Délibération n° 2017-245 du 14 septembre 2017 portant avis sur un projet d'arrêté portant création à la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de reconnaissance des usagers et de restitutions enrichies dans le cadre du prélèvement à la source (demande d'avis n° 2057436)

JORF n°0259 du 5 novembre 2017
texte n° 39



Délibération n° 2017-245 du 14 septembre 2017 portant avis sur un projet d'arrêté portant création à la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de reconnaissance des usagers et de restitutions enrichies dans le cadre du prélèvement à la source (demande d'avis n° 2057436)

NOR: CNIX1730943X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté portant création à la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de reconnaissance des usagers et de restitutions enrichies dans le cadre du prélèvement à la source ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le livre des procédures fiscales, notamment son article L. 169 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (2°) ;
Vu la loi n° 2016-1917 du 29 décembre 2016 de finances pour 2017, notamment son article 60 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 22 avril 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé « DSN » ;
Vu l'arrêté du 16 juin 2017 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du prélèvement à la source mis en œuvre par les collecteurs n'entrant pas dans le champ de la déclaration sociale nominative ou versant des revenus de remplacement ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis, par le ministre de l'économie et des finances, d'un projet d'arrêté portant création à la direction générale des finances publiques (DGFiP) d'un traitement automatisé de données à caractère personnel de reconnaissance des usagers et de restitutions enrichies dans le cadre du prélèvement à la source.
L'article 60 de la loi du 29 décembre 2016 de finances pour 2017, qui instaure le prélèvement à la source de l'impôt sur le revenu, prévoit que la mise en œuvre de cette contribution s'appuie sur la communication à l'administration fiscale, par le tiers versant le revenu, des informations nécessaires à la détermination du taux de prélèvement applicable à chaque bénéficiaire de revenus, taux que la DGFiP transmet en retour au tiers versant.
Dans ce contexte, le traitement projeté vise à permettre à la DGFiP de procéder à la reconnaissance des individus qui font l'objet des déclarations par les collecteurs afin de transmettre en retour le taux aux collecteurs, qui auront l'obligation de l'appliquer.
Dans la mesure où ce traitement porte sur des données parmi lesquelles figure le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) et compte tenu du fait qu'il est utilisé par des services ayant pour mission d'établir l'assiette, de contrôler et de recouvrer des impositions, sa mise en œuvre doit être autorisée par arrêté pris après avis motivé et publié de la commission, conformément aux dispositions de l'article 27-II (2°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
Les articles 1er et 2 du projet d'arrêté prévoient d'autoriser la DGFiP à mettre en œuvre un traitement dénommé « SRE-SZU » de reconnaissance des usagers et de restitutions enrichies dans le cadre du prélèvement à la source.
Ce traitement a pour finalité :


- la reconnaissance, par le système d'information de la DGFiP, des bénéficiaires de revenu soumis au prélèvement à la source qui font l'objet des déclarations des collecteurs ;
- la restitution enrichie des données des bénéficiaires de revenu soumis au prélèvement à la source ;
- le suivi statistique du traitement des données.


La commission a d'ores et déjà été consultée sur les modalités d'échange de ces informations entre les tiers collecteurs et l'administration fiscale dans le cadre des dispositifs « DSN », dont les conditions de mise en œuvre sont prévues par l'arrêté du 22 avril 2016 susvisé, et « PASRAU », régi par l'arrêté du 16 juin 2017 également susvisé. Le présent traitement concerne uniquement l'application interne mise en œuvre par la DGFiP pour répondre aux déclarations des tiers collecteurs en assurant la reconnaissance des bénéficiaires de revenu par le système d'information de la DGFiP pour permettre la communication en retour au tiers collecteur du taux d'imposition propre à chaque individu. La reconnaissance des bénéficiaires de revenu concernés par les déclarations de tiers collecteurs est nécessaire pour s'assurer de l'identité des contribuables et prévenir toute erreur dans la détermination du taux de prélèvement applicable.
Les finalités du traitement « SRE-SZU » s'inscrivent ainsi dans le cadre des missions de l'administration fiscale et, en particulier, de l'établissement de l'assiette de l'impôt. Elles participent également de l'objectif général de simplification des démarches administratives et, en l'espèce, des obligations déclaratives des contribuables en matière de situations fiscales.
La commission considère dès lors que ces finalités sont déterminées, explicites et légitimes au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 3 du projet d'arrêté énumère les données personnelles traitées. Ces données concernent les données d'identification de l'établissement collecteur et de l'individu, notamment son NIR, les données de la déclaration, les données relatives aux anomalies d'identification ainsi que les données relatives aux versements sur prélèvement.
L'article 5 du projet d'arrêté précise que les données personnelles traitées sont issues d'autres traitements régulièrement mis en œuvre par la DGFiP, ce qui n'appelle pas d'observation particulière. La commission prend acte que les données figurant dans les restitutions enrichies qui sont communiquées au tiers collecteur sont également transmises aux applications concernées de la DGFiP en vue de leur mise à jour.
S'agissant du recours au NIR des bénéficiaires de revenu dans le cadre du prélèvement à la source, l'article 60 de la loi précitée du 29 décembre 2016 prévoit la création d'un article L. 288 A du livre des procédures fiscales (LPF), qui dispose que les échanges entre le tiers collecteur et l'administration fiscale s'opèrent « sur la base du numéro d'inscription au répertoire national d'identification des personnes physiques ».
Le législateur a ainsi expressément autorisé l'utilisation de cette donnée dans ce cadre, tout en précisant que les opérations d'échange d'informations entre le tiers collecteur et l'administration fiscale et les données recueillies, détenues ou transmises dans ce cadre le sont aux seules fins de gestion du prélèvement à la source. A cet égard, la commission prend acte de la précision apportée par le projet d'arrêté qui dispose que « le [NIR] est utilisé pour fiabiliser l'identification des individus ».
La commission considère que les données traitées dans le système « SRE-SZU » sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 4 du projet d'arrêté prévoit que les données à caractère personnel traitées sont conservées trois ans et l'année en cours, à l'exclusion du NIR.
Cette durée de conservation tient compte du délai de reprise dont dispose l'administration pour rectifier les omissions constatées dans l'assiette de l'impôt, les insuffisances, les inexactitudes ou les erreurs d'imposition. Pour l'impôt sur le revenu, ce délai de reprise s'exerce jusqu'à la fin de la troisième année qui suit celle au titre de laquelle l'imposition est due, conformément aux dispositions de l'article L. 169 du livre des procédures fiscales.
S'agissant du NIR, celui-ci n'est conservé dans le dispositif « SRE-SZU » que le temps nécessaire à la réalisation du traitement de fiabilisation et de reconnaissance de l'individu, étant précisé qu'il est par ailleurs traité par la DGFiP dans le cadre du référentiel PERS d'identification des personnes physiques et morales.
La commission considère que ces durées n'excèdent pas la durée nécessaire au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 6 du projet d'arrêté prévoit que les agents habilités de la direction générale des finances publiques sont destinataires des données traitées dans le dispositif « SRE­ SZU », à l'exclusion du NIR. En effet, la reconnaissance des bénéficiaires de revenu sur la base de leur NIR est réalisée directement par le système d'information de la DGFiP et ne nécessite aucune intervention humaine.
Ces catégories de destinataires n'appellent pas d'observation particulière de la commission.
Sur l'information et les droits des personnes :
La commission rappelle que les mentions d'information prévues à l'article 32 de la loi « Informatique et Libertés » doivent obligatoirement être portées à la connaissance des personnes concernées. Il convient en particulier d'informer les contribuables quant à l'utilisation faite de leur NIR afin de procéder à leur reconnaissance dans le système d'information de la DGFiP.
S'agissant des droits d'accès et de rectification prévus aux articles 39 et 40 de la loi « Informatique et Libertés », l'article 7 du projet d'arrêté dispose que ceux-ci s'exercent auprès du centre des finances publiques compétent.
Le ministère entend faire application du dernier alinéa de l'article 38 de la loi susmentionnée en excluant le droit d'opposition, ce qui n'appelle pas d'observation particulière de la commission.
Sur la sécurité des données et la traçabilité des actions :
La commission prend acte que le ministère entend recourir au système de gestion de base de données Postgre, dans sa version 9-4.
Le traitement ne sera accessible qu'aux agents habilités de la DGFiP, via le réseau interne au ministère, ce qui n'appelle pas de remarque particulière de la commission.
S'agissant de leur authentification par un système impliquant un mot de passe, la commission rappelle que cette authentification doit être conforme à l'état de l'art, tel que précisé dans les recommandations de la commission en la matière.
La commission observe que le NIR fait l'objet de mesures de sécurité renforcées. Ainsi, il ne sera pas sauvegardé dans le traitement projeté, il sera systématiquement transmis de manière chiffrée entre les différentes applications et la maintenance des ressources traitant le NIR sera spécifiquement encadrée.
Concernant les mesures de traçabilité, l'article 3 du projet d'arrêté prévoit que les consultations effectuées par les agents de la DGFiP font l'objet d'une journalisation qui se traduit par la conservation, pour chaque connexion, des éléments d'identification de l'auteur, des références ainsi que des date et heure. L'article 4 précise que ces données sont conservées un an. La commission prend acte que le ministère s'engage à modifier l'article 6 du projet d'arrêté, qui prévoit que sont destinataires des données relatives à la journalisation des consultations menées « l'encadrement, les responsables de sécurité informatique et les agents habilités à consulter les traces », afin de préciser qu'il s'agit du personnel de la DGFiP.
Sous ces réserves, la commission considère que les mesures de sécurité envisagées par l'administration fiscale apparaissent cohérentes avec le niveau de sécurité attendu au regard de la nature des données traitées et des risques présentés par le traitement, conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars