Le datamining, le datamatching et le profilage: les contrôles massifs en perspective

Dans le précédent numéro du Tetracademy, l’attention avait été attirée sur l’élargissement envisagé mais avorté de l’accès au Point de contact central (PCC) de la Banque nationale de Belgique ainsi que sur l’augmentation des données qui devaient y être centralisées.

Ce n’était que partie remise.

La loi du 18 décembre 2025, portant des dispositions diverses a validé l’essentiel des mécanismes initialement prévus.

Extension des données centralisées

L’élargissement de l’accès au PCC s’accompagne logiquement d’une extension significative des informations que les établissements financiers doivent y transmettre.

• Transmission, sans délai, des données relatives à l’ouverture et à la fermeture des comptes-titres et comptes de cryptoactifs ;
• Communication de l’identité des mandataires et des procurations accordées sur les comptes-titres et comptes de cryptoactifs, ainsi que le solde périodique de ces comptes ;
• Obligation pour les intermédiaires financiers de signaler l’ensemble des comptes-titres et comptes de cryptoactifs, y compris ceux détenus auprès d’établissements étrangers.

Élargissement de l’accès au PCC en matière de TACT

L’article 103 de la loi permet désormais aux agents compétents en matière d’établissement et de contrôle de la taxe annuelle sur les comptes-titres d’accéder spécifiquement aux données relatives aux comptes-titres centralisées au PCC, pour autant qu’ils disposent au minimum du grade de conseiller.

Intégration des données du PCC dans le datawarehouse fiscal

La réforme la plus sensible réside toutefois dans l’article 105 de la loi, qui autorise l’intégration directe des données du PCC dans le datawarehouse du SPF Finances. Certains fonctionnaires spécialement désignés peuvent désormais exploiter ces données à des fins de datamining, de datamatching et de profilage fiscal, dans l’objectif déclaré d’améliorer la détection automatisée des risques de fraude et d’évasion fiscales.

Les données personnelles résultant de ces traitements ne peuvent être conservées « plus longtemps que nécessaire » au regard des finalités pour lesquelles elles sont traitées, avec une durée maximale de conservation ne pouvant excéder un an après la prescription de toutes les actions et, le cas échéant, la cession définitive des procédures de recours administratifs et judiciaires ainsi que du paiement intégral de tous les montants y liés.

Un changement de paradigme lourd d’inquiétudes

Cette réintroduction ravive les critiques déjà formulées lors de l’examen du texte initial. Elle consacre en effet un basculement fondamental : le PCC, conçu comme un outil de consultation ponctuelle et ciblée, devient une base de données opérationnelle destinée à alimenter en continu des analyses automatisées. L’APD avait souligné que cette réutilisation des données, même pseudonymisées, est difficilement conciliable avec la finalité initiale du registre et qu’elle accroît les risques d’erreurs, de détournement de finalité et d’atteinte aux droits fondamentaux.

Si le gouvernement affirme avoir tenu compte de ces critiques en invoquant des garanties techniques et organisationnelles – notamment la pseudonymisation et le contrôle des accès – ces justifications peinent à convaincre. L’APD a rappelé que les données pseudonymisées demeurent des données à caractère personnel au sens du RGPD et que l’absence de critères objectifs et transparents pour déclencher une enquête pose un problème majeur, d’autant plus que la clé de dépseudonymisation reste entre les mains du même service que celui en charge du datamining et du datamatching.

Enfin, par rapport au conseil de l’APD selon lequel il conviendrait de privilégier un accès au PCC en temps réel, au cas par cas, au lieu d’intégrer toutes les données du PCC dans la base de données de l’administration, l’Arizona a répondu qu’une telle alternative « diminuerait fortement l’efficacité de la lutte contre la fraude fiscale et la criminalité économique, financière et fiscale » car cela limiterait « la possibilité de lancer des analyses massives ou récurrentes permettant d’identifier les risques fiscaux de manière objective (ex. matching automatique, scoring de risque) et (…) la capacité à détecter des schémas complexes de fraude via des algorithmes d’apprentissage automatique » .

Conclusion

La réforme adoptée marque une rupture nette dans la philosophie du contrôle fiscal. Là où l’accès aux données bancaires communiquées au Point de contact central (PCC) constituait jusqu’à présent un outil subsidiaire, mobilisé en présence d’indices concrets et individualisés de fraude, le législateur consacre désormais une logique inverse : les données bancaires deviennent une matière première permanente, intégrée au datawarehouse de l’administration fiscale et exploitée en amont afin de faire émerger elles-mêmes des soupçons, au moyen de mécanismes de datamining, de datamatching et de profilage.

Ce glissement vers une approche prédictive et proactive du contrôle fiscal traduit une priorité clairement accordée à l’efficacité répressive et à l’automatisation de la détection des risques. Il s’opère toutefois au prix d’un affaiblissement préoccupant des principes qui fondent traditionnellement la légalité de l’action administrative : finalité déterminée, proportionnalité des moyens, intervention ciblée et respect de la vie privée des contribuables. Les données bancaires, par nature particulièrement sensibles, cessent d’être consultées de manière ponctuelle pour devenir un instrument de surveillance structurelle, applicable à l’ensemble des contribuables indépendamment de tout soupçon préalable.

Les débats parlementaires démontrent que ce changement de paradigme n’a pas été ignoré. Plusieurs parlementaires se sont explicitement émus de l’ampleur du dispositif envisagé et ont insisté sur les risques qu’il comporte en matière de protection de la vie privée, de transparence, de proportionnalité et de contrôle démocratique. Des demandes claires ont été formulées afin que le législateur définisse en amont des garanties substantielles : encadrement précis des finalités, limitation des infractions visées, clarification des seuils et paramètres du datamining, renforcement du contrôle humain, information des contribuables et mécanismes effectifs de supervision.

Ces préoccupations rejoignent directement les exigences du RGPD, qui impose que tout traitement de données à caractère personnel soit nécessaire, proportionné et strictement lié à une finalité précise et légitime. L’utilisation systématique et généralisée des données du PCC à des fins de profilage fiscal interroge frontalement le respect des principes de minimisation des données, de limitation des finalités et de prévisibilité pour les personnes concernées. Le Conseil d’État et l’Autorité de protection des données ont d’ailleurs souligné à plusieurs reprises que le cadre légal proposé ne définissait pas avec suffisamment de précision l’ampleur, les modalités et les limites de ces traitements.

À ces constats s’ajoute une lacune majeure, également relevée au cours des débats : l’absence quasi totale de prise en compte du règlement européen sur l’intelligence artificielle. Or, les outils de datamining et de profilage déployés par l’administration fiscale relèvent très vraisemblablement de la catégorie des systèmes d’IA à haut risque, soumis à des exigences strictes en matière de gouvernance, de transparence, de qualité des données, de traçabilité et de supervision humaine. Ces exigences s’imposeront pleinement aux administrations publiques à compter de 2026. Les travaux parlementaires montrent toutefois que cette dimension a été largement reléguée à l’arrière-plan, comme si l’encadrement juridique de l’IA pouvait être envisagé ultérieurement, sans incidence sur la validité immédiate du dispositif.

La réponse du ministre s’inscrit précisément dans cette logique. Sans nier l’existence des enjeux soulevés, il n’a à aucun moment remis en cause le principe même du recours proactif au PCC à des fins de datamining. Les garanties demandées sont présentées comme pouvant être poursuivies ou affinées ultérieurement, dans des textes futurs ou par des ajustements progressifs, sans que leur absence ne constitue un obstacle à la mise en œuvre immédiate du mécanisme.

C’est là que se situe la critique centrale. En matière de traitements massifs de données bancaires et de profilage algorithmique, le renvoi à un hypothétique « plus tard » est difficilement conciliable avec les principes de légalité, de proportionnalité et de prévisibilité consacrés par le RGPD, la Constitution et la jurisprudence européenne. Le débat démocratique, l’encadrement juridique précis et les garanties effectives devraient précéder la mise en place de tels processus, et non lui succéder.

L’expérience étrangère, notamment la jurisprudence néerlandaise relative au système SyRI, rappelle que des mécanismes de détection automatisée de la fraude fondés sur un traitement massif et opaque de données personnelles peuvent être jugés incompatibles avec les droits fondamentaux, même lorsqu’ils poursuivent un objectif légitime. À défaut d’un encadrement juridique renforcé, clair et complet dès l’origine, le nouveau paradigme consacré expose non seulement l’administration fiscale à un risque contentieux réel, mais fragilise également la confiance indispensable entre le contribuable et l’autorité fiscale — confiance qui constitue pourtant l’un des piliers de l’efficacité durable du système fiscal.

Dans un contexte national et international marqué par la montée des logiques sécuritaires et du recours massif aux technologies basées sur le traitement des données privées des citoyens, il est plus que jamais nécessaire de rappeler que la lutte contre la fraude, aussi légitime soit-elle, ne peut en aucun cas justifier un affaiblissement structurel des droits fondamentaux et des garanties qui fondent l’État de droit.

​​​La Tetracademy est la revue trimestrielle juridique du cabinet d’affaires bruxellois Tetra Law. Cet article en est extrait. Pour plus d’informations ou pour recevoir chaque nouvelle publication, n’hésitez pas à suivre la Tetracademy en envoyant un email à tetracom@tetralaw.com ».