Délibération n° 2013-237 du 12 septembre 2013 portant avis sur un projet d'arrêté portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé « service de vérification de l'avis d'impôt sur le revenu » (SVAIR) (demande d'avis n° 1676170)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie et des finances d'une demande d'avis concernant la mise en œuvre d'un téléservice de vérification de l'avis d'impôt sur le revenu ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code général des impôts, notamment son article 1753 bis B ;
Vu le livre des procédures fiscales, notamment ses articles L. 103, L. 113 et L. 287 ;
Vu le code pénal, notamment ses articles 226-13, 226-14 et 226-21 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, notamment son article 26 ;
Vu la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec l'administration ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu'entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 9 mai 2006 modifié portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé « abonnement en ligne des particuliers (ALP) » ;
Vu la délibération n° 2006-001 du 12 janvier 2006 portant avis sur le projet d'arrêté du ministre de l'économie, des finances et de l'industrie modifiant l'arrêté du 5 avril 2002 portant création par la direction générale des impôts d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers » (ADONIS) ;
Après avoir entendu M. Didier GASSE, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :



  • En application de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, la CNIL a été saisie par la délégation aux systèmes d'information d'une demande d'avis relative à la mise à disposition des usagers professionnels (organismes sociaux, banques, collectivités locales) d'un téléservice de vérification de l'authenticité de l'avis d'impôt sur le revenu.
    Le traitement SVAIR s'appuie sur une fonctionnalité d'un autre traitement de la direction générale des finances publiques (DGFiP) dénommé ADONIS qui a précédemment fait l'objet d'une déclaration auprès de la commission (délibération n° 2006-001 du 12 janvier 2006).
    ADONIS a notamment pour finalité de permettre aux usagers personnes physiques de consulter leur dossier fiscal et de pouvoir en tirer des extraits. Il est aujourd'hui enrichi d'un nouveau document mis à la disposition des usagers. Disponible à partir du compte fiscal dans l'onglet « mes documents » et à partir de la page d'accueil du compte fiscal, ce document intitulé « justificatif d'impôt sur le revenu » est en quelque sorte une réduction sur une page de l'avis d'impôt sur le revenu, qui en comporte quatre.
    Ce nouveau document synthétique permet de répondre aux besoins des organismes (organismes sociaux, banques, collectivités locales), auprès desquels les personnes concernées doivent justifier du montant de leur revenu global, tout en évitant la communication de données confidentielles inutiles pour les démarches et procédures effectuées.
    Afin de répondre à ce besoin et de permettre aux personnes de limiter la justification de leur revenu aux informations strictement nécessaires aux organismes tiers, le « justificatif d'impôt sur le revenu » est accessible en ligne dans l'espace personnel de l'usager, qui peut ainsi le télécharger et l'imprimer.
    Ayant saisi la CNIL à la fin du mois de mai 2013, pour une mise en service projetée au mois d'août 2013, le ministère a décidé de mettre en œuvre sans attendre le traitement dès le début du mois de septembre, contrevenant ainsi aux dispositions susvisées de la loi n° 78-17 du 6 janvier 1978.
    Sur la finalité du traitement :
    Le téléservice SVAIR destiné aux usagers professionnels tels que les organismes sociaux, les banques ou les collectivités territoriales a pour finalité de permettre la vérification de l'authenticité desdits documents qui leur sont présentés.
    SVAIR permettra aux organismes de vérifier la situation fiscale réelle de l'usager, notamment si l'avis présenté correspond bien à la dernière situation du contribuable, par exemple en cas de taxation corrective, étant observé que les justificatifs ne comportent pas de date d'émission. Par incidence, ce traitement permettra de lutter plus efficacement contre la fraude, notamment vis-à-vis des organismes d'aide et de protection sociale.
    SVAIR est un outil de vérification des justificatifs fiscaux susceptible de s'appliquer à tous les citoyens ayant à justifier de leur niveau de revenu auprès d'un organisme.
    Pour accéder à ce téléservice SVAIR, les usagers professionnels n'auront pas à s'authentifier, ni même à s'identifier, mais devront disposer des deux identifiants du contribuable présents sur l'avis ou le « justificatif d'impôt sur le revenu » pour accéder aux données à vérifier, à savoir le numéro fiscal du déclarant et le numéro de la référence de l'avis d'impôt. Il s'ensuit que toute personne disposant de ces deux numéros pourra accéder directement à SVAIR.
    Sur les données traitées et le mode de fonctionnement du traitement :
    Les catégories de données traitées sont issues de l'application ADONIS et correspondent aux données figurant dans le nouveau justificatif d'impôt sur le revenu (article 5 du projet d'arrêté).
    Par ailleurs, les données de connexion font l'objet d'une journalisation se traduisant par la conservation pour chaque connexion des dates, heures et, a priori, de l'adresse IP, la requête effectuée (c'est-à-dire la commande informatique lancée depuis un formulaire vers le serveur quand un usager a fini de remplir le formulaire et clique sur « envoyer » par exemple), le système d'exploitation et le navigateur. Ces données ne permettent donc pas de connaître directement l'auteur des requêtes.
    La connexion se fait soit à partir du site www.impots.gouv.fr, soit à partir du site collectivites-locales.gouv.fr, mais, aucune identification n'étant exigée de la part des organismes, toute personne disposant des deux identifiants requis peut effectuer cette consultation.
    Sur la durée de conservation des données :
    Aux termes de l'article 3 du projet d'arrêté, la durée de conservation des données relative à l'identification des personnes physiques est fixée à trois ans et n'appelle pas de remarque particulière de la part de la commission.
    La conservation des données de connexion des usagers professionnels est fixée à quatre-vingts jours.
    Sur les destinataires des données :
    SVAIR étant en fait un appendice du traitement ADONIS visant à étendre la liste des destinataires pour une catégorie de données correspondant au nouveau justificatif d'impôt, l'article 6 du projet d'arrêté se borne à rappeler les conditions dans lesquelles les contribuables peuvent consulter sur internet leur avis d'imposition ou leur justificatif d'impôt sur les revenus, mis en ligne dans leur espace personnel après s'être identifiés.
    Le projet d'arrêté omet de préciser quels seront les catégories d'organismes tiers pouvant accéder aux avis d'imposition mis à disposition par l'usager dans le cadre de SVAIR. Il s'agira d'organismes professionnels, d'une part, et de collectivités territoriales, d'autre part, comme l'indique le dossier de saisine. Le projet d'arrêté devra être complété sur ce point par un article définissant les destinataires, comme le prescrit l'article 29 de la loi n° 78-17 du 6 janvier 1978.
    Sur les droits des personnes :
    Le droit d'opposition, aux termes de l'article 7 du projet d'arrêté, ne s'applique pas au présent traitement.
    SVAIR autorisant de nouveaux destinataires à avoir accès à des données figurant dans ADONIS dans un but de contrôle et de vérification, il convient d'assurer la bonne information des personnes concernées en application des dispositions de l'article 32 de la loi n° 78-17 du 6 janvier 1978.
    Il est actuellement prévu que le justificatif d'impôt sur le revenu comporte la mention suivante : « Les données de ce document peuvent être vérifiées directement en ligne sur impots.gouv.fr. » Une telle mention ne paraît pas assez explicite : il est suggéré de préciser que la vérification peut être effectuée directement en ligne par l'organisme à qui le justificatif a été remis.
    La commission demande donc que les dispositions garantissant une bonne information des usagers souhaitant recourir à la procédure dématérialisée de production du justificatif d'impôt sur le revenu soient effectives. En outre, les usagers contribuables devront être informés de l'utilisation desdits documents à des fins de vérification.
    Sur la sécurité :
    Dans le cadre du traitement SVAIR, qui correspond à la mise à disposition d'un téléservice, le ministère a mis en œuvre une démarche de conformité au référentiel général de sécurité (RGS). Le téléservice sera ainsi homologué sur la base d'une étude des risques.
    La commission souhaite donc que lui soient transmis les éléments relatifs à cette étude dans la mesure où ce type de traitement engendre nécessairement des risques pour la vie privée des contribuables, d'autant plus que l'identification des personnes ayant recours à SVAIR n'est pas assurée.
    A ce titre, la commission demande que les organismes professionnels ayant recours à SVAIR, s'identifient au préalable ou se connectent par l'intermédiaire de leur espace en ligne, ce qui donnerait un sens à la conservation des données de connexion.
    L'ensemble des autres mesures de sécurité présentées par la DGFiP n'appelle pas de remarques particulières de la part de la commission.


La présidente,
I. Falque-Pierrotin

Extrait du Journal officiel électronique authentifié PDF - 197,4 Ko
Retourner en haut de la page