Délibération n° 2017-297 du 30 novembre 2017 portant avis sur un projet d'arrêté modifiant l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé Module applicatif d'interrogation de données (demande d'avis n° 1972621 V2)

Chemin :




Article
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du ler septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé Module applicatif d'interrogation de données ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des relations entre le public et l'administration, notamment ses articles L. 114-8 et L. 114-9 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 27-II (4°) et 30-II ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris en application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'arrêté du 5 avril 2002 modifié portant création par la direction générale des finances publiques d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers » (ADONIS) ;
Vu l'arrêté du 17 janvier 2008 modifié relatif à la mise en service par la direction générale des finances publiques d'un traitement automatisé d'identification des personnes physiques et morales dénommé « PERS » ;
Vu l'arrêté du 24 juillet 2015 portant création d'un traitement de données à caractère personnel par la direction interministérielle des systèmes d'information et de communication d'un téléservice dénommé « FranceConnect » ;
Vu l'arrêté du 1er septembre 2016 modifié portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé Module applicatif d'interrogation de données ;
Vu la délibération n° 2016-261 du 21 juillet 2016 portant avis sur un projet d'arrêté portant modification d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers » (ADONIS) ;
Sur la proposition de Mme Laetitia AVIA, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'économie et des finances d'une demande d'avis relative à un projet d'arrêté modifiant l'arrêté du 1er septembre 2016 portant création d'un traitement automatisé de données à caractère personnel dénommé « Module applicatif d'interrogation de données ».
Ce traitement, mis en œuvre par la direction générale des finances publiques (DGFiP), a pour finalité de permettre, dans les conditions prévues à l'article L. 114-8 du code des relations entre le public et l'administration (CRPA), le transfert d'informations fiscales à des autorités administratives en vue du traitement de démarches des usagers. Il a été autorisé par un arrêté pris sur le fondement de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, qui porte sur les traitements mis en œuvre par l'Etat aux fins de mise à disposition des usagers de l'administration d'un téléservice de l'administration électronique. L'arrêté modifiant les conditions de mise en œuvre de ce traitement doit donc être pris après avis motivé et publié de la commission.
L'article L. 114-8 du CRPA prévoit que « les administrations échangent entre elles toutes les informations ou données strictement nécessaires pour traiter une demande présentée par le public ou une déclaration transmise par celui-ci en application d'un texte législatif ou réglementaire ». C'est pour permettre un tel échange d'informations que le Module applicatif d'interrogation de données, actuellement composé de deux interfaces dénommées respectivement « API universelle » et « API impôt particulier », a été créé par l'arrêté du 1er septembre 2016 susvisé, pris après l'avis de la commission en date du 21 juillet 2016. Ces deux interfaces permettent d'extraire du traitement ADONIS, mis en œuvre par la DGFiP en application de l'arrêté du 5 avril 2002 susvisé et relatif au dossier fiscal des particuliers, une copie des données qui y sont enregistrées afin de les transférer aux autorités administratives saisies de démarches des usagers nécessitant la communication de données fiscales.
Le dispositif n'est toutefois applicable, conformément à l'article 2 de l'arrêté du 1er septembre 2016 précité, qu'aux démarches administratives entreprises dans le cadre d'un téléservice utilisant le dispositif FranceConnect.
Ce dispositif, créé par l'arrêté du 24 juillet 2015 susvisé et qui a notamment pour finalité de sécuriser le mécanisme d'échange d'informations entre autorités administratives prévu par les dispositions de l'article L. 114-8 du CRPA, propose aux usagers de s'identifier et de s'authentifier auprès de fournisseurs de téléservices.
L'objet du présent projet d'arrêté est de compléter ce dispositif pour permettre l'échange automatisé d'informations entre administrations pour le traitement de démarches des usagers indépendamment du recours au service FranceConnect. Il prévoit ainsi de modifier l'article 2 de l'arrêté du 1er septembre 2016 précité, relatif aux finalités du traitement, pour indiquer que les démarches concernées « sont effectuées soit via le téléservice FranceConnect, soit directement auprès de l'autorité administrative compétente ». Une telle modification vise concrètement à étendre l'application du dispositif d'échange d'informations aux démarches en ligne qui ont été effectuées sur des sites qui n'offrent pas la possibilité d'utiliser FranceConnect ou qui ont été réalisées par des usagers qui ne disposent pas d'avis d'imposition et ne peuvent donc pas utiliser le service FranceConnect. Elle vise également à couvrir l'hypothèse de démarches administratives accomplies par le biais de formulaires complétés sous format papier.
La commission prend acte que cet élargissement du dispositif doit s'accompagner d'une simplification des fonctionnalités du traitement, puisqu'il est prévu que le Module applicatif d'interrogation de données ne soit plus composé de deux interfaces mais d'une seule, dénommée « API impôt particuliers ». Cette dernière pourra être interrogée par l'autorité administrative saisie de la démarche (dite « fournisseur de service ») à partir du numéro SPI de l'usager (identifiant fiscal national individuel) ou, à défaut, de son état civil. Dans cette dernière hypothèse, les données relatives à l'état civil, identiques à celles transmises en cas d'utilisation du service FranceConnect, permettront d'obtenir dans un premier temps la communication du numéro SPI de l'usager grâce à l'interrogation du traitement PERS, mis en œuvre par la DGFiP en application de l'arrêté du 17 janvier 2008 susvisé, et l'interrogation de l'API impôt particuliers à partir de ce numéro SPI permettra ensuite d'obtenir la transmission de données fiscales, ce qui n'appelle pas d'observation de la part de la commission.
La commission relève en outre que, conformément aux dispositions de l'article L. 114-8 du CRPA et comme le prévoit déjà l'arrêté du 1er septembre 2016 susvisé, les échanges d'informations permis par le traitement ne pourront concerner que « les autorités administratives habilitées à traiter les démarches et formalités des usagers en vertu d'un texte législatif ou réglementaire ». Le premier utilisateur de ce dispositif sera le ministère de l'enseignement supérieur et de la recherche, pour le traitement des demandes de bourses des étudiants. En outre, seules pourront justifier de tels échanges les démarches réalisées par des usagers préalablement « informés de l'origine des données ainsi que de la liste des données transférées ».
Au-delà des exigences découlant de la loi, le projet d'arrêté maintient le principe du consentement des usagers au transfert des données fiscales prévu par l'arrêté du 1er septembre 2016 précité, quel que soit le canal utilisé pour réaliser la démarche administrative. Sur ce point, la commission prend acte qu'il sera demandé par la DGFiP aux administrations saisies de démarches par des usagers de prévoir une case à cocher, à la suite de l'information obligatoire sur la nature et l'origine des données, pour matérialiser l'expression de leur consentement.
Dans ces conditions, la commission considère que le projet qui lui est soumis, qui permet d'élargir le champ des bénéficiaires de la dispense de production de justificatifs découlant de l'article L. 114-8 du CRPA et simplifie ainsi les démarches administratives des usagers, poursuit une finalité déterminée, explicite et légitime au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Elle rappelle toutefois que les modalités des échanges d'informations ou de données entre administrations prévus à l'article L. 114-8 du CRPA doivent être définies par un décret en Conseil d'Etat, pris après avis de la commission, en application de l'article L. 114-9 du même code. Ce décret doit notamment déterminer les domaines et les procédures concernés par les échanges d'informations, les données qui en sont exclues, les critères de sécurité des échanges ou encore le délai de conservation des informations applicable à chaque système d'échanges.
La commission regrette dès lors qu'un tel décret n'ait pas été adopté préalablement à la mise en œuvre du système d'échange d'informations dont l'extension est aujourd'hui envisagée, dans la mesure où il doit permettre de sécuriser et de mieux encadrer, notamment du point de vue de la protection des données, de tels échanges.
Dans l'attente d'un tel encadrement, la commission prend acte que les catégories de données fiscales susceptibles d'être communiquées suite à l'élargissement envisagé du dispositif seront identiques à celles actuellement traitées et que chaque nouvelle administration destinataire devra préalablement passer une convention de partenariat avec la DGFiP, qui définira de manière détaillée les données qui lui sont nécessaires pour l'instruction de demandes ou déclarations du public. La commission prend acte que le respect de ce cadre sera contrôlé pour chaque demande de transfert de données de manière à garantir la stricte nécessité de toute communication d'informations.
Le ministère a également indiqué à la commission que chaque nouvelle administration partenaire devra, préalablement à l'interrogation de l'API et conformément à l'article 5 de l'arrêté du 1er septembre 2016 susvisé, adresser une déclaration de conformité auprès de la commission dans laquelle elle s'engagera à se conformer à « l'acte réglementaire unique ». Si le projet d'arrêté aujourd'hui soumis à la commission ne modifie pas l'article 5 précité, relatif aux formalités devant être accomplies par les administrations partenaires, la commission souligne, comme elle l'a relevé dans sa délibération du 21 juillet 2016 susvisée, que l'acte réglementaire autorisant la mise en œuvre du Module applicatif d'interrogation de données ne constitue pas exactement un acte réglementaire unique au sens des articles 26-IV et 27-III de la loi du 6 janvier 1978 modifiée. En effet, cet acte réglementaire n'autorise la création par la DGFiP que d'un seul traitement et ne définit pas les conditions spécifiques de mise en œuvre des traitements utilisés par les autorités partenaires qui, comme le rappelle d'ailleurs l'arrêté du 1er septembre 2016 précité, doivent faire l'objet de formalités distinctes auprès de la commission.
Au regard de ces éléments et de l'entrée en vigueur prochaine du Règlement européen sur la protection des données susvisé, qui conduira notamment à un allégement sensible des formalités préalables associées à certains traitements, la commission invite le ministère à modifier l'article 5 de l'arrêté du 1er septembre 2016 susvisé pour mettre fin à l'obligation pour les administrations partenaires de procéder à un engagement de conformité à un acte réglementaire unique. La commission prend acte que le ministère s'engage à procéder à une telle modification.
Elle rappelle toutefois qu'il découle de l'article 3°-II de la loi du 6 janvier 1978 modifiée que la commission doit être informée sur la conclusion de nouvelles conventions de partenariat conduisant à la communication d'informations fiscales à de nouveaux destinataires.
En ce qui concerne la sécurité du dispositif, la commission prend acte que le projet a donné lieu à une démarche d'homologation au Référentiel général de sécurité (RGS) et que, dans ce cadre, une analyse de risque a été effectuée. Elle prend également acte que les serveurs des fournisseurs de services devront s'authentifier via un mécanisme d'authentification forte aux serveurs de la DGFiP et qu'une journalisation des opérations d'échange de données, avec une durée de conservation des traces de deux ans, sera mise en place. Il ressort en outre du dossier que les mesures de traçabilité des connexions prévues permettent de conserver l'identifiant du partenaire conventionné ainsi que celui du téléservice associé, ce qui répond à la recommandation formulée par la commission dans sa délibération du 21 juillet 2016 susvisée tendant à ce que les traces enregistrées permettent d'identifier précisément le service instructeur concerné. La commission relève en outre que les utilisateurs seront informés que leurs opérations font l'objet d'une journalisation.
Elle relève enfin que les échanges de données entre le ministère et les fournisseurs de services se feront via le protocole HTTPS, qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
Les autres mesures de sécurité n'appellent pas d'observation de la part de la commission, qui rappelle toutefois que le respect de cette exigence nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


Liens relatifs à cet article