Lutte contre la fraude et protection des données : un dilemme pour l'Etat ?

L'article 154 du projet de loi de finances de 2020 autorise les administrations fiscales et douanières à collecter nos données personnelles disponibles sur internet, et à les exploiter dans le but d'identifier des fraudes. Promulguée en décembre 2019, c'est une première pour la France, où la sécurité des données a toujours été une priorité.

Cette lutte est un sujet sur lequel investit l’Etat depuis 2014, notamment avec l’embauche de data scientists, pour croiser de nouvelles sources de données, mieux exploiter les informations mises à disposition et de mieux appréhender des données toujours plus volumineuses. L’an dernier, dix milliards d’euros ont été récupérés par l’Etat grâce à ces équipes, l’enjeu est donc considérable. On peut donc se demander si la priorisation de cette lutte se fera-t-elle au détriment de notre vie privée sur les réseaux sociaux ? Que ce soit la montre que l’on vend sur Leboncoin, la photo de notre bolide sur Instagram… Devrons-nous justifier toutes ces publications auprès de l’Etat pour ne pas être perçu comme un fraudeur ?

Données massives et réglementation actuelle

Après les multiples scandales qui ont éclatés au sujet de l’exploitation de nos données personnelles, à l’instar de l’affaire Cambridge Analytica, nous savons que de grands acteurs les utilisent. Et ce avec notre accord qu’ils obtiennent par les conditions d’utilisation : ils peuvent ainsi conserver certaines de nos données personnelles et tout ce que nous communiquons chaque jour. En effet, chaque “Like” ou “Partage” d’une publication de nos influenceurs préférés est une source d’informations sur nous-même, récupérée et analysée par les sites pour nous cibler.

Depuis, nos données personnelles, adresse mail, numéro de sécurité sociale et tout autre élément permettant de nous identifier directement sont protégés par plusieurs lois. Le Règlement Général sur la Protection des Données (RGPD) est le plus connu. Il est entré en vigueur en mai 2018 à l’échelle européenne et a pour objectif de rendre à l'utilisateur le contrôle de ses données. Tout acteur utilisant nos données est concerné, aussi bien Facebook, notre banque ou notre club de sport. Ces sociétés ont l’autorisation de conserver nos données personnelles si elles respectent des directives strictes, et tout manquement est sévèrement puni par une amande qui peut s’élever à 20 000 000€ ou 4% du chiffres d’affaires mondial total de l’entreprise.

Détection de fraude

L’article 154 du projet de loi de finances mettra à disposition des institutions publiques un volume de données important : d’un côté celles qu’elles possèdent déjà à partir des formulaires administratifs, comme notre déclaration de revenu, et à présent celles obtenues sur internet. Ces différentes données pourront être reliées par l’adresse IP ou d’autres données personnelles. Il en découle un grand chantier de traitement et correction des données pour ne conserver que celles qui sont pertinentes. Car même si les divers réseaux et plateformes demandent aux utilisateurs d’indiquer de vraies informations, Camille Dupond qui publie "vivre à Bali" ne remplace pas celle déclaré fiscalement : "vivre à Paris".

En quoi les données sur les réseaux, comme la photo de notre assiette peut permettre de détecter une fraude ? Avec celles-ci, il est possible d’analyser les profils des Français pour identifier des comportements incohérents avec leur situation fiscale. Par exemple, une personne indiquant se rendre plus de dix fois dans le mois dans un restaurant étoilé alors qu’elle perçoit le RSA sera ciblée pour une étude approfondie. Les réseaux sociaux sont déjà utilisés, mais uniquement lors d’enquêtes. Ces nouvelles informations pourront probablement permettre de détecter de nouveaux types de fraude, et en plus grand nombre. 

Entre partage total et anonymat

Les éléments énoncés ci-dessus peuvent laisser penser que le but de cette loi est la création d’une base de données unique constituée de toutes nos données. Une telle base est une illusion : premièrement elle serait bien trop volumineuse pour pouvoir être conservée et enrichie chaque jour. Deuxièmement, même si le RGPD n’est pas appliqué, une limite de temps de conservation des données est imposée par dans cette loi (entre 5 et 30 jours en fonction de la sensibilité des données, et jusqu’au jugement en cas de procédure pénale).

Pour empêcher l’Etat de récupérer et d’analyser nos données, une solution serait de veiller à notre propre anonymat sur internet, par exemple grâce à l’utilisation de VPN. En 2019, 1 Français sur 5 déclare utiliser ce système pour se protéger. Ce dernier permet de masquer son adresse IP, et ainsi retirer une clé de liaison nécessaire pour relier ses données. Il faut toutefois s’équiper d’un serveur VPN fiable, car pour vous proposer des services toujours plus attractifs, ces sociétés peuvent faire le choix de commercialiser nos données. 

L’Etat français a toujours privilégié la protection des données depuis sa première loi en 1978 ; par ce nouveau projet ils se donnent le droit d’utiliser toutes les informations que nous partageons sur les réseaux contre nous-même. Néanmoins, cette utilisation est contrôlée par des limites de conservation et des directives sur les personnes pouvant accéder aux données. Ces données sont déjà utilisées par les sites qui les récoltent, et peuvent même être source de profit, l’Etat ne fait donc qu’utiliser un nouvel outil qui lui est accessible pour identifier des fraudeurs.

En cette lutte contre le virus Covid-19, de nombreux pays rendent publiques des données personnelles. Taiwan et la Corée du Sud ont fait le choix de partager la localisation des personnes infectées pour contenir ce virus, et cette technique semble efficace jusqu’à présent. La France fait quant à elle le choix d’utiliser ces données uniquement dans le cadre d’études.

Serait-il possible qu’en fonction des résultats de la sortie de crise du Covid-19 des autres pays, la France choisisse de faire évoluer sa politique de protection des données de ses citoyens concernant des sujets aussi délicats ?