Délibération 2019-115 du 12 septembre 2019

Délibération n° 2019-115 du 12 septembre 2019 portant avis sur un projet d’arrêté modifiant l’arrêté du 21 février 2014 portant création par la direction générale des finances publiques d’un traitement automatisé de lutte contre la fraude dénommé « ciblage de la fraude et valorisation des requêtes » (CFVR) (demande d’avis n° 1726052 v7)

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l’action et des comptes publics d’une demande d’avis concernant un projet d’arrêté modifiant l’arrêté du 21 février 2014 portant création par la direction générale des finances publiques d’un traitement automatisé de lutte contre la fraude dénommé ciblage de la fraude et valorisation des requêtes (CFVR) ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil ;

Vu le code général des impôts, notamment son article 242 bis ;

Vu le livre des procédures fiscales, notamment ses articles L. 10, L. 81 et L. 229 à
L. 231 ;

Vu le code pénal, notamment ses articles 313-1 et suivants ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 31-I-2° et 33 ;

Vu la loi n° 2018-727 du 10 août 2018 pour un Etat au service d’une société de confiance ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu l’arrêté du 21 février 2014 portant création par la direction générale des finances publiques d’un traitement automatisé de lutte contre la fraude dénommé ciblage de la fraude et valorisation des requêtes ;

Vu la délibération n° 2014-045 du 30 janvier 2014 portant avis sur un projet d’arrêté portant création par la direction générale des finances publiques d’un traitement

automatisé de lutte contre la fraude dénommé ciblage de la fraude et valorisation des requêtes (CFVR) ;

Vu la délibération n° 2017-226 du 20 juillet 2017 portant avis sur un projet d’arrêté modifiant l’arrêté du 21 février 2014 portant création par la direction générale des finances publiques d’un traitement automatisé de lutte contre la fraude dénommé ciblage de la fraude et valorisation des requêtes ;

Après avoir entendu M. Philippe-Pierre CABOURDIN, commissaire en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Émet l’avis suivant :

La Commission a été saisie par le ministre de l’action et des comptes publics d’une demande d’avis concernant un projet d’arrêté modifiant l’arrêté du 21 février 2014 portant création par la direction générale des finances publiques (DGFiP) d’un traitement automatisé de lutte contre la fraude dénommé Ciblage de la fraude et valorisation des requêtes (CFVR).

Ce traitement, sur lequel elle a eu à se prononcer six fois depuis 2014, doit permettre la modélisation ainsi que la visualisation des comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d’infractions pénales ainsi que des opérations de recherches, de constatation ou de poursuite de manquements fiscaux.

La Commission relève par ailleurs que le projet d’arrêté lui a été soumis sur le fondement des dispositions de l’article 31-I-2° de la loi du 6 janvier 1978 modifiée qui prévoit qu’un arrêté, pris après avis motivé et publié de la Commission, autorise les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat et qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté.

Dans la mesure où le traitement CFVR présente, d’une part, la particularité de viser expressément la modélisation des comportements frauduleux afin de prévenir ou de constater la commission d’infractions pénales au titre de la finalité poursuivie et que, d’autre part, les éléments portés à sa connaissance laissent apparaître que le dispositif doit permettre de mieux identifier les situations potentiellement frauduleuses en mettant en évidence des incohérences ou des défaillances déclaratives dans les dossiers des contribuables, améliorant ainsi le ciblage des contrôles réalisés auprès des personnes concernées, la Commission estime que la finalité répressive poursuivie peut, dans les circonstances de l’espèce, être considérée comme prépondérante. Il résulte de ce qui précède que la Commission considère que, tant au regard de l’objet principal du traitement que de la finalité poursuivie, le traitement CFVR relève par principe du champ d’application de la directive 2016/680 du 27 avril 2016 susvisée telle que transposée aux articles 87 et suivants de la loi du 6 janvier 1978 modifiée.

Dans la mesure où le traitement CFVR est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, le ministère de l’action et des comptes publics a réalisé une analyse d’impact relative à la protection des données à caractère personnel (AIPD), qui a été adressée à la Commission avec la demande d’avis conformément à l’article 90 de la loi du 6 janvier 1978 modifiée.

Ces éléments de contexte rappelés, la Commission relève que le projet d’arrêté a pour objet, d’une part, de pérenniser le traitement CFVR pour les fraudes relatives aux particuliers et, d’autre part, de modifier la liste des traitements de la DGFiP dont sont issues les données traitées dans CFVR.

Sur la pérennisation du traitement CFVR pour les fraudes relatives aux particuliers

La Commission rappelle que le traitement CFVR, basé sur des techniques de datamining ou exploration de données , a plusieurs fonctionnalités : la modélisation prédictive, la requête d’analyse de risques, la recherche d’atypies ou d’incohérences et la recherche de liens entre les différentes personnes ou avec des entités professionnelles.

Initialement mis en œuvre en 2014 à titre d’expérimentation, dans le cadre de fraudes réalisées par les contribuables professionnels, le champ du traitement CFVR a été pérennisé en 2015 et étendu concomitamment à titre d’expérimentation aux personnes physiques impliquées dans le fonctionnement des entités professionnelles. Cette extension, pérennisée en 2016, a précédé une extension du traitement CFVR aux particuliers. Une expérimentation s’est ainsi déroulée entre 2017 et 2019. Parallèlement, les fonctionnalités de ce traitement ont été étendues afin de permettre la détection de façon anticipée des entreprises en difficulté ainsi que l’envoi automatique de demandes de renseignements aux contribuables suite à un rapprochement des informations décelant des incohérences dans les déclarations fiscales. Les données transmises par les opérateurs de plateformes collaboratives ont également été ajoutées au titre des données traitées dans le traitement CFVR conformément à l’article 242 bis du code général des impôts issu de l’article 10 de la loi n° 2018-898 du 23 octobre 2018 relative à la lutte contre la fraude. L’ensemble de ces modifications a fait l’objet d’avis de la Commission.

Il est désormais prévu de pérenniser l’extension du traitement CFVR pour les fraudes fiscales réalisées par les particuliers non professionnels.

A titre liminaire, si la Commission relève qu’un bilan a été réalisé à l’issue de chacune des expérimentations menées par le ministère, elle observe que ce dernier a systématiquement demandé la pérennisation des projets engagés conduisant à une complexification certaine des conditions de mise en œuvre du traitement CFVR sans qu’il ne soit, s’agissant de la présente saisine, précisément justifié des apports de l’expérimentation réalisée.

C’est dans ce contexte que l’article 1er du projet d’arrêté vise à pérenniser l’ensemble des conditions de mise en œuvre du traitement CFVR en supprimant toute notion d’expérimentation concernant les fraudes relatives aux particuliers. Le traitement CFVR pourra désormais utiliser, à titre pérenne, les données des particuliers sans lien avec une entreprise, y compris afin de procéder à l’envoi automatique de demandes de renseignement aux contribuables suite à un rapprochement des informations décelant des incohérences dans les déclarations fiscales.

Sans remettre en cause les justifications opérationnelles avancées relatives d’une part, à l’amélioration de la programmation des actions de lutte contre la fraude fiscale, des vérifications et des contrôles diligentés auprès des particuliers et, d’autre part, à l’amélioration du ciblage des fraudes réalisées par les entreprises, la Commission rappelle, de manière générale, qu’elle a toujours considéré que le traitement CFVR devait être entouré de garanties fortes de nature à assurer un niveau élevé de protection des données à caractère personnel. Elle estime en effet que ce traitement présente, depuis sa création, des enjeux particuliers au regard du caractère innovant du dispositif, de la combinaison de données réalisées et de l’ampleur de ces dernières ainsi que du croisement croissant de différents outils de détection et de lutte contre la fraude.

La Commission considère par ailleurs que l’extension du traitement CFVR aux particuliers induit un changement d’échelle significatif, dans la mesure où l’ensemble des contribuables français sera potentiellement concerné. Si la lutte contre la fraude fiscale est un objectif à valeur constitutionnelle, elle rappelle toutefois, au regard du nombre de personnes concernées et des techniques mises en œuvre, que des garanties appropriées doivent être prévues.

A cet égard, la Commission prend acte que les données modélisées par le traitement CFVR ne conduiront en aucun cas à une programmation automatique de contrôles fiscaux, ni a fortiori à des décisions directement opposables aux contribuables. Le traitement CFVR ne constitue donc qu’un outil d’aide et d’orientation des travaux des agents et non pas un outil de profilage destiné à identifier directement des fraudeurs potentiels.

Elle relève en outre que les données des personnes physiques contenues dans le traitement CFVR ne seront utilisées que pour :

  • la recherche d’anomalies et d’incohérences déclaratives ;
  • les travaux d’analyse risque consistant à identifier des évènements ou des occurrences déclaratives qui caractérisent des anomalies potentielles prédéfinies, puis à sélectionner les dossiers dans lesquels ces éléments sont constatés ;
  • l’identification des contribuables dont le comportement d’achat semble incohérent ;
  • l’identification d’indicateurs de fraude par analyse des contrôles antérieurs.

La Commission prend par ailleurs acte que le nombre de personnes au sein du bureau en charge de la programmation et de l'analyse des données ayant accès aux données des particuliers est extrêmement restreint (moins d’une dizaine de personnes). Elle rappelle, à cet égard, l’importance de s’assurer que seules les personnes dûment habilitées au regard de leurs missions et du besoin d’en connaître accèdent aux données concernées.

Elle relève également que les travaux réalisés dans le cadre de l’expérimentation ont visé uniquement les personnes pour lesquels les enjeux financiers potentiels sont considérés, par la DGFiP, comme les plus importants ou les anomalies les plus fragrantes.

Si la Commission relève que la réduction du champ matériel du traitement est de nature à constituer une garantie supplémentaire, elle regrette que le bilan de l’expérimentation ne contienne pas la liste précise des critères caractéristiques du risque de fraude.

De la même manière, à défaut d’éléments lui permettant de se prononcer pleinement sur la pérennisation, à l’égard des particuliers non professionnels, de l’utilisation de la fonctionnalité relative à l’envoi automatique de demandes de renseignement aux contribuables suite à un rapprochement des informations décelant des incohérences dans les déclarations fiscales, la Commission prend acte que cette démarche s’inscrit dans l’esprit de la loi du 10 août 2018 susvisée et que ces demandes non contraignantes permettront aux contribuables de bonne foi de régulariser leur situation sans subir de procédure de contrôle sur ce point.

Enfin, compte tenu du caractère nécessairement évolutif des hypothèses de fraude et des modalités de fonctionnement du traitement, la Commission prend acte de l’engagement du ministère de lui communiquer régulièrement des bilans sur les conditions d’utilisation et d’exploitation de ce traitement et sur les coûts afférents. Elle considère en effet qu’une telle transmission, par exemple annuelle, lui permettra de s’assurer, indépendamment de l’exercice de ses prérogatives de contrôle, de la stricte proportionnalité du dispositif mis en œuvre.

Sur les modifications apportées aux conditions de mise en œuvre

L’article 2 du projet d’arrêté complète la liste des applications de la DGFiP dont les données traitées sont issues.

Ces nouvelles applications de la DGFiP sont les suivantes :

  • le traitement de données d’acquisition des déclarations sociales nominatives et d’échanges avec les tiers collecteurs du prélèvement à la source de l’impôt sur le revenu (DSN) ;
  • le traitement de données de gestion du prélèvement à la source mis en œuvre par les collecteurs versant des revenus de remplacement et transitoirement par les organismes versant des traitements et salaires non encore entrés en déclaration sociale nominative (PASRAU) ;
  • le traitement de calcul de l’impôt sur la fortune immobilière (IFI) ;
  • le fichier national des données professionnelles (FNDP) ;
  • le traitement de remboursement des crédits de taxe sur la valeur ajoutée non imputables (REBECA) ;
  • le traitement de suivi et d’aide au pilotage des activités des services des impôts des entreprises (SIE Pilotage).

L’ensemble des données enregistrées dans les traitements de données à caractère personnel mentionnés ci-dessus seront transmises au traitement CFVR. Ces transmissions de données doivent permettre d’enrichir les données concernant les professionnels et celles concernant les particuliers et dirigeants ou associés.

Au regard des précisions apportées par le ministère, la Commission estime que le traitement ultérieur des données enregistrées dans les traitements précités n’est pas incompatible avec les finalités poursuivies par le traitement CFVR. Elle rappelle néanmoins qu’il reviendra au ministère de procéder, le cas échéant, à la mise à jour des actes réglementaires afférents aux traitements précités.

La Commission prend acte, en tout état de cause, que les autres conditions de mise en œuvre du traitement CFVR demeurent inchangées.

Sur les mesures de sécurité

La Commission estime que l’ampleur du dispositif, la nature des données traitées, ainsi que la volonté d’automatiser la détection de la fraude sont de nature à accroître les risques en termes d’atteinte à la vie privée des personnes concernées. Elle rappelle qu’il convient dès lors de faire preuve d’une vigilance particulièrement importante s’agissant des mesures de sécurité et de confidentialité mises en œuvre et procéder à une réévaluation régulière des risques.

A cet égard, elle relève que des solutions de chiffrement adéquates permettent d’assurer la confidentialité des échanges de données.

La Commission note en outre que les données du traitement CFVR sont stockées dans des serveurs dédiés et dupliqués.

Elle relève par ailleurs que des solutions de traçabilité sont mises en œuvre pour assurer la journalisation des opérations de consultation, création, mise à jour et suppression. La Commission rappelle néanmoins que pour être efficace, la journalisation doit permettre un suivi régulier des évènements ainsi tracés et intégrer une gestion d’alerte avec des niveaux pouvant permettre une réaction rapide en cas d’incident.

Enfin, la Commission relève qu’une gestion des habilitations, ainsi qu’un contrôle des accès logiques sont mis en œuvre pour limiter les accès aux données aux personnes dûment habilitées. Elle rappelle néanmoins la nécessité d’utiliser des mots de passe dont la complexité est conforme aux recommandations de la Commission.

La Présidente

M.-L. DENIS

Retourner en haut de la page