En pleine séquence budgétaire, l’exécutif met la pression sur la lutte contre les fraudes sociales et fiscales. Objectif affiché: détecter plus, sanctionner mieux, recouvrer plus vite. Au cœur du débat, l’échange automatisé de données entre administrations. La CNIL est-elle un frein ou un garde-fou indispensable ? État des lieux, textes à l’appui.
Le 14 octobre 2025, un projet de loi a été présenté en Conseil des ministres pour intensifier la lutte contre les fraudes. Trois axes structurent la stratégie: faciliter les échanges de données entre administrations, renforcer les peines et améliorer le recouvrement. Matignon met en avant 20 milliards d’euros de fraudes détectées en 2024 et annonce une montée en puissance des croisements d’informations, y compris la géolocalisation des transports sanitaires.
La loi n’interdit pas les croisements… elle les encadre
Rien, dans le droit français et européen, n’interdit par principe le croisement de fichiers publics. Mais deux cadres s’imposent: la loi Informatique et Libertés (1978, refondue en 2018) et le RGPD. Ils exigent des finalités précises, la proportionnalité du dispositif, la minimisation des données et des mesures de sécurité adaptées, souvent après une analyse d’impact (DPIA).
La CNIL bloque-t-elle ?
La CNIL rappelle qu’elle n’est pas le Parlement: elle ne “fait” pas la loi. Son rôle légal est d’émettre des avis, d’alerter, de recommander des garde-fous, puis de contrôler l’application des textes. En 2022, elle a rendu des dizaines d’avis sur des projets de textes sans pouvoir normatif propre. Autrement dit, elle peut demander des ajustements, pas “interdire” une politique publique.
Pourquoi certains l’accusent de freiner
Des think tanks et responsables politiques l’accusent de “saboter” des réformes, citant par exemple la fusion carte d’identité–carte Vitale ou l’exploitation du fichier des passagers aériens (PNR). La fondation iFRAP a popularisé ce procès à charge. En réalité, sur ces cas précis, la CNIL n’a pas “bloqué”: elle a émis des réserves et exigé des garanties, ce qui est sa mission.
Cas d’école 1: e-carte Vitale et projet de fusion CNI–Vitale
En 2023, la CNIL a cadré le déploiement de l’e-carte Vitale et listé ses “points d’attention” pour une éventuelle fusion CNI–Vitale. Le message: possible, mais avec des garanties strictes (sécurité, proportionnalité, information du public), et sans biométrie généralisée au point de soin. L’IGAS a par ailleurs souligné que la fraude par usurpation d’identité dans ce champ reste résiduelle, ce qui interroge le rapport coût-bénéfice de solutions très intrusives.
Cas d’école 2: API-PNR, la tentation du “tout-surveillance”
Sur le fichier des passagers aériens, la CNIL a jugé que le dispositif pouvait porter une atteinte grave à la vie privée compte tenu de l’ampleur des données, tout en actant son usage avec des garde-fous pour des finalités limitées (terrorisme, trafics). Elle a rendu des avis officiels sur les décrets cadre en 2014 puis en 2018. Le débat juridique sur l’extension du PNR à la lutte contre la fraude fiscale a été vif depuis 2023, précisément au nom de la proportionnalité.
Pourquoi un “grand fichier unique” est une fausse bonne idée
Concentrer toutes les informations sociales et fiscales des Français dans une base unique serait contraire aux principes du RGPD (finalité, minimisation) et créerait un risque majeur en cas de fuite. Plus on fusionne, plus la cible intéresse les attaquants. La doctrine CNIL recommande au contraire des dispositifs finalisés, cloisonnés et sécurisés, avec analyse de risques renforcée.
Aux Pays-Bas, un algorithme de détection des fraudes aux allocations a conduit, pendant des années, à accuser à tort des dizaines de milliers de familles, souvent issues de l’immigration. Le coût humain et financier est colossal et la réparation toujours en cours. Ce cas illustre le risque d’outils mal cadrés et de biais systémiques.
Ce qu’il faut trancher maintenant
- 1 – Finalités et périmètre: lister ce qui relève de la lutte anti-fraude et ce qui n’en relève pas, éviter l’effet “butoir” où tout devient traçable.
- 2 – Garanties techniques: journalisation, cloisonnement, contrôle d’accès, durée de conservation, chiffrement de bout en bout.
- 3 – Garanties juridiques: base légale claire, évaluation d’impact, information des personnes, voies de recours.
- 4 – Évaluation: publier les bilans chiffrés des croisements autorisés et leur rendement réel. Ces points sont entièrement compatibles avec l’ambition gouvernementale “détecter-sanctionner-recouvrer”.
En savoir plus sur Figures Publiques
Subscribe to get the latest posts sent to your email.
