Délibération n° 2017-226 du 20 juillet 2017 portant avis sur un projet d'arrêté modifiant l'arrêté du 21 février 2014 portant création par la direction générale des finances publiques d'un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » (demande d'avis n° 1726052 V4)

JORF n°0265 du 14 novembre 2017
texte n° 126



Délibération n° 2017-226 du 20 juillet 2017 portant avis sur un projet d'arrêté modifiant l'arrêté du 21 février 2014 portant création par la direction générale des finances publiques d'un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » (demande d'avis n° 1726052 V4)

NOR: CNIX1731605X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 21 février 2014 portant création par la direction générale des finances publiques d'un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code général des impôts ;
Vu le livre des procédures fiscales, notamment ses articles L. 10, L. 81, L. 229 à L. 231 ;
Vu le code pénal, notamment ses articles 313-1 et suivants ;
Vu le code des relations entre le public et l'administration ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-1-2° et 30 ;
Vu la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 3 avril 2008 modifié portant organisation de la direction générale des finances publiques ;
Vu l'arrêté du 21 février 2014 portant création par la direction générale des finances publiques d'un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » ;
Vu l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé Ficovie ;
Vu la délibération n° 2014-045 du 30 janvier 2014 modifié portant avis sur un projet d'arrêté portant création par la direction générale des finances publiques d'un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » ;
Vu la délibération n° 2015-186 du 25 juin 2015 portant avis sur un projet d'arrêté modifiant l'arrêté du 21 février 2014 portant création par la direction générale des finances publiques d'un outil de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) ;
Vu la délibération n° 2016-286 du 20 septembre 2016 portant avis sur un projet d'arrêté modifiant l'arrêté du 21 février 2014 portant création par la direction générale des finances publiques d'un outil de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'économie et des finances d'une demande d'avis sur un projet d'arrêté modifiant l'arrêté du 21 février 2014 portant création par la direction générale des finances publiques d'un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR).
Le traitement CFVR a pour finalité de modéliser et de visualiser les comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d'infractions pénales ainsi que des opérations de recherche, de constatation ou de poursuites de manquements fiscaux. Il relève à ce titre des dispositions de l'article 26-1-2° de la loi du 6 janvier 1978 modifiée. En application de ces dispositions et de celles prévues à l'article 30 de la même loi, les modifications apportées à l'arrêté en portant création doivent être autorisées par arrêté ministériel pris après avis motivé et publié de la commission.
Sur le service chargé de mettre en œuvre le traitement :
La mission « Requêtes et Valorisation », chargée depuis sa création en juillet 2013 du développement du traitement CFVR, a été remplacée par le bureau de la programmation et des échanges internationaux. Ce dernier est, en application de l'arrêté du 3 avril 2008 susvisé, responsable de l'administration et de la mise en œuvre du traitement CFVR, et plus particulièrement la section « programmation des contrôles et analyses des données » au sein de ce bureau.
Le projet d'arrêté vise dès lors à modifier les articles 1er, 3 et 4 afin de ne plus faire référence à la mission mais à ce nouveau bureau, ce qui n'appelle pas d'observation de la part de la commission.
Sur l'expérimentation de CFVR pour les fraudes relatives aux particuliers :
Le traitement CFVR est basé sur des techniques de data mining, notamment de modalisation prédictive, de requête d'analyses risques, de recherches d'atypies ou d'incohérences et de recherche de liens entre les différentes personnes ou avec des entités professionnelles.
Initialement mis en œuvre pour les fraudes réalisées par les contribuables professionnels, le champ de CFVR a ensuite étendu aux personnes physiques impliquées dans le fonctionnement des entités professionnelles (dirigeants, associés). Ces modifications ont fait l'objet des avis susvisés de la c ommission.
Il est désormais prévu de permettre, à titre expérimental, l'utilisation de ce traitement pour les fraudes fiscales réalisées par les contribuables particuliers. Cette expérimentation, menée pendant deux ans, nécessite de modifier les dispositions de l'arrêté du 21 février 2014 précité relatives au périmètre du traitement, aux données collectées et aux destinataires.
En premier lieu, l'article 2 du projet d'arrêté vise à ajouter le caractère expérimental du traitement CFVR pour la recherche des fraudes relatives aux particuliers et à mentionner expressément la durée de l'expérimentation.
Le ministère justifie cette extension du traitement par l'importance des omissions fiscales réalisées par les particuliers, qui, à titre d'exemple, étaient en 2015 plus importantes que celles relatives à la TVA. Ainsi, pour le ministère, le renforcement de l'efficacité de la détection des fraudes réalisées par les particuliers s'avère nécessaire, compte tenu notamment de l'importance des prélèvements sur les particuliers dans le système fiscal français, les réformes en cours et la complexité des nouveaux procédés de fraudes aux impositions personnes ou patrimoniales.
La commission relève qu'il s'agit d'une extension significative du traitement, dans la mesure où l'ensemble des contribuables français seront concernés. Si la lutte contre la fraude fiscale est un objectif à valeur constitutionnelle, la commission estime toutefois, au regard du nombre de personnes concernées et des techniques mises en œuvre, que des garanties appropriées doivent être prévues.
A ce titre, le caractère expérimental de cette extension constitue une première garantie, dans la mesure où cela permettra au ministère de déterminer l'opportunité d'un tel dispositif ou les éventuelles améliorations à y apporter. La commission rappelle néanmoins qu'un rapport circonstancié devra être établi et lui être communiqué.
En outre, elle prend acte que, tout comme pour les professionnels, les travaux menés grâce aux différentes fonctionnalités du traitement CFVR n'entraîneront pas automatiquement et systématiquement des décisions administratives impactant un contribuable (engagement d'un contrôle ou envoi d'une proposition de rectification par exemple) sans qu'une analyse ne soit menée au préalable par un agent, conformément aux dispositions de l'article 10 de la loi du 6 janvier 1978 modifiée. Le traitement CFVR ne constitue donc qu'un outil d'aide et d'orientation des travaux des agents et non pas un outil de profiling destiné à identifier directement des fraudeurs potentiels.
Au regard du volume très important de données qui seront exploitées, de l'ampleur des personnes concernées et des modalités d'exploitation des données, la Commission estime que d'autres garanties doivent être prévues par le ministère, notamment une réduction du champ matériel ou géographique du traitement, ces restrictions n'ayant pas nécessairement vocation à apparaître dans l'arrêté du 21 février 2014 précité.
Si la définition a priori de certaines restrictions, telle qu'une limitation du traitement aux fraudes les plus substantielles (montant minimal, rappels importants, manquements délibérés, etc.), à certaines catégories de contribuables ou à certains départements ou régions peut soulever des difficultés, la commission estime qu'il appartient au ministère de prévoir, dans le cadre des travaux pratiques à venir, de telles limitations.
La commission rappelle en tout état de cause que le rapport qui sera établi après l'expérimentation devra faire état des types d'impositions et d'infractions qui ont fait l'objet à titre principal des travaux.
En outre, la Ccommission relève que le traitement CFVR repose sur la mise en œuvre d'algorithmes, dont l'encadrement a été précisé par la loi du 7 octobre 2016 susvisée afin notamment de renforcer leur transparence et leur loyauté.
La Commission estime, au regard de l'ampleur du traitement CFVR et de ses caractéristiques techniques, notamment l'utilisation d'algorithmes pour parvenir à de la modélisation prédictive, qu'un haut niveau de transparence doit effectivement être recherché par le ministère à l'égard des personnes concernées.
Elle prend acte à cet égard que le site internet de la DGFIP mentionne, dans la rubrique dédiée au contrôle fiscal des particuliers, que les dossiers à contrôler « sont sélectionnés au moyen d'outils d'analyse-risque issus des systèmes experts » et que l'administration procède « à un examen critique et à un contrôle de cohérence des déclarations à partir des informations détenues dans le dossier fiscal largement dématérialisé ». Elle prend acte que, à sa demande, une mention d'information sur l'utilisation des informations figurant sur la déclaration des revenus à des fins de lutte contre la fraude fiscale sera insérée dans la notice de la déclaration des revenus, dans les versions papier et dématérialisée.
Elle regrette par ailleurs que l'arrêté du 21 février 2014 modifié précité prévoie que les droits d'accès et de rectification s'exercent de manière indirecte. La commission avait d'ailleurs déjà estimé, lors de son précédent avis sur le traitement CFVR, qu'au regard de l'ampleur du dispositif et de son caractère innovant le ministère devrait prévoir un droit d'accès direct par les personnes concernées aux données.
La commission prend acte de l'engagement du ministère de prévoir un droit d'accès mixte. Ainsi, les droits d'accès et de rectification s'exerceront de manière directe, auprès du centre des finances publiques dont la personne concernée relève, pour les données issues des applications de consultation, de gestion et de contrôle fiscal de l'administration (par ex., Adonis, Sirius-Part, …) qui enrichissent la base de données du traitement CFVR. S'agissant des autres données, notamment les données relatives aux traitements algorithmiques (degré et le mode de contribution du traitement algorithmique à la prise de décision, etc.) et les données issues des sources externes, les droits d'accès et de rectification s'exerceront de manière indirecte auprès de la CNIL.
La commission regrette ces modalités d'exercice des droits d'accès et de rectification, qui limitent nécessairement la transparence. Elle sera particulièrement vigilante sur ce point en cas de généralisation du traitement CFVR.
En deuxième lieu, l'article 3 de l'arrêté du 21 février 2014 liste les données collectées. La commission prend acte que, dans le cadre de la nouvelle expérimentation, les travaux s'appuieront sur des données déjà enregistrées dans l'entrepôt de données mais dont l'utilisation était jusque-là limitée aux seules données relatives à des entreprises ou à des personnes ayant un lien de direction ou d'association avec une entreprise. Il s'agit de données provenant principalement des applications dénommées « BNDP », « Sirius Part », « EAI » et « Ficoba », régulièrement mises en œuvre par le ministère. L'expérimentation du traitement CFVR aux contribuables particuliers nécessite dès lors des ajustements rédactionnels de cet article 3, tels que la suppression de toute référence au « lien spécifique avec une entreprise ». Ces modifications n'appellent, sous réserve des précédentes remarques, pas d'observation particulière de la part de la commission.
Par ailleurs, elle prend acte que des données relatives aux entreprises sont également susceptibles d'être utilisées dans ce cadre, un particulier pouvant être relié à une société, en tant que salarié par exemple.
En dernier lieu, l'article 4 du projet d'arrêté vise à permettre aux agents territorialement compétents de la programmation et du contrôle des dossiers des particuliers d'être rendus destinataires des données enregistrées dans le traitement, ce qui n'appelle pas d'observation particulière.
En tout état de cause, la commission rappelle que, préalablement à toute généralisation de CFVR aux fraudes réalisées par les contribuables particuliers, elle devra être saisie pour avis. Sur la base du bilan de cette expérimentation, qui devra lui être transmis, la commission sera particulièrement attentive à l'opportunité de faire évoluer les modalités de mise en œuvre des droits d'accès et de rectification et au périmètre des investigations retenu.
Sur les autres modifications apportées au traitement :
Il est prévu d'enregistrer dans ce traitement de nouvelles données, provenant, d'une part, d'administrations étrangères et, d'autre part, du traitement FICOVIE, dont les modalités de mise en œuvre sont prévues par l'arrêté du 1er septembre 2016 susvisé.
Actuellement, des informations limitées provenant d'administrations étrangères alimentent le traitement CFVR, par l'intermédiaire de l'application « EAI », qui permet l'échange d'informations de nature fiscale avec les autorités compétentes des Etats-Unis et des Etats membres de l'Union européenne. Seules les données relatives à certains revenus de sources communautaires perçus par des résidents français et les données relatives aux comptes détenus aux Etats-Unis par des résidents français sont ainsi transmises à CFVR.
Le ministère a précisé dans le cadre de la présente saisine que, désormais, l'ensemble des données relevant du dispositif EAI alimentera le traitement CFVR, ce dont il est pris acte par la commission. De même, l'ensemble des données enregistrées dans Ficovie seront transmises au traitement CFVR. Ces transmission de données, qui s'inscrivent notamment dans le cadre de l'extension du traitement à la détection des fraudes réalisées par les particuliers, doivent permettre d'enrichir les informations concernant le patrimoine et les revenus des personnes physiques et d'établir ainsi des liens jusque-là inconnus de la DGFiP.
La commission relève en outre que les traitements « EAI » et Ficovie ont notamment pour objectifs de prévenir l'évasion et la fraude fiscale. Dans la mesure où le traitement CFVR a également pour finalité la lutte contre la fraude fiscale, ce traitement ultérieur des données enregistrées dans ces deux traitements n'est pas incompatible avec les finalités poursuivies par CFVR.
En ce qui concerne les mesures de sécurité, la transmission de données entre Ficovie et CFVR interviendra selon une périodicité trimestrielle et sera réalisée dans l'environnement sécurisé de la DGFiP, à l'aide d'outils permettant d'assurer la confidentialité et l'intégrité des données lors de leur transfert.
La commission rappelle que l'exigence prévue par l'article 34 de la loi du 6 janvier 1978 modifiée constitue une caractéristique fondamentale. A cet égard, elle prend acte des modifications apportées aux mesures de traçabilité et aux modalités de transfert des fichiers, qui permettront d'empêcher toute copie directe de données. Elle rappelle toutefois que cette obligation de sécurité nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars