Dans la lutte contre la fraude fiscale, le gouvernement cherche à trouver de nouvelles solutions. Gérald Darmanin, ministre de l’Action et des Comptes publics avait ainsi révélé dans Capital sur M6 le 11 novembre dernier la prochaine expérimentation de la surveillance des réseaux sociaux, afin de mieux repérer les fraudeurs potentiels. Sa mise en place devrait intervenir en 2019.

Décryptage par Valérie-Laure Bénabou, professeur de droit à l’Université Aix-Marseille.

« Bien qu’elle ne soit pas encore saisie de la question, la CNIL a fait publiquement part de ses interrogations »

Quels sont les mécanismes que le gouvernement pourrait utiliser afin de contrôler les réseaux sociaux ?

Dans le cadre de la loi anti-fraude adoptée le 23 octobre 2018, le gouvernement a souhaité impliquer les plateformes dans le processus de déclaration des revenus issus des échanges marchands réalisés par leur intermédiaire. Au titre de l’article 242 bis du Code général des impôts, l’entreprise, quel que soit son lieu d’établissement, qui en qualité d’opérateur de plateforme met en relation à distance, par voie électronique, des personnes en vue de la vente d’un bien, de la fourniture d’un service ou de l’échange ou du partage d’un bien ou d’un service est tenue d’envoyer à l’administration fiscale un récapitulatif des transactions commerciales réalisées par les utilisateurs ayant perçu des sommes à l’occasion de ces opérations pour peu que les transactions aient été faites en France et par des personnes y résidant. Ainsi, les gains réalisés en utilisant BlaBlacar et autres Airbnb n’auront désormais plus de secret pour l’administration fiscale. Par ailleurs, les plateformes pourront, à l’issue d’une procédure particulière, être solidairement tenues de la TVA que ses utilisateurs ont à acquitter s’ils ne le font pas.

En revanche, rien dans la loi n’est prévu quant au contrôle des comptes des réseaux sociaux dans le cadre d’une vérification fiscale. La déclaration de Gérald Darmanin fait référence aux dispositions du document de politique transversale projet de loi de finance pour 2018 et de celui pour 2019 qui prévoient un renforcement des politiques de traitement de données dans le but de lutter contre la fraude. Dans cette perspective, « l’administration fiscale met en œuvre de nouvelles modalités d’exploitation des données pour améliorer la programmation (analyse-risque, datamining) tout en mobilisant ses services de recherche qui recueillent des informations autres que déclaratives. (… ) ». Il est encore dit que « Le ciblage fin réalisé par la Mission Requêtes et Valorisation (MRV), permettra d’atteindre ces objectifs au moyen d’un silo intégrant de façon décloisonnée des données de nature et d’origine différentes, adossé au suivi rapproché de l’exploitation des dossiers sélectionnés. » La Direction Générale des Douanes et des droits Indirects (DGDDI) envisage ainsi de recourir au traitement de données non structurées (text-mining), à l’exploitation des données ouvertes, ou encore aux data-scientists. C’est sur ce fondement mou que sera lancée une phase d’expérimentation visant à collecter, via la consultation des réseaux sociaux, des indices qui, croisés avec d’autres données, pourront conduire l’administration à ouvrir un contrôle. A ce stade, le dispositif n’est pas encore en place et ses modalités ne sont pas précisément définies.

Le ministre a par ailleurs annoncé que ce sont des comptes publics qui seraient examinés. Jusqu’où nos comptes personnels sur les réseaux sociaux sont-ils publics ?

La question du caractère public ou privé des comptes des réseaux sociaux n’est pas des plus claires et a surtout été abordée dans le cadre de contentieux du droit du travail. Dernièrement, la Chambre sociale de la Cour de cassation (Cass. soc. 20 décembre 2017 n° 16-19.609) a jugé que des informations extraites du compte Facebook d’une salariée obtenues à partir du téléphone portable d’un autre salarié, informations réservées aux personnes autorisées » ne pouvaient pas être licitement utilisées par l’employeur dans le cadre d’une procédure de licenciement, leur accès par ce dernier portant « une atteinte disproportionnée et déloyale à la vie privée de sa salariée ». En septembre, cette même chambre sociale (Cass. soc., 12 septembre 2018 n° 16-11.690) a confirmé l’arrêt de la Cour d’appel de Paris (CA Paris 03.12.15, n°13-01746) qui avait écarté le délit d’injures publiques pour des propos tenus sur un « mur » Facebook seulement accessible aux quatorze personnes autorisées par le titulaire du compte, « de sorte qu’ils relevaient d’une conversation de nature privée ».
En 2013, la première chambre civile de la Cour de cassation avait déjà jugé que le délit d’injure publique n’est pas constitué si les propos ne sont accessibles qu’aux seules personnes « agréées » par le titulaire du compte (Cass, 1ère civ, 10 avril 2013, n°11-19.530.), à condition qu’elles soient en nombre très restreint, ces dernières formant alors « une communauté d’intérêts ». Ainsi, c’est le critère du paramétrage du compte par son titulaire, combiné à une appréciation quantitative ou qualitative des personnes y ayant accès selon ce paramétrage qui semblent déterminer si le compte du réseau social présente un caractère public ou privé et non l’utilisation du matériel pour s’y connecter ou le cadre professionnel dans lequel s’échangent les propos.
Toutefois, la Cour d’appel de Rouen a retenu que l’employeur pouvait se prévaloir des captures d’écran du compte d’un salarié réalisées par une personne habilitée à le consulter (CA, Rouen, 26 avril 2016, n°14-03.517) et en 2018, la cour d’appel de Toulouse a validé un licenciement pour faute grave basé sur des propos injurieux recueillis sur un profil Facebook dont la session était restée ouverte sur l’ordinateur de l’entreprise. (CA Toulouse, 4ème ch., 2 février 2018, n°16-04.882), recevant ainsi des preuves obtenues à l’occasion d’un accès plus « accidentel » au compte du réseau social.

Ainsi, même si la Cour de cassation semble à l’unisson dans ses deux chambres, la jurisprudence précitée n’offre pas de critère limpide permettant de déterminer si l’information figurant dans les comptes des réseaux sociaux est ou non « publique » pour l’administration fiscale. L’orientation consistant à s’en remettre au seul paramétrage du compte par son titulaire laisse assez peu de marge de manœuvre alors que la possibilité de se prévaloir d’informations obtenues à l’occasion de la consultation du compte par une personne autorisée, dont l’administration fiscale aurait eu ultérieurement communication, ouvre des perspectives de vérification bien plus étendues.

Dans quelle mesure ces dispositifs de surveillance des réseaux sociaux sont-ils en accord avec la protection des données personnelles ?

La CNIL a d’ores et déjà énoncé que, bien que la lutte contre la fraude fiscale constituât un intérêt susceptible de légitimer le traitement des données, celles qui se trouvent sur les réseaux sociaux n’en perdent pas pour autant leur qualité de données à caractère personnel nécessitant que le traitement soit proportionné, « compte tenu de son caractère intrusif dans la vie privée des personnes et du caractère potentiellement massif de la collecte ». Bien qu’elle ne soit pas encore saisie de la question, la CNIL a fait publiquement part de ses interrogations sur le « périmètre des sources ouvertes concernées », les types de fraudes visés, la liste des agents habilités à procéder à cette collecte, et sur les durées de conservation des informations glanées sur les profils publics. Cette dernière question est particulièrement stratégique au regard des limitations induites par l’arrêt de la CJUE Tele 2 du 21 décembre 2016. En tout état de cause, la DGFIP a déjà signalé que « toutes les actions de contrôle menées (…) font l’objet d’un dépôt à la CNIL et de l’obtention d’un accord avant toute mise en place. Il en sera de même pour cette expérimentation.»

Par Valérie-Laure Bénabou