En bref
La loi n°2026-534 ouvre de nouveaux droits d'accès croisés entre la Direction générale des finances publiques (DGFiP), la Caisse nationale des allocations familiales (CNAF), Pôle emploi et les caisses de retraite. Elle autorise l'interrogation automatisée des données bancaires agrégées (flux entrants/sortants) pour détecter des incohérences avec les revenus déclarés. Concrètement : ce n'est pas un méga-fichier, mais c'est une interconnexion fonctionnellement équivalente, sans base de données centralisée mais avec des flux automatiques entre silos déjà très larges. Les garanties existent — encadrement CNIL, droit d'accès, habilitations restreintes — mais le risque d'extension du profilage vers des objectifs non fiscaux est sérieux.
Ce qu'il faut retenir
- La loi n'crée pas de fichier central : elle ouvre des droits d'accès entre fichiers existants, ce qui est fonctionnellement proche mais juridiquement différent.
- Les données bancaires agrégées (flux globaux) peuvent être interrogées par des agents habilités DGFiP et CNAF, mais pas les relevés détaillés de transactions.
- Un décret spécifique pour les données DSN (déclaration sociale nominative — les fiches de paie) est toujours en attente de validation CNIL.
- Le risque majeur n'est pas le dispositif actuel mais son extension vers le profilage comportemental : la détection d'anomalie peut devenir un outil de ciblage préventif.
- Les droits des personnes concernées sont prévus mais leur exercice pratique reste complexe (habilitations opaques, recours peu lisibles).
Seuls les agents expressément habilités par arrêté peuvent accéder aux données croisées. La liste est soumise au contrôle CNIL.
L'accès bancaire porte sur des flux globaux (totaux mensuels entrants/sortants), pas sur les relevés de transactions individuelles.
Toute personne contrôlée peut demander à connaître les données utilisées et les corriger auprès du Médiateur des finances.
Les données croisées sont conservées 3 ans maximum (contre 6 ans pour les données fiscales directes). Elles ne peuvent pas alimenter des profils durables.
Analyse par niveau
Score d'impact détaillé
| Critère | Poids | Note |
|---|---|---|
| Périmètre des accès | 15 | |
| Risque de détournement | 15 | |
| Interconnexion des fichiers | 12 | |
| Contrôle CNIL/judiciaire | 15 | |
| Droits des personnes concernées | 10 | |
| Extension vers profilage | 20 | |
| Réversibilité | 13 | |
| Total | 100 | 63 |
Réversibilité
4/5 — La loi peut être abrogée. Mais l'infrastructure technique d'interconnexion, une fois déployée, persiste au-delà du texte. La CNIL peut suspendre des traitements spécifiques par mise en demeure. Le décret DSN en attente constitue un point de friction utile.
Idées reçues
Non. Il n'y a pas de base de données centralisée. La loi ouvre des droits d'accès entre fichiers existants (FICOBA, CNAF, DGFiP, Pôle emploi). Le résultat pratique ressemble fonctionnellement à un méga-fichier lors d'un contrôle, mais l'architecture reste distribuée.
Pas tout à fait : l'accès porte sur des flux agrégés mensuels (total entrant/total sortant), pas sur les transactions individuelles. L'accès aux relevés détaillés reste soumis à une procédure judiciaire distincte.
Chronologie
Sources
- Loi n°2026-534 du 18 juin 2026 relative à la lutte contre les fraudes sociales et fiscales (Journal officiel du 19 juin 2026)
- CNIL — Délibération n°2026-042 du 12 mars 2026 (avis sur le projet de loi)
- Rapport du Conseil d'État, avis du 6 mai 2026
- Défenseur des droits, décision n°2021-160 (affaire des algorithmes de détection de fraude)
- Cour suprême néerlandaise, Hoge Raad, arrêt du 26 mars 2021 (affaire Toeslagen)