Délibération n° 2022-025 du 17 février 2022 portant avis sur un projet d'arrêté portant création par la direction générale des finances publiques du traitement de données à caractère personnel dénommé GALAXIE (demande d'avis n° 2223022)

NOR : CNIX2209834V
JORF n°0076 du 31 mars 2022
Texte n° 169
Extrait du Journal officiel électronique authentifié PDF - 221,2 Ko

Version initiale


  • La Commission nationale de l'informatique et des libertés,
    Saisie par le ministre de l'économie, des finances et de la relance d'une demande d'avis concernant un projet d'arrêté portant création par la direction générale des finances publiques du traitement de données à caractère personnel dénommé GALAXIE ;
    Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
    Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 31-I, 33 et 89-I ;
    Vu le code général des impôts, notamment ses articles 1741 et 1743 ;
    Vu le livre des procédures fiscales, notamment ses articles L. 10, L. 81, L. 229 à L. 231 ;
    Vu le code pénal, notamment ses articles 313-1 et suivants ;
    Sur la proposition de M. Philippe-Pierre CABOURDIN, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
    Emet l'avis suivant :
    La Commission a été saisie, sur le fondement du I de l'article 31 de la loi du 6 janvier 1978 modifiée, d'une demande d'avis relative à un projet d'arrêté portant création par la direction générale des finances publiques (DGFiP) du traitement de données à caractère personnel dénommé GALAXIE.
    Le traitement GALAXIE s'inscrit dans le cadre du projet PILAT (Pilotage et Analyse du conTrôle) de refonte du système d'information du contrôle fiscal. Ce projet inclut la mise en place de nouvelles applications et la réécriture d'outils existants, tel GALAXIE qui se substitue au traitement « Transparence des structures écrans - TSE », sur lequel la CNIL a été amenée à se prononcer dans sa délibération n° 03-048 du 30 octobre 2009.
    Sur les finalités et le régime juridique applicable au traitement :
    En premier lieu, s'agissant des finalités du traitement projeté, l'article 2 du projet d'arrêté prévoit qu'il « est consulté par les agents habilités, aux fins d'amélioration du respect des obligations fiscales des usagers, pour mener des opérations de recherche, d'enquête, de programmation, de contrôle et de recouvrement de manquements fiscaux ». Il ressort de l'énoncé de cet article que la finalité poursuivie par le traitement est de mener des opérations de recherche, d'enquête, de programmation, de contrôle et de recouvrement.
    Toutefois, l'analyse d'impact relative à la protection des données (AIPD) transmise indique que le traitement améliore les moyens de contrôle dans le cadre d'une part, de la régularisation de l'erreur commise par le contribuable de bonne foi, et d'autre part, de la lutte contre l'évasion et la fraude fiscales (par la facilitation de la détection des schémas de fraude fiscale dans le cadre des missions fiscales relevant tant de la DGFiP que de la direction générale des douanes et droits indirects (DGDDI) et l'aide à la détermination des coresponsabilités dans l'organisation de la fraude).
    Au regard de ces éléments, la Commission considère que l'article 2 du projet d'arrêté devrait être complété afin de faire apparaître la finalité relative à la régularisation de l'erreur commise par le contribuable de bonne foi et de préciser la finalité relative à la lutte contre l'évasion fiscale, mentionnées dans l'AIPD.
    En second lieu, s'agissant du régime juridique applicable au traitement, la Commission relève que le ministère considère que le traitement projeté relève intégralement du RGPD. A cet égard, le ministère a indiqué que le traitement GALAXIE a pour finalité principale l'amélioration du respect des manquements fiscaux susceptibles de constituer des infractions pénales. Le ministère a par ailleurs précisé que le traitement vise en premier lieu à s'assurer du respect des obligations fiscales des contribuables et de prendre, le cas échéant, des sanctions administratives.
    Il ressort toutefois du projet d'arrêté que le traitement poursuit deux finalités, toutes deux relatives à l'amélioration des moyens de contrôle.
    La première finalité, marginale, est l'amélioration des moyens de contrôle dans le cadre de la régularisation de l'erreur commise par le contribuable de bonne foi. Elle relève incontestablement du RGPD.
    Cependant, la Commission relève que la seconde finalité, principale, est relative à l'amélioration des moyens de contrôle dans le cadre de la lutte contre l'évasion et la fraude fiscales. Le ministère a indiqué que les opérations de recouvrement peuvent déboucher sur des pénalités fiscales et des poursuites pénales. La Commission rappelle, par ailleurs, qu'elle avait estimé dans sa délibération n° 2020-124 du 10 décembre 2020 que la finalité de recherche d'infractions fiscales et douanières relevait bien de la directive.
    En outre, la Commission rappelle que le traitement de ciblage de la fraude et valorisation des requêtes (CFVR) - qui alimente exclusivement le traitement GALAXIE et dont ce dernier ne fait qu'afficher les liens d'un contribuable donné afin d'en faciliter l'appréhension par un service de recherche ou de contrôle - a pour finalités de « modéliser et de visualiser les comportements frauduleux afin de mener des actions de prévention, de recherche, de constatation ou de poursuites d'infractions pénales ainsi que des opérations de recherche, de constatation ou de poursuite de manquements fiscaux ». La Commission avait, à cet égard, estimé dans sa délibération n° 2020-123 du 10 décembre 2020 portant sur le traitement CFVR que la finalité de ce traitement relève par principe de la directive « police-justice ».
    Au regard de l'ensemble de ces éléments, la Commission appelle l'attention du gouvernement sur le fait qu'il est probable que le traitement GALAXIE relève d'un régime mixte. Le traitement relèverait, d'une part, du RGPD pour la finalité relative à l'amélioration des moyens de contrôle dans le cadre de la régularisation de l'erreur commise par le contribuable de bonne foi, et, d'autre part, du titre III de la loi du 6 janvier 1978 pour la finalité relative à l'amélioration des moyens de contrôle et à la répression en matière de fraudes fiscales. En effet, d'une part, les services autorisés à mettre en œuvre le traitement - les services de la DGFiP chargés d'une mission de contrôle des impôts, droits et taxes prévus par le code général des impôts et des services et les services de la DGDDI chargés du contrôle et des enquêtes ainsi que du recouvrement - semblent être des autorités compétentes au sens de l'article 87 de la loi « informatique et libertés ». D'autre part, la possibilité de poursuivre des manquements par des pénalités fiscales ou en saisissant le parquet semble attraire le traitement au moins en partie dans le champ de la directive « police-justice », eu égard à la notion d'infraction pénale au sens du droit européen.
    Elle appelle le Gouvernement à clarifier la question du régime juridique et estime dès lors que, si le traitement relève d'un régime mixte (RGPD et directive « police-justice »), le projet d'arrêté devrait le faire apparaître et le traitement projeté devrait être mis en conformité avec la réglementation afférente à chacun de ces régimes. A cet égard, pour la partie du traitement qui relèverait de la directive « police-justice », la Commission prend notamment acte que de ce que le ministère a bien transmis une AIPD avec la demande d'avis conformément à l'article 90 de la loi du 6 janvier 1978 modifiée.
    Sur les catégories de données traitées :
    L'article 3 du projet d'arrêté dresse la liste des catégories de données collectées dans le traitement projeté.
    L'article 6 du projet d'arrêté prévoit que les données traitées sont issues du traitement CFVR. La Commission relève qu'elle s'est déjà prononcée à plusieurs reprises sur ce traitement. Elle prend acte des précisions apportées par le ministère selon lesquelles l'arrêté portant création du traitement CFVR sera prochainement modifié afin de prévoir la mise en relation avec le traitement GALAXIE.
    La Commission relève que certaines des données traitées dans GALAXIE ne figurent pas à l'article 3 de l'arrêté du 21 février 2014 portant création du traitement CFVR, et notamment les données de contexte. Dès lors, et dans la mesure où le traitement CFVR constitue la seule source de données pour le traitement GALAXIE, les données non prévues dans le traitement CFVR ne pourront être présentes dans GALAXIE en l'absence de modification de l'arrêté portant création de ce premier traitement qui devra être soumis à l'avis de la CNIL.
    La Commission prend acte des précisions apportées par le ministère selon lesquelles que dans un contexte de modernisation des méthodes de visualisation des informations d'environnement d'un contribuable, nécessaires à l'instruction d'un dossier, les données consultables dans GALAXIE sont majoritairement publiques ou déjà accessibles par l'ensemble des agents de la DGFiP dans ses applications. Elle relève notamment que les liens d'associés et de dirigeants, mentionnés à l'article 2 du projet d'arrêté, sont des données déjà publiées sur des bases publiques ou privées (telles qu'Infogreffe ou société.com par exemple). S'agissant des données professionnelles, elles correspondent aux informations relatives aux précédents contrôles pour lesquels tout chef de service dispose déjà d'une habilitation nationale.
    Sur les destinataires :
    L'article 4 du projet d'arrêté mentionne les destinataires des données traitées dans GALAXIE. La Commission considère que l'article 4 du projet d'arrêté pourrait préciser les services parmi les directions de la DGFiP et de la DGDDI habilités à recevoir communication des données traitées et non mentionner seulement les directions dans leur ensemble.
    Par ailleurs, la Commission rappelle que, conformément au 6° de l'article 33 de la loi du 6 janvier 1978, les demandes d'avis adressées à la CNIL sur le fondement de l'article 31 doivent préciser les catégories de personnes qui, en raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées. Or, elle relève que l'AIPD transmise ne permet pas de distinguer clairement les accédants aux données du traitement GALAXIE des destinataires. La Commission estime dès lors que l'AIPD devrait être précisée sur ce point conformément à l'article 33 de la loi du 6 janvier 1978.
    Sur les durées de conservation des données :
    L'article 5 du projet d'arrêté prévoit que les données consultables, lesquelles sont issues de CFVR, ont une profondeur historique de dix ans à compter de date de collecte de l'information par la DGFiP. Cette durée correspond à la durée maximale du droit de reprise de l'administration fiscale, qui peut s'exercer, pour le cas d'activités occultes, jusqu'à la fin de la dixième année qui suit celle au titre de laquelle l'imposition est due ou au titre de laquelle la taxe est devenue exigible.
    En premier lieu, la Commission relève qu'elle s'était déjà prononcée sur les durées de conservation des données traitées dans le traitement CFVR. A cet égard, elle estime que la durée maximale devrait être adaptée en fonction des types d'erreurs ou de fraudes en cause afin de se conformer aux dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée. Par ailleurs, la Commission considère que l'article 5 du projet d'arrêté devrait préciser que la durée de dix ans est à compter de la collecte dans le traitement CFVR, et qu'il s'agit d'une durée maximale en fonction des impositions concernées, comme indiqué dans l'arrêté du 21 février 2014 relatif au traitement CFVR.
    En second lieu, la Commission relève que le ministère a indiqué que GALAXIE est alimenté mensuellement par CFVR d'un fichier comportant des informations ayant une profondeur historique de dix ans. Ce fichier annule et remplace les données transmises le mois précédent. A des fins de clarté, la Commission invite le ministère à mentionner cette périodicité mensuelle de mise à jour dans le projet d'arrêté.
    Sur l'exercice des droits des personnes concernées :
    En premier lieu, la Commission relève que le ministère fonde le traitement sur l'exécution d'une mission d'intérêt public conformément à l'article 6-e du RGPD. Au regard de cette base légale, elle rappelle que le droit à l'effacement n'est pas applicable, conformément à l'article 17-3-b du RGPD. La Commission considère que l'article 7 du projet d'arrêté devrait être modifié pour apporter cette précision.
    En second lieu, dans la mesure où le traitement projeté relève pour partie du régime de la directive « police-justice », la Commission estime que l'article 7 du projet d'arrêté devrait être complété sur les dispositions relatives aux droits des personnes concernées conformément aux articles 104 et suivants du titre III la loi du 6 janvier 1978.
    Sur les mesures de sécurité :
    La Commission prend acte que les appels à l'API (« Application Programming Interface ») se font via des applications sans exposition vers internet. Elle recommande également d'isoler totalement les terminaux présents d'internet ou, à défaut, de prendre toutes les mesures nécessaires pour éviter toute attaque du type « falsification de requête intersite » (« Cross-site request forgery »).
    La Commission relève positivement la journalisation utilisant des identifiants agents individuels pour participer à la sécurisation des données de journalisation. Cependant, afin de garantir l'intégrité des données de journalisation, elle recommande vivement de mettre en place un système d'authentification permettant d'assurer la véracité de l'identifiant agent transmis lors de l'envoi de chaque requête HTTP à l'API.
    L'article 5 du projet d'arrêté prévoit une durée de conservation des traces de quatre ans. Cette journalisation poursuivant des finalités de contrôle interne, la Commission considère qu'il est possible d'avoir une durée de conservation des données supérieure à une année, celle-ci devant être déterminée de manière proportionnée à la finalité poursuivie, notamment en fonction des temporalités décrites dans les processus de gestion. Dans la mesure où le ministère indique que le niveau de risque implique un contrôle de la totalité des agents de toutes les structures utilisatrices sur une périodicité de trois ans, elle considère qu'une durée de conservation de trois années est proportionnée et invite donc le ministère à réduire la durée de conservation actuellement prévue. La Commission appelle de plus le ministère à informer les utilisateurs habilités de la mise en place du dispositif de journalisation, de la nature des données collectées et de la durée de conservation de ces dernières.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 221,2 Ko
Retourner en haut de la page