Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie d'une demande d'avis portant sur un projet d'arrêté relatif à la mise en œuvre d'un traitement automatisé de données à caractère personnel permettant la transmission par voie électronique des éléments descriptifs des locaux d'habitation et des locaux servant à l'exercice d'une activité salariée à domicile dénommé « TREVI 2 ».
Ce traitement est mis en œuvre par la direction générale des finances publiques (DGFiF), à titre expérimental, dans les départements de la Charente-Maritime, du Nord, de l'Orne, de Paris et du Val-de-Marne. Il permet, sur l'année 2015, une expérimentation de la révision des valeurs locatives des locaux d'habitation et des locaux servant à l'exercice d'une activité salariée.
Afin de mener à bien cette expérimentation, l'administration fiscale envisage d'adapter le téléservice « TREVI », déjà utilisé dans le cadre de la révision des valeurs locatives des locaux professionnels et commerciaux et sur lequel la commission s'est prononcée par délibération du 5 juillet 2012 susvisée. Elle prend acte des précisions apportées par le ministère selon lesquelles la campagne de collecte des informations relatives aux locaux professionnels et commerciaux étant terminée, le téléservice TREVI n'est plus offert aux propriétaires de ces locaux et l'arrêté portant création de ce téléservice est donc abrogé. Le traitement projeté relève des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté, pris après avis motivé et publié de la commission.
Sur la finalité du traitement :
L'article 74 de la loi de finances rectificative du 23 décembre 2013 susvisée prévoit une expérimentation de la révision de la valeur locative des locaux d'habitation et des locaux servant à l'exercice d'une activité salariée à domicile, laquelle est déterminée en fonction des éléments suivants : l'état du marché locatif, la nature, la situation, la consistance de la propriété concernée ou de la fraction de la propriété considérée.
Cette expérimentation a pour objet de permettre la révision des valeurs locatives cadastrales, lesquelles correspondent au rendement théorique brut de la propriété et sont nécessaires à l'établissement de l'assiette des impôts locaux. Elle s'inscrit dans la continuité de la précédente expérimentation menée sur la révision des valeurs locatives applicables aux locaux professionnels et commerciaux, prévue par l'article 34 de la loi du 29 décembre 2010 susvisée.
Le traitement projeté doit permettre de retracer, pour les locaux concernés, les conséquences de la révision de la valeur locative cadastrale pour les contribuables, les collectivités territoriales, les établissements publics de coopération intercommunale et l'Etat. Les propriétaires des locaux concernés situés dans les départements choisis pour l'expérimentation seront sollicités pour déposer une déclaration spécifique décrivant leur bien et mentionnant les éléments nécessaires à la révision de la valeur locative par l'administration fiscale (nature du local, année d'achèvement, etc.).
La commission observe que l'article 1er du projet d'arrêté fait référence au caractère expérimental du traitement sans préciser la durée de cette expérimentation. Elle prend acte que le projet d'arrêté sera modifié afin d'indiquer expressément que l'expérimentation envisagée ne concerne que l'année 2015.
La commission relève que les résultats de cette expérimentation seront présentés dans un rapport, remis au Parlement avant le 30 septembre 2015. Elle prend également acte de l'engagement du ministère des finances et des comptes publics de lui adresser un bilan du déroulement de l'expérimentation, lequel portera notamment sur le déroulement opérationnel des travaux réalisés et l'usage de la téléprocédure.
Au regard de ces éléments, la commission considère que la finalité poursuivie par le traitement projeté est déterminée, explicite et légitime.
Sur la nature des données traitées et leur durée de conservation :
L'article 3 du projet d'arrêté énumère les données collectées dans le cadre du traitement projeté, à savoir :
- des données dites d'identification (identification, mot de passe, adresse du propriétaire, adresse du local, etc.) ;
- des informations relatives au local (nature du local, année d'achèvement, etc.) ;
- des données de connexion (adresse IP du télédéclarant et horodatage de la déclaration).
L'article 4 du projet d'arrêté prévoit que les données d'identification, à l'exception de l'adresse électronique et du numéro de téléphone, sont issues du traitement MAJIC 3 (gestion des informations cadastrales), également placé sous la responsabilité de la DGFiP.
La commission prend acte des précisions apportées par le ministère, selon lesquelles les informations collectées dans le cadre de cette expérimentation ne seront pas prises en compte dans la documentation cadastrale et seront dès lors sans impact sur les valeurs locatives dans les départements participant à l'expérimentation.
La commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
L'article 6 du projet d'arrêté énonce que les données d'identification ainsi que les informations relatives au local concerné sont conservées moins d'un an. Cette formulation correspondant en réalité à une durée de conservation maximale, la commission prend acte qu'à sa demande l'article 6 sera précisé sur ce point afin de faire apparaître le seuil au-delà duquel les données seront effacées, à savoir le 1er février 2016.
Sous cette réserve, la commission considère que cette durée de conservation est proportionnée au regard de la finalité poursuivie par le traitement.
Sur les destinataires des données :
L'article 5 du projet d'arrêté indique que sont destinataires des informations traitées les agents habilités de la DGFiP. La commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice dénommé « TREVI 2 ».
Sur les droits des personnes :
La commission relève que l'information des personnes concernées par l'expérimentation est satisfaisante (mentions légales sur formulaire, mentions sur le site internet www.gouv.fr, publication de l'acte réglementaire).
L'article 7 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent auprès du centre des finances publiques du lieu de situation du local.
Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement projeté, ce qui n'appelle pas d'observation particulière.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle tout d'abord que le traitement projeté constituant un téléservice de l'administration fiscale, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé. A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles l'analyse de sécurité qui a été réalisée n'a pas fait apparaître de risques résiduels notables.
Par ailleurs, la commission relève que des mesures de sécurité logique et physique sont mises en œuvre afin de s'assurer notamment que des tiers non autorisés n'aient pas accès aux données contenues dans le traitement projeté.
En premier lieu, chaque utilisateur dispose d'un identifiant qui lui est propre afin de se connecter à l'application « TREVI 2 ». Les mots de passe sont déterminés par le système à partir d'une liste de caractères alphanumériques. Toutefois, la commission demande que le responsable de traitement mette en place une politique de gestion des mots de passe qui exige que ceux-ci aient une longueur minimale de huit caractères et qu'ils contiennent au moins un chiffre, une minuscule et un caractère spécial. Les mots de passe devront être conservés hachés avec un sel aléatoire en base de données.
Des profils d'habilitation sont également prévus afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité.
Le réseau fait l'objet de mesures de filtrage ayant pour but de restreindre l'émission et la réception des flux réseaux aux machines identifiées et autorisées et les services web sont sécurisés au moyen du protocole TLS.
Une journalisation des opérations de consultation, création et modification du traitement est réalisée. Les utilisateurs sont informés que leurs actions font l'objet d'une journalisation. Les données de connexion sont conservées sept jours.
En deuxième lieu, l'accès aux locaux est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.
Des sauvegardes quotidiennes sont réalisées et stockées dans un lieu garantissant leur sécurité et leur disponibilité.
Sous réserve des précédentes observations, la commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.