L’administration fiscale a collecté à grande échelle des données personnelles des contribuables – y compris des déclarations sur les réseaux sociaux – sur Internet, les a stockées dans un système informatique et les a utilisées dans le cadre de leur contrôle et de leur lutte contre la fraude. Cela s’est produit malgré des doutes internes sur la légalité de cela et sur “l’origine, l’exactitude et l’actualité” des données stockées.
Les données ont été stockées dans la base de données controversée RAM, dont CNRC a dévoilé le déploiement à grande échelle ce printemps.
Les problèmes de confidentialité entourant ce modèle d’analyse des risques (RAM) utilisé depuis des années sont encore plus importants que ceux décrits dans cette publication, selon un rapport. reporting interne de 2017 que le secrétaire d’État sortant Marnix van Rij (Impôt, CDA) a envoyé à la Chambre des représentants après la publication du NRC. Van Rij et son collègue secrétaire d’État Aukje de Vries (Avantages, VVD) ont décidé de mener une enquête externe sur l’utilisation de la RAM et ses conséquences pour les citoyens. Le rôle possible de la RAM dans le scandale des avantages sociaux est également discuté.
La RAM – qui a été utilisée au tournant du siècle – a été utilisée à des fins de « profilage », notamment sur la base de la nationalité, selon des rapports internes. RAM a également fourni des « adresses surprises » où, selon les données collectées, il existait peut-être des modèles de comportement déviants (lire : suspects).
A lire aussi : L’administration fiscale est ainsi devenue un auteur fréquent d’abus de données personnelles
Département des avantages sociaux
RAM a également été déployé dans le département des avantages sociaux, ce que Van Rij avait précédemment nié au Parlement. Dans son lettre Van Rij a maintenant corrigé cela à la Chambre. Les douanes ont également utilisé la RAM, tout comme le Service de renseignements et d’enquêtes fiscales (FIOD), à des « fins d’enquête ». L’administration fiscale a également utilisé le système pour surveiller ses propres employés, en vue de « atteindre les objectifs de production, la qualité de la production, des aperçus agrégés anonymes et des tests de violation de l’intégrité ».
La base de données auto-construite contenait « des données de nature hautement confidentielle, compte tenu de la nature fiscale, financière et/ou personnelle des données », précise l’analyse interne. « De nombreuses données sensibles provenant de nombreuses personnes sont rassemblées. » Les employés de l’administration fiscale ont également eu accès, via la RAM, à des informations sur d’éventuelles poursuites pénales ou enquêtes.
Les analyses ont produit des « adresses surprenantes » avec des modèles de comportement potentiellement divergents.
Les autorités fiscales ont collecté des données provenant de dizaines de sources, internes et externes au gouvernement, de sorte que des centaines de données différentes ont été stockées par citoyen. Non seulement des données personnelles générales telles que l’adresse et l’âge, mais aussi des informations sur le partenaire (fiscal) d’une personne, la date de début de la relation, la nationalité du partenaire, la fréquence à laquelle une personne s’est connectée aux systèmes de l’administration fiscale ou a soumis des objections, toutes les données sur les revenus, les actifs et les dettes, le nombre de voitures, les investissements et les biens immobiliers qu’une personne possédait, etc. Grâce aux recherches, il a été possible de « relier presque tout à tout », indique l’analyse interne. De cette façon, les employés du ministère pourraient identifier des individus ou des groupes pour une enquête plus approfondie.
En 2016, des inquiétudes existaient déjà au sein de la haute direction de l’administration fiscale quant à l’opportunité de « diffuser des données à grande échelle » via la RAM, selon une correspondance interne par courrier électronique. Il y a eu de fréquentes tentatives de fermeture ou de remplacement du programme parce qu’il n’était pas conforme aux lois sur la protection de la vie privée. Mais la RAM était trop populaire en interne pour être désactivée. Selon un rapport confidentiel de l’époque, il y avait « au moins 2 000 » clients de données RAM au sein du service.
Exporter sans contrôle
Qui exactement a utilisé le système, ce qui en a été extrait et à qui ces informations ont été envoyées n’a pas été suivi. Les employés pouvaient exporter les informations demandées sans les consulter vers des feuilles Excel et les emporter avec eux sur leurs propres disques ou clés USB.
Les employés savaient que RAM autorisait des recherches « qui pourraient être considérées comme discriminatoires ».
Le fisc savait que le stockage des informations personnelles que les citoyens partageaient sur Internet (« scraping/crawling, avec ou sans intervention de logiciels tiers ») était juridiquement problématique. « La base juridique du traitement de ces données est [..] sujet de discussion minime et, dans un certain nombre de cas, non autorisé par le [Autoriteit Persoonsgegevens]», lit-on dans l’analyse interne.
Le système a été officiellement désactivé lors de l’introduction d’une nouvelle législation sur la protection de la vie privée en mai 2018, mais selon des documents internes, au moins une partie de la base de données est restée accessible aux employés jusqu’en janvier 2021.
Le rôle possible de la RAM dans le scandale des avantages sociaux sera également discuté dans l’enquête.
L’utilisation de la RAM et les principales préoccupations internes concernant la violation de la vie privée des citoyens qui en résultait ont toujours été cachées à la Chambre. Puis député Pieter Omtzigt (CDA à l’époque) en 2018 demandé laquelle des évaluations internes des risques liés à la vie privée avaient été effectuées au sein de l’administration fiscale, le secrétaire d’État de l’époque, Menno Snel (D66), a caché l’existence de l’analyse interne à la RAM. Lorsque Van Rij a informé la Chambre de l’existence de RAM en mars 2022, il s’est dans un premier temps limité à une déclaration sommaire selon laquelle il y avait “environ 125 utilisateurs autorisés”.
C’est en partie pour cette raison que l’on sait peu de choses sur les conséquences concrètes de l’utilisation à grande échelle de la RAM. Le ministère des Finances n’a pas répondu aux questions car une enquête externe est en cours. Le gouvernement souhaite commencer le mois prochain à sélectionner le groupe externe qui réalisera les recherches.
Une version de cet article est également parue dans le journal du 14 septembre 2023.