Avis critique de la CNIL sur la collecte de données librement accessibles sur internet par les administrations fiscale et douanière
Délibération n°2019-114 du 12 septembre 2019 portant avis sur le projet d’article 9 du projet de loi de finances pour 2020
Saisie en amont de l’examen du projet de loi de finances pour 2020 (« PLF 2020 »), la CNIL a rendu, le 30 septembre, un avis sur son article 9 (devenu l’article 57) qui prévoit la possibilité, pour les administrations fiscale et douanière, d’expérimenter la collecte et l’exploitation, au moyen de traitements informatisés, des contenus librement accessibles en ligne, publiés par des utilisateurs sur des plateformes de mise en relation, à des fins de lutte contre la fraude.
La CNIL avait déjà eu l’occasion de se prononcer sur la question du traitement de données publiées sur les réseaux sociaux dans un communiqué du 8 novembre 2016 dans le contexte particulier de la communication politique, et avait considéré que « le caractère public des données disponibles sur les réseaux sociaux ne leur fait pas perdre le statut de données à caractère personnel » et que « si leur simple consultation est toujours possible, le traitement de ces données (extraction, enregistrement, utilisation, enrichissement) est soumis à l’ensemble des conditions prévues par la loi informatique et libertés ». Elle précisait à cette occasion que l’information générale donnée par les réseaux sociaux sur la possibilité d’une utilisation ultérieure des données à d’autres fins, telle qu’elle figure généralement dans les politiques de confidentialité, ne peut suffire à considérer les personnes comme dument informées.
L’on retrouve peu ou prou le même raisonnement dans le cadre de l’expérimentation envisagée par le gouvernement en l’espèce.
Rappelant qu’il revient au législateur d’apprécier l’opportunité d’un tel dispositif et, le cas échéant, d’en fixer les règles, elle considère qu’une « grande prudence » est de mise, au regard des atteintes potentielles aux droits et libertés des personnes concernées (liberté d’opinion et d’expression, droit au respect de la vie privée notamment) que cette pratique est susceptible de porter.
Si la Commission se prononce sur sa légalité dans un cadre circonstancié et bien défini, sans que cela ne puisse préjuger de son analyse quant à la possibilité de recourir à ce procédé dans d’autres contextes, cette délibération rappelle les principaux réflexes qu’il conviendrait, a minima, d’adopter pour envisager le traitement de données personnelles librement accessibles sur internet.
Comme la CNIL prend soin de le rappeler, la circonstance que les personnes concernées aient éventuellement conscience de l’existence d’un risque d’aspiration de leurs données ne permet pas pour autant aux administrations concernées de garantir une collecte loyale et licite, ainsi que l’information des personnes.
De manière générale, il ressort de la délibération de la CNIL qu’un traitement des données à caractère personnel librement accessibles en ligne ne peut être envisagé, dans le cadre de l’expérimentation visée, qu’à condition que les principes fondamentaux du droit à la protection des données personnelles soient garantis.
En outre, compte tenu de l’ampleur du dispositif, de la nature des données traitées, et de la volonté des administrations concernées d’automatiser la détection de la fraude, les risques en termes d’atteinte à la vie privée des personnes concernées sont élevés et nécessitent la conduite d’une analyse d’impact (AIPD), ainsi que la mise en œuvre de mesures de sécurité et de confidentialité afin de pallier la survenance d’une violation de données.
En sus de ces points de vigilance, la CNIL pointe du doigt plusieurs lacunes du texte, notamment l’absence de précisions quant à la nature des données collectées (quid du traitement des données non pertinentes au regard des finalités poursuivies ? quid des données sensibles éventuellement collectées ?), aux personnes concernées par le traitement (les données collectées sont-elles nécessairement celles de la personne concernée par le contrôle de l’administration? quid du cas où un tiers est à l’origine de la publication des données collectées ?) ainsi que le champ d’application jugé « trop large » des plateformes visées par le dispositif.
La CNIL invite par ailleurs le législateur à fournir davantage de précisions sur la notion de « contenus librement publiés sur internet », qui, d’après la Commission, fait écho à « des réalités différentes selon la politique de confidentialité de la plateforme en ligne concernée ».
Cet avis purement consultatif sera certainement pris en compte par les parlementaires dans le cadre de l’examen en cours du PLF 2020 et il est probable qu’il nourrira les arguments des opposants à ce texte.