Délibération n° 2016-261 du 21 juillet 2016 portant avis sur un projet d'arrêté portant modification d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers (ADONIS) » (demande d'avis n° 1972621)

Chemin :




Article
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté portant modification d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers (ADONIS) »,
Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des relations entre le public et l'administration, notamment ses articles L. 113-12, L. 113-13 et L. 114-8 à L. 114-10 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les II (4°) et III de son article 27 ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris en application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'arrêté du 5 avril 2002 portant création par la direction générale des finances publiques d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers (ADONIS) » ;
Vu l'arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect » ;
Vu la délibération n° 2015-254 du 16 juillet 2015 portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect » ;
Après avoir entendu M. Philippe GOSSELIN, commissaire, en son rapport et M. Jean­ Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministère en charge des finances et des comptes publics, d'une demande d'avis relative à un projet d'arrêté portant modification d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers » (ADONIS). L'objet de la modification projetée est de créer un module applicatif d'interrogation de données, permettant à toute administration saisie d'une démarche par un usager d'accéder à certaines données issues du dossier fiscal des particuliers.
Dans la mesure où ce téléservice de l'administration électronique comporte un identifiant des personnes physiques, il relève des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté ministériel pris après avis motivé et publié de la commission. Il est en outre prévu que cet arrêté constitue un acte réglementaire unique au sens des dispositions de l'article 27-III de la même loi, permettant ainsi à chaque administration d'utiliser ce module applicatif d'interrogation de données fiscales.
Sur la finalité et les fonctionnalités du traitement :
La mise en œuvre d'un module applicatif d'interrogation de données s'inscrit dans le cadre général de la simplification des démarches administratives des usagers. En particulier, ce traitement vise à permettre l'application des dispositions prévues à l'article L. 114-8 du code des relations entre le public et l'administration (CRPA), relatives aux échanges de données entre les administrations saisies de démarches par les usagers.
Ces dispositions législatives permettent de dispenser les administrés de fournir certaines données ou pièces justificatives dans le cadre des démarches qu'ils entreprennent, dès lors que ces éléments seraient déjà disponibles auprès d'une autre autorité administrative. Le programme désigné « Dites-le nous une fois » (DLNUF) s'inscrit dans le cadre de ces dispositions.
Dans ce contexte, l'article 2 du projet d'arrêté prévoit que ce module a pour finalité de transférer les informations fiscales nécessaires au traitement des démarches de certains administrés.
Plus précisément, il se compose de deux interfaces, dénommées « API impôt particulier » et « API universelle », qui doivent permettre d'extraire du traitement ADONIS, mis en œuvre par la direction générale des finances publiques (DGFiP) et relatif au dossier fiscal des particuliers, une copie des données qui y sont enregistrées aux fins de les transférer aux autorités administratives saisies d'une démarche en ligne. Est ainsi créé un système automatisé d'extraction de données permettant à toute administration saisie par un usager d'obtenir, avec l'accord de ce dernier, les informations fiscales nécessaires à l'instruction de sa saisine directement auprès de la DGFiP et ainsi de le dispenser de fournir ces données.
Le même article prévoit que ces API (pour « application programming interface ») ne peuvent être utilisées que dans le cadre d'un téléservice recourant au dispositif FranceConnect, créé par l'arrêté du 24 juillet 2015 susvisé et qui vise notamment, conformément à l'article 2 dudit arrêté, à sécuriser le mécanisme d'échange d'informations entre autorités administratives prévu par les dispositions précitées du CRPA.
Ainsi, lorsqu'un usager entreprend une démarche administrative par voie électronique, l'administration peut lui proposer de solliciter directement l'administration fiscale afin d'obtenir les données nécessaires au traitement de sa saisine. Dans ce cas, l'usager est orienté, par l'intermédiaire du dispositif FranceConnect, vers le portail de connexion de la DGFiP (impots.gouv.fr) pour s'authentifier auprès de cette dernière. Le dispositif FranceConnect génère alors un jeton matérialisant la bonne information de l'usager et le recueil de son consentement, prévu à l'article 3 de l'arrêté du 24 juillet 2015 précité. La DGFiP est rendue destinataire de ce jeton et peut alors transmettre à l'administration saisie de la démarche initiale, via ces API, les données fiscales concernées.
La commission considère que ce traitement est dès lors de nature à simplifier les démarches administratives et à améliorer les relations entre les usagers et l'administration. A ce titre, elle estime que les finalités poursuivies sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Dans la mesure où les finalités poursuivies par ce traitement sont spécifiques et distinctes du traitement ADONIS, la commission considère qu'il s'agit d'un nouveau traitement de données à caractère personnel qui répond à des caractéristiques propres. Elle prend dès lors acte que, à sa demande, le ministère s'engage à modifier le titre et l'article 1er du projet d'arrêté afin de faire expressément apparaître le fait que ce dernier porte création d'un nouveau traitement de données et non modification du traitement ADONIS.
En outre, elle rappelle que les échanges entre administrations prévus par les dispositions précitées du CRPA doivent pouvoir intervenir quel que soit le mode de saisine de l'usager et que celles-ci n'imposent pas de canal technique particulier pour les démarches susceptibles d'en bénéficier. A cet égard, elle prend acte que le ministère s'engage à étudier durant l'année à venir le développement de mécanismes d'échanges similaires applicables aux démarches entreprises hors voie électronique et sans recourir à FranceConnect.
Sur la nature des données traitées :
L'article 3 du projet d'arrêté liste les données à caractère personnel traitées par la DGFiP au sein des interfaces « API impôt particulier » et « API universelle ». Il distingue les données fiscales, objet de l'échange, de celles qui sont traitées à des fins de traçabilité des interrogations et des transferts effectués.
S'agissant des premières catégories, il s'agit de données « de référence » liées à la situation fiscale des particuliers. Dans la mesure où elles conditionnent l'accès à d'autres services publics, elles sont en effet fréquemment collectées à l'occasion de démarches entreprises par les administrés.
Dans le cadre de « l'API impôt particulier », il s'agit des données qui sont le plus fréquemment demandées dans le cadre de diverses démarches administratives, à savoir : le revenu fiscal de référence (RFR) correspondant à l'année de revenu demandée et le nombre de parts ; l'adresse fiscale de taxation à l'impôt sur les revenus (IR) ; les revenus non salariaux ; la situation de famille (marié, pacsé, concubin, divorcé), le détail du nombre de personnes à charge et l'identité des déclarants figurant sur la première page de la déclaration de revenus 2042 ; le montant des pensions alimentaires perçues ; l'existence d'un déficit sur l'année de revenus.
Il est en outre prévu une « API universelle », qui contient uniquement certaines des données traitées dans le cadre de l'API « impôt particulier », à savoir la situation de famille, le RFR, le nombre de parts fiscales et le nombre de personnes à charge. En pratique, il s'agit des données nécessaires à l'instruction des demandes de bourses à l'entrée au collège ou au lycée, qui conditionnent notamment le niveau de l'allocation à attribuer. Ce jeu de données pourra néanmoins être proposé à d'autres autorités administratives dans le cadre de certaines démarches nécessitant systématiquement la collecte de ces mêmes données.
S'agissant des secondes catégories de données, il s'agit des données techniques liées à la mise en œuvre et à la traçabilité des actions nécessaires aux échanges de données entre administrations. Ces données concernent l'identification des administrations sollicitant la transmission de données fiscales et l'identification des usagers au sein du traitement ADONIS, nécessaires à la récupération d'une copie des données objets de l'échange.
A cet égard, la commission observe que ces données techniques permettent à la DGFiP d'identifier les administrés et de connaître l'ensemble des démarches qu'ils ont entreprises auprès d'autres administrations. Elle rappelle dès lors que ces données ne peuvent en aucun cas être traitées à d'autres fins que de traçabilité et de vérification de la régularité des échanges de données.
Au regard de ces éléments, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi « informatique et libertés ».
Sur la durée de conservation des données :
L'article 6 du projet d'arrêté prévoit que la durée de conservation des données fiscales traitées par la DGFiP au sein des API projetées, dans le cadre des transferts requis pour l'accomplissement de démarches administratives, est limitée au temps nécessaire au transfert desdites données à l'autorité administrative concernée.
Il prévoit en outre que les données dites de traçabilité sont conservées deux ans, ce qui semble justifié au vu de l'écosystème complexe dans lequel intervient le traitement projeté. Au regard de la sensibilité de ces données, la commission rappelle que ces traces doivent faire l'objet de modalités de conservation adaptées.
La commission considère que ces durées de conservation sont conformes à l'article 6 (5°) de la loi « informatique et libertés ».
Le même article prévoit enfin que la durée de conservation des données collectées par l'administration destinataire d'un tel échange de données fiscales est corrélative à la finalité propre de chaque démarche entreprise.
Sur les destinataires des données :
L'article 4 du projet d'arrêté prévoit que seuls les agents habilités de la DGFiP peuvent accéder directement aux données traitées pour gérer la traçabilité des utilisations des API.
Le même article prévoit que les autorités partenaires habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire sont destinataires des données d'ordre fiscal précitées.
A cet égard, la commission relève que chaque autorité administrative (dite « fournisseur de service ») doit, pour chaque type de démarche, conclure une convention de partenariat avec la DGFiP (dite « fournisseur de données ») pour bénéficier de tels transferts de données fiscales. Dans ce cadre, le partenaire doit notamment définir, parmi la palette d'offres personnalisables proposées par le ministère, les catégories de données nécessaires à chaque démarche administrative traitée par chaque entité, en mentionnant les dispositions législatives ou réglementaires l'autorisant à traiter ces données. Il doit en outre préciser dans la convention les références des formalités préalables réalisées auprès de la commission s'agissant des traitements de données utilisés dans le cadre du présent dispositif. Il est enfin prévu que cette convention fixe les rôles et engagements de chaque partie.
Après s'être enregistrée auprès du ministère à l'appui de cette convention, toute administration peut ainsi proposer à l'usager recourant au dispositif FranceConnect une fonctionnalité « Dites-le nous une fois », selon les modalités précédemment décrites. A chaque réception du jeton matérialisant l'information et le consentement de l'usager, la DGFiP vérifie, avant la restitution des données fiscales requises, la correspondance technique de l'interrogation formulée au regard du périmètre délimité par la convention et par le consentement de l'usager transmis par le dispositif FranceConnect.
La commission estime que ces mesures organisationnelles sont de nature à limiter la transmission aux seules données nécessaires à chaque démarche administrative entreprise par les usagers et à assurer la confidentialité des données concernées vis­à-vis des tiers non autorisés à y accéder.
Néanmoins, elle rappelle que le caractère effectif de ces garanties est conditionné par les dispositions des conventions prévues et le contrôle de leur légalité. A cet égard, la commission rappelle que la DGFiP, en tant que responsable du traitement projeté, pourra voir sa responsabilité engagée en cas de transmission de données à un tiers non autorisé.
En tout état de cause, la commission rappelle que les destinataires de ces transmissions deviennent responsables des données ainsi collectées et enregistrées dans leurs propres traitements de données à caractère personnel.
Sur l'information et les droits des personnes :
Les échanges sont conditionnés à une information préalable de l'usager, s'agissant des catégories et sources de données qu'un fournisseur de service propose d'obtenir directement auprès de l'administration fiscale. Cette information est délivrée par l'intermédiaire d'un écran d'autorisation qu'il appartient au fournisseur de service d'afficher au cours de la démarche entreprise par l'administré.
Ces échanges sont en outre soumis au consentement de l'usager, qui doit expressément donner son accord à l'autorité administrative saisie, pour obtenir directement auprès de la DGFiP les informations fiscales requises. Ce consentement est recueilli, en l'espèce, par l'intermédiaire du dispositif FranceConnect.
La commission estime que ces modalités de mise en œuvre sont de nature à assurer la maîtrise de ses données par l'usager. Elle relève en particulier que la condition du consentement préalable n'est pas rendue obligatoire par les dispositions précitées du CRPA.
L'article 7 du projet d'arrêté précise que les droits d'accès et de rectification, prévus par les articles 39 et 40 de la loi « informatique et libertés », s'exercent auprès du centre des finances publiques dans le ressort territorial duquel se trouve l'adresse principale de l'administré.
La commission demande au ministère et à ses partenaires d'accompagner l'usager dans la prise en compte effective de ses droits, tout particulièrement en le mettant en relation avec un interlocuteur au sein du partenaire susceptible d'être également concerné par sa demande. Sur ce point, elle relève que le ministère envisage l'inclusion de cette demande dans la convention à signer avec chaque partenaire du dispositif « APl données fiscales ».
Elle recommande également que le ministère rende accessible à chaque contribuable concerné, par les moyens habituels utilisés pour échanger avec celui-ci, l'historique des données fiscales qui ont fait l'objet d'échanges, en précisant notamment l'administration concernée.
L'article 8 du projet d'arrêté exclut le droit d'opposition au traitement projeté.
Sur la sécurité des données et la traçabilité des actions :
La commission prend acte que le traitement, qui constitue un téléservice d'une autorité administrative au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, est en cours d'homologation au regard du référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé. Elle rappelle que l'attestation de cette homologation devra être publiée sur le site du téléservice.
Les données sont échangées via des canaux de communication chiffrés entre des serveurs mutuellement authentifiés par certificat. Le protocole sécurisé de délégation d'autorisation est mis en œuvre par FranceConnect. Les connexions sont tracées à toutes les étapes (authentification, identification, demande des données).
Concernant les échanges de données avec les fournisseurs de services, la commission rappelle qu'il appartient au ministère de mettre en œuvre l'ensemble des mesures de sécurité de nature à garantir que les données ne sont pas transmises à des tiers non autorisés. Elle demande au ministère de prévoir, par l'intermédiaire de convention, d'identifier et d'authentifier précisément le service instructeur pour chaque démarche concernée, et non seulement le ministère ou l'organisme dont il relève. Une convention de partenariat serait ainsi conclue entre la DGFiP et chaque service instructeur pour chaque démarche.
La commission considère en effet que l'effectivité de ces engagements juridiques dépend également des modalités d'identification de ses partenaires lors des échanges techniques de données. Elle relève qu'en l'espèce, ces modalités dépendent essentiellement des fonctionnalités du dispositif FranceConnect et ne sont dès lors pas modifiables par le ministère.
C'est pourquoi la commission demande à la DGFiP de prévoir a minima, dans son propre système d'information, une gestion de l'identification du partenaire pour compléter, si besoin, l'identification sous laquelle il se présenterait via FranceConnect.
Sous cette réserve, la commission considère que les mesures de sécurité mises en œuvre sont conformes à l'exigence de sécurité prévue à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur l'opportunité d'un acte réglementaire unique :
Le projet d'arrêté a vocation à constituer un acte réglementaire unique au sens des dispositions des articles 26-IV et 27-III de la loi du 6 janvier 1978 modifiée. Il est ainsi prévu que le transfert des données à l'autorité partenaire de la DGFiP soit subordonné à l'envoi préalable à la commission d'un engagement de conformité à l'arrêté publié.
A cet égard, la commission relève que le projet de texte décrit les caractéristiques principales du traitement mis en œuvre par la DGFiP et des responsabilités lui incombant. Il n'évoque pas les conditions de traitement de données par les fournisseurs de service, qui constituent uniquement des destinataires des données concernées à qui incombe l'accomplissement de formalités préalables adéquates auprès de la commission. Elle estime dès lors que ce projet d'acte réglementaire unique ne correspond pas exactement à la lettre de l'article 27-III de la loi « informatique et libertés ».
Néanmoins, elle estime qu'il est opportun de prévoir un cadre général applicable aux échanges de données en cause, de simplifier les formalités préalables incombant aux responsables concernés et de permettre un contrôle, par la commission, des engagements pris par les différents acteurs du dispositif.
Sous réserve que la commission soit réellement mise en capacité d'exercer de tels contrôles, et en premier lieu par un examen des conventions types proposées par la DGFiP, la prise d'un acte réglementaire unique en ce qui concerne les échanges de données entre l'administration fiscale et les autorités administratives concernées ne pose pas de difficulté particulière. Elle prend dès lors acte que le ministère s'engage à transmettre à la commission le modèle de convention à conclure avec les fournisseurs de service.


Liens relatifs à cet article