Délibération n° 2023-150 du 14 décembre 2023 portant avis sur un projet d'arrêté modifiant l'arrêté du 21 février 2014 portant création par la direction générale des finances publiques d'un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes »

L'essentiel :
La CNIL a été saisie par le ministère de l'économie, des finances et de la souveraineté industrielle et numérique pour avis d'un projet d'arrêté visant, en particulier, à préciser les finalités du traitement « ciblage de la fraude et valorisation des requêtes » (CFVR), à modifier les destinataires des données et, enfin, à prévoir l'alimentation par les résultats du traitement de plusieurs outils métiers de la Direction générale des finances publiques (DGFiP).
La CNIL considère que les modifications envisagées sont légitimes. A la lumière des récentes jurisprudences française et européenne s'agissant du régime juridique applicable aux traitements de l'administration fiscale, elle estime que le traitement CFVR relève du RGPD.
Elle rappelle la nécessité de respecter les principes de protection des données « par conception » et « par défaut » dans le développement des outils métiers à destination des agents de son administration. En particulier, les destinataires des résultats du traitement devront être limités à ceux qui ont besoin d'en connaître, eu égard à leurs missions respectives.
Il revient au ministère de faire preuve d'une grande prudence dans la conception et l'utilisation de ce type de traitements algorithmiques, compte tenu des risques qu'ils présentent et des biais dont ils peuvent souffrir. La CNIL recommande en particulier la mise en place de formations spécifiques permettant aux agents en charge de la programmation et des contrôles de maîtriser les principes des algorithmes utilisés.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment ses articles 4, 31, 47 et 52 ;
Après avoir entendu le rapport de M. Philippe-Pierre CABOURDIN, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

La lutte contre la fraude fiscale est un objectif de valeur constitutionnelle qui légitime certaines actions du Gouvernement et de l'administration en faveur d'une détection efficiente des manquements et des infractions prévus au code des impôts. Ces actions s'inscrivent dans la feuille de route gouvernementale de lutte contre toutes les fraudes aux finances publiques, présentée en juin 2023.
Dans le but d'améliorer la programmation des contrôles fiscaux, le ministère de l'économie, des finances et de la souveraineté industrielle et numérique met en œuvre depuis 2014 le dispositif de « ciblage de la fraude et de valorisation des requêtes » (CFVR) faisant appel à des techniques de fouille de données (« datamining »). Ce traitement, qui n'a pas pour but de remplacer l'analyse des agents, vise un meilleur ciblage du contrôle des particuliers et des professionnels qui pourraient se trouver en situation de manquement ou de fraude. Pour ce faire, le traitement CFVR fait appel, d'une part, à l'agrégation de plusieurs bases de données internes à la direction générale des finances publiques (DGFiP), comme les fichiers des comptes bancaires (traitement « FICOBA ») et des contrats de capitalisation et d'assurance-vie (traitement « FICOVIE »), et externes, telles que certaines données des unions de recouvrement des cotisations de sécurité sociale et d'allocations familiales (URSSAF), et, d'autre part, à des modèles statistiques probabilistes reposant sur la recherche d'atypies ou d'incohérences, sur l'expérience acquise par la DGFiP ainsi que sur l'analyse de réseaux afin de faire apparaître de possibles liens entre des personnes physiques ou morales. Le bureau en charge de la programmation des contrôles et de l'analyse des données au sein de la DGFiP (SJCF-1D) mène ces travaux visant à mieux caractériser une personne ou une entreprise potentiellement frauduleuse.
Initialement mis en œuvre en 2014 à titre expérimental, dans le cadre de la recherche de fraudes commises par les contribuables professionnels, le traitement CFVR a été pérennisé en 2015 pour ces contribuables et étendu concomitamment, à titre d'expérimentation, aux personnes physiques impliquées dans le fonctionnement des entités professionnelles. Cette extension a elle-même été pérennisée en 2016, puis ce traitement a été élargi une nouvelle fois en 2017 aux particuliers à titre expérimental jusqu'en août 2019. Parallèlement, les finalités de ce traitement ont été étendues afin de permettre la détection anticipée des entreprises en difficulté ainsi que l'envoi automatique de demandes de compléments d'informations aux contribuables. Enfin, à titre expérimental, la loi a autorisé l'administration fiscale, à des fins de recherche d'infractions limitativement énumérées, à collecter et à exploiter les contenus librement accessibles et manifestement rendus publics par les utilisateurs sur les plateformes et les réseaux sociaux (article 154 de la loi n° 2019-1479 du 28 décembre 2019 de finances pour 2020). Chacune de ces modifications a fait l'objet d'un avis de la...