Délibération n° 2016-162 du 19 mai 2016 portant avis sur un projet d'arrêté portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé « FICOVIE » (demande d'avis n° 1942384)

JORF n°0239 du 13 octobre 2016
texte n° 67



Délibération n° 2016-162 du 19 mai 2016 portant avis sur un projet d'arrêté portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé « FICOVIE » (demande d'avis n° 1942384)

NOR: CNIX1629262X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance-vie dénommé « FICOVIE » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des assurances ;
Vu le code général des impôts, notamment ses articles 806 et 1649 ter, et l'annexe II à ce code, notamment ses article 292 B, 306-0 F et 370 C ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26.1.2° ;
Vu la loi n° 2014-617 du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d'assurance-vie en déshérence, notamment son article 13 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2015-362 du 30 mars 2015 relatif aux obligations déclaratives des entreprises d'assurance et organismes assimilés ;
Vu l'arrêté du 17 janvier 2008 relatif à la mise en service par la direction générale des impôts et la direction générale de la comptabilité publique d'un traitement automatisé d'identification des personnes physiques et morales dénommé « PERS » ;
Vu l'arrêté du 29 février 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance-vie dénommé « FICOVIE » ;
Vu la délibération n° 2014-433 du 23 octobre 2014 portant avis sur un projet de décret en Conseil d'Etat modifiant les modalités des obligations déclaratives des assureurs ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis par le ministère des finances et des comptes publics et le ministère de l'économie et du numérique, le 11 mars 2016, sur un projet d'arrêté portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance-vie dénommé « FICOVIE ».
Depuis le 1er janvier 2016, date d'entrée en vigueur du « FICOVIE », les entreprises d'assurance et organismes assimilés sont tenus de déclarer à l'administration fiscale les informations concernant des contrats de capitalisation et des placements de même nature, notamment des contrats d'assurance-vie. A partir de ces données, la direction générale des finances publiques a mis en place un processus de collecte visant à enrichir une base de données nationale nommée « FICOVIE ».
Le « FICOVIE » a pour objectif d'améliorer le contrôle fiscal - contrôle des impositions en matière d'impôt de solidarité sur la fortune (ISF), de succession et du prélèvement sui generis (art. 990 I du code général des impôts) - dans la perspective de lutte contre la fraude fiscale. La commission relève qu'en présence de certaines fraudes caractérisées et sous certaines conditions des poursuites correctionnelles pour fraude fiscale pourront résulter de l'exploitation des informations figurant dans le fichier « FICOVIE » et être engagées après avis favorable de la commission des infractions fiscales.
Le projet d'arrêté soumis pour avis à la commission a pour objet de définir les modalités de fonctionnement (alimentation et exploitation) du fichier FICOVIE ayant pour finalité de recenser, sur support informatique, les déclarations des contrats et placements prévues aux I et II de l'article 1649 ter du code général des impôts.
La commission rappelle que, dans son avis rendu le 23 octobre 2014 concernant le projet de décret FICOVIE, elle avait émis des réserves substantielles qui n'ont pas été suivies et qui concernaient la finalité, la proportionnalité et le périmètre du fichier.
Sur les finalités du fichier central des contrats de capitalisation et d'assurance-vie :
Les dispositions de l'article 2 du projet d'arrêté précisent que :
« Le traitement a pour finalité de recenser, sur support informatique, les déclarations des contrats et placements prévues aux I et II de l'article 1649 ter du code général des impôts et de permettre :


- l'accès aux déclarations aux fins de contrôle pour les agents habilités de la direction générale des finances publiques et de recouvrement pour les agents habilités de la direction générale des finances publiques ;
- la détection des contrats en déshérence ;
- la consultation des informations nécessaires à la gestion de certains patrimoines privés pour les agents habilités de la direction générale des finances publiques. Il permet par ailleurs le suivi statistique et le suivi des dépôts des déclarations. »


La commission relève que le fichier « FICOVIE » a pour finalité principale le recensement des déclarations des contrats et placements, et notamment des contrats d'assurance-vie. A cet égard, le traitement poursuit quatre sous-finalités.
Tout d'abord, et dans un objectif de contrôle des flux financiers dans le cadre de la lutte contre la fraude fiscale et le blanchiment, le traitement a une première sous-finalité visant à permettre aux agents habilités de la direction générale des finances publiques, l'accès aux déclarations contenues dans « FICOVIE ».
En effet, les dispositions de l'article 1649 ter du code général des impôts renforcent les obligations déclaratives existantes des entreprises d'assurances et organismes assimilés à des fins de lutte contre la fraude fiscale. Par conséquent, et depuis le 1er janvier 2016, ces organismes doivent déclarer à l'administration fiscale la souscription et le dénouement des contrats de capitalisation et des placements de même nature, notamment des contrats d'assurance-vie.
Ils devront également déclarer chaque année, pour les contrats d'assurance-vie non rachetables souscrits depuis le 20 novembre 1991, le montant cumulé des primes versées entre le soixante-dixième anniversaire du souscripteur et le 1er janvier de l'année de la déclaration, lorsque ce montant est supérieur ou égal à 7 500 € et pour les autres contrats, quelle que soit leur date de souscription, le montant cumulé des primes versées au 1er janvier de l'année de déclaration ainsi que la valeur de rachat ou le montant du capital garanti, y compris sous forme de rente, à la même date, lorsque le montant ou cette valeur sont supérieurs ou égaux à 7 500 €.
La commission rappelle que le décret du 30 mars 2015, sur lequel elle a rendu un avis le 23 octobre 2014, a défini les modalités de dépôt des données par voie informatisée qui alimentent le « FICOVIE ».
Ainsi, et dans le cadre de la finalité de lutte contre la fraude fiscale, les contrats de capitalisation et d'assurance-vie sont concernés au titre de l'assiette de différentes impositions et taxes et imposables à l'ISF (art. 885 E et 885 F du CGI). Les contrats d'assurance-vie sont, en cas de dénouement par le décès de l'assuré, soumis à un prélèvement sui generis (art. 990 I du CGI) et, le cas échéant, aux droits de mutation à titre gratuit. Par ailleurs, les contrats de capitalisation font également partie de l'actif successoral (art. 760 du CGI). Enfin, les revenus éventuellement produits par les contrats de capitalisation et d'assurance-vie sont également imposables à l'impôt sur le revenu (art. 125 0-A du CGI). En dernier lieu, certains contrats peuvent être requalifiés en donation déguisée dans le cadre d'une procédure d'abus de droit.
La commission observe que le fichier permet à l'administration fiscale de connaître de manière dématérialisée la souscription et le dénouement des contrats ainsi que leur valeur imposable à l'ISF lorsque cette dernière est d'au moins 7 500 €.
Ensuite, la deuxième sous-finalité visée par l'article 2 du projet d'arrêté est relative à la détection des contrats en déshérence. En effet, la loi du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d'assurance-vie en déshérence prévoit le versement à la Caisse des dépôts et consignations les sommes en déshérence à l'issue d'un délai de dix ans. Cette déclaration doit faire l'objet d'une déclaration au « FICOVIE ».
Dès lors, le fichier permet le recensement sur support informatique, des contrats et placements mentionnés à l'article 1649 ter du CGI, pour améliorer l'information de l'administration fiscale sur la détection des contrats d'assurance-vie et optimiser la détection des contrats en déshérence. En outre, le fichier permet aux services des Domaines de retrouver des contrats dépendant d'une succession vacante.
La troisième sous-finalité du traitement concerne la consultation des informations nécessaires à la gestion de certains patrimoines privés par les agents habilités de la direction générale des finances publiques. Cette fonctionnalité permet aux agents habilités de la direction générale des finances publiques d'effectuer des recherches et de retrouver les contrats du contribuable en qualité de souscripteur, assuré ou bénéficiaire. Lorsqu'une recherche concerne une personne physique, les critères indiqués par l'utilisateur sont les données d'état civil et pour une personne morale, il s'agit du numéro SIREN et de la dénomination. La commission relève qu'une recherche peut également être réalisée à partir de l'adresse du contribuable.
En fonction des critères saisis, l'application restitue une liste de contrats à l'agent habilité de la direction générale des finances publiques. Cette liste présente un résumé des données du contrat déposés par la compagnie d'assurances.
Enfin, la dernière sous-finalité permet un suivi statistique ainsi qu'un suivi des dépôts des déclarations. D'une part, la fonctionnalité de suivi statistique permet à l'utilisateur de connaître sur une période donnée (mois ou année) des statistiques, soit sur les fichiers (reçus, rejetés, taux d'anomalies, etc.), soit sur les déclarations (nombre de déclarations reçues, nombre d'anomalies, etc.), soit sur les contrats (nombre de contrats de capitalisation, d'assurance-vie, etc.). D'autre part, la seconde fonctionnalité permet à l'agent de suivre les différents dépôts de fichier et le résultat des traitements de la collecte sur ces fichiers.
Dès lors, et au regard de ce qui précède, la commission observe que la finalité du fichier « FICOVIE » qui consiste à recenser les déclarations des contrats et placements et notamment des contrats d'assurance-vie est légitime.
Sur les données collectées :
Les données qui alimentent le fichier « FICOVIE » émanent des entreprises d'assurance et organismes assimilés. Les dispositions de l'article 3 de l'arrêté distinguent les données en fonction des catégories suivantes :
En premier lieu, les données visées au 1er alinéa de l'article 3.I concernent les données d'identification :


- de l'organisme : nom ou raison sociale et domiciliation ;
- des souscripteurs : nom, prénoms, date et lieu de naissance, sexe, numéro SPI et numéro ITIP pour les personnes physiques, raison sociale, adresse du siège et numéro SIREN ou du répertoire national des associations (RNA) pour les personnes morales ;
- de l'assuré : nom, prénoms, date et lieu de naissance, sexe, domicile, numéro SPI et numéro ITIP ;
- des ayants droit en cas de décès du souscripteur n'entraînant pas le dénouement du contrat : nom, prénoms, date et lieu de naissance, sexe, domicile ;
- des bénéficiaires en cas de dénouement du contrat ou placement par décès de l'assuré : noms, prénoms, date et lieu de naissance, sexe, numéro SPI et numéro ITIP pour les personnes physiques, raison sociale, adresse du siège et numéro SIREN ou RNA pour les personnes morales.


La commission relève que les données d'identification précitées sont prévues, d'une part, par les dispositions de l'article 370 C.I. du CGI et, d'autre part, par l'arrêté du 17 janvier 2008 dénommé « PERS ».
Les dispositions de l'alinéa 2 concernent les données relatives au contrat ou placement : nature, date de souscription, référence du numéro de police, en cas de dénouement date et cause du dénouement et s'agissant des contrats d'assurance-vie, leur caractère rachetable ou non rachetable.
Ces données sont également prévues par les dispositions des articles 370 C.I., alinéas 2 à 4 et 7, et celles des articles 292 B pour les assureurs ou 306-0 F pour les organismes d'assurance et assimilés.
Ensuite, le troisième alinéa fait référence aux données à déclarer en application du II de l'article 1649 ter du CGI. Les données concernées sont les suivantes :


- pour les contrats de capitalisation et quelle que soit leur date de souscription, le montant cumulé des primes versées au ler janvier de l'année de déclaration et la valeur de rachat, à cette même date, lorsque cette valeur ou ce montant est supérieur ou égal à 7 500 €. Les montants des éventuels capitaux garantis à la même date, y compris sous forme de rente, peuvent, le cas échéant, être déclarés s'ils sont supérieurs ou égaux à ce montant ;
- pour les contrats d'assurance-vie rachetables et quelle que soit leur date de souscription, la valeur de rachat au 1er janvier de l'année de déclaration, lorsque cette valeur ou ce montant est supérieur ou égal à 7 500 €. Les montants des éventuels capitaux garantis à la même date, y compris sous forme de rente, peuvent, le cas échéant, être déclarés s'ils sont supérieurs ou égaux à ce montant ;
- pour les contrats d'assurance-vie non rachetables souscrits depuis le 20 novembre 1991, le montant cumulé des primes versées entre le soixante-dixième anniversaire du souscripteur et le 1er janvier de l'année de déclaration, lorsque ce montant est supérieur ou égal à 7 500 €.


La commission relève que les dispositions de l'article 1649 ter II du CGI distinguent entre les contrats d'assurance-vie non rachetables et les autres contrats quelle que soit la date de souscription. A la lecture des dispositions de cet article, il semblerait que les contrats d'assurance-vie rachetables soient inclus parmi les autres contrats puisqu'il est, notamment, fait référence dans la liste des données à « la valeur de rachat ou au montant du capital garanti, y compris sous forme de rente ».
Le quatrième alinéa concerne les données prévues aux articles 292 B et 306-0 F de l'annexe II au CGI ainsi que celles prévues au II de l'article 370 C de cette même annexe pour les contrats d'assurance-vie en cas de dénouement par le décès de l'assuré.
Enfin, le cinquième et dernier alinéa de l'article 3 de l'arrêté concerne le versement des sommes, la date et le montant à la Caisse des dépôts et consignations, telles que le prévoient les dispositions de l'article 370 C.III du CGI.
En second lieu, l'article 3.II précise que les interrogations effectuées par les utilisateurs font l'objet d'une journalisation. A ce titre, les données concernées sont relatives, pour chaque connexion, aux éléments d'identification de l'auteur, aux références et à la nature des actions effectuées ainsi que les date et heure.
La commission observe que les données collectées sont adéquates, pertinentes et non excessives au regard de la finalité du traitement et conformément aux dispositions de l'article 6, alinéa 3, de la loi du 6 janvier 1978 modifiée.
Sur les durées de conservation :
Les données mentionnées au I de l'article 3 sont conservées jusqu'à la fin de la 30e année suivant celle du dépôt de la déclaration de dénouement. En cas de versement à la Caisse des dépôts et consignations des montants des contrats non réclamés dans le délai de dix ans suivant le décès du souscripteur, les déclarations sont conservées jusqu'à la fin de la 20e année suivant celle de ce versement.
La commission considère que le délai de dix ans laissé aux bénéficiaires pour leur permettre de récupérer les fonds auprès de la Caisse des dépôts et consignations avant la transmission des capitaux à l'Etat apparaît suffisant.
Les données mentionnées au II sont conservées 1 an.
La commission considère que la durée de conservation des données n'excède pas la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées, conformément aux dispositions de l'alinéa 5 de l'article 6 de la loi du 6 janvier 1978 modifiée.
Sur les destinataires :
Sont destinataires des données, les agents habilités de la direction générale des finances publiques en charge du contrôle, du recouvrement et de la gestion des patrimoines privés. La commission rappelle que les agents de la direction générale des finances publiques sont tenus au secret professionnel conformément aux dispositions de l'article L. 103 et suivants du Livre des procédures fiscales.
Sur les échanges de données et les interconnexions des fichiers :
Le fichier « PERS » d'identification des personnes physiques et morales mis en service par la direction générale des finances publiques et les comptables publics gère une base nationale unique constituée à partir des informations d'état civil (personnes physiques et professionnelles) et d'adresse (uniquement pour les personnes professionnelles). Le traitement assure, au plan national, la gestion des personnes physiques ou professionnelles entrant dans le champ d'application de tous les impôts, taxes, droits ou cotisations pour le compte de l'ensemble des applications du système d'information de la direction générale des finances publiques.
La commission relève que la base est mise à jour et complétée à partir des informations qui, dans le cadre des dispositions légales ou réglementaires en vigueur, sont recueillies par les agents de la direction générale des finances publiques ou communiquées par l'Institut national de la statistique et des études économiques.
Dans le cadre des traitements internes à la direction générale des finances publiques, les personnes concernées par un contrat collecté dans le cadre de « FICOVIE » seront identifiées après leur intégration au système d'information de la direction générale des finances publiques. Cette identification s'appuie sur le référentiel des personnes « PERS ». Dès lors, la base « FICOVIE » est alors enrichie des données d'identifications du fichier « PERS ».
Ensuite, la commission observe que, dans le cadre des échanges entre l'entreprise d'assurance ou l'organisme assimilé (le déclarant) et la direction générale des finances publiques, la signature d'une convention entre les partenaires et la direction générale des finances publiques constitue un prérequis à l'échange des données.
Sur les droits d'accès des personnes concernées :
Les dispositions de l'article 7 de l'arrêté prévoient que le droit d'accès et de rectification s'exerce auprès du centre des finances publiques dont les requérants dépendent.
La commission relève que le droit d'opposition n'est pas applicable dans la mesure où le traitement mis en place par la direction générale des finances publiques répond à une obligation légale.
Sur les mesures de sécurité :
La commission prend note que des profils d'habilitation, régulièrement réévalués, définissent les accès, rôle et informations disponibles aux différents utilisateurs (agents, exploitants, responsables de la maîtrise d'ouvrage, etc.). La politique de mots de passe est conforme aux préconisations de la commission.
La commission constate que des mesures adéquates ont été mises en œuvre pour assurer la transmission des données entre les organismes d'assurance et la direction générale des finances publiques (chiffrement des communications, chiffrements des fichiers envoyés, calcul d'empreinte). De plus, la commission note que la sécurité logique du réseau est réalisée par l'utilisation de pare-feux et par l'application de mesures de compartimentation.
La commission observe que les serveurs de données sont hébergés dans des locaux dont l'accès est restreint et sécurisé et que les opérations de maintenance font l'objet d'une journalisation. De plus, la commission note qu'une interface de visualisation permet aux utilisateurs autorisés de consulter l'accès au fichier « FICOVIE ». Une traçabilité des échanges de fichiers entre les organismes d'assurance et la direction générale des finances publiques est également réalisée.
La commission constate que la mise au point des logiciels s'effectue sur des données fictives, que la maintenance applicative est assurée par les équipes de développement ne disposant pas d'accès aux plate-formes de production et que toute modification du fichier « FICOVIE » doit faire l'objet d'une demande auprès des personnels habilités, préalablement validée hiérarchiquement.
La commission note que des sauvegardes sont réalisées quotidiennement. Les supports de ces sauvegardes sont hautement sécurisés et conservés en France dans un emplacement dont l'adresse est tenue confidentielle, garantissant ainsi leur sécurité et leur disponibilité. Une procédure de destruction des supports périmés est également prévue.
Enfin, la commission constate qu'une analyse de risque du traitement « FICOVIE » a été menée, qu'une politique de sécurité du système a été définie et que des procédures de gestion des risques ont été établies. La commission prend également note qu'une procédure d'homologation au Référentiel général de sécurité est en cours.
Au regard de ces éléments, la commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


La présidente,

I. Falque-Pierrotin