Après avoir entendu M. Philippe-Pierre CABOURDIN, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le traitement « valorisation des données pour l'analyse de risque » projeté, mis en œuvre par le service d'analyse de risque et de ciblage (SARC) de la direction générale des douanes et droits indirects (DGDDI) vise à modéliser et à visualiser les comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d'infractions à la législation douanière et fiscale.
La Commission relève, en premier lieu, que le projet d'arrêté soumis pour avis abroge l'arrêté du 27 juin 2017 portant création par la DGDDI d'un traitement automatisé de lutte contre la fraude dénommé « valorisation des données pour l'analyse de risque » lequel autorisait à titre expérimental pour une durée d'un an la mise en œuvre d'un traitement ayant pour finalité de modéliser et visualiser des comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d'infractions à la législation douanière.
Elle relève, à titre d'élément de contexte, que si le présent projet d'arrêté vise à autoriser un nouveau traitement de données à caractère personnel afin de prendre en compte les modalités d'application du dispositif de collecte de l'article 154 de la loi de finances pour 2020 susvisée, celui-ci reprend de manière générale les principales caractéristiques du traitement expérimental encadré par l'arrêté du 27 juin 2017 précité.
L'article 154 de la loi de finances pour 2020 susvisée autorise, à titre expérimental pour une durée de trois ans, les administrations fiscales et douanières à collecter et exploiter les contenus librement accessibles et manifestement rendus publics par les utilisateurs sur les réseaux sociaux et les plateformes en ligne (ci-après « plateformes et réseaux sociaux »). Cette collecte doit permettre de rechercher des indices relatifs à la commission de certaines infractions limitativement énumérées par la loi, en particulier pour la DGDDI les délits visés aux articles 414, 414-2 et 415 du code des douanes et les délits visés à l'article 1791 ter et aux 3°, 8° et 10° de l'article 1810 du code général des impôts. Elle observe que les modalités d'application du dispositif de collecte précité seront encadrées par un décret en Conseil d'Etat lequel fait concomitamment l'objet d'un avis de la Commission.
Précisément, le présent projet d'arrêté tient compte de la transmission et de l'analyse de certaines données collectées sur les plateformes et réseaux sociaux dans le traitement projeté afin de déterminer si celles-ci constituent des indices permettant de caractériser l'une des infractions recherchées dans le cadre du dispositif de l'article 154 précité.
La Commission relève par ailleurs que le projet d'arrêté lui a été soumis sur le fondement des dispositions de l'article 31-I-2° de la loi du 6 janvier 1978 modifiée. Dans la mesure où le traitement projeté vise à modéliser et à visualiser les comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d'infractions à la législation douanière et fiscale, la Commission considère que ce traitement relève par principe du champ d'application de la directive 2016/680 du 27 avril 2016 susvisée.
Ces éléments généraux rappelés, la Commission entend formuler les observations suivantes.
Sur les finalités du traitement :
En premier lieu, l'alinéa 1er de l'article 2 du projet d'arrêté précise que le traitement vise « à modéliser et à visualiser les comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d'infractions à la législation douanière et fiscale ».
La Commission relève la formulation particulièrement large retenue s'agissant des finalités poursuivies par le traitement « valorisation des données pour l'analyse de risque ». Elle estime à cet égard que l'alinéa 1er de l'article 2 mériterait de mentionner les catégories d'infractions à la législation fiscale et douanière effectivement visées. La Commission prend acte de l'engagement du ministère de modifier le projet d'arrêté en ce sens.
La Commission relève en outre que le traitement projeté permet de manière concrète de stocker des données issues de différents traitements de la DGDDI, de préparer ces données aux fins d'analyse et enfin de modéliser et d'explorer celles-ci (notamment par la mise en œuvre de techniques de datamining et des méthodes statistiques et de probabilités).
Elle constate que les résultats ainsi obtenus via les différentes techniques précitées seront transmis aux services douaniers compétents en matière de ciblage et de contrôle pour une analyse humaine approfondie. La Commission observe dès lors que le traitement projeté ne constitue qu'un outil d'aide et d'orientation des travaux des agents et non un outil de profilage destiné à identifier directement des fraudeurs potentiels et prend acte que les données modélisées par le traitement projeté ne conduiront en aucun cas à une programmation automatique des contrôles, ni a fortiori, à des décisions directement opposables aux personnes concernées.
En second lieu, l'alinéa 2 du projet d'arrêté prévoit l'analyse par comparaison des données collectées sur les plateformes et réseaux sociaux avec celles enregistrées dans le traitement dans le traitement « valorisation des données pour l'analyse de risque » nouvellement créé à cet effet.
Au regard des précisions apportées par le ministère, la Commission prend acte qu'un contrôle de proportionnalité sera réalisé sur les données issues du dispositif de collecte de l'article 154 de la loi de finances pour 2020 avant le transfert de celles-ci au traitement « valorisation des données pour l'analyse des risques ». Précisément, les données transférées et enregistrées seront celles se rapportant strictement aux indicateurs et critères de pertinence, expurgées des données sensibles et des données qui ne sont pas de nature à concourir à la constatation des infractions et manquements visés dans le cadre de l'article 154 de la loi de finances précitée, et que celles-ci seront par la suite sélectionnées sur la base de scores.
Sur les données traitées :
La Commission relève que les données amenées à être enregistrées sont issues de différents traitements mis en œuvre régulièrement par la DGDDI lesquels sont listés à l'article 5 du projet d'arrêté. Elle constate toutefois qu'il ressort de la documentation transmise par le ministère que le traitement « ROSA » (référentiel des opérateurs et suivi des agréments) alimentera le traitement projeté. Sur ce point la Commission prend acte de l'engagement du ministère de modifier le projet d'arrêté pour y faire figurer le traitement « ROSA » précité.
En outre, si la Commission estime que le traitement ultérieur des données provenant d'autres traitements ne s'avère pas incompatible avec les finalités poursuivies par le traitement projeté, elle rappelle toutefois qu'il reviendra au ministère de procéder, le cas échéant, à la mise à jour des actes réglementaires afférents à ces traitements et de s'assurer de l'exactitude des données enregistrées dans le traitement projeté.
En outre, le 9° de l'article 3 du projet d'arrêté mentionne, au titre des catégories de données traitées, les « données issues du traitement de collecte et de sélection des données pertinentes » dans le cadre de l'expérimentation prévue par l'article 154 de la loi du 28 décembre 2019 de finances pour 2020. Le ministère a indiqué que les données issues du dispositif de collecte de l'article 154 précité qui seront transmises au traitement projeté sont l'ensemble des données collectées sur les plateformes, soit les données dites « brutes » (par exemple, les textes et les images, URL, pseudo du compte utilisateur, date de collecte), expurgées des données sensibles et des données qui ne sont pas de nature à concourir à la constatation des infractions et manquements visés dans le cadre de l'article 154 de la loi de finances précitée.
La Commission prend acte de la modification de l'article 3 du projet d'arrêté devra afin de faire apparaître de manière explicite les catégories de données qu'il est envisagé de collecter.
Sur les durées de conservation :
S'agissant des durées de conservation des catégories de données mentionnées au 1° à 8° de l'article 3 du projet d'arrêté, la Commission observe que ces durées correspondent à celles prévues par les actes réglementaires relatifs aux traitements sources.
S'agissant des durées de conservation des données mentionnées au 9° de l'article 3 du projet d'arrêté, à savoir les données issues du dispositif de collecte de l'article 154 de la loi de finances susvisée, la Commission relève que ces durées correspondent à celles fixées par le législateur à l'article 154 précitée.
Sur les accédants et les destinataires :
La Commission relève que les deux premiers alinéas de l'article 6 du projet d'arrêté font uniquement référence aux « informations traitées » sans préciser s'il s'agira d'informations relatives aux données collectées dans le cadre du seul traitement « valorisation des données pour l'analyse de risque » ou des informations résultant des opérations effectuées dans le cadre de l'article 154 de la loi de finances pour 2020. Elle demande que le projet d'arrêté soit explicité sur ce point pour préciser ce à quoi pourront accéder les personnels visés à l'article 6 du projet d'arrêté.
Sur les droits des personnes concernées :
S'agissant des droits d'accès, de rectification, d'effacement et à la limitation, l'article 7 du projet d'arrêté indique que ces droits s'exercent auprès du bureau en charge de la politique des contrôles au sein de la DGDDI. Le ministère précise par ailleurs que dans la mesure où le traitement projeté contiendra des données issues d'autres traitements, les droits d'accès ou de rectification s'exerceront prioritairement dans le cadre des traitements « sources » et que les éventuelles rectifications résultant de l'exercice de ces droits seront automatiquement répercutées dans le traitement projeté via un mécanisme de mise à jour des données, ce dont elle prend acte.
Sur les mesures de sécurité :
La Commission observe que des mesures sont mises en place afin de garantir un strict accès aux données et que seules les personnes dûment habilitées et dans la limite du besoin d'en connaître pourront y accéder comme l'indique l'article 6 du projet d'arrêté.
L'article 8 du projet d'arrêté précise que les opérations de collecte, de modification, de consultation, de communication, de transfert, d'interconnexion et de suppression des données et informations du traitement font l'objet d'un enregistrement comprenant l'identification de l'auteur, la date et l'heure de l'opération. Les journaux des opérations de consultation et de communication font, en outre, apparaître le motif de l'opération.