LinkedIn et societe.com : l’administration fiscale veille

L’administration fiscale est en droit de collecter des données personnelles à partir de vos comptes de réseaux sociaux.  La Cour de cassation a validé la possibilité pour l’administration de recueillir des informations tirées de la consultation de sites d’accès public et les profils LinkedIn ou societe.com.en font partie.

Origine licite des données collectées

Si le juge qui autorise la perquisition doit vérifier l’origine apparemment licite des pièces fournies, l’article 2 de la loi n° 78-17 du 6 janvier 1978 n’interdit pas de faire état d’informations diffusées par des systèmes informatiques. Par ailleurs, l’hypothèse de la collecte de masse de données sur les réseaux sociaux visée par l’article 154 de la loi de finances pour 2020 n’a rien de semblable avec l’enquête mise en oeuvre par l’administration fiscale dans le litige de cette affaire.

Pour rappel, l’article 154 de la loi de finances pour 2020 (pris dans l’urgence, après avis de la CNIL /  décision de la CNIL n° 2019-114 du 12 septembre 2019), l’article 154 de la loi de finances pour 2020 prévoit à titre expérimental et pour une durée de trois ans, pour les besoins de la recherche des manquements et infractions fiscales, que l'administration fiscale et l'administration des douanes et droits indirects peuvent, chacune pour ce qui la concerne, collecter et exploiter au moyen de traitements informatisés et automatisés n'utilisant aucun système de reconnaissance faciale les contenus, librement accessibles sur les sites internet des opérateurs de plateforme en ligne, manifestement rendus publics par leurs utilisateurs.

Les traitements sont mis en œuvre par des agents de l'administration fiscale et de l'administration des douanes et des droits indirects ayant au moins le grade de contrôleur et spécialement habilités par le directeur général. Les données à caractère personnel mentionnées au même premier alinéa ne peuvent faire l'objet d'une opération de collecte, de traitement et de conservation de la part d'un sous-traitant, à l'exception de la conception des outils de traitement des données.

Lorsqu'elles sont de nature à concourir à la constatation des manquements et infractions mentionnés au même premier alinéa, les données collectées strictement nécessaires sont conservées pour une période maximale d'un an à compter de leur collecte et sont détruites à l'issue de cette période. Toutefois, lorsqu'elles sont utilisées dans le cadre d'une procédure pénale, fiscale ou douanière, ces données peuvent être conservées jusqu'au terme de la procédure.

Les autres données sont détruites dans un délai maximum de trente jours à compter de leur collecte.

Le droit d'accès aux informations collectées s'exerce auprès du service d'affectation des agents habilités à mettre en œuvre les traitements. Le droit d'opposition prévu à l'article 110 de la même loi ne s'applique pas à ces traitements.  

Droit de collecte de l’administration fiscale  

En l’espèce, l’administration n’a procédé à aucune collecte d’informations qui soit automatique, massive, préalable et en dehors de toute suspicion de fraude puisqu’elle s’est bornée à consulter manuellement dans le cadre d’une démarche ciblée des sites d’accès public tels que Linkedin ou societe.com. Les traitements mis en oeuvre par l’administration s’inscrivent dans le cadre de l’article 87 de la loi du 6 janvier 1978, tel qu’issu de la transposition de la directive (UE) 216/680 du 27 avril 2016. En l’espèce, le traitement sui generis mis en oeuvre par la DGFP disposait bien d’une base juridique suffisamment précise.

Question de l’analyse d’impact

Aux termes de l’article 90 de la loi du 6 janvier 1978, issue de la transposition de la directive (UE) 216/680 du 27 avril 2016, une analyse d’impact relative à la protection des données à caractère personnel est nécessaire « si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques », notamment parce qu’il porte sur des données sensibles visées au I de l’article 6 de la loi du 6 janvier 1978.

En matière de données sensibles, le I de l’article 6 de ladite loi vise notamment l’origine raciale, l’origine éthique, les opinions politiques, les convictions religieuses, philosophiques, l’appartenance syndicale d’une personne physique, le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé, des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Or, force est de constater qu’aucune donnée listée au I de l’article 6 n’a fait l’objet d’une quelconque collecte par l’administration fiscale. Aucune des données collectées par l’administration ne rentre non plus dans l’un des cas visés par l’article 35 du RGPD relatif aux analyses d’impact.

En effet, l’administration n’a procédé à aucune évaluation systématique et approfondie d’informations personnelles, fonctionnant par un procédé automatisé, et sur la base desquelles sont prises des décisions ; aucun traitement des données sensibles à grande échelle n’a été effectué ; aucune surveillance systématique à grande échelle d’une zone accessible au public n’a été faite.

Enfin, s’agissant des trois critères relatifs à la nécessité d’une analyse d’impact, il est précisé que : en ce qui concerne une prétendue collecte « à grande échelle », le considérant 91 du RGPD définit ce terme par « un volume considérable de données à caractère personnel au niveau régional, national ou supranational » ; concernant le croisement des données, celles-ci doivent provenir de traitement « d’une manière qui outrepasserait les attentes raisonnables de la personne concernée », ce qui n’est pas le cas en l’espèce ; s’agissant de la surveillance systématique, cette hypothèse renvoie à la troisième hypothèse visée par l’article 35 de l’article précité.

Par conséquent, l’administration fiscale n’avait pas à mener d’analyse d’impact pour effectuer un traitement sui generis.

Droit d’information et droit à l’oubli en matière fiscale   

Aux termes de l’article 13 du RGPD, lorsque des données à caractère personnel sont collectées directement auprès de la personne concernée, les informations à lui fournir sont les suivantes : identité du responsable de traitement, coordonnées du délégué à la protection des données, finalité et base juridique du traitement, intérêts légitimes poursuivis par le responsable lorsque le traitement est fondé sur cette base légale, destinataire des données et éventuelle possibilité de transferts, durée de conservation, possibilité d’en demander l’accès, la rectification ou l’effacement, le droit d’introduire une réclamation auprès d’une autorité de contrôle, conséquences éventuelles de la non fourniture de ces données, existence éventuelle d’une prise de décision automatisée, informations relatives à une autre finalité éventuelle.

Concernant le droit à l’effacement (« droit à l’oubli »), l’article 17 du RGPD prévoit qu’il n’est pas applicable, dans la mesure où ce traitement est nécessaire « pour respecter une obligation légale qui requiert le traitement prévu par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public pu relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

Il est évident que l’administration fiscale  est légalement tenue de ne pas satisfaire aux demandes de droit à l’oubli, puisqu’elle se trouve dans une situation légale et réglementaire à l’égard des contribuable, dans sa mission d’établissement, de recouvrement et de contrôle de l’impôt.

S’agissant du droit à la limitation du traitement, l’article 18 du RGPD prévoit que les données à caractère personnel peuvent néanmoins être traitées pour des motifs importants d’intérêt public de l’Union ou d’un État membre. Au cas présent, l’administration fiscale exerçait une mission régalienne qui constitue un intérêt public fondamental.

Quid des fichiers FICOBA, SIR et A ?

Quant aux autres informations, elles sont précisées au sein de l’arrêté du 5 avril 2002 pour le fichier A, au sein de l’arrêté du 14 juin 1982 pour le fichier FICOBA et au sein de l’arrêté du 28 avril 1987 pour le fichier SIR. En outre, ces informations ont fait l’objet d’une information complémentaire sur le site gouvernemental 'impots.gouv.fr', d’accès public. Au vu de ce qui précède, il était donc inexact d’indiquer que les informations ont été rappelées aux personnes concernées de manière incomplète. Dès lors, les informations extraites des fichiers FICOBA, SIR et A étaient parfaitement licites et ne pouvaient entraîner l’annulation de la procédure. Télécharger la décision