La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie et des finances d'une demande d'avis sur un projet d'arrêté portant création d'un entrepôt de données dédié aux études fiscales nationales et internationales dénommé « EDEN » ;
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code général des impôts, notamment ses articles 1741 et 1743 ;
Vu le livre des procédures fiscales, notamment ses articles L. 10, L. 81 et L. 229 à L. 231 ;
Vu le code pénal, notamment ses articles 313-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-I (2°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 28 décembre 2001 relatif à la mise en service par la direction générale des impôts d'un entrepôt de données dédié aux études fiscales nationales ;
Vu l'arrêté du 17 janvier 2005 modifié relatif à la mise en service par la direction générale des finances publiques d'un traitement automatisé d'aide à la sélection et au contrôle des dossiers des particuliers dénommé « SIRIUS PART » ;
Vu la délibération n° 2004-091 du 18 novembre 2004 portant avis sur la création par la direction générale des impôts du traitement « SIRIUS-FP » d'aide à la sélection et au contrôle des dossiers fiscaux des particuliers ;
Vu l'arrêté du 4 avril 2011 modifié relatif à la mise en service par la direction générale des finances publiques d'un traitement automatisé d'aide à la sélection et au contrôle des dossiers des professionnels dénommé « SIRIUS PRO » ;
Après avoir entendu M. Didier CASSE, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie, par le ministère de l'économie et des finances, d'une demande d'avis sur un projet d'arrêté portant création, par la direction générale des finances publiques (DGFiP), d'un entrepôt de données dédié aux études fiscales dénommé « EDEN ». La mise en œuvre et l'exploitation de ce nouvel outil seront confiées â la direction nationale des enquêtes fiscales (DNEF), service à compétence nationale de la DGFiP, en charge de la détection des circuits de fraude fiscale.
La mise en œuvre de ce traitement s'inscrit dans un contexte de renforcement de la lutte contre toutes les formes de fraude fiscale, pénalement sanctionnées dans les conditions prévues au code général des impôts. Il doit permettre, par l'amélioration des capacités d'analyse de l'administration fiscale, de mieux identifier les situations potentiellement frauduleuses en mettant en évidence des incohérences ou des défaillances déclaratives dans les dossiers des contribuables, améliorant ainsi le ciblage des contrôles.
A titre liminaire, la Commission rappelle que la création de l'entrepôt de données EDEN a déjà été autorisée par l'arrêté du 28 décembre 2001 susvisé. La volonté d'étendre le système à de nouvelles modalités de fraude fiscale conduit la DGFiP à prévoir la prise d'un nouvel acte réglementaire abrogeant, en son article 8, ledit arrêté.
Dans la mesure où le traitement projeté a notamment pour objet la prévention, la recherche, la constatation et la poursuite d'infractions pénales, sa mise en œuvre doit être autorisée par arrêté ministériel, pris après avis motivé et publié de la Commission, en application des dispositions de l'article 26-1 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement
Aux termes de l'article 2 du projet d'arrêté, le traitement EDEN a pour finalités de :
― permettre la mise en évidence de montages frauduleux nationaux et internationaux afin de mener des actions de prévention, de recherche, de constatation ou de poursuite d'infractions pénales ;
― programmer et mener des opérations de recherche, de constatation ou de poursuite des manquements fiscaux.
Interrogeable par un outil de requête multicritères et d'analyse décisionnelle, ce traitement vise ainsi à améliorer et à faciliter les activités de prévention et de poursuite d'infractions pénales et de manquements administratifs en matière fiscale.
Le traitement EDEN repose sur un entrepôt national de données, disposant d'un logiciel d'interrogation permettant à un nombre restreint d'agents de la DNEF d'exploiter l'ensemble des données entreposées, principalement de nature fiscale.
Ses fonctionnalités sont l'extraction de populations présentant un risque de fraude fiscale, calculé en fonction de critères spécifiés par les membres de la cellule Infocentre, l'étude statistique d'un tissu fiscal puis la recherche d'un contribuable dans une base de données.
EDEN constitue donc un système d'information d'aide à la décision permettant la lutte contre la fraude fiscale nationale et internationale, la gestion, le signalement et la sanction des fraudes avérées par le biais des procédures de contrôle traditionnelles, organisées notamment par le livre des procédures fiscales.
La Commission considère que les finalités du traitement sont déterminées et explicites, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée. Elle rappelle que des traitements poursuivant des finalités similaires sont déjà été mis en œuvre par l'administration fiscale, à l'instar des traitements « SIRIUS PART » et « SIRIUS PRO » créés par les arrêtés susvisés de 2005 et 2011. Elle relève néanmoins que l'entrepôt de données EDEN présente deux nouveautés principales : il doit permettre de centraliser et de mettre en relation, d'une part, des données se rattachant à la fiscalité personnelle et professionnelle, et des données de nature non fiscale (les déclarations déposées auprès du Centre national des firmes étrangères à l'URSSAF de Strasbourg), d'autre part.
La Commission considère en outre que la finalité du traitement projeté est légitime dans la mesure où les éléments qui en seront issus n'auront qu'une valeur de signalement parmi d'autres à la disposition des services fiscaux et ne conduiront en aucun cas à une programmation automatique des contrôles, ni a fortiori à des décisions de redressement directement opposables aux contribuables.
A cet égard, la Commission prend acte que le traitement n'a pas vocation à contenir de listes nominatives de personnes à contrôler, mais doit uniquement permettre la constitution de listes d'entreprises ou de particuliers présentant un risque de fraude. Ces listes devront alors être présentées aux services de la DGFiP qui valoriseront, confirmeront ou infirmeront le risque, avant de prendre toute décision de contrôle.
Le traitement projeté est ainsi conforme aux dispositions de l'article 10 de la loi du 6 janvier 1978 modifiée, les résultats des requêtes lancées sur EDEN ne produisant pas d'effets juridiques à l'égard des personnes concernées.
La lutte contre la fraude fiscale est sans conteste une finalité légitime, mais en raison de l'ampleur de l'entrepôt de données constitué, et du caractère innovant de l'outil de requête ainsi mis à disposition de la DNEF, la Commission estime que des garanties fortes, notamment au travers des mesures de sécurité, doivent être prises afin d'assurer la protection des données à caractère personnel, en particulier en ce qui concerne le nombre des agents habilités à émettre des requêtes et celui des destinataires.
Sur les données traitées et leur origine
Aux termes de l'article 3-I du projet d'arrêté, les données à caractère personnel traitées relèvent de quatre catégories :
― identification des personnes physiques et éléments de situation professionnelle et économique ;
― identification des entreprises et éléments de situation professionnelle et économique ;
― informations d'ordre économique et financier des personnes physiques ;
― informations d'ordre économique et financier des entreprises.
Ces quatre catégories de données correspondent en pratique aux données figurant dans les applications dont les données sont déversées dans l'entrepôt EDEN. Ces données sont certes décrites avec plus de précision que dans les articles correspondants des arrêtés relatifs à la première version d'EDEN ou à SIRIUS PART et SIRIUS PRO, mais, à la différence des précédents arrêtés, il n'y a plus d'article qui fixe avec précision la liste des traitements concernés, au nombre de 19 :
MEDOC (mécanisation des opérations comptables) ;
FNDP (fichier national des données professionnelles) ;
REBECA (remboursement des crédits de TVA non imputables) ;
TP (taxe professionnelle), dénommée désormais « contribution sur la valeur ajoutée des entreprises » (CVAE) ;
TSE (transparence des structures écrans) ;
BODACC dématérialisé (Bulletin officiel des annonces civiles et commerciales) ;
Liste des entreprises domiciliantes ;
RAR (gestion du recouvrement contentieux de l'impôt direct) ;
IR (impôts sur le revenu) ;
ISF (impôt de solidarité sur la fortune) ;
MAJIC 3 (gestion de la documentation cadastrale) ;
TH (taxe d'habitation) ;
BNDP (base nationale de données patrimoniales) ;
FICOBA (fichier national des comptes bancaires et assimilés) ;
SIR (simplification de la gestion des informations de recoupement) ;
ALPAGE (suivi de l'activité de contrôle fiscal à la DGFIP) ;
ARIANE (mise à disposition d'un outil de travail pour les enquêtes fiscales).
Fichier du Centre national des firmes étrangères (CNFE créé en 2007 au sein de l'URSSAF de Strasbourg).
La seule méthode permettant de donner avec précision le périmètre de l'entrepôt consiste à donner la liste des applications concernées. L'absence d'article donnant la liste des applications permet évidemment de ne pas avoir à retoucher l'arrêté en cas de modification affectant le nombre des applications utilisées par l'entrepôt. On peut l'admettre, à la condition que la CNIL soit informée dans l'avenir de chaque modification susceptible d'intervenir dans cette liste.
Les dix-huit premiers fichiers mis en œuvre par la DGFiP ou la DNEF concernent à la fois la fiscalité personnelle et la fiscalité professionnelle des contribuables. En outre, il est prévu la mise à disposition de données issues d'un fichier externe à l'administration fiscale, le fichier professionnel de l'URSSAF, compétente en matière de déclarations de salariés employés, sur le territoire français et relevant du régime français de la sécurité sociale, par des entreprises étrangères sans établissement en France.
La combinaison de données personnelles et de données professionnelles est justifiée par le fait qu'une analyse conjointe facilite la détection de montages fiscaux frauduleux. Ne se traduisant par la collecte d'aucune nouvelle donnée à caractère personnel, le traitement de l'ensemble de ces fichiers n'accroît pas les obligations déclaratives des contribuables et sa mise en œuvre ne semble se heurter à aucune disposition expresse du code général des impôts ou du livre des procédures fiscales, ni à aucun principe général de la procédure fiscale.
Au regard de ces éléments, la Commission considère que ces catégories de données sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Toutefois, face au volume important de données destinées à être traitées, la Commission souhaite que des garanties supplémentaires soient apportées quant aux données à caractère personnel stockées dans l'entrepôt EDEN.
En particulier, elle souligne la nécessité de s'assurer de la mise à jour, régulière et fréquente, des données versées dans EDEN. Toute modification des données enregistrées dans les fichiers alimentant ce traitement doit en effet être systématiquement prise en compte dans ce dernier afin d'empêcher toute sélection de personnes présentant un risque de fraude sur la base d'éléments erronés, inexacts ou incomplets.
Sur la durée de conservation des données
Aux termes de l'article 5-1 du projet d'arrêté, les données à caractère personnel de l'entrepôt seront conservées pendant une durée de dix ans, sans préjudice des délais de recours consécutifs aux procédures contentieuses fiscales et pénales.
Cette durée de dix ans est la même que celle de la version actuelle d'EDEN, alors que la durée fixée en 2005 et 2011 pour SIRIUS-PART et SIRIUS-PRO est de cinq ans.
Selon la DGFiP, la durée de dix ans correspond à la durée applicable aux données de l'ensemble des fichiers destinés à alimenter l'entrepôt EDEN, durée elle-même fondée sur les dispositions relatives au droit de reprise de l'administration fiscale figurant aux articles L. 169, L. 174 et L. 176 du livre des procédures fiscales.
Aux termes de l'article 5-II, la durée de conservation des données d'interrogation des agents de la DNEF a été fixée à une année, ce qui pourrait paraître insuffisant, alors qu'elle a été fixée à cinq ans pour SIRIUS PART et trois ans pour SIRIUS PRO. Cependant, la Commission prend acte que l'arrêté précisera que cette durée sera d'un an en ligne et de trois ans en archives.
Sur les destinataires des données
Aux termes de l'article 6 du projet d'arrêté, les destinataires des informations traitées sur le serveur de la DNEF sont :
― les agents habilités de la direction nationale d'enquêtes fiscales (DNEF), pour l'ensemble des données requêtées ;
― les agents habilités de la direction générale des finances publiques (DGFiP) chargés de la recherche et du contrôle fiscal pour les études et recherches réalisées par l'outil de l'entrepôt EDEN.
La Commission estime que le caractère limité du nombre de destinataires du traitement EDEN constitue une garantie forte du respect de la protection des données des personnes concernées.
En amont de la consultation des informations traitées, la mise en œuvre des requêtes relève exclusivement d'une cellule de gestion et de traitement des fichiers informatiques, dénommée également cellule lnfocentre, composée d'un nombre restreint d'agents seuls habilités à accéder à EDEN.
La Commission souligne la nécessité de mettre en œuvre une politique très stricte en matière d'habilitations individuelles, afin d'assurer un contrôle rigoureux des accès en consultation au traitement, d'une part, et surtout, la limitation des possibilités d'interrogation aux seuls personnels habilités, d'autre part, dont le nombre ne devrait pas dépasser une dizaine d'agents.
Sur les droits des personnes concernées
Conformément aux dispositions de l'article 32-VI de la loi du 6 janvier 1978 modifiée, il est prévu, à l'article 7 du projet d'arrêté, que le droit d'information des personnes concernées ne s'applique pas.
En ce qui concerne les droits d'accès et de rectification, la Commission prend acte que, aux termes de l'article 7 du projet d'arrêté, ils s'exerceront directement auprès du responsable de traitement. A ce titre, une adresse de la DNEF sera dédiée à la réception et à la prise en compte de ces demandes.
Enfin, elle prend également acte que le droit d'opposition ne s'appliquera pas au traitement EDEN, conformément au dernier alinéa de l'article 38 de la loi précitée.
Sur les sécurités
La Commission estime que la concentration dans une base nationale de données personnelles dont la confidentialité est spécialement protégée par la loi fait naître des risques spécifiques en termes de protection des droits des personnes concernées. Ces risques appellent des précautions particulières en matière de sécurité du traitement.
A cet égard, la Commission relève que l'identification des personnes habilitées est garantie par la création de profils d'utilisateurs ayant accès au serveur et en conformité avec les recommandations de la Commission en matière de gestion de mots de passe.
Les autres mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.