Délibération n° 2017-213 du 13 juillet 2017 portant avis sur un projet d'arrêté modifiant l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé « FICOVIE » (demande d'avis n° 1942384)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie et des finances d'une demande d'avis concernant la modification de l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé « FICOVIE » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des douanes, notamment son article 59 bis ;
Vu le code général des impôts, notamment son article 1753 bis B ;
Vu le code pénal, notamment ses articles 226-13, 226-14 et 226-21 ;
Vu le code de procédure pénale, notamment son article 28-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26.1.2° et 30.I1 ;
Vu la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ;
Vu la loi n° 2015-1785 du 29 décembre 2015 de finances pour 2016, notamment son article 126 ;
Vu le livre des procédures fiscales, notamment ses articles L. 135 ZC, L. 103, L. 113, L. 287 et R. 135 ZC-1 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2016-971 du 15 juillet 2016 relatif aux modalités de désignation et d'habilitation des officiers de police judiciaire, ainsi que des agents des douanes et des agents des services fiscaux habilités à effectuer des enquêtes judiciaires en application, respectivement, des dispositions des articles 28-1 et 28-2 du code de procédure pénale, autorisés à consulter le fichier national des comptes bancaires (FICOBA) et le fichier des contrats de capitalisation et d'assurance-vie (FICOVIE) ;
Vu l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé FICOVIE ;
Vu la délibération n° 2016-374 du 1er décembre 2016 portant avis sur le projet d'arrêté modifiant l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé « FICOVIE » ;
Vu le dossier et ses compléments ;


  • Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
    Emet l'avis suivant :
    La commission a été saisie pour avis par le ministère de l'économie et des finances sur un projet d'arrêté modificatif qui prévoit l'accès des agents habilités de la direction générale des douanes et droits indirects aux données du traitement « FICOVIE » permettant de lutter contre la fraude fiscale.
    Le projet d'arrêté modificatif fait suite à l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé « FICOVIE » et pour lequel la commission a rendu un avis le 1er décembre 2016, autorisant l'accès des notaires au fichier dans le cadre de la lutte contre la déshérence des contrats d'assurance-vie et de capitalisation.
    Il s'agit aujourd'hui pour la commission d'examiner les modalités d'accès des agents habilités de la direction générale des douanes et droits indirects au FICOVIE. Dans la mesure où le traitement concerne la prévention et la recherche d'infractions pénales, il relève des dispositions de l'article 26.1.2° de la loi du 6 janvier 1978 modifiée.
    Sur la finalité du traitement :
    La direction générale des douanes et droits indirects exerce une mission de régulation et de contrôle des exportations et importations et une mission de soutien de la compétitivité économique des entreprises. Elle est notamment chargée de fluidifier et de sécuriser les échanges économiques, au niveau national, international et européen, en particulier en luttant contre la fraude. Elle exerce dans ce cadre des missions de recouvrement et de contrôle en matière fiscale puisqu'elle perçoit des taxes et droits indirects pour le compte de l'Union européenne, de l'Etat, de certaines collectivités territoriales et établissements publics.
    Dans le cadre des missions rappelées ci-dessus et pour une finalité de lutte contre la fraude fiscale, le projet d'arrêté modificatif vise à permettre l'accès au fichier FICOVIE aux seuls agents habilités de la direction générale des douanes et droits indirects.
    En effet, la loi de finance du 29 décembre 2015 a créé un nouvel article L. 135 ZC du livre des procédures fiscales qui instaure un accès direct au FICOVIE pour les agents des douanes individuellement désignés et dûment habilités.
    Par conséquent, le projet d'arrêté prévoit la mise à disposition, pour les seuls agents habilités par la direction générale des douanes et droits indirects, au fichier « FICOVIE Agents » en application des dispositions de l'article L. 135 ZC précité qui permet la levée du secret professionnel.
    Le projet d'arrêté soumis pour avis à la commission prévoit donc la modification des dispositions de l'article 2, deuxième alinéa, de l'arrêté du 1er septembre 2016 pour « permettre l'accès aux déclarations aux fins de contrôle et de recouvrement par les agents habilités de la direction générale des douanes et droits indirects, dans le cadre des missions qui leur sont dévolues par les dispositions du code de procédure pénale. »
    Les agents concernés sont uniquement ceux habilités à effectuer des enquêtes judiciaires en application de l'article 28-1 du code de procédure pénale, c'est-à-dire les agents de la direction générale des douanes et droits indirects exerçant au sein du service national de douane judiciaire.
    En vertu des dispositions de l'article 59 bis du code des douanes, les agents des douanes sont tenus au secret professionnel. Le secret professionnel s'applique à toutes les personnes appelées à l'occasion de leurs fonctions ou attributions à intervenir dans l'assiette, le contrôle, le recouvrement ou le contentieux des impôts, droits, taxes et redevances prévus par le code général des impôts conformément aux dispositions de l'article L. 103 du livre des procédures fiscales. Le secret professionnel s'entend à toutes les informations recueillies à l'occasion de ces opérations.
    Cependant, il existe des dérogations à la règle du secret professionnel telles que prévues par les dispositions de l'article 26 de la loi du 13 juillet 1983 portant droits et obligations des fonctionnaires : « les fonctionnaires ne peuvent être déliés de cette obligation de discrétion professionnelle que par décision expresse de l'autorité dont ils dépendent ».
    Ainsi, la commission prend acte, d'une part, de l'ouverture du fichier FICOVIE aux seuls agents habilités de la direction générale des douanes et droits indirects exerçant au sein du service national de douane judiciaire, et ce, uniquement dans le cadre de leurs missions de recouvrement et de contrôle en matière fiscale. Elle observe, d'autre part, que la levée du secret professionnel est conforme aux dispositions prévues par la loi portant droits et obligations des fonctionnaires.
    Par conséquent, dans la mesure où les agents habilités de la direction générale des douanes et droits indirects ont accès au fichier, ils sont destinataires des données traitées. Dès lors, le projet d'arrêté prévoit de rajouter comme destinataires « les agents habilités de la direction générale des douanes et droits indirects, en application des dispositions de l'article L. 135 ZC du livre des procédures fiscales ».
    Cet ajout n'appelle pas d'observation particulière de la commission.
    Sur la sécurité des données et la traçabilité des actions :
    La commission prend note que les agents habilités de la direction générale des douanes et droits indirects se verront attribuer le profil « national » leur donnant accès aux données à l'échelle nationale à l'exclusion des dossiers identifiés comme étant sécurisés. Ces profils seront rattachés aux comptes des agents dans l'annuaire dédié de la direction générale des douanes et droits indirects. Les agents seront individuellement habilités par les responsables de la direction générale des douanes et droits indirects. De plus, préalablement à l'accès au traitement les habilitations des agents seront vérifiées, d'une part, par la direction générale des douanes et droits indirects et, d'autre part, par la direction générale des finances publiques.
    La commission prend acte de ce que le ministère a mis en place un mécanisme de traçabilité permettant de tracer les opérations effectuées par les agents habilités dans l'outil. Les données de traçabilité incluent un identifiant des agents, un horodatage, une identification du type d'opération effectuée ainsi que l'identifiant du contribuable concernée par l'opération. Ces données de traçabilité sont conservées pendant un an glissant et sont consultables via une application spécifique, accessible notamment au chef de service du service national des douanes judiciaires.
    La commission observe que les modalités d'authentification des utilisateurs n'ont pas été modifiées depuis la précédente modification du traitement de décembre 2016. Elle attire cependant l'attention du ministère sur sa récente délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe qui vient préciser les modalités pratiques d'authentification des personnes ayant accès à des traitements de données à caractère personnel. Elle conseille vivement au ministère de mettre à jour les modalités d'authentification de ses agents afin de respecter les recommandations de cette délibération.
    La commission prend acte de ce que les autres mesures de sécurité n'ont pas fait l'objet de modifications par le ministère. La commission rappelle néanmoins que l'obligation de sécurité à laquelle est soumis tout responsable de traitement nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


Pour la présidente :
Le vice-président délégué,
M.-F. Mazars

Extrait du Journal officiel électronique authentifié PDF - 239,1 Ko
Retourner en haut de la page