classe

(article 414-2 du code des douanes)

Contrebande, importation ou exportation sans déclaration d’autres marchandises ou produits.

Fausse déclaration, utilisation d’un document faux, inexact ou incomplet ou non-communication d’un document, commises intentionnellement, en vue d’obtenir un remboursement, une exonération, un droit réduit ou un avantage financier attachés à l’importation ou à l’exportation.

Délit douanier de deuxième classe

(article 415 du code des douanes)

Procéder ou tenter de procéder, par exportation, importation, transfert ou compensation, à une opération financière entre la France et l’étranger portant sur des fonds provenant, directement ou indirectement, d’un délit douanier ou portant atteinte aux intérêts financiers de l’Union européenne, ou d’une infraction à la législation sur les stupéfiants.


—  1  —

 

B.   les donnÉes collectÉes

1.   Les données publiées sur les plateformes de mise en relation…

Les données susceptibles d’être collectées et exploitées seraient :

–  les informations mises en ligne par les personnes auxquelles elles se rapportent, ce qui exclut celles publiées à l’initiative de tiers à l’occasion de tags ou de commentaires ;

–  qui sont librement accessibles, sans saisie préalable d’un mot de passe ou création d’un compte d’utilisateur ;

–  et publiées sur l’une des plateformes en ligne définies au 2° du I de l’article L. 111-7 du code de la consommation, c’est-à-dire celles qui proposent, « à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un contenu, d’un bien ou d’un service ».

Seraient donc potentiellement concernées les plateformes de partage de vidéos (Youtube, Dailymotion…), les réseaux sociaux (Facebook, Twitter, LinkedIn, Viadeo…), les forums de discussion et les plateformes de mise en relation (Airbnb, eBay, PriceMinister…), à l’exclusion des annuaires et moteurs de recherche, que l’activité de classement et de référencement fait relever du 1° du I de l’article L. 111-7 précité.

2.   … susceptibles de révéler une fraude

Le Gouvernement justifie de retenir ce vaste champ de données en raison des facilités offertes par le numérique, qui permet « de réaliser de manière occulte ou sans respecter ses obligations fiscales ou douanières, une activité économique sur internet, a fortiori lorsqu’elle porte sur des marchandises prohibées, grâce aux nouveaux moyens de communication que sont les réseaux sociaux et les plateformes de mise en relation par voie électronique », les premiers dans la mesure où ils « peuvent être utilisés pour promouvoir une activité lucrative non déclarée », les secondes parce qu’elles « permettent à des contribuables de proposer la vente de biens ou services sans faire connaître leur activité auprès des administrations ou en minorant une activité lucrative non déclarée » ([5]).

Il attend de cette expérimentation une meilleure détection des activités économiques occultes ou illicites, les fausses domiciliations fiscales à l’étranger ou le trafic de marchandises non déclarées ou prohibées, comme les contrefaçons ou le commerce de tabac en ligne.

C.   les garanties prÉvues

1.   L’aménagement des droits des personnes concernées

L’article 57 précise les modalités d’exercice des droits d’accès et d’opposition, dans le respect des dispositions de la directive du 27 avril 2016 sur le traitement des données personnelles à des fins pénales ([6]) qui, selon le Gouvernement, régirait les traitements de cette nature et de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

En vertu de ces dispositions et en l’absence de précision contraire à l’article 57, le droit à l’information des personnes concernées s’appliquerait de plein droit et sans restriction, dans les conditions prévues à l’article 104 de la loi précitée du 6 janvier 1978.

De même, le droit d’accès aux informations collectées s’exercerait, sans restriction, auprès du service d’affectation des agents habilités à mettre en œuvre les traitements envisagés, conformément à l’article 105 de la même loi.

La personne intéressée pourrait obtenir la confirmation que des données la concernant sont ou non traitées, l’accès à ces données et, le cas échéant, plusieurs éléments d’information : les finalités du traitement, les catégories de données traitées, les destinataires de ces données, la durée de leur conservation, l’existence du droit de demander leur rectification ou leur effacement et la limitation de leur traitement, le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés (CNIL) et les coordonnées de celle-ci, la communication des données en cours de traitement ainsi que tout information disponible quant à leur source.

Enfin, les droits de rectification, d’effacement des données et de limitation du traitement seraient mis en œuvre comme le prévoit l’articles 106 de cette même loi.

En revanche, les personnes n’auraient pas le droit de s’opposer à l’utilisation des données, comme le permet l’article 110 de la loi précitée du 6 janvier 1978, compte tenu de la nature des traitements en cause.

2.   Les limites posées à la collecte et au traitement des données

Plusieurs limites sont posées à la mise en place de ces traitements :

–  les traitements utilisés pour l’exploitation des données collectées ne pourront recourir à aucun système de reconnaissance faciale ;

–  ces traitements ne pourront être mis en œuvre que par des « agents spécialement habilités à cet effet », qui seront ceux de l’équipe chargée du projet CFVR au sein de la direction générale des finances publiques et ceux du SARC au sein de la direction générale des douanes et des droits indirects ;

–  les données recueillies seront détruites dans les trente jours suivant leur collecte si elles ne permettent pas d’identifier des manquements fiscaux ou douaniers ou dans un délai d’un an si elles n’ont pas donné lieu à une procédure pénale, fiscale ou douanière ;

–  enfin, l’expérimentation fera l’objet d’une évaluation dont les résultats devront être communiqués au Parlement et à la CNIL six mois avant son terme.

II.   les exigences constitutionnelles et conventionnelles applicables

Plusieurs exigences, constitutionnelles et conventionnelles, sont à prendre en compte dans ce domaine où doivent être conciliés les exigences liées à la lutte contre la fraude, le droit à la protection des données personnelles mais aussi la liberté d’expression.

A.   LES EXIGENCES CONSTITUTIONNELLES

1.   La lutte contre la fraude fiscale, un objectif constitutionnel

Trouvant son fondement dans l’article 13 de la Déclaration des droits de l’homme et du citoyen de 1789, en vertu duquel une contribution commune est indispensable pour le financement des charges communes et de la solidarité nationale, la lutte contre la fraude fiscale est un objectif à valeur constitutionnelle ([7]), dont découle l’objectif constitutionnel de lutte contre l’évasion fiscale ([8]). Ces objectifs sont susceptibles de justifier des dérogations limitées à des principes constitutionnels.

La mise en œuvre de traitements de données personnelles en vue de mieux détecter certains manquements fiscaux ou douaniers poursuit incontestablement cet objectif. Elle ne peut cependant s’affranchir du respect de certaines règles, rappelées ci-après.

2.   La compétence du législateur pour déterminer les garanties pour l’exercice des libertés publiques

Il appartient au législateur, en vertu de l’article 34 de la Constitution, de fixer les règles concernant les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques, notamment en assurant la conciliation entre la lutte contre la fraude fiscale ou la recherche des auteurs d’infractions et le respect d’autres droits et libertés constitutionnellement protégés, comme le respect de la vie privée ou la liberté d’expression.

C’est ainsi sur le terrain de l’incompétence négative du législateur qu’en 2018 le Conseil constitutionnel a déclaré contraire à la Constitution une disposition relative aux traitements de données à caractère personnel relatives aux condamnations pénales et aux infractions susceptibles d’être mis en œuvre, « sous le contrôle de l’autorité publique », par d’autres autorités que celles compétentes en matière pénale, car elle ne déterminait ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni les finalités poursuivies par ces traitements ([9]).

3.   Le droit au respect de la vie privée et les garanties entourant la constitution de fichiers

Aucun traitement de données personnelles ne saurait contrevenir à la liberté personnelle ([10]), dont procède le droit au respect de la vie privée ([11]), exigences à l’aune desquelles le Conseil constitutionnel examine leur conformité à la Constitution.

Depuis 2012, la jurisprudence du Conseil constitutionnel en la matière s’est approfondie : « la collecte, l’enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d’intérêt général et mis en œuvre de manière adéquate et proportionnée à l’objectif poursuivi » ([12]).

Le Conseil constitutionnel a appliqué ces exigences lors de l’examen de la conformité à la Constitution du registre national des crédits aux particuliers, dont il a considéré qu’il portait une atteinte disproportionnée au droit au respect de la vie privée au regard de l’objectif poursuivi ([13]). Il a tenu compte de la sensibilité des données enregistrées (le fait d’être débiteur d’un crédit), de l’ampleur du traitement (susceptible de concerner 12 millions de personnes), de la durée de conservation des informations (plusieurs années), de la fréquence de son utilisation (nombreux motifs de consultation), du grand nombre de personnes susceptibles d’y avoir accès (plusieurs dizaines de milliers) et de l’insuffisance des garanties relatives à l’accès au registre (défaut de secret professionnel). De plus, la création du registre répondait à un intérêt général – la prévention du surendettement – mais à aucun principe ou objectif de valeur constitutionnelle, empêchant que l’atteinte à la vie privée soit confrontée à une autre exigence constitutionnelle, comme la lutte contre la fraude fiscale.

B.   leS EXIGENCES europÉenNES

1.   Pour la Cour européenne des droits de l’homme

La Cour européenne des droits de l’homme (CEDH) considère que « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale » protégé par l’article 8 de la Convention européenne des droits de l’homme et des libertés fondamentales.

La mise en œuvre d’un traitement de données personnelles étant susceptible de constituer une ingérence dans ce droit, la Cour apprécie la nécessité de cette ingérence au regard de trois critères :

–  le but légitime poursuivi, qui doit répondre à un « besoin social impérieux » et qui peut être la prévention des infractions pénales ;

–  la proportionnalité du traitement à ce but légitime ;

–  le caractère pertinent et suffisant des motifs justifiant l’ingérence ([14]).

La CEDH prend en compte l’existence de garanties appropriées pour empêcher toute utilisation des données non conforme au droit au respect de la vie privée : caractère pertinent et non excessif des données collectées par rapport aux finalités de la collecte, conservation des données pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées, protection efficace contre les usages impropres et abusifs ([15]).

2.   Pour la Cour de justice de l’Union européenne

Le droit pour toute personne à la protection des données à caractère personnel la concernant est protégé dans l’ordre juridique de l’Union européenne (UE), distinctement du droit au respect de la vie privée, en vertu de l’article 8 de la Charte des droits fondamentaux de l’UE. Celui-ci prévoit que les données « doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi », que « toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification » et que « le respect de ces règles est soumis au contrôle d’une autorité indépendante ».

Des limitations peuvent être apportées à l’exercice de ce droit, pour autant qu’elles en préservent « le contenu essentiel » et que, dans le respect du principe de proportionnalité, elles soient « nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui » ([16]).

Le traité sur le fonctionnement de l’UE prévoit que « l’Union et les États membres (…) combattent la fraude et toute autre activité illégale portant atteinte aux intérêts financiers de l’Union » ([17]). La Cour de justice de l’UE a eu l’occasion de rappeler que cela obligeait les États :

–  à prendre toutes les mesures législatives et administratives propres à garantir la perception de l’intégralité de la TVA due sur leur territoire et à lutter contre la fraude ([18]) ;

–  et à combattre les activités illicites portant atteinte aux intérêts financiers de l’Union par des mesures dissuasives et effectives, en particulier, les mêmes mesures pour combattre la fraude portant atteinte aux intérêts financiers de l’Union que celles qu’ils prennent pour combattre la fraude portant atteinte à leurs propres intérêts ([19]).

III.   l’avis de la commission nationale de l’informatique et des libertÉs

Dans son avis du 12 septembre 2019 ([20]), la CNIL a constaté que les traitements envisagés constituaient « un changement d’échelle significatif » et « une forme de renversement des méthodes de travail des administrations visées ainsi que des traitements auxquels elles ont recours pour lutter contre la fraude », en raison du passage d’une logique de traitement ciblé de données à la suite d’un doute préexistant sur une personne à un système de collecte générale et préalable de données en vue de cibler des actions ultérieures de contrôle.

De manière générale, elle a rappelé que la mise en œuvre de ces traitements devrait être précédée de la réalisation d’une analyse d’impact relative à la protection des données à caractère personnel ([21]) et s’accompagner de modalités d’information adaptées des personnes concernées, de garanties quant à la stricte proportionnalité des données collectées au regard de la finalité poursuivie ainsi que de mesures juridiques et techniques afin d’assurer un haut niveau de protection des données, et de mesures de sécurité et de confidentialité pour empêcher la violation des données.

A.   des rÉserves importantes

La CNIL a formulé quatre réserves principales à l’égard de l’article 57.

S’agissant de la nature des fraudes poursuivies à travers l’expérimentation, la CNIL s’est interrogée sur l’utilité d’inclure dans la liste des infractions mentionnées, d’une part, le défaut de production à temps d’une déclaration après mise en demeure de l’administration fiscale (b du 1 de l’article 1728 du code général des impôts) et, d’autre part, l’ensemble des violations du régime fiscal des contributions indirectes (article 1791 du même code).

Compte tenu du champ des données collectées, elle a relevé qu’en l’absence de précision du texte, toutes les données publiées par les utilisateurs des plateformes visées et librement accessibles pourraient être collectées. La collecte ne serait donc pas limitée aux seules données publiées par un utilisateur et se rapportant à celui-ci et pourrait inclure celles publiées par un utilisateur mais relatives à un autre individu, utilisateur ou non de la plateforme.

Par ailleurs, elle a estimé « indispensable (…) que la mise en œuvre des traitements projetés ne conduise pas à la programmation de contrôles automatiques mais ne soit qu’un indicateur permettant de mieux guider les enquêteurs dans l’exercice de leurs missions ». Cela résulterait de l’application de la loi du 6 janvier 1978 précitée, dont l’article 95 interdit en principe qu’un traitement de données destiné à évaluer certains aspects personnels relatifs à un individu soit le seul fondement d’une décision produisant des effets juridiques à son égard ou l’affectant de manière significative.

Enfin, la rédaction de l’article 57 permettant la mise en œuvre de traitements automatisés algorithmiques susceptibles d’être auto-apprenants ([22]), la phase d’apprentissage du traitement « conduira à collecter un volume important de données afin d’identifier les indicateurs caractérisant la fraude recherchée » avant de passer à la phase de production, qui consiste à rechercher, à partir de ces indicateurs, les données correspondant aux comportements préalablement identifiés. La CNIL estime donc que, faute pour l’administration d’être en mesure de déterminer, a priori, les caractéristiques principales du traitement, il convient de prévoir la transmission d’un bilan intermédiaire de l’expérimentation, à l’issue de la phase d’apprentissage.

B.   d’autres observations prises en compte

D’autres critiques émises par la CNIL dans son avis ont été prises en compte, en totalité ou en partie, par le Gouvernement avant le dépôt du projet de loi de finances. Il en va ainsi des précisions apportées sur :

–  la limitation de l’enregistrement des données collectées : les données non pertinentes seraient supprimées dans un délai, bref, de trente jours à l’issue de leur collecte et il serait expressément interdit d’utiliser un système de reconnaissance faciale des contenus ;

–  les modalités d’évaluation de l’expérimentation : la loi prévoit la réalisation de ce bilan et la transmission de ces conclusions au Parlement et à la CNIL.

IV.   l’avis de votre rApporteur

Votre rapporteur partage les préoccupations formulées par la CNIL dans son avis. Il relève, comme elle, le changement profond des méthodes de travail dans la lutte contre la fraude que sous-tend l’article 57 et s’interroge sur la proportionnalité du dispositif envisagé. Bien que volontairement rendues publiques par les personnes auxquelles elles se rapportent, les informations susceptibles d’être collectées n’en demeurent pas moins des données à caractère personnel qui exigent des protections particulières.

A.   un changement de paradigme dans la lutte contre la fraude

Votre rapporteur relève, en premier lieu, le changement des méthodes de lutte contre la fraude fiscale et douanière qu’induit l’article 57, en ouvrant la voie à la collecte massive et indiscriminée de données sans suspicion préalable, en vue de cibler des contrôles ultérieurs.

Ce changement interpelle d’autant plus qu’il s’opère dans un contexte particulier au regard de la lutte contre la fraude et de la protection des données à caractère personnel, aux niveaux national et européen.

De nombreuses dispositions ont été prises au cours des dernières années en faveur de la lutte contre la fraude fiscale et douanière, améliorant considérablement l’efficacité de cette lutte. La semaine dernière, le Gouvernement a indiqué avoir engrangé 5,6 milliards d’euros de recouvrement d’impôts sur les neuf premiers mois de l’année 2019, contre 4 milliards d’euros sur la même période en 2018, grâce aux nouveaux outils de contrôles ciblés donnés à l’administration. L’administration fiscale aurait récupéré près de 640 millions d’euros grâce aux seules techniques existantes d’exploration des données déclaratives à sa disposition, en particulier le CFVR.

Dans ces conditions, est-il justifié d’étendre encore davantage le champ des mesures d’investigation à la disposition des services fiscaux et douaniers, alors que plusieurs ont été récemment prises et commencent seulement à produire leurs effets ? De surcroît, un tel élargissement, même expérimental, doit‑il s’opérer dans le seul domaine fiscal et douanier, alors qu’il ne manquera pas d’être réclamé par d’autres administrations pour d’autres finalités, par exemple la lutte contre la fraude sociale, sans apprécier au préalable toutes ses implications, notamment en matière de respect des droits et libertés, et sans réfléchir à un cadre juridique robuste et uniforme ?

Par ailleurs, votre rapporteur rappelle l’esprit des dispositions récemment adoptées dans la loi du 10 août 2018 pour un État au service d’une société de confiance, qui a institué un droit à l’erreur des usagers dans leurs relations avec l’administration, hors cas de mauvaise foi ou de fraude, qui s’applique notamment en matière fiscale, de contributions indirectes et de droits douaniers.

Enfin, l’évolution proposée s’inscrit à rebours du nouveau cadre juridique européen en matière de protection des données personnelles, qui exige de minimiser au maximum la collecte de données personnelles. Abandonnant la logique précédente des formalités et contrôles préalables, il est désormais fondé sur une logique de « responsabilisation » des acteurs tout au long du cycle de vie des données, dont la protection doit d’abord être assurée dès la conception du traitement (privacy by design) puis en minimisant l’usage des données au strict nécessaire en fonction de la finalité du traitement (privacy by default).

B.   des interrogations sur la proportionnalitÉ du dispositif

Votre rapporteur s’interroge, en second lieu, sur la proportionnalité du dispositif proposé par le Gouvernement au but qu’il poursuit, en l’absence notamment de précision sur l’application de certaines garanties importantes de la loi du 6 janvier 1978.

Si ce dispositif poursuit un objectif légitime, la lutte contre la fraude, et vise des informations rendues volontairement accessibles au public, les traitements envisagés pourraient concerner plusieurs millions de personnes et conduire à collecter des données d’une certaine sensibilité, a fortiori lorsqu’elles se rattachent à des personnes qui ne sont pas à l’origine de leur publication sur la plateforme ou n’en sont pas des utilisateurs :

–  des données faisant apparaître des opinions politiques, des convictions religieuses ou philosophiques ou une appartenance syndicale ainsi que des données concernant la santé, la vie sexuelle ou l’orientation sexuelle des personnes, autant de données sensibles au sens de l’article 6 de la loi du 6 janvier 1978 que l’article 88 de cette loi n’autorise à traiter que dans des cas limités, parmi lesquels figure celui d’un traitement portant « sur des données manifestement rendues publiques par la personne concernée » ;

–  des informations relatives aux circonstances dans lesquelles la personne perçoit ou dépense ses revenus, pour ne prendre que cet exemple ;

–  des données sans lien direct avec l’évaluation de la situation des personnes vis-à-vis de leurs obligations fiscales ou douanières, alors que le Conseil constitutionnel a déjà exigé l’existence d’un tel lien pour déclarer conforme à la Constitution le droit d’accès aux données de connexion reconnu aux agents des organismes de sécurité sociale, moyen d’investigation il est vrai plus intrusif que celui dont il est question à l’article 57 ([23]).

Pour votre rapporteur, seul un renforcement significatif des dispositions encadrant les modalités de collecte des données, et prévoyant en particulier la destruction immédiate des données sensibles ou sans lien direct avec l’objectif poursuivi ou tout autre procédé technique susceptible d’empêcher l’identification des personnes auxquelles ces données se rattachent, serait de nature à garantir la proportionnalité des traitements envisagés.

Par ailleurs, l’indétermination des technologies susceptibles d’être utilisées rend particulièrement difficile la définition a priori de limites législatives à la mise en œuvre de ces traitements. Le fait que la rédaction de l’article 57 autorise implicitement le recours à des algorithmes auto‑apprenants, qui définiraient, à l’issue d’une phase d’apprentissage, leurs propres règles à partir des corrélations statistiques qu’ils décèleront parmi les masses de données traitées, empêche le législateur d’en apprécier, au stade de leur autorisation, toutes les caractéristiques et leurs conséquences précises sur l’exercice des libertés publiques par les personnes qui en sont l’objet. Cette circonstance est d’autant moins anodine que les plateformes visées par cette disposition sont devenues, pour une partie d’entre elles, des médias de libre expression et communication largement utilisés par nos concitoyens.

Pour toutes les raisons ci-dessus évoquées, considérant que, s’il poursuit un objectif légitime, ce dispositif constitue un changement d’échelle significatif, avec le risque d’une collecte de masse des données, et suscite des interrogations objectives quant à sa proportionnalité et quant aux risques encourus pour les libertés publiques, votre rapporteur envisageait de recommander la suppression de l’article 57. Toutefois, soucieux de s’inscrire dans une démarche constructive et dans l’attente des améliorations susceptibles d’être acceptées par le Gouvernement au dispositif proposé, il a retiré l’amendement de suppression qu’il avait déposé à cette fin au profit de plusieurs amendements destinés à renforcer les garanties entourant la mise en œuvre des traitements envisagés. Si, à l’issue des travaux en commission, le dispositif proposé présentait encore des garanties insuffisantes, il en solliciterait la suppression en séance publique.

V.   la position de LA commission des Lois

Après avoir rejeté un amendement de suppression présenté par M. Philippe Gosselin (Les Républicains), la Commission a adopté une série d’amendements de votre rapporteur tendant à renforcer la proportionnalité des traitements envisagés.

La Commission a d’abord préconisé de limiter le champ des plateformes sur lesquelles les données utiles à la fraude pourraient être collectées, afin d’en exclure celles de partage de vidéos, les réseaux sociaux et les forums de discussion. En effet, ces plateformes, à la différence des plateformes de marché à vocation commerciale (marketplaces), sont les vecteurs d’opinions, d’idées et de contenus concourant à la libre expression de nos concitoyens, liberté que la Déclaration des droits de l’Homme et du Citoyen de 1789 qualifie de l’« un des droits les plus précieux de l’Homme ». Permettre aux administrations fiscale et douanière de procéder sur ces plateformes à une collecte de masse des données qui y sont librement accessibles pourrait dissuader leurs utilisateurs de recourir à leurs services, alors même que le Conseil constitutionnel considère qu’« en l’état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu’à l'importance prise par ces services pour la participation à la vie démocratique et l’expression des idées et des opinions, ce droit implique la liberté d’accéder à ces services » ([24]).

La Commission a ensuite souhaité interdire le recours par les administrations fiscale et douanière à un sous-traitant pour la mise en œuvre des traitements envisagés, afin de renforcer la sécurité de ces traitements et réduire strictement le nombre des personnes susceptibles d’avoir à connaître des données collectées, parmi lesquelles peuvent figurer des données sensibles. En adoptant un sous‑amendement de Mme Emmanuelle Ménard (non-inscrite) avec l’avis favorable de votre rapporteur, la Commission a étendu cette interdiction aux opérations de conservation des données collectées.

La Commission a également entendu préciser le contenu du décret en Conseil d’État qui devra déterminer les modalités d’application de l’article 57 afin que ces modalités soient conformes au respect du principe de proportionnalité et de pertinence des données à toutes les étapes de la mise en œuvre des traitements envisagés, y compris pendant la phase d’apprentissage des algorithmes auto-apprenants susceptibles d’être utilisés.

Enfin, la Commission a recommandé de renforcer l’évaluation de l’expérimentation proposée par le Gouvernement en la rendant annuelle et en exigeant que ses résultats soient communiqués à la CNIL et au Parlement au plus tard lors du dépôt du projet de loi de finances de chaque année. L’objectif est, à travers la réalisation de bilans intermédiaires, de permettre à cette autorité et aux parlementaires d’adopter, chacun pour ce qui les concerne, les mesures de nature à mettre un terme aux irrégularités éventuellement constatées.

Sur la forme, la Commission a adopté deux amendements de votre rapporteur corrigeant deux erreurs de renvoi aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pour tenir compte des modifications opérées dans son architecture par une ordonnance du 12 décembre 2018. Elle a proposé que soient mentionnées les dispositions pertinentes de cette loi relatives aux modalités d’exercice des droits d’accès et d’opposition des personnes concernées par les traitements qui relèvent, selon le Gouvernement, de la directive (UE) 2016/680 du 27 avril 2016 sur les traitements de données personnelles à des fins pénales.

En revanche, la Commission n’a pas donné suite aux demandes de votre rapporteur tendant à préciser la nature des données susceptibles d’être collectées par les administrations fiscale et douanière, à limiter celles pouvant être conservées pendant une durée d’un an pour les besoins de la lutte contre la fraude et à réduire la durée de conservation des données non pertinentes.

 


—  1  —

 

   COMPTE RENDU DES DÉBATS

Lors de sa réunion du mercredi 30 octobre 2019, la Commission examine, pour avis, l’article 57 du projet de loi de finances pour 2020 (n° 2272) (M. Philippe Latombe, rapporteur)

Mme la présidente Yaël Braun-Pivet. Mes chers collègues, nous examinons aujourd’hui, pour avis, l’article 57 du projet de loi de finances pour 2020.

Lorsque nous avons fait un point sur la loi du 20 juin 2018 relative à la protection des données personnelles, qui transpose le règlement général sur la protection des données (RGPD) en droit français, certains d’entre vous avaient estimé, en effet, qu’il fallait que la commission des Lois se saisisse pour avis de ces dispositions qui visent le traitement de données personnelles. C’est donc ce que nous avons fait. Nous avons désigné M. Philippe Latombe, du groupe MODEM et apparentés, rapporteur pour avis. Je lui laisse la parole.

M. Philippe Latombe, rapporteur pour avis. Dans une démarche sans précédent à ce jour et à l’initiative de sa présidente, que je remercie, la commission des Lois s’est saisie pour avis d’un article non rattaché de la seconde partie du projet de loi de finances pour 2020, l’article 57. Par son objet et ses implications sur les droits et libertés, cet article soulève des questions importantes et inédites sur lesquelles je vais revenir pour vous expliquer la démarche qui a été la mienne.

En tant que rapporteur de cette commission, je rapporterai fidèlement la position de la Commission, mais, en cas de désaccord avec les propositions adoptées, j’exprimerai également ma position personnelle en séance.

Cet article est destiné à compléter les outils à la disposition des administrations fiscale et douanière pour lutter contre la fraude. Il s’agit de leur permettre de collecter l’ensemble des données à caractère personnel rendues publiques par les utilisateurs des plateformes en ligne en vue d’y détecter des activités occultes et de lancer des contrôles ciblés.

Ces administrations disposent déjà de nombreuses techniques pour remplir leurs missions. Le législateur a complété l’arsenal existant à plusieurs reprises au cours des dernières années : en 2013, avec la loi du 6 décembre 2013 relative à la fraude fiscale et à la grande délinquance économique et financière ; en 2016, par la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « loi Sapin 2 » ; enfin, plus récemment, avec l’adoption de la loi du 23 octobre 2018 relative à la lutte contre la fraude.

En parallèle, à partir de 2013, ces administrations se sont lancées dans une démarche de data mining permettant d’explorer les données déclaratives à leur disposition ou publiées par des acteurs institutionnels. Ainsi, en matière fiscale, elles ont instauré un traitement dénommé « Ciblage de la fraude et valorisation des requêtes » (CFVR). Le service d’analyse de risque et de ciblage des douanes a aussi développé des techniques d’exploitation de telles données. Ces démarches permettent de faire émerger des profils dits à risques.

L’évolution proposée consiste à créer un nouvel outil de détection des activités occultes ou illicites sans créer de nouvelles obligations déclaratives. Elle soulève deux séries d’interrogations.

La première porte sur l’opportunité d’élargir les techniques d’investigations aux fins de lutte contre la fraude fiscale et douanière. Je viens de l’évoquer, les moyens juridiques à la disposition des pouvoirs publics sont déjà très importants et n’ont cessé d’être enrichis. Ils ont permis de recouvrer 5,6 milliards d’euros d’impôts sur les neuf premiers mois de l’année 2019 – contre 4 milliards sur la même période en 2018 –, dont 640 millions grâce aux seules techniques de data mining. Les traitements envisagés sont-ils donc indispensables ?

Même s’ils étaient nécessaires, gardons à l’esprit que cette nouvelle autorisation s’inscrit dans un contexte bien particulier, à rebours de plusieurs évolutions législatives notables. Ainsi, la loi du 10 août 2018 pour un État au service d’une société de confiance a institué un droit à l’erreur des usagers dans leurs relations avec l’administration, hors cas de mauvaise foi ou de fraude. Or l’article 57 autorise la collecte de données de plusieurs millions de nos concitoyens présents sur les réseaux, en les considérant en quelque sorte comme autant de fraudeurs potentiels.

En outre, nous avons récemment adapté notre législation RGPD, fondé sur le principe de minimisation des données traitées et collectées : l’article 57 entend autoriser la collecte massive et indiscriminée de données dont seule une infime fraction servirait à la lutte contre la fraude.

Enfin, la présentation de cet article dans un projet de loi de finances est par nature peu propice à un examen approfondi de ses incidences sur les droits et libertés, quand bien même il ne s’agirait que d’une expérimentation. Par ailleurs, la lutte contre la fraude couvre un champ plus large que celui du seul ministère de l’Action et des comptes publics. Ne serait-il pas plus cohérent de concevoir un dispositif respectueux des libertés individuelles et utilisable par d’autres administrations confrontées à des problématiques similaires, comme la lutte contre la fraude sociale ?

Vous l’aurez compris, il me semble que de très sérieuses objections s’opposent à l’adoption de l’article 57.

S’y ajoutent des réserves de fond non moins importantes. Il ne s’agit pas de remettre en cause la finalité poursuivie – la lutte contre la fraude fiscale notamment, qui est un objectif d’intérêt général à valeur constitutionnelle. Mais le dispositif proposé est d’une portée considérable au moins à trois égards : par l’inversion de la logique de contrôle, avec le passage d’une logique de traitement ciblé de données à la suite d’un doute préexistant sur une personne à un système de collecte générale et préalable de données en vue de cibler des actions ultérieures de contrôles ; par l’ampleur des traitements envisagés, qui conduit à s’interroger sur le respect des principes de pertinence et de proportionnalité, principes fondateurs de la loi de 1978, mais aussi sur le respect de l’interdiction de principe de traiter des données sensibles. Ces interrogations sont aggravées par la nature particulière des traitements informatisés et automatisés susceptibles d’être mis en œuvre, puisqu’il peut s’agir d’algorithmes auto-apprenants par nature très difficiles à encadrer juridiquement. Enfin, ce nouveau dispositif de traitement des données a un impact majeur sur la vie privée de nos concitoyens et, plus grave, sur l’exercice en ligne d’autres droits et libertés, comme la liberté d’expression ou la liberté d’entreprendre. Cela justifie pleinement l’intervention du législateur, et non la publication d’un simple arrêté ou d’un décret en Conseil d’État, comme cela avait été un temps envisagé.

Naturellement, l’article 57 prévoit des garanties et il ne s’agit pas de les passer sous silence : application de plein droit de l’ensemble des dispositions de la loi de 1978 auxquelles il n’est pas dérogé ; interdiction de recourir à un système de reconnaissance faciale ; mise en œuvre des traitements par des agents spécialement habilités ; modulation de la durée de conservation des données collectées en fonction de leur pertinence ; caractère expérimental des traitements…

Mais ces garanties me paraissent insuffisantes. Si les finalités poursuivies sont limitativement énumérées par le ciblage d’un certain nombre d’infractions fiscales ou douanières, la gravité de ces infractions est très variable et toutes ne justifient pas de recourir à de tels traitements. Je pense notamment au cas des contribuables ayant déjà reçu une mise en demeure de l’administration.

La nature particulière des données – seuls les contenus librement accessibles et rendus publics pourraient être collectés – autorise-t-elle de tels traitements ? Je rappelle que, rendues publiques ou non, ces données se rapportent à des personnes et sont donc des données à caractère personnel qui ne tombent pas, du seul fait de leur caractère public, dans le domaine public. Les droits au respect de la vie privée et à la protection des données personnelles doivent donc être préservés. De surcroît, rien ne garantit que seules les données publiées par l’utilisateur de la plateforme et se rapportant à lui seront utilisées, à l’exclusion de toute autre – commentaires ou tags de tiers par exemple.

La durée de conservation des données non pertinentes, établie à trente jours, paraît excessive, a fortiori parce que, parmi ces données, figureront immanquablement des données sensibles telles que des opinions politiques, des convictions religieuses ou philosophiques, l’appartenance syndicale ou des données concernant la santé des personnes, leur vie ou leur orientation sexuelles.

Enfin, l’indétermination des technologies susceptibles d’être utilisées, avec l’usage probable d’algorithmes auto-apprenants qui procéderont, durant leur phase d’apprentissage, à la collecte indiscriminée de toutes les données disponibles sur les plateformes visées, rend particulièrement difficile la définition a priori de garanties satisfaisantes pour préserver nos droits et libertés.

Pour toutes ces raisons, je vous invite à ne pas adopter l’article 57 en l’état.

Jusqu’à ce matin, je proposais d’émettre un avis défavorable à l’adoption de cet article et j’avais déposé un amendement de suppression. Il semble que le Gouvernement ait pris en compte mes observations et manifeste la volonté d’encadrer strictement le dispositif. Dans un souci d’ouverture et de co-construction, j’ai retiré mon amendement de suppression. En lieu et place, je vous proposerai une série d’amendements pour mieux circonscrire les plateformes visées, davantage encadrer les conditions de mise en œuvre des traitements, durcir les modalités de traitement et de conservation des données collectées et améliorer l’évaluation de l’expérimentation.

Mais ces garanties supplémentaires ne sauraient lever toutes les objections de forme et de fond que j’ai soulevées, ni exonérer le législateur de l’indispensable travail de réflexion sur ce sujet qui interfère si étroitement avec nos libertés fondamentales. Comme j’en ai fait la proposition au cabinet du ministre, nous ne pouvons faire l’économie d’une proposition ou d’un projet de loi qui encadre l’utilisation des données personnelles devenues publiques, selon un traitement proportionné et homogène, quelles que soient les administrations concernées, et en conformité avec le RGPD et la directive de 2016 sur le traitement des données personnelles en matière pénale. Je regrette profondément que ma proposition n’ait initialement pas été retenue. Je fais confiance à notre travail en commission pour rendre ce dispositif acceptable. À défaut, si j’estime que les amendements et garanties proposés ne sont pas suffisants, en séance publique, je proposerai solennellement la suppression de l’article 57.

M. Guillaume Vuilletet. L’article 57 fait l’objet d’un examen inédit de la commission des Lois s’agissant d’un article non rattaché du projet de loi de finances, car il s’agit de dispositions importantes et nous devons trouver un équilibre entre les évolutions technologiques qui constituent notre quotidien et le respect des libertés publiques.

Dans les faits, nous savons bien que les technologies liées au big data permettent désormais à de multiples intervenants de connaître nos vies privées et nos goûts. Nous en avons déjà parlé lors des débats sur la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l’information. Si l’administration peut déjà recourir à ces techniques, c’est de façon manuelle et avec des coûts et des contraintes techniques qui les rendent inaccessibles. Demain, elle pourrait utiliser le data mining pour détecter certaines fraudes.

Votre avis est sévère, monsieur le rapporteur, mais argumenté et fouillé concernant le respect des libertés publiques et du principe de proportionnalité. Pourtant, un argument ne m’a pas convaincu : vous estimez que, puisque l’administration a réussi à récupérer 5 milliards d’euros grâce aux outils actuels de lutte contre la fraude, c’est qu’elle dispose des techniques adéquates. Au contraire, il me semble que cet article prouve qu’elle est arrivée aux limites de ses possibilités.

Bien entendu, l’expérimentation ne saurait être menée sans contrôle et c’est l’enjeu de nos discussions. Le Gouvernement et l’administration souhaitent étendre leurs pouvoirs et leurs capacités d’investigation grâce au big data. Que vise-t-on ? Sans doute pas les 80 milliards de l’évasion fiscale, mais plutôt 15 à 20 milliards. C’est tout de même une somme en période de contrainte budgétaire !

Vous l’avez souligné, des protections sont prévues : ainsi, les agents habilités à mettre en œuvre ces traitements seront peu nombreux. Mais des questions restent pendantes et cela ne doit pas nous laisser indifférents. Le Gouvernement est prêt à améliorer l’encadrement du dispositif ; nous avons commencé à en discuter et le groupe majoritaire accompagnera la démarche, afin qu’elle réussisse dans les plus brefs délais – d’ici la séance publique.

Il est important que la Commission émette également des signaux témoignant de notre volonté de mieux encadrer le dispositif. Nous soutiendrons certains de vos amendements, monsieur le rapporteur. La discussion doit être constructive, et surtout conclusive, avec le Gouvernement sur les délais, l’encadrement du champ de l’expérimentation et la définition des données « manifestement rendues publiques ».

Le chantier est devant nous, mais nous ne devons pas oublier que notre objectif doit être de faire en sorte que l’impôt soit payé. Les doutes sur la capacité de la puissance publique à recouvrer l’impôt alimentent l’exaspération de nos concitoyens – ils en ont laissé quelques traces sur les ronds-points…

M. Philippe Gosselin. Madame la présidente, je vous remercie d’avoir été disruptive et de nous avoir permis de nous saisir de cet article. Il y va de l’intérêt collectif ! Lorsque l’on touche aux libertés publiques et individuelles, même dans le cadre du projet de loi de finances – ce qui est d’ailleurs inhabituel –, il est important que la commission des Lois se prononce.

Je remercie également notre rapporteur, Philippe Latombe, qui a mis le doigt sur certaines difficultés. Soyons clairs : il ne s’agit pas de remettre en cause la nécessité de lutter contre l’insécurité fiscale. C’est une ardente obligation et un principe fondamental – constitutionnel – de notre droit : nul ne doit se soustraire à ses obligations fiscales et à sa participation aux charges publiques.

Mais la fin ne justifie pas toujours les moyens – le débat existe aussi en matière de sécurité. En l’espèce, le malaise est patent… J’apprécie donc que le Gouvernement évolue. Cela souligne que notre action est nécessaire et utile. Bien sûr, il s’agit d’une expérimentation, mais certaines perdurent longtemps, par facilité politique ou intellectuelle – je ne vise pas ce Gouvernement en particulier.

La lutte contre la fraude fiscale doit être conciliée avec le respect de la vie privée et de nos grandes libertés – d’expression, de conscience, d’aller et de venir. Même si ce qui est visible sur les réseaux sociaux a pu y être mis volontairement et personnellement, il ne s’agit pas d’éléments du domaine public exploitables par tous.

Dans son avis du 12 septembre, la Commission nationale de l’informatique et des libertés (CNIL) met le doigt là où cela fait mal : l’article 57 fait fondamentalement évoluer les méthodes de travail de l’administration, et renverse, d’une certaine façon, la charge de la preuve. Avant même qu’une infraction soit identifiée, l’administration sera autorisée à accumuler des éléments concernant un particulier ou une entreprise qui pourront ultérieurement servir dans le cadre d’échanges avec le fisc. C’est un peu fort de café ! Cela fait d’emblée peser la suspicion sur tous nos concitoyens. En outre, avec le développement des algorithmes auto-apprenants et l’intrusion de l’intelligence artificielle, on pourrait arriver à une forme de « flicage » de la société au nom d’une belle cause – le recouvrement de l’impôt et la lutte contre la fraude fiscale. Il nous faut garder en tête les principes de proportionnalité et de finalité, principes généraux de notre droit, comme le demande la CNIL.

Je suis prêt à travailler en bonne intelligence. Il me semblait qu’en l’état, l’article 57 devait être supprimé – j’ai un amendement en ce sens. J’ai entendu le rapporteur pour avis et l’opposition tient, sur l’impôt comme sur d’autres sujets, un discours de responsabilité. Nous sommes attentifs aux mains tendues et mettrons nos pas dans ceux du rapporteur pour avis. Mais si aucune évolution n’est entérinée en commission ou en séance, nous combattrons très violemment cet article au nom d’une certaine conception des libertés individuelles et collectives.

Mme Élodie Jacquier-Laforge. S’il est adopté en l’état, l’article du projet de loi de finances dont nous sommes saisis devrait provoquer d’importants débats lors de son examen en séance. Compte tenu des enjeux, précédemment rappelés, le groupe MODEM et apparentés a estimé nécessaire que la commission des Lois s’en saisisse. Madame la présidente, nous vous remercions d’avoir bien voulu accéder à notre demande, car cette saisine pour avis d’un article non rattaché du projet de loi de finances est inédite.

Nous remercions également notre collègue Philippe Latombe pour son rapport précis et pour sa vigilance sur les sujets liés à la protection des données numériques. Avec l’article 57, le Gouvernement a souhaité introduire une expérimentation de trois ans, visant à doter l’administration fiscale d’outils lui permettant de collecter massivement des données publiées par les utilisateurs des plateformes en ligne et à les exploiter afin de détecter des fraudes. L’objectif poursuivi par cet article est parfaitement compréhensible et louable : il est nécessaire de lutter contre les infractions à la législation fiscale et douanière. Toutefois, les moyens nous interrogent. La France s’est très tôt positionnée en faveur de la protection des données personnelles avec la loi dite « Informatique et libertés » de 1978. Elle a à nouveau montré son attachement à ces sujets lors des négociations européennes sur le RGPD – le rapporteur l’a rappelé –, mais également au moment de sa transposition dans notre législation nationale en 2018. À cette occasion, nous nous sommes dotés d’un cadre ambitieux auquel nous devons tous nous tenir.

La commission des Lois est souvent amenée à mettre en balance certains impératifs avec la protection de nos libertés personnelles. Cette recherche de l’équilibre doit nous préoccuper pour l’article 57 du projet de loi de finances. En l’état, le mécanisme expérimental n’est pas complètement abouti et mérite d’être amélioré.

Le rapporteur a souligné le changement d’approche dans la lutte contre la fraude et s’interroge sur la proportionnalité du dispositif au regard de l’objectif. Nous partageons ses inquiétudes : la collecte de données pourra concerner des millions de personnes, ainsi que des données sensibles. En outre, un certain flou règne concernant la mise en œuvre pratique et technique de ce traitement. Nous soutiendrons les propositions du rapporteur visant à encadrer très précisément les modalités de la collecte des données.

En l’absence d’un renforcement très net des garanties d’ici la séance, le groupe MODEM et apparentés ne pourra apporter son soutien à cet article.

Mme Cécile Untermaier. Je remercie notre collègue Philippe Latombe de l’analyse qu’il a menée. Il est bienvenu que la commission des Lois se prononce sur ce sujet, qui n’est pas uniquement du ressort de la commission des Finances.

Il s’agit avant tout d’un chantier européen : ces questions éthiques se posent au-delà de nos frontières. Ainsi l’Assemblée parlementaire franco-allemande a-t-elle créé un groupe de travail sur le numérique, l’intelligence artificielle et l’éthique.

La collecte massive de données personnelles, même rendues publiques sur les réseaux sociaux, porte indiscutablement atteinte à la vie privée. Que signifie « manifestement rendues publiques » ? Ne porte-t-on atteinte à la liberté d’expression dès lors que tout propos pourra être confisqué par l’administration fiscale ? Bien sûr, la lutte contre la fraude fiscale est un enjeu majeur et nous connaissons les effets délétères de la fraude sur le consentement à l’impôt. Mais nous devrions suivre le sage avis de la CNIL. Mon groupe estime que la protection des personnes doit passer avant la protection des biens.

À ce stade, comme notre collègue Philippe Gosselin, nous allons observer l’évolution du texte en commission. Cela nous permettra de déterminer notre position en séance publique.

M. Ugo Bernalicis. Des collègues du groupe Les Républicains m’ont demandé si notre groupe accepterait l’article 57 en l’état ou souhaiterait le durcir puisqu’il s’agit d’un dispositif de lutte contre la fraude fiscale. Ce ne sera pas le cas ; je vais plutôt m’associer aux amendements de suppression – nous en déposerons un en séance publique – même si vous tentez d’améliorer le dispositif.

Depuis plusieurs années déjà, la direction générale des finances publiques (DGFiP) a adopté des techniques de collecte en masse de données et de data mining pour faire rentrer l’argent dans les caisses de l’État, même si cela ne concernait pas les réseaux sociaux que vise le présent dispositif. Or, au cours de la même période, on a supprimé des milliers de postes d’agents chargés du contrôle fiscal.

Le document de politique transversale sur la lutte contre l’évasion et la fraude fiscales, annexé au projet de loi de finances pour 2020, est clair. On contrôle moins : est-ce parce qu’on contrôle mieux grâce au data mining ? On récupère moins d’argent. Pourquoi ? Est-ce parce qu’il y a moins de fraudeurs ? Ce serait une bonne nouvelle, mais je ne le crois pas. Est-ce parce qu’on les attrape moins bien ? C’est la triste réalité : lorsqu’on analyse l’évolution de notre produit intérieur brut et celle des rentrées fiscales, on note une divergence de plusieurs milliards d’euros, confirmée par l’association pour la taxation des transactions financières et pour l’action citoyenne (ATTAC) ou le syndicat Solidaires Finances publiques. La fraude fiscale pourrait atteindre 80 milliards d’euros !

Avec mon collègue de La République en Marche, Jacques Maire, j’ai produit un rapport d’évaluation de la lutte contre la délinquance financière. À aucun moment au cours de nos auditions, les services de l’administration fiscale, de la police, de l’Office central de lutte contre la corruption et les infractions financières et fiscales (OCLCIFF), de l’Office central pour la répression de la grande délinquance financière (OCRGDF) ou du parquet national financier ne nous ont demandé à avoir accès aux données personnelles des contribuables sur les réseaux sociaux ! Je le répète, personne ne nous l’a demandé… Si vous ne me croyez pas sur parole, vous pourrez interroger votre collègue de la majorité.

Récemment, le ministre Darmanin s’est félicité que l’État ait recouvré 5,6 milliards d’impôts dans le cadre de la lutte contre la fraude fiscale, soit 40 % de plus que l’année dernière à la même période. Mais – je vous renvoie au document de politique transversale – 2018 avait été une année particulièrement faible en termes de recouvrement. C’est probablement pourquoi le ministre nous avait alors dit que les fraudeurs étaient moins nombreux ! Quand le recouvrement diminue, c’est qu’il y a moins de fraudeurs, et quand il augmente, c’est parce que les services ont mieux travaillé ! Il va falloir choisir…

S’agissant de l’équilibre entre liberté et sécurité, je partage les propos de mon collègue Philippe Gosselin ; nous devrions en tenir plus souvent de tels – je pense notamment à nos débats sur le projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme. Je m’opposerai donc à l’article 57 par cohérence, d’autant que je suis persuadé que le renseignement humain est bien plus efficace que n’importe quelle technologie.

Les plus grands fraudeurs fiscaux – ceux qui sont dans mon collimateur – ne postent pas leurs photos sur Facebook, Twitter ou Instagram ! Ils n’y sont pas. Ils vivent dans leur petite bulle, où l’argent circule facilement. Quel est l’objectif de ce nouveau dispositif ? Je m’inquiète déjà des prérogatives et droits octroyés aux caisses d’allocations familiales, qui peuvent accéder très facilement aux comptes bancaires des allocataires, alors que l’OCLCIFF, chargé de la lutte contre la grande délinquance financière et le blanchiment de fraude fiscale aggravée, n’y a pas directement accès – ce qui est normal puisqu’il faut une réquisition judiciaire.

Je vous alerte : nous prenons une voie qui risque de faire de nous les objets des technologies que nous avons créées, plutôt que les acteurs de notre destin commun.

M. Éric Diard. Comme mes collègues, je me réjouis de cette saisine. J’ai présidé la mission d’information commune sur les procédures de poursuite des infractions fiscales, dite « mission sur le verrou de Bercy », dont les propositions ont ensuite été intégrées à la loi du 23 octobre 2018 relative à la lutte contre la fraude. Lors de ses travaux, je m’inquiétais déjà de la possibilité donnée à l’administration fiscale de saisir les données des réseaux sociaux, alors qu’elle dispose de suffisamment de moyens pour traquer les fraudeurs. Certains contentieux fiscaux sont déjà dignes d’un roman de Kafka, avec des méthodes plus inquisitoires que contradictoires !

En outre, les spécialistes de l’évasion fiscale, ceux qui déploient des trésors d’ingéniosité pour frauder, ne s’affichent pas sur Facebook. Comme mes collègues, je suis donc plutôt défavorable à ce dispositif.

Mme Emmanuelle Ménard. J’ai déjà eu l’occasion de dire toutes mes craintes et mon opposition à cet article lors de la discussion générale du projet de loi de finances il y a quelques jours. J’en ai même fait l’essentiel de mon intervention. L’article 57 prévoit d’autoriser l’administration fiscale à collecter et exploiter les contenus librement accessibles publiés sur internet. Une autorisation donnée à titre expérimental, pour trois ans, en attendant plus car, s’il estime que cela fonctionne, Bercy ne se privera pas…

Il s’agit ni plus ni moins d’espionner les contribuables, afin de détecter si leur train de vie est en adéquation avec ce qu’ils déclarent au fisc. Ce type de procédé, appelé CFVR, existe déjà et le Gouvernement nous explique simplement poursuivre dans cette voie.

C’est faux et la CNIL l’explique très bien dans son avis du 12 septembre dernier : nous sommes confrontés à un véritable renversement de méthode. Jusqu’à présent, on aspirait des données issues des fichiers et des données internes aux administrations. Avec l’article 57, on s’appuiera désormais « sur une collecte générale préalable de données relatives à l’ensemble des personnes ».

La CNIL est allée jusqu’à s’interroger sur la proportionnalité entre l’ampleur de la collecte et l’objectif recherché : « une telle atteinte ne saurait être admise que si elle apparaît strictement nécessaire et proportionnée au but poursuivi et qu’elle présente des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données personnelles ». La CNIL considère qu’en l’état actuel de la rédaction de l’article, cette proportionnalité n’est pas assurée.

Pour promouvoir la mesure, le Gouvernement explique que les informations et les photographies publiées sur les réseaux sociaux sont accessibles à tout le monde, et qu’il n’y a pas de raison que l’administration fiscale soit la seule à ne pas pouvoir les prendre en compte. En réalité, le fait que des données sont accessibles sur internet ne signifie pas qu’elles puissent être librement aspirées dans un but autre que celui dans lequel elles ont été publiées. C’est d’ailleurs le sens de l’avis très critique rendu par la CNIL.

Plus inquiétant encore, les ordinateurs de Bercy ne se contenteront pas de récolter les données des personnes concernées, mais aussi celles qui seront publiées par des tiers – avis ou commentaires. Cela va contribuer à instituer, via les réseaux sociaux, un véritable système généralisé d’aviseurs fiscaux – l’autre nom des mouchards ou des délateurs.

Outre ces risques, la CNIL a également averti, et c’est probablement le plus grave, que la mise en œuvre d’un tel mécanisme est « susceptible de porter atteinte à la liberté d’opinion et d’expression » des personnes concernées. Et pour cause, puisque ce que les contribuables publieront sera enregistré, analysé par des algorithmes et potentiellement conservé pendant un an si une procédure est lancée.

Aujourd’hui, notre responsabilité est lourde. Ce dispositif est critiquable et cette technique très intrusive ne peut se justifier que vis-à-vis de catégories ciblées de personnes, déjà suspectées d’infractions. Elle ne saurait être utilisée pour tous les citoyens, transformés en autant de suspects. C’est pourquoi je m’opposerai à l’article 57.

M. Guillaume Larrivé. Cet article est ce que la technocratie de Bercy – une administration en roue libre – peut imaginer de pire : un dispositif qui n’est pas pensé politiquement. Collègues de La République en Marche, réveillez-vous et écoutez ce que vous disent le groupe MODEM et apparentés, les Socialistes, La France insoumise, les Républicains ! Vous ne pouvez pas accepter un dispositif objectivement délirant !

Emmanuelle Ménard, comme Philippe Gosselin avant elle, a cité l’avis de la CNIL. Ce chalutage, qui consiste à collecter de manière indifférenciée et sans aucune limite les données de tous nos concitoyens – potentiellement 70 millions de personnes – afin de vérifier leur situation fiscale, rappelle les dispositions du décret du 17 septembre 1793 relatif aux gens suspects, également appelé « loi des suspects » : « sont réputés gens suspects (…) ceux qui (…) ne pourront pas justifier de leurs moyens d’exister ». Deux siècles plus tard, la même logique prévaut grâce aux technologies du moment. C’est une aberration juridique. Des esprits raisonnables ne peuvent pas voter de telles dispositions, même proposées par le Président de la République, son Premier ministre et le ministre des Finances ! Les ont-ils seulement lues ?

Je remercie le groupe MODEM et apparentés ainsi que le rapporteur pour avis de nous avoir courageusement alertés : vous faites tout de même partie de la majorité…

M. Arnaud Viala. À mon tour, je remercie le rapporteur pour avis d’avoir permis ce débat. J’ai du mal à appréhender les technologies mises en œuvre et le périmètre des investigations auxquelles la procédure pourra donner lieu, car l’article ne l’établit pas clairement. Ainsi, quand on aspire les données d’un individu, on s’intéresse inévitablement à son entourage. Cela sera-t-il le cas ? Le texte ne le précise pas, ce qui fait planer les pires craintes sur la façon dont les opérations seront conduites…

En outre, d’autres l’ont souligné avant moi, les plus gros fraudeurs ne s’exhibent pas sur Facebook dans des palaces en ayant déclaré des salaires modiques ! En conséquence, quelle est la cible ?

Enfin, il y a quelques mois à l’Assemblée nationale, nous débattions du projet de loi pour un État au service d’une société de confiance, visant à établir un rapport de confiance entre les administrés et l’administration. Les Républicains avaient alors critiqué le manque d’ambition du texte, l’administration restant beaucoup trop dans une posture à charge face aux administrés qui plaident pour un dialogue constructif.

Avec les dispositions de l’article 57, tout cela est balayé d’un revers de la main ! Vous donnez à l’administration des armes complètement disproportionnées face à des administrés qui, pour l’immense majorité d’entre eux, n’ont pas à subir cette procédure totalement dérogatoire. Il faut donc a minima toiletter l’article, voire le sortir du projet de loi de finances.

M. Stéphane Peu. À mon tour, je tiens à dire l’hostilité du groupe Gauche démocrate et républicaine à cet article, dont la CNIL énonce clairement les risques qu’il fait peser sur nos principes et les libertés.

Mon groupe est en pointe dans la lutte contre la fraude et l’évasion fiscales. Or, en dépit des avancées – le desserrement du verrou de Bercy par exemple –, nous savons à quel point notre pays est encore trop timide. Ainsi, notre liste des paradis fiscaux en exonère beaucoup trop, y compris parmi nos voisins. Cela nous empêche d’être efficaces. Avant d’adopter une telle mesure liberticide, il reste donc beaucoup à faire dans la lutte contre l’évasion fiscale !

Enfin, il y a bien longtemps que ceux qui s’adonnent au blanchiment d’argent sale à grande échelle ne vont plus exhiber leurs exactions sur les réseaux sociaux ! C’est même le premier conseil qu’on leur donne… Cet article est dangereux pour les libertés et ne sera pas efficace car il rate totalement sa cible.

M. Philippe Latombe, rapporteur pour avis. Monsieur Vuilletet, j’ai entendu vos arguments mais je regrette que l’étude d’impact de l’article 57, transmise par le Gouvernement, soit aussi inconsistante… Aucun chiffrage ne vient soutenir ce nouveau dispositif. Or, en termes de recouvrement, le début de l’année 2019 est extrêmement bon – je ne partage pas le constat de M. Bernalicis. Dans ce contexte, le nouveau dispositif est-il opportun ?

J’ai demandé à la DGFiP si elle avait effectué une analyse comparative avec des systèmes étrangers similaires, comme Connect au Royaume-Uni, ou les systèmes américain, canadien ou même italien. Je n’ai pas eu de réponse… Cela signifie qu’il n’existe aucune évaluation des perspectives de recouvrement. Or cette information est fondamentale pour juger de la proportionnalité entre la finalité et les moyens.

Monsieur Gosselin, il est important d’être disruptif et de débattre de ce sujet en commission des Lois. C’est dans notre ADN. Le renversement de la charge de la preuve est problématique, monsieur Larrivé l’a souligné, quand on n’est pas en mesure de juger de la proportionnalité de la mesure, d’autant plus qu’elle intervient au détour d’un projet de loi de finances. Je remercie le groupe Les Républicains de sa proposition de co-construction. Nous attendons les propositions du Gouvernement et serons attentifs au sort réservé aux amendements destinés à encadrer le dispositif, avant de proposer, le cas échéant, un amendement de suppression.

Madame Jacquier-Laforge, vous avez raison, il faut trouver un équilibre entre les différents principes constitutionnels : la lutte contre la fraude fiscale, que personne ne remet en cause, et les libertés individuelles et collectives.

Madame Untermaier, je partage votre constat : le numérique doit faire l’objet d’une réflexion et d’un encadrement européens. Cela vaut pour le RGPD, comme pour la fiscalité de Google, Amazon, Facebook ou Apple (les GAFA) ou toutes les activités numériques. Les pays doivent se doter des mêmes armes et octroyer les mêmes protections. Il serait désastreux que la France s’équipe d’« armes de destruction massive » quand ses voisins – je pense notamment au Luxembourg – n’en ont pas. Cela risquerait de conduire à un transfert d’activité vers ces pays.

Monsieur Bernalicis, je vous remercie d’avoir rappelé que, lors de votre mission, la DGFiP n’a pas exprimé le besoin d’un tel dispositif pour lutter contre les plus grosses fraudes. Nous n’avons toujours pas connaissance des objectifs exacts du ministère des Finances avec ce nouveau dispositif.

Vous évoquez également la question des effectifs. Je n’entrerai pas dans le débat, mais un point m’a inquiété lors de mes discussions avec Bercy. Je l’indique dans le rapport, et je défendrai un amendement pour interdire à la DGFiP de sous-traiter les contrôles si elle ne dispose ni des moyens humains ni des connaissances techniques pour les faire. S’il n’était pas adopté, cela motiverait d’autant plus le dépôt d’un amendement de suppression.

Monsieur Diard, je partage votre perplexité quant à l’opportunité du dispositif.

Je rejoins également Mme Ménard dans ses constats et ses critiques, proches de ceux de M. Philippe Gosselin.

Monsieur Larrivé, je vous remercie pour ce rappel historique. Même si nous ne vivons plus à la même époque, il éclaire notre débat !

Monsieur Viala, effectivement, les spécialistes de la fraude fiscale massive conseillent à leurs clients de ne pas s’exhiber sur les réseaux sociaux, de changer régulièrement leur puce de téléphone, leurs pseudonymes et leurs mots de passe. M. Peu l’a également rappelé, ce n’est certainement pas ce type de fraude qui est visé par le dispositif.

La Commission en vient à l’examen des amendements.

Article 57

La Commission examine l’amendement II-CL74 de suppression de M. Philippe Gosselin.

M. Philippe Gosselin. Je maintiens cet amendement afin de faire pression sur le Gouvernement. Pour la séance publique, nous sommes prêts à étudier toute proposition sérieuse et toute main tendue. Certes, à la suite de l’avis de la CNIL le 12 septembre, certains points ont évolué, mais cela ne va pas assez loin.

M. Philippe Latombe, rapporteur pour avis. Je vous demanderai de bien vouloir retirer cet amendement afin que nous puissions examiner les amendements de cadrage du dispositif. Sinon, mon avis sera défavorable. Bien sûr, je le rappelle, si nous n’arrivons pas à encadrer le dispositif, je déposerai également un amendement de suppression en séance publique.

M. Philippe Gosselin. Je vous ai entendu, monsieur le rapporteur. Je le maintiens, mais cela ne remet pas en cause la main que vous nous tendez et que je saurai saisir.

M. Guillaume Vuilletet. Nous sommes défavorables à cet amendement de suppression car le travail doit continuer ; ce ne sera pas possible si l’article est supprimé.

La Commission rejette l’amendement.

Elle en vient à l’amendement II-CL76 du rapporteur pour avis, qui fait l’objet du sous-amendement II-CL88 de Mme Emmanuelle Ménard.

M. Philippe Latombe, rapporteur pour avis. Il s’agit de substituer au mot « publiés » les mots « manifestement rendus publics », afin de préciser que les traitements permis par l’article 57 portent sur les contenus « manifestement rendus publics » par les utilisateurs des plateformes en ligne.

Ce sont les termes de l’article 9 du RGPD et de l’article 10 de la directive qui lui est associée en matière pénale, qui autorisent de manière dérogatoire le traitement de données sensibles – opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données concernant la santé, la vie ou l’orientation sexuelle des personnes, etc. –, qui pourraient être incidemment collectées par les traitements envisagés par le Gouvernement.

Mme Emmanuelle Ménard. Je propose d’ajouter le mot « volontairement » après les mots « manifestement rendus » afin de s’assurer que les informations publiées, qui pourraient servir à l’administration fiscale pour détecter des fraudes, ne soient pas le fait d’un tiers ou, pire, d’un délateur.

M. Philippe Latombe, rapporteur pour avis. Je vous demanderai de bien vouloir retirer votre sous-amendement car c’est bien l’idée poursuivie par l’ajout que je propose, qui vise les contenus « manifestement rendus publics par les utilisateurs ». Je reprends les termes utilisés par la directive européenne, qui impliquent un acte de volonté de la personne concernée.

En outre, un autre de mes amendements, qui sera examiné plus tard, vise à préciser que seules peuvent être collectées les données publiées par les personnes concernées et se rapportant à elles, ce qui exclut les tiers.

Enfin, si nous adoptions votre amendement, nous nous retrouverions avec la phrase suivante : « contenus librement accessibles, manifestement rendus volontairement publics », rédaction quelque peu malheureuse, vous en conviendrez…

M. Guillaume Vuilletet. Ce sujet fait partie de ceux qui doivent être retravaillés d’ici la séance publique. Nous ne sommes convaincus ni par l’emplacement, ni par la rédaction actuelle de l’amendement. Nous y sommes donc défavorables.

Je reviens sur une de vos remarques : vous estimez que les grands délinquants apprennent de mieux en mieux à se cacher. Évitons les caricatures, dans un sens ou dans un autre : certes, les réseaux sociaux ne permettront pas de détecter tous les criminels, mais tout le monde n’adopte pas ce type de comportement.

Mme Emmanuelle Ménard. Effectivement, la rédaction n’est pas très heureuse. En fonction des dispositions que nous adopterons concernant la possibilité pour l’administration de recueillir l’avis des tiers, je le redéposerai, ou pas, en séance publique.

Le sous-amendement II-CL88 est retiré.

M. Stéphane Peu. Monsieur Vuilletet, quand on connaît la réalité de la fraude fiscale, si on voulait vraiment être efficace, il faudrait plutôt dresser la liste de tous ceux qui ne sont pas sur les réseaux sociaux !

La Commission rejette l’amendement II-CL76.

Elle en vient à l’amendement II-CL77 du rapporteur pour avis.

M. Philippe Latombe, rapporteur pour avis. Il s’agit de compléter l’alinéa premier par les mots « dont l’activité repose sur la mise en relation de plusieurs parties en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un bien ou d’un service », afin de limiter le champ des plateformes visées par l’article 57. En l’état actuel de sa rédaction, il inclut non seulement les places de marché ou marketplaces, mais aussi les plateformes de partage de vidéos, les réseaux sociaux et les forums de discussion.

Or un certain nombre de ces plateformes, si elles sont susceptibles d’héberger des activités occultes ou illicites, sont aussi des vecteurs d’expression libre pour nos concitoyens. Il convient donc de les exclure du champ du dispositif pour qu’il ne concerne que les plateformes de commerce en ligne, qui semblent accueillir à titre principal les activités ciblées par le Gouvernement.

M. Guillaume Vuilletet. Je suis encore moins convaincu que par l’amendement précédent du fait de la porosité entre les différents types de plateformes. À ce stade, notre avis est négatif.

M. Philippe Gosselin. M. Vuilletet égrène toutes les raisons d’être contre les amendements du rapporteur pour avis. Je lui rappelle que nous sommes en phase de co-construction : il faudrait peut-être nous envoyer quelques signaux…

Cet amendement est intéressant. Ciblons quand il faut cibler, mais n’utilisons pas une maille de filet si petite que même un grain de sable n’y passe pas… Les réseaux sociaux ont leur utilité : il faut permettre la libre expression.

La Commission adopte l’amendement.

Puis elle examine l’amendement II-CL78 du rapporteur pour avis, qui fait l’objet du sous-amendement II-CL90 de Mme Emmanuelle Ménard.

M. Philippe Latombe, rapporteur pour avis. Je propose de compléter l’alinéa 2 par la phrase suivante : « Les données à caractère personnel mentionnées au même alinéa ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant ». Je l’ai déjà évoqué en réponse à M. Bernalicis : lors des auditions, la DGFiP nous a indiqué qu’elle envisageait de recourir à des prestataires extérieurs pour mettre en œuvre les traitements car elle ne disposerait ni des compétences ni du personnel pour le faire.

L’amendement interdit le recours à un sous-traitant, à tous les stades – sécurisation, stockage et traitement des données. Cette garantie est indispensable compte tenu de la sensibilité particulière des données collectées.

Mme Emmanuelle Ménard. Mon sous-amendement vise à ajouter, après le mot « traitement », les mots « et de conservation ». Si les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, elles ne doivent a fortiori pas pouvoir faire l’objet d’une conservation. Cela peut paraître évident, mais cela va mieux en le disant !

M. Philippe Latombe, rapporteur pour avis. Dans mon esprit, c’était effectivement inclus dans l’expression « traitement » – je vous renvoie à nos débats lors de la transposition du RGPD. Mais je comprends votre volonté de précision. Mon avis sera donc favorable.

M. Arnaud Viala. Ce point est fondamental et j’encourage le rapporteur à la plus grande fermeté. Nous vous soutiendrons bec et ongles. L’administration ne doit absolument pas pouvoir sous-traiter ces missions !

M. Guillaume Larrivé. En votant l’amendement précédent, notre commission a souhaité refuser au Gouvernement la possibilité de collecter potentiellement toutes les données Facebook ou Twitter de tous les Français à des fins de contrôle fiscal. Cela souligne notre volonté de bloquer un dispositif liberticide.

Cet amendement va dans le même sens : la fiscalité est au cœur des prérogatives de puissance publique. Il est scandaleux d’envisager de déléguer à des sous-traitants privés ce qui relève du cœur des missions de l’État. Je voterai l’amendement et je ne comprendrais pas que notre commission le repousse.

M. Guillaume Vuilletet. L’adoption de l’amendement précédent n’était pas totalement programmée… À l’inverse, pour cet amendement, nous ferons preuve d’ouverture car la présence constante de l’État est fondamentale lorsque l’on touche aux libertés publiques.

M. Philippe Gosselin. Il n’y aura donc cette fois pas de mauvaise surprise pour la majorité, et c’est plutôt une bonne surprise pour nos libertés. Nous nous en réjouissons.

J’insiste : non seulement l’État doit être présent, et seul présent, mais on ne doit pas faire appel à des technologies étrangères. Ainsi, l’hébergement – le cloud – doit se situer sur le territoire français, sous contrôle français. Il est hors de question que des données aussi sensibles soient hébergées à l’extérieur de notre territoire. Il y va de notre souveraineté numérique. Le Gouvernement doit nous fournir des garanties en la matière.

La Commission adopte le sous-amendement, puis elle adopte l’amendement ainsi sous-amendé.

Elle en vient à l’amendement II-CL79 du rapporteur pour avis, qui fait l’objet du sous-amendement II-CL91 de Mme Emmanuelle Ménard.

M. Philippe Latombe, rapporteur pour avis. À la première phrase de l’alinéa 3, je propose de substituer aux mots « de nature à concourir », les mots « strictement nécessaires ». Il s’agit de préciser que les données pertinentes susceptibles d’être conservées pendant une durée maximale d’un an sont celles « strictement nécessaires » à la constatation des infractions, et non celles « de nature à concourir » à cette constatation, conformément aux échanges que j’ai eus sur ce sujet avec la CNIL lors de son audition. C’est donc un amendement de clarification concernant les données qui pourront être conservées pendant un an par l’administration.

Mme Emmanuelle Ménard. Je souscris à l’amendement du rapporteur mais, à nouveau, pour plus de clarté, je souhaite préciser, après « strictement nécessaires », « et proportionnelles », même si c’est sous-entendu dans l’amendement.

M. Philippe Latombe, rapporteur pour avis. Je vous demanderai de bien vouloir retirer votre sous-amendement car la rédaction de l’amendement résulte des auditions, notamment celle de la CNIL. La référence à la stricte nécessité intègre la proportionnalité. En plus d’être redondant, cela risque de conduire à des discussions quasiment sans fin sur la notion de « proportionnalité » de l’information collectée. Je crains des blocages et, en conséquence, une conservation plus longue des données.

Le sous-amendement est retiré.

M. Guillaume Vuilletet. Ce sujet doit être retravaillé et le Gouvernement y est prêt. La rédaction de l’amendement n’est pas satisfaisante.

M. Ugo Bernalicis. Je m’étonne du comportement de mon collègue de la majorité. Si l’amendement n’est pas abouti mais va dans le bon sens, pourquoi ne l’adopte-t-on pas ? Cela nous obligera ensuite à trouver une meilleure rédaction pour la séance publique. Le rapporteur a bien fait son travail. Il faut lui faire confiance. Faites-vous ensuite confiance pour réfléchir avec l’exécutif à une meilleure rédaction !

M. Philippe Gosselin. Il serait bon que la majorité envoie quelques signaux positifs… Cet amendement permet de mettre le pied dans la porte et ce qui est rentré ne craint pas l’eau ! Même s’il n’est pas parfait et que le Gouvernement et la majorité veulent améliorer sa rédaction, cette version consolidée, meilleure que la rédaction initiale, est un progrès.

La Commission rejette l’amendement.

Elle en vient à l’amendement II-CL80 du rapporteur pour avis, qui fait l’objet du sous-amendement II-CL93 de Mme Emmanuelle Ménard.

M. Philippe Latombe, rapporteur pour avis. Il s’agit de compléter l’alinéa 3 par la phrase suivante : « Seules peuvent être exploitées les données mentionnées au même alinéa manifestement rendues publiques par la personne concernée et se rapportant à elle ». Cet amendement vise à interdire que des commentaires de tiers, des tags ou tout autre contenu rendu public par un tiers et concernant la personne visée par un possible contrôle fiscal soient utilisés par l’administration lors du traitement des données. Seules les données publiées par une personne et se rapportant à elle pourront être exploitées, conformément à ce que préconise la CNIL dans son avis.

Mme Emmanuelle Ménard. L’amendement du rapporteur est extrêmement important. Sans cette précision, l’article 57 ne devrait pas être adopté. Mon sous-amendement supprime « manifestement » pour encadrer encore davantage les possibles atteintes à la vie privée.

M. Philippe Latombe, rapporteur pour avis. L’expression que je propose d’ajouter est précisément celle de la directive de 2016 relative aux traitements en matière pénale et celle reprise dans la loi de 1978 lors de sa transposition en 2018. Elle est destinée à garantir la conformité du dispositif envisagé à ces dispositions.

M. Guillaume Vuilletet. J’entends le doux conseil de notre collègue Bernalicis et même si j’écoute souvent ce qu’il dit, il me semble que nous avons lancé des signaux clairs. Encore une fois, nous souhaitons retravailler la rédaction du dispositif, mais celle de l’amendement ne nous convient pas.

Le sous-amendement est retiré.

La Commission rejette l’amendement.

Elle passe à l’amendement II-CL81 du rapporteur pour avis.

M. Philippe Latombe, rapporteur pour avis. À l’alinéa 4, je propose de substituer aux mots « dans un délai maximum de trente jours », les mots « sans délai ».

En effet, en l’état actuel de sa rédaction, l’article 57 prévoit que les données non pertinentes pourraient être conservées durant trente jours, ce qui paraît excessif compte tenu de l’absence d’intérêt de ces données pour les finalités poursuivies par ces traitements, d’autant qu’y figureront des données sensibles. Les administrations fiscale et douanière l’ont d’ailleurs reconnu en audition. Elles ont admis que cette durée pourrait être réduite. Je propose que ces données soient supprimées sans délai.

M. Guillaume Vuilletet. Nous demandons à nouveau à ce que l’on puisse retravailler ce point. Passer de trente jours à « sans délai » me paraît excessif. En outre, vous aurez sans doute noté comme moi que, lorsque la loi prévoit qu’une disposition doit être appliquée sans délai, c’est rarement le cas… Pour la séance publique, nous vous proposons de travailler avec le Gouvernement, et avec l’opposition dont je salue ici les efforts de coconstruction.

M. Ugo Bernalicis. La collecte en masse des données sera réalisée par le biais d’algorithmes, de manière automatisée. En conséquence, si l’algorithme détecte une information intéressante, il peut aussi immédiatement évacuer tout ce qui ne l’intéresse pas. La notion de « sans délai » est pertinente. Ensuite, si les enquêteurs s’intéressent à quelqu’un, ils pourront aller sur son profil Facebook ou Twitter et collecter les données pertinentes. Les supprimer sans délai, c’est le minimum de garanties qu’on puisse demander à un algorithme…

M. Guillaume Larrivé. Je signale aux membres du groupe La République en Marche que, s’ils refusent de voter cet amendement, ils considèrent que l’administration fiscale a le droit de conserver pendant un mois des données relatives aux opinions politiques, à l’engagement syndical ou à la vie sexuelle des Français. C’est complètement extravagant ! Réveillez-vous ! Vous ne pouvez pas voter cela ; il faut être sérieux !

M. Guillaume Vuilletet. C’est bien ce que je vous ai dit : en l’état de sa rédaction, le texte n’est pas satisfaisant et nous allons le retravailler, avec le rapporteur et tous ceux qui le voudront.

M. Philippe Latombe, rapporteur pour avis. Parmi les données stockées, l’État ne devrait même pas collecter certaines d’entre elles – opinions religieuses, philosophiques, politiques, orientation sexuelle. Puisque la technique permet leur aspiration, nous souhaitons que les algorithmes les évacuent sans délai. Puisqu’elles ne sont pas pertinentes pour le contrôle fiscal ou l’enquête, elles n’ont donc pas à être stockées, quel que soit le délai ! Un tel délai pose un important problème de constitutionnalité.

Adopter l’amendement n’empêche pas de revoir la rédaction pour la séance publique. Il est ressorti des discussions avec la DGFiP qu’ils ne savent pas comment ils vont procéder et que le délai de trente jours est de convenance – il leur permettra de se mettre au travail.

M. Philippe Gosselin. La démonstration de notre rapporteur est excellente. On parle de chalutage pour qualifier cette technique. Il ne s’agit pas d’un petit chalut, mais de pêche industrielle sur un navire-usine ! Des milliards et des milliards d’informations seront collectées sous toutes les formes, comprenant tous les éléments de la vie privée – voire intime – de nos concitoyens. Cela mérite que nous y soyons particulièrement attentifs. Peut-être que la formule proposée n’est pas parfaite, mais elle me convient. Il faut un signal indiquant que le Gouvernement et l’État ne souhaitent pas se transformer en Big Brother, quitte à revoir la rédaction en séance publique.

Mme Emmanuelle Ménard. Le rapporteur l’a souligné, on ne peut pas accepter que l’administration fiscale conserve pendant trente jours ce type d’informations. Je suis étonnée par les arguments de mon collègue de la majorité. C’est en commission que l’on dépose des amendements pour améliorer un projet de loi. Le rapporteur l’a fait, sous-amendons ses amendements ! Rien ne nous empêche de le faire maintenant. Pourquoi attendre la séance publique si vous êtes dans une optique de coopération, de travail en commun ? Nous perdrons moins de temps en séance si nous effectuons les modifications en commission.

M. Sébastien Huyghe. Je suis très surpris du degré d’impréparation de la majorité sur cet article extrêmement sensible. Le rapport de la CNIL était cinglant et, pourtant, vous n’avez même pas pris le temps de travailler sur cet article, qui doit être ciselé. Le travail de fond doit être effectué en commission des Lois – elle est compétente en matière de protection des libertés publiques !

Mme Laetitia Avia. J’écoute les échanges et je pense que nous partageons tous le même objectif. La difficulté est d’ordre rédactionnel. L’expression « sans délai » peut donner lieu à de multiples interprétations. Dans certaines situations, cela peut même signifier plus de trente jours. Un délai clair, encadré et maximal me semble mieux à même de répondre à nos préoccupations. En effet, même les plateformes qui disent ne pas conserver de données les stockent en général dans leur serveur pendant un délai qui avoisine souvent les trente jours. Il faut donc prendre en compte les réalités techniques.

M. Guillaume Vuilletet. J’ai travaillé avec M. Aurélien Pradié sur la proposition de loi visant à agir contre les violences au sein de la famille. Pourquoi est-ce que je l’évoque ? Avant son adoption, les ordonnances de protection devaient intervenir « sans délai ». Cette disposition n’était jamais respectée et cela aboutissait à des délais beaucoup trop longs et fixés par la jurisprudence… Désormais, la loi fixe un délai clair.

En l’espèce, il ne s’agit donc pas d’impréparation, mais de rédiger très subtilement une disposition sensible.

M. Guillaume Larrivé. Je remercie Laetitia Avia pour l’honnêteté de son propos : chère collègue, vous venez de démontrer la nécessité d’un amendement de suppression de cet article et de ce dispositif liberticide, en nous expliquant que, pour des raisons techniques, le dispositif conçu par le Gouvernement entraînera la conservation des données politiques, syndicales, privées de tous les Français dans les bases de données techniques pendant probablement un mois !

La Commission rejette l’amendement.

Elle examine ensuite l’amendement II-CL82 du rapporteur pour avis.

M. Philippe Latombe, rapporteur pour avis. Il s’agit de tenir compte de la refonte de la loi de 1978 récemment opérée par ordonnance et de viser, avec sa nouvelle numérotation, la disposition pertinente relative au droit d’accès aux informations collectées.

La Commission adopte l’amendement.

Puis elle adopte l’amendement II-CL83 du rapporteur pour avis.

Elle en vient à l’amendement II-CL84 du rapporteur pour avis, qui fait l’objet du sous-amendement II-CL98 de Mme Emmanuelle Ménard.

M. Philippe Latombe, rapporteur pour avis. Je propose de compléter l’alinéa 7 par la phrase suivante : « Ce décret précise en particulier les conditions dans lesquelles la mise en œuvre des traitements mentionnés au premier alinéa du présent I est, à toutes les étapes de celle-ci, proportionnée aux finalités poursuivies et les données collectées sont adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou non excessives ».

Il s’agit de préciser que le décret d’application devra déterminer les conditions dans lesquelles le respect des principes de proportionnalité et de la pertinence des données est assuré lors de la mise en œuvre des traitements envisagés. C’est la seule voie qu’il m’est paru possible d’explorer pour renforcer les garanties applicables à ces traitements sans préempter le domaine réglementaire.

Mme Emmanuelle Ménard. Ce sous-amendement, comme l’amendement du rapporteur, me font mal au cœur… Au fil de nos discussions, je suis de plus en plus convaincue qu’il faut supprimer l’article 57. Avant le mot « nécessaire », je souhaite ajouter « strictement » afin de m’assurer que l’atteinte à la vie privée est strictement nécessaire. Vous comprendrez mon désarroi car une atteinte à la vie privée n’est jamais nécessaire !

M. Philippe Latombe, rapporteur pour avis. Je vous demanderai de bien vouloir retirer votre sous-amendement car la formulation retenue se réfère aux dispositions de la loi de 1978 et aux dispositions européennes, qui prévoient que les données collectées doivent être adéquates, pertinentes et, au regard des finalités pour lesquelles elles sont traitées, limitées à ce qui est nécessaire ou non excessif.

M. Guillaume Vuilletet. La précision apportée par l’amendement est utile.

La Commission rejette le sous-amendement. Puis elle adopte l’amendement.

Elle en vient à l’amendement II-CL72 de M. Jean-Louis Masson.

M. Jean-Louis Masson. Comme Mme Ménard, à la faveur de ce débat, je suis convaincu que nous devons nous poser la question de la suppression de l’article 57. Je note les contradictions du Gouvernement : dans l’exposé des motifs, il évoque le respect de la vie privée mais aussi le recueil de données sensibles, sans en tirer les conclusions puisqu’une seule évaluation est prévue en fin d’expérimentation.

Mon amendement propose une nouvelle rédaction de l’alinéa 8 pour renforcer l’évaluation du dispositif. En complément du Parlement et de la CNIL, nous souhaitons que les évaluations soient transmises au premier président de la Cour de cassation, premier magistrat de l’ordre judiciaire, auquel l’article 66 de la Constitution attribue la protection des libertés individuelles.

M. Philippe Latombe, rapporteur pour avis. Je ne peux que partager le souhait de renforcer le contrôle parlementaire et technique de l’expérimentation envisagée par le Gouvernement en associant le Parlement et la CNIL aux résultats de cette évaluation – c’est d’ailleurs l’objet de mon amendement II-CL85.

Mais il ne me paraît pas opportun que ces résultats soient transmis à la Cour de cassation. L’autorité judiciaire est effectivement garante de la liberté individuelle, mais seulement dans le domaine des privations de liberté, pour prévenir la détention arbitraire. Le Conseil constitutionnel juge de manière constante depuis le milieu des années 1990 que le respect de la vie privée ne relève pas nécessairement de la protection de l’autorité judiciaire.

M. Jean-Louis Masson. Je peux peut-être rectifier mon amendement pour supprimer la référence au premier président de la Cour de cassation ?

M. Philippe Latombe, rapporteur pour avis. L’amendement II-CL85, qui suit, propose une évaluation annuelle dans le cadre de l’examen du projet de loi de finances. Je préférerais que vous retiriez le vôtre.

L’amendement est retiré.

Puis la Commission examine l’amendement II-CL85 de M. Philippe Latombe.

M. Philippe Latombe, rapporteur pour avis. Cet amendement vise à rendre l’évaluation annuelle et à transmettre à la CNIL et au Parlement ses résultats au plus tard au moment du dépôt du projet de loi de finances de l’année. Cela permettra à la CNIL de faire des bilans intermédiaires de l’expérimentation et au Gouvernement et au Parlement de disposer d’un regard extérieur.

M. Guillaume Vuilletet. Je ne sais pas être contre l’évaluation !

La Commission adopte l’amendement.

Puis elle émet un avis favorable à l’adoption de l’article 57 ainsi modifié.


—  1  —

 

   PERSONNES ENTENDUES

     M. Martin Drago, juriste

     M. Arthur Messaud, juriste

     M. Jean Lessi, secrétaire général

     Mme Thiphaine Havel, conseillère pour les questions institutionnelles et parlementaires

     M. Henri Isaac, membre

     Mme Marylou Le Roy, responsable juridique

     M. Stéphane Créange, sous-directeur du contrôle fiscal

     Mme Marie Magnien, chef du bureau CF1 B au service du contrôle fiscal

     M. Gilles Clabecq, adjoint au responsable de la mission requêtes et valorisation

     M. Perry Menz, chef du service d’analyse de risque et de ciblage

     M. Michel Baron, chef du bureau des affaires juridiques et contentieuses


([1]) Par le passé, la commission des Lois a examiné au fond la loi du 6 décembre 2013 relative à la fraude fiscale et à la grande délinquance économique et financière ainsi que la loi du 9 décembre 2016, loi dite « Sapin 2 », qui comportait des dispositions relatives à la lutte contre la fraude fiscale. Elle s’était saisie pour avis de plusieurs articles de la loi du 23 octobre 2018 relative à la lutte contre la fraude, après avoir créé, avec la commission des Finances, une mission d’information commune sur ce sujet.

([2]) Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

([3]) Les méthodes exploratoires utilisées sont principalement fondées sur des algorithmes, notamment statistiques, aux fins de modélisation de comportements frauduleux.

([4]) Seraient concernés :

–  la fabrication frauduleuse d’alcool ; les fraudes sur les spiritueux par escalade, par souterrain, à main armée ou au moyen d’engins disposés pour les dissimuler ; la livraison, la détention en vue de la vente, le transport d’alcool de toute nature fabriqué ou importé sans déclaration ; le transport d’alcool avec une expédition altérée ou obtenue frauduleusement ; les infractions relatives aux capsules, empreintes ou vignettes représentatives des droits indirects sur l’alcool, le vin ou le cidre (3°) ;

–  la détention ou la vente frauduleuse par un fabricant ou marchand d’ouvrages d’or, d’argent ou de platine revêtus, soit de l’empreinte de faux poinçons, contrefaisant les poinçons anciens ou en vigueur, soit de marques anciennes entées, soudées ou contretirées, soit de l’empreinte de poinçons de fantaisie imitant les poinçons anciens ou les poinçons en vigueur, soit de l’empreinte de poinçons volés (8°) ;

–  la fabrication de tabacs ; la détention frauduleuse en vue de la vente de tabacs fabriqués ; la vente, y compris à distance, de tabacs ; le transport en fraude de tabacs fabriqués ; l’acquisition à distance, l’introduction en provenance d’un autre État membre de l’Union européenne ou l’importation en provenance de pays tiers de produits du tabac manufacturé acquis dans le cadre d’une vente à distance (10°).

([5]) Évaluations préalables des articles du projet de loi de finances pour 2020, p. 426.

([6]) Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

([7]) Décision n° 99-424 DC du 29 décembre 1999, Loi de finances pour 2000, cons. 52.

([8]) Décision n° 2010-16 QPC du 23 juillet 2010, M. Philippe E. [Organismes de gestion agréés], cons. 6.

([9]) Décision n° 2018-765 DC du 12 juin 2018, Loi relative à la protection des données personnelles, § 44 à 46.

([10]) Décision n° 91-294 DC du 25 juillet 1991, Loi autorisant l’approbation de la convention d’application de l’accord de Schengen du 14 juin 1985 entre les gouvernements des États de l’Union économique Benelux, de la République fédérale d’Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes, cons. 49.

([11]) Décision n° 99-416 DC du 23 juillet 1999, Loi portant création d’une couverture maladie universelle, cons. 45.

([12]) Décision n° 2012-652 DC du 22 mars 2012, Loi relative à la protection de l’identité, cons. 8.

([13]) Décision n° 2014-690 DC du 13 mars 2014, Loi relative à la consommation, cons. 51 à 57.

([14]) CEDH, 18 avril 2013, M. K. c. France, n° 19522/09.

([15]) CEDH, 4 décembre 2008, S. et Marper c. Royaume-Uni, nos 30562/04 et 30566/04.

([16]) Article 52 de la Charte des droits fondamentaux de l’Union européenne.

([17]) 6 de l’article 310 et article 325 du Traité sur le fonctionnement de l’Union européenne.

([18]) CJUE, 17 juillet 2008, Commission c. Italie, n° C-132/06, § 37 et 46.

([19]) CJUE, 28 octobre 2010, Belgisch Interventie- en Restitutiebureau c. SGS Belgium NV e.a., n° C-367/09, § 40 à 42.

([20]) Délibération n° 2019-114 du 12 septembre 2019 portant avis sur le projet d’article 9 du projet de loi de finances pour 2020.

([21]) Le droit européen exige désormais, préalablement à la mise en œuvre d’un traitement de données personnelles, la réalisation d’une analyse d’impact relative à la protection des données à caractère personnel « si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».

([22]) À côté des algorithmes « classiques » ou « déterministes », pour lesquels toutes les opérations à effectuer sur les données sont programmées par le concepteur de l’algorithme, ce qui implique de décomposer et d’abstraire toutes les opérations constitutives de la tâche à réaliser, il existe des algorithmes « auto‑apprenants » ou « probabilistes », fondés sur la technique de l’apprentissage automatique (machine learning) permettant au traitement de déceler, à partir d’une grande quantité de données, des corrélations statistiques et ainsi d’élaborer ses propres règles pour parvenir à un certain résultat.

([23]) Décision n° 2019-789 QPC du 14 juin 2019, Mme Hanen S. [Droit de communication des organismes de sécurité sociale], § 15.

([24]) Décision n° 2009-580 DC du 10 juin 2009, Loi favorisant la diffusion et la protection de la création sur internet, cons. 12.