Une loi anti-fraude votée en 2019 permet à l'administration fiscale d'épier les réseaux sociaux pour détecter de potentielles fraudes. Le vendredi 22 juillet 2022, le Conseil d'Etat a rejeté la demande de la Quadrature du Net qui contestait cette possibilité de collecte à grande échelle.

La Quadrature du Net conteste le test de l'administration fiscale

Le verdict est tombé : l'administration fiscale va pouvoir continuer d'utiliser les réseaux sociaux comme alliés pour dénicher une piscine non déclarée ou une domiciliation fictive. Vous ne le saviez peut-être pas, mais depuis 2019 une loi expérimentale permet aux services de l'administration fiscale de consulter les réseaux sociaux et plus globalement les plateformes web (comme Airbnb, Facebook, Instagram, YouTube, BlaBlaCar, Leboncoin, Vinted, etc.) dans l'objectif de détecter des fraudes. La grande différence avec cette réglementation et la loi précédente, c'est qu'aujourd'hui le fisc n'a plus besoin d'avoir de soupçons sur une personne pour collecter des données, il peut le faire de manière totalement aléatoire.

La Quadrature du Net, une association qui protège la vie privée des internautes, était farouchement opposée à cette loi. Ses membres ont déposé un recours devant le Conseil d'État, mais il vient d'être rejeté. Cette pratique est autorisée à titre expérimental pour une durée de trois ans dans la loi de finances pour 2019. L'objectif de ce dispositif est de comparer le train de vie des administrés sur Internet à celui déclaré dans les documents administratifs. La loi précise que « le délai de conservation des données est d'une durée maximale de 30 jours lorsqu’elles ne sont pas de nature à concourir à la constatation d’un manquement fiscal, dans le cas contraire, elles peuvent être conservées un an maximum ».

Quelles sont les données collectées ?

Selon la Quadrature du Net, ce décret autorisait « une collecte généralisée et indifférenciée des informations disponibles sur les plateformes et réseaux sociaux, préalablement à la détermination des seules données pertinentes pour les finalités poursuivies par le traitement ». L'association aura tout tenté pour faire reculer cette loi. De son côté, le Conseil d'État assure que ce décret n'autorise « en aucun cas, contrairement à ce qui est soutenu, une collecte généralisée et indifférenciée de données à caractère personnel lors de la phase d'apprentissage et de conception des outils ». Les sages rappellent que seules les données librement accessibles sur Internet sont collectées, « à l'exception de contenus accessibles après saisie d'un mot de passe ou inscription sur le site ».

Pourtant, selon Bastien Le Querrec, de la Quadrature du Net, « à partir du moment où on collecte des données qui ne sont pas structurées, on ne peut pas, avant la collecte, savoir quelles données vont correspondre à ce qui est autorisé. Juridiquement, même quand un contenu est accessible à tous, il y a une attente raisonnable de droit à la vie privée qui pèse ». L'association estime que ce décret empiète sur la vie privée des internautes et qu'il pourrait être dangereux. Cette expérimentation touche à sa fin, mais la décision du Conseil d'État laisse penser que la réglementation pourrait être transformée en une nouvelle loi.