Bercy is watching your social network
Le ministère de l’Économie et des finances vient d’étendre le dispositif très critiqué qui permet à ses services de collecter les données sur les réseaux sociaux, les plateformes de vente ou tous les sites de mises en relation. Bercy peut maintenant accéder aux données sur les plateformes et réseaux sociaux qui demandent un mot de passe.
C’est via un décret en Conseil d’État, publié le 1er janvier 2025 au Journal officiel, que le ministère de l’Économie et des finances vient de modifier son dispositif lui permettant de scruter sur internet des traces ou indices de fraudes, comme les ventes illicites de produits (drogue, tabac) ou encore les fausses domiciliations à l’étranger.
En 2019, le gouvernement de l’époque avait bataillé ferme pour pouvoir mettre en place dans son projet de loi de finance de 2020 ce que ses opposants avaient qualifié de « Big Brother Bercy ». Ce système, à l’époque mis en place dans le cadre d’une expérimentation de trois ans, permet déjà la collecte de données en masse par Bercy et les douanes pour effectuer leurs enquêtes sur d’éventuelles fraudes.
Le Conseil d’État avait tiqué sur un éventuel cavalier législatif, mais le Conseil constitutionnel l’avait finalement validé, après censure (très) partielle. Concernant une potentielle atteinte à la vie privée, à la liberté de communication et d’expression, les Sages avaient noté que si cette atteinte existait dans ce dispositif, elle n’était pas déséquilibrée, ou insupportable face à l’objectif de lutte contre les infractions fiscales et douanières.
Ils dressaient ainsi une liste des garanties prévues par le législateur dont le fait que les seules données exploitées sont celles « librement accessibles » sur les plateformes, « à l’exclusion donc des contenus accessibles seulement après saisie d’un mot de passe ou après inscription sur le site en cause ».
Bercy peut désormais piocher des données sur Facebook, Instagram et Twitter
Ce dispositif a finalement été prolongé pour une durée de deux ans par l’article 122 de la loi de finances pour 2024, comme l’explique la CNIL dans son avis sur le projet de décret publié lui aussi ce 1er janvier 2025, et son périmètre d’expérimentation étendu.
Le nouveau décret supprime notamment l’obligation faite aux services de Bercy de ne scruter que les plateformes « dont l’accès ne nécessite ni saisie d’un mot de passe ni inscription sur le site en cause ». Le ministère va donc pouvoir piocher des données sur Facebook, Instagram et Twitter. Il souhaitait déjà mettre en place cet élargissement dès janvier 2023 lorsque Gabriel Attal était ministre délégué chargé des comptes publics.
La déclaration des recettes, nouveau sujet d’enquête possible
Le texte prévoit, par contre, que les agents « ne sont autorisés ni à entrer en relation avec d’autres détenteurs de compte, ni à diffuser des contenus », ni à utiliser le système pour d’autres activités que la recherche d’indices de certaines fraudes fiscales.
Le décret ajoute aussi une nouvelle raison pour laquelle Bercy pourra rechercher des informations sur les réseaux sociaux et plateformes : les minorations ou les dissimulations de recettes par les entreprises.
Un bilan minimaliste de la précédente expérimentation
Pour émettre ce décret, le gouvernement a du demander l’avis de la CNIL. Celle-ci avait demandé d’obtenir un bilan du dispositif avant de se prononcer. Si Bercy s’est plié à cet exercice, il semble qu’il l’ait effectué de façon minimale.
La CNIL, dont l’avis est consultatif, explique que ce bilan fait ressortir « une faible efficacité du dispositif initial du fait de son périmètre limité (au regard, notamment, de l’exclusion des plateformes requérant un compte pour y accéder), restreignant les capacités de collecte de données ».
Mais l’autorité « regrette que le bilan ne comporte pas d’éléments d’analyse qui auraient permis d’apprécier l’efficience du dispositif, ainsi que la proportionnalité entre l’objectif poursuivi (le renforcement de l’efficacité dans la lutte contre la fraude) et l’atteinte aux libertés individuelles ».
Des métadonnées collectées
Le décret ajoute aussi la collecte de métadonnées liées aux données récupérées jusque-là : dates, heures et géolocalisation de leur création. À la CNIL, le ministère a précisé que « seules les données de géolocalisation ont vocation à être exploitées. Les autres métadonnées seront supprimées dans un délai de cinq jours ». Mais, à lecture de l’avis de la CNIL, on comprend que ce délai a été ajouté après une demande de l’autorité.
Concernant l’élargissement du dispositif aux minorations et dissimulations de recettes par les entreprises, celui-ci vise à détecter les entreprises dont l’activité est manifeste sur les réseaux sociaux mais qui déclarent un statut incohérent ou de très faibles recettes. La CNIL estime qu’ « une telle évolution conduira à la collecte de données dont le ciblage se limitera à certains critères objectifs (par exemple, les auto-entrepreneurs avec un chiffre d’affaires déclaré nul). Au regard de cette limitation, la CNIL estime la collecte légitime ».
Le décret prévoit aussi que les administrations donnent chaque semestre à la CNIL la liste des opérations de collecte qui seront engagées.