Instagram, Twitter, Facebook mais aussi LeBonCoin ou AirBnb : un algorithme, testé dans les prochaines semaines, doit permettre à l'administration fiscale de scruter Internet, pour y repérer d'éventuelles preuves de fraude. Mais toutes les données ne pourront pas être collectées.

Si vous postez une photo sur Instagram qui montre un patrimoine plus important que celui déclaré, ça peut désormais être un problème....
Si vous postez une photo sur Instagram qui montre un patrimoine plus important que celui déclaré, ça peut désormais être un problème.... © Radio France / ve

Une photo sur Instagram qui montre un patrimoine plus important que celui déclaré ; un tweet ou un post Facebook qui trahit une activité qui rapporte de l'argent, là aussi non déclaré au fisc. Tout ça, la direction générale des finances publiques va désormais pouvoir s'en servir. Avec le décret d'application publié le 13 février dernier, Bercy vient d'obtenir le dernier feu vert pour la mise en place d'un algorithme visant à détecter des publications sur internet, prouvant qu'un contribuable est coupable de fraude. Via des mots clés, ou des indications de date et de lieux, cet algorithme permettra de collecter automatiquement certaines données.

Il s'agit d'une expérimentation, qui n'a pas encore été lancée précise Bercy, ce sera le cas dans les prochaines semaines ou prochains mois. Elle sera menée sur trois ans et un bilan sera fait à mi-parcours. Est-ce un nouvel outil "Big Brother" ? Quels sont les garde-fous ?

Quelles données pourront être collectées ?

Toute les données ne sont pas concernées. Que dit le décret d'application à ce sujet ? "Seuls les contenus se rapportant à la personne qui les a délibérément divulgués et dont l'accès ne nécessite ni saisie d'un mot de passe, ni inscription sur le site en cause, peuvent être collectés et exploités."

Quelques exemples : un tweet, une photo sur Instagram ou une annonce sur LeBonCoin, si tout ça est public, ça peut être récolté par l'algorithme. En revanche : un tweet ou une photo sur Instagram issus de comptes privés (réservés aux abonnés du compte en question), un post Facebook réservé à ses amis ou encore des échanges par messageries privés sont intouchables. De même, les contenus publiés par des tiers, comme les commentaires sur les réseaux sociaux, ne peuvent pas être collectés.

Dans quel but ?

Bercy insiste sur le fait que l'administration fiscale veut cibler certaines fraudes : lutter contre les trafics en tous genre, notamment de stupéfiants (les douanes auront aussi accès à l'algorithme) ; épingler ceux qui font du commerce à grande échelle sans le déclarer, via LeBonCoin ou eBay par exemple ; enfin cela pourrait servir à déterminer si une domiciliation fiscale est frauduleuse, en exploitant les données de localisation de publications sur les réseaux sociaux par exemple.

L'outil est devenu nécessaire selon le directeur général des finances publiques, qui s'expliquait ainsi fin 2019, dans une tribune publiée par Le Monde : "Le risque existe de nous retrouver à lutter contre la fraude avec des moyens obsolètes ou inefficaces, face à des techniques et des montages frauduleux toujours plus sophistiqués, dans un monde où réseaux sociaux, plates-formes collaboratives, e-commerce et paiements en ligne sont devenus notre quotidien."

Quels risques pour la protection des données ?

Malgré les garde-fous présentés par Bercy, et la validation de l'expérimentation par le conseil constitutionnel et la CNIL, certains s'inquiètent d'éventuels abus liés à cet algorithme : "ce que l'on pourrait craindre, c'est que le fait de poster des données complètement anodines puisse se retourner contre vous de manière totalement aléatoire, parce que l'algorithme y aura déceler une faille au niveau fiscal", selon Me Thierry Vallat, avocat spécialiste en droit numérique. "Si vous mettez une photo de vous sur Facebook (en public) à côté d'une Ferrari et que vous déclarez que vous êtes au RSA, il y aura une incohérence et à partir de là la machine va émettre un clignotant, qui va alerter l'administration fiscale, qui va déclencher derrière les contrôles et une surveillance plus importante."

"L'hôtel où vous passez vos vacances ne nous intéresse pas", assure-t-on du côté du fisc, qui veut rassurer en précisant qu'il y a des hommes derrière l'algorithme, et que ce sont les agents qui déclenchent d'éventuels contrôles, pas la technologie.

Enfin précision importante : les données récoltées seront détruites au bout de 30 jours si elles ne présentent pas de preuve d'un manquement quelconque, la loi l'y oblige. Celles qui pourraient servir dans le cadre d'une enquête pour fraude peuvent elles être conservées durant un an.