Sur le principe et la finalité du traitement :
Il est rappelé qu'aux termes de l'article 6 de la loi précitée du 6 janvier 1978 modifiée « un traitement ne peut porter que sur des données à caractère personnel (...) collectées pour des finalités déterminées, explicites et légitimes » et qu'aux termes de l'article 10, deuxième alinéa, « aucune (...) décision produisant des effets juridiques à l'égard des personnes ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé ».
Appelé à remplacer les applications existantes « Multicritères IR » et « VIZIR », « SIRIUS-FP » centralise des informations qui ont toutes été collectées pour une finalité fiscale et sont issues d'autres traitements automatisés de la DGI. Ne se traduisant par la collecte d'aucune nouvelle donnée à caractère personnel, il n'accroît pas les obligations déclaratives des contribuables et sa mise en oeuvre ne semble se heurter à aucune disposition expresse du code général des impôts ou du livre des procédures fiscales ni à aucun principe général de la procédure fiscale.
« SIRIUS-FP » a pour finalité l'aide à la programmation des opérations de contrôle fiscal, qu'il s'agisse du contrôle sur pièces exercé par le service d'assiette ou des contrôles externes susceptibles d'être exercés par des services spécialisés aux différents niveaux de l'administration fiscale. Une telle finalité est légitime pour autant que les éléments issus du traitement n'auront qu'une valeur de signalement parmi d'autres à la disposition des services fiscaux et ne conduisent en aucun cas à une programmation automatique des contrôles ni a fortiori à des décisions de redressement directement opposables aux contribuables.
Sur les données personnelles traitées et restituées par « SIRIUS-FP » :
Il est rappelé qu'aux termes de l'article 6 de la loi précitée du 6 janvier 1978 modifiée « un traitement ne peut porter que sur des données à caractère personnel (...) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ».
La commission constate que le choix a été fait d'inclure parmi les données traitées les noms des déclarants alors que l'existence des identifiants fiscaux pouvait permettre de l'éviter dès lors que les unités en charge des contrôles, et elles seules, auraient été dotées de moyens logiciels permettant de faire correspondre aux identifiants des listes « SIRIUS-FP » les noms des contribuables concernés.
L'administration justifie ce choix par la nécessité - dans des cas qui restent exceptionnels (exemple, fraude en bande organisée, recherches dans une même famille et revenus et/ou patrimoines incohérents) - de pouvoir interroger la base « SIRIUS-FP » à partir de noms de déclarants.
Elle accepte cependant - pour assurer le respect du principe de proportionnalité découlant des dispositions précitées - le retrait à terme des noms des contribuables des listes de restitution, ce qui suppose, notamment, l'introduction dans ces listes d'un indicateur permettant d'identifier les dossiers déjà contrôlés. Mais les modifications de programme nécessaires, compte tenu du plan de charge du programme COPERNIC, ne pourraient être apportées qu'en 2007 au plus tôt.
La commission demande avec insistance que ces modifications soient effectivement mises en oeuvre dans les meilleurs délais, et en tout état de cause avant le 31 décembre 2007 au plus tard.
Sur les droits d'utilisation du traitement et l'exploitation des données restituées :
Il est rappelé qu'aux termes de l'article 30 de la loi précitée du 6 janvier 1978 « les (...) demandes d'avis adressées à la commission (...) précisent (...) les destinataires ou catégories de destinataires habilités à recevoir communication des données ; (...) les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi » et qu'aux termes de l'article 34 « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher (...) que des tiers non autorisés y aient accès ».
La commission estime que la concentration dans une base nationale de données personnelles dont la confidentialité est spécialement protégée par la loi fait naître des risques spécifiques appelant des précautions particulières en ce qui concerne notamment les accès au traitement et l'exploitation des éléments restitués.
Il résulte de ce qui a été dit précédemment qu'environ 12 250 agents seraient habilités à interroger « SIRIUS-FP » et que la gestion des habilitations via l'application « Annuaire DGI » ne permet pas un filtrage des accès qui limite automatiquement le champ des requêtes à la population de déclarants à l'égard de laquelle l'agent habilité a une mission effective d'assiette ou de contrôle.
Sur un plan général, la commission estime que la réflexion sur la gestion des droits d'utilisation à travers la gestion des habilitations, telle qu'elle est actuellement organisée dans l'application « Annuaire DGI », mérite d'être poursuivie.
En attendant, elle prend acte de ce que l'administration se propose d'encadrer, par une instruction et ainsi qu'il suit, les requêtes dans « SIRIUS-FP ».
Pour les requêtes prédéfinies et les requêtes libres, les chefs de service préciseront aux agents placés sous leur responsabilité que leur périmètre géographique doit être limité en fonction de leurs attributions et que toute requête sur un champ géographique plus large nécessite une autorisation.
A défaut d'un filtrage adéquat par l'application elle-même des données restituées, la commission approuve ces règles tout en souhaitant l'étude d'un dispositif de type clignotant qui apparaîtrait sur l'écran de l'utilisateur quand celui-ci lancerait une requête excédant le périmètre géographique correspondant à son affectation.
Pour les requêtes libres, les habilitations délivrées seraient limitées à 2 400 agents (un ou deux par service) spécialement formés. En outre, l'utilisation du patronyme comme critère de recherche ne serait autorisée que dans des cas exceptionnels et après accord écrit du chef de service.
D'autres règles, également posées par voie d'instruction, s'appliqueront à l'exploitation des données restituées par « SIRIUS-FP ».
Il a été précisé que les restitutions du traitement « SIRIUS-FP » pouvaient être éditées sous forme de listes papier ou être enregistrées sous forme dématérialisée et faire l'objet d'un transfert au format Excel. L'instruction préciserait que les listes ne doivent jamais circuler de service à service sur support papier ou disquette et que chaque liste doit être détruite après avoir été exploitée.
Il serait, d'autre part, indiqué que les fichiers ne pourraient être transmis que par messagerie et par l'intermédiaire du chef de service utilisateur. A l'issue de leur exploitation, les supports de conservation des données extraites de l'application seraient détruits par l'utilisateur final. Cette opération devrait intervenir le plus rapidement possible et, en toute hypothèse, dans un délai ne pouvant pas excéder trois ans à compter de l'extraction des données.
La commission demande que le III de l'article 5 du projet d'arrêté soit modifié en conséquence.
Sur les autres mesures de sécurité :
La DGI a indiqué que des instructions rappelleront aux chefs de service la nécessité de vérifier, au moins une fois par mois, grâce au module de traçabilité, le respect des consignes d'interrogation de « SIRIUS-FP » en ce qui concerne les restrictions géographiques des requêtes et les interrogations par le patronyme.
Une instruction préciserait également que les autorisations préalables données à un agent par son chef de service pour lancer une requête sortant du périmètre géographique de ses attributions ou à partir d'un patronyme ou pour transmettre par messagerie une liste de restitution doivent être conservées pendant une durée d'un an.
Sur l'information des contribuables :
Il est rappelé qu'aux termes de l'article 32 de la loi précitée du 6 janvier 1978 « la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée (...) par le responsable du traitement ou son représentant (...) de la finalité poursuivie par le traitement auquel les données sont destinées ».
En conséquence, il y a lieu de prévoir que les contribuables seront clairement informés sur les imprimés déclaratifs n°s 2042, 2042 C et 2725 de l'existence d'un traitement informatique permettant de procéder à un rapprochement des données issues des déclarations souscrites avec celles des déclarations des années précédentes et, le cas échéant, des données issues des déclarations de revenus avec celles des déclarations en matière d'ISF.
Fait à Paris, le 18 novembre 2004.