Délibération n° 2012-234 du 5 juillet 2012 portant avis sur un projet d'arrêté relatif à la mise en œuvre d'un traitement de données à caractère personnel permettant la transmission par voie électronique des éléments descriptifs des locaux professionnels et commerciaux et dénommé « TREVI » (demande d'avis n° 1480684.V1)

Version initiale


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 2010-1658 du 29 décembre 2010 de finances rectificative pour 2010, notamment son article 34 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Sur la proposition de M. Dominique RICHARD, commissaire, et après avoir entendu, Mme ROLIN, commissaire du Gouvernement.
Emet l'avis suivant :
La commission a été saisie par la direction générale des finances publiques d'une demande d'avis en date du 25 janvier 2011 d'un traitement de données à caractère personnel mis en place à titre expérimental sur les cinq départements de l'Hérault, du Bas-Rhin, du Pas-de-Calais, de Paris et de la Haute-Vienne.
L'administration fiscale met à la disposition des usagers concernés un téléservice accessible depuis le portail fiscal ; dénommé « TREVI ».
Ce traitement constituant un téléservice de l'administration électronique au titre de l'article 27-11 (4°) de la loi informatique et libertés visant à permettre la transmission par voie électronique des éléments descriptifs des locaux professionnels et commerciaux, la commission a émis un avis favorable en date du 4 février 2011 sur cette expérimentation.
Puis la commission a été saisie le 5 janvier 2012 d'une demande d'avis sur un projet d'arrêté rectificatif de l'arrêté du 5 avril 2011, la modification du traitement consistant à généraliser l'expérimentation sur le territoire national.
Sur la finalité du traitement :
La nécessité d'une révision des valeurs locatives cadastrales sur lesquelles sont assis les impôts directs locaux est à l'origine du traitement concerné.
Cette révision se fera par étape, la première concerne les locaux professionnels qui regroupent locaux commerciaux bureaux et locaux hébergeant des professions libérales.
Des obligations déclaratives sont instituées pour la mise en œuvre de cette révision :
― les propriétaires de locaux professionnels sont tenus de souscrire une déclaration décrivant leur bien à la date de référence du 1er janvier 2012 ;
― les exploitants devront chaque année indiquer le loyer qu'ils acquittent pour les locaux qu'ils occupent ;
― les propriétaires restent tenus de déclarer toute modification d'affectation ou de consistance intervenant sur leur local.
L'article 34 de la loi de finances rectificative n° 2010-1658 du 29 décembre 2010 a prévu le dispositif :
― une phase d'expérimentation durant l'année 2011 ;
― la conduite des travaux sur l'ensemble du territoire à compter de 2012 pour prise en compte des résultats dans la révision des impositions de 2014.
― la mise à jour permanente, qui à partir de 2015, permettra d'adapter les éléments d'évaluation des évolutions du marché locatif.
La commission considère que la finalité de l'application « TREVI » est déterminée, explicite et légitime.
Sur le bilan de l'expérimentation :
L'expérimentation menée dans les cinq départements (Hérault, Pas-de-Calais, Bas-Rhin, Paris et Haute-Vienne) a permis d'étudier les conséquences de la révision pour les contribuables, les collectivités territoriales et les établissements publics de coopération intercommunale.
Les informations ont permis :
― de déterminer les secteurs d'évaluation et la grille tarifaire associée à chaque secteur ;
― de calculer les valeurs locatives révisées et de simuler les évolutions des bases d'imposition.
Enfin une analyse d'impact a permis de simuler les transferts de charge induits par cette réforme.
Sur les modifications du traitement suite à l'expérimentation :
L'identifiant utilisé pour l'authentification de la personne qui se connecte au téléservice sera l'identifiant SPI (identifiant fiscal individuel national) ou SIREN (identifiant de la personne juridique : physique ou morale).
Le propriétaire de plus de 20 locaux pourra récupérer le fichier des locaux le concernant prérempli.
Tout usager du téléservice pourra visualiser les déclarations déposées lors d'une session antérieure.
Les éléments de la précédente déclaration seront préremplis par défaut et modifiables par l'usager.
Un accusé de dépôt sera délivré à l'usager.
Sur la nature des données traitées :
Les données à caractère personnel traitées sont :
1. Concernant les données d'identification :
― identifiant et mot de passe ;
― titre, nom, prénom (personne physique) ou forme juridique et dénomination (personne morale) ;
― adresse ;
― téléphone ;
― adresse électronique ;
― identifiant du propriétaire (numéro MAJIC) ;
― identifiant du local ;
― adresse du local ;
― références cadastrales du local ;
― dernier occupant connu ;
― nom et dénomination du ou des occupants actuels et numéro SIREN ;
― nom, qualité et adresse du signataire si différent du propriétaire ;
― occupation du local : activité exercée dans le local si connue.
2. Concernant les informations d'ordre économique et financier :
― catégorie du local ;
― consistance du local ;
― en cas de location partielle, répartition des surfaces louées ;
― montant du loyer annuel de 2012.
3. Concernant les données de connexion :
― adresse IP du télédéclarant ;
― horodatage de la télédéclaration.
Les données d'identité et d'adresse des propriétaires sont issues du traitement MAJIC3, traitement qui est également sous la responsabilité de la DGFiP.
La commission considère que le recueil et le traitement de l'ensemble de ces données sont légitimes, pertinents et non excessifs au regard des finalités poursuivies.
Sur la durée de conservation des données :
Les informations traitées sont conservées moins d'un an.
La commission considère que la durée de conservation est proportionnée au regard la finalité du traitement.
Sur les destinataires des données :
Sont destinataires des informations traitées les agents habilités de la direction générale des finances publiques.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice dénommé « TREVI ».
Sur les droits des personnes :
Le droit d'accès et le droit de rectification s'exercent auprès du centre des finances publiques du lieu de situation du local.
Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement.
La commission considère que les mesures prévues au titre de l'information des personnes sont satisfaisantes.
Sur la sécurité des données et la traçabilité des actions :
Le transport des données de ce téléservice est sécurisé par l'utilisation du protocole SSL. L'authentification se fait par l'intermédiaire d'une empreinte numérique SHA 1 du mot de passe.
La commission prend acte que le calendrier initial de mise en production du projet a été retardé compte tenu du décalage des opérations de révision foncière. A ce jour, le service est fermé aux usagers et devra avant son ouverture faire l'objet d'une nouvelle livraison.
L'utilisation de la fonction de hachage SHA 1 délivrant une empreinte numérique de 160 bits sera remplacée par une fonction de hachage SHA 2 qui délivre une empreinte numérique d'au moins 256 bits. Ce mécanisme est conforme aux recommandations figurant dans le RGS.
En matière d'authentification, la commission recommande un système de hachage avec clé secrète (dit « HMAC ») se basant sur SHA 256.
En outre le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives rend le référentiel général de sécurité applicable à tout nouveau traitement créé.
Le responsable du traitement doit faire procéder à une analyse de risques. Après mise en place des mesures de sécurité ad hoc, conformément à l'article 5 du décret 2010-112 « l'autorité administrative atteste formellement auprès des utilisateurs de son système d'information que celui-ci est protégé conformément aux objectifs de sécurité fixés en application de l'article 3 du même décret.
Dans le cas d'un téléservice, cette attestation est rendue accessible aux usagers selon les mêmes modalités que celles prévues à l'article 4 de l'ordonnance du 8 décembre 2005 susvisée pour la décision de création du téléservice. »
La commission constate l'absence d'homologation du téléservice dans le projet d'acte réglementaire qui lui est soumis qui garantisse un niveau de protection satisfaisant de leurs données personnelles aux usagers en conformité avec le RGS.
Néanmoins la commission prend acte qu'un audit de sécurité sur le fonctionnement du téléservice a été effectué par l'Etablissement de services informatiques de la DGFiP de Bordeaux du 13 au 17 février 2012.
Les résultats ont été présentés à la maîtrise d'ouvrage et à la maîtrise d'œuvre du projet TREVI le 14 mars 2012.
Le dossier de sécurité du projet a été aménagé en fonction des corrections des vulnérabilités détectées.
Cette démarche est basée sur une analyse de risques de type EBIOS (Expression des besoins et identification des objectifs de sécurité).
La version de TREVI qui sera ouverte au public dans le nouveau calendrier à définir intégrera les corrections des vulnérabilités prévues dans le dossier de sécurité du projet.


Pour la présidente :
Le vice-président délégué,
E. de Givry

Extrait du Journal officiel électronique authentifié PDF - 211,9 Ko
Retourner en haut de la page