Bercy patron
Bercy vient de mettre à jour la base légale de son algorithme de « ciblage de la fraude et valorisation des requêtes » (CFVR). Il révèle que « moins de 700 infractions liées à la fraude fiscale » seraient constatées par le juge chaque année, « soit moins de 1 % des contrôles réalisés ». 10 ans après la création du fichier, le « droit à l’information » des personnes fichées n’est toujours pas mis en œuvre par le ministère, qui ne semble pas non plus avoir tenu compte de deux des recommandations de la CNIL.
Ce vendredi 13 décembre, le Journal Officiel publiait un « arrêté du 21 octobre » modifiant le traitement automatisé de lutte contre la fraude du ministère des Finances dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR).
L’arrêté ne précise pas pourquoi il a fallu attendre près de deux mois après sa signature par le chef de service des systèmes d’information de la Direction générale des Finances publiques (DGFiP) pour être publié au JO. Mais la publication conjointe de la délibération du 14 décembre 2023 de la CNIL associée indique que l’affaire était pendante depuis un an.
L’arrêté vise, en particulier, à préciser les finalités du CFVR, à modifier les destinataires des données et à prévoir son alimentation par les résultats du traitement de plusieurs autres outils métiers de la DGFiP.
Ce traitement n’a pas pour but de remplacer l’analyse des agents
Le fichier CFVR, rappelle la CNIL, recourt à des techniques de fouille de données (« datamining ») et des modèles statistiques probabilistes « afin de faire apparaître de possibles liens entre des personnes physiques ou morales » et de « caractériser une personne ou une entreprise potentiellement frauduleuse » :
« Ce traitement, qui n’a pas pour but de remplacer l’analyse des agents, vise un meilleur ciblage du contrôle des particuliers et des professionnels qui pourraient se trouver en situation de manquement ou de fraude. »
Créé en 2014 à titre expérimental, dans le cadre de la recherche de « fraudes commises par les contribuables professionnels », CFVR avait été pérennisé en 2015 et étendu, toujours à titre d’expérimentation, aux « personnes physiques impliquées dans le fonctionnement des entités professionnelles ».
Cette extension fut elle-même pérennisée en 2016, et le fichier une nouvelle fois élargi, en 2017, cette fois pour y inclure les particuliers, « à titre expérimental jusqu’en août 2019 ». Ses finalités ont en outre été étendues afin de « permettre la détection anticipée des entreprises en difficulté », ainsi que l’envoi automatique de demandes de compléments d’informations aux contribuables.
Enfin, et toujours à titre expérimental, la loi a autorisé fin 2019 l’administration fiscale, « à des fins de recherche d’infractions limitativement énumérées », à collecter et à exploiter les contenus « librement accessibles et manifestement rendus publics » par les utilisateurs sur les plateformes et les réseaux sociaux.
Des bilans annuels qui se font attendre depuis 5 ans
À titre liminaire, la CNIL rappelle l’engagement du ministère, datant de 2019, « de lui communiquer régulièrement des bilans sur les conditions d’utilisation et d’exploitation [du] traitement [CFVR] et sur les coûts afférents ». Or, même si le ministère s’est engagé à fournir ce bilan « au plus tard au deuxième trimestre 2023 », la CNIL n’a toujours rien reçu.