Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie d'une demande d'avis portant sur un projet d'arrêté modifiant l'arrêté du 15 juin 2007 relatif à la mise en service par la direction générale des impôts et la direction générale de la comptabilité publique d'un traitement automatisé d'informations à caractère personnel dénommé « Gestion des affaires informatisées - GAIA ».
Ce traitement, sur lequel la commission n'a pas rendu de délibération expresse, est mis en œuvre par la direction générale des finances publiques (DGFiP). Il offre la possibilité aux usagers de l'administration fiscale de gérer et de suivre leurs démarches fiscales courantes à distance. Les demandes relatives à ces démarches (réclamations, demandes de délai de paiement, questions diverses, etc.) sont transmises via internet, à partir de leur espace abonné dans le portail fiscal (www.impôts.gouv.fr), et sont ensuite orientées vers les services gestionnaires compétents. Il relève dès lors des dispositions de l'article 27-11-4° de la loi du 6 janvier 1978 modifiée et les modifications apportées à l'arrêté du 15 juin 2007 susvisé nécessitent un avis motivé et publié de la commission.
Le traitement GAIA contient notamment une application « bloc-notes » permettant aux agents habilités de l'administration fiscale d'annoter les informations nécessaires à la bonne gestion du dossier des usagers et à améliorer le dialogue avec ces derniers.
Les modifications envisagées par le ministère visent à étendre l'accès aux « zones bloc-notes » à d'autres services que ceux initialement prévus. Plus précisément, il s'agit de permettre à tous les services en charge du contrôle fiscal amenés en cours de vérification, de contrôle sur pièce ou d'actes de recherche, de consulter le bloc-notes d'un usager, voire de l'annoter pour transmettre des informations utiles aux services en charge du recouvrement intervenant également sur le dossier fiscal de l'usager concerné. De la même manière, cette extension doit permettre aux services de direction en charge du contrôle fiscal, du domaine des particuliers, des professionnels et du recouvrement d'accéder, sous réserve du strict besoin d'en connaître, aux informations saisies par les services dans le bloc-notes,
La commission relève que ces modifications ne nécessitent pas une révision des termes de l'arrêté du 15 juin 2007, lequel prévoit déjà, en son article 4, que sont destinataires des informations contenues dans le traitement GAIA, les « agents de la direction générale des finances publiques habilités dans le cadre des missions d'assiette, de contrôle, de contentieux et de recouvrement qui leur sont dévolues ».
Elle prend acte des garanties apportées par le ministère selon lesquelles, outre la mise en place d'une traçabilité permettant de connaître les agents ayant alimenté le bloc-notes, une campagne annuelle d'information et de sensibilisation des agents habilités à accéder au traitement GAIA et qui auront un accès au bloc-notes rappellera à ces derniers les règles à respecter et les bonnes pratiques à adopter en matière de renseignement d'informations dans une zone de saisie libre. Un guide de préconisations pour le bon usage du bloc-notes sera également remis à ces agents. Enfin, la commission prend acte que le ministère prévoit d'intégrer une recommandation spécifique dans les champs du bloc-notes, par le biais d'un filigrane ou d'une surimpression rappelant la nécessité de n'y enregistrer que des commentaires appropriés, pertinents au regard du contexte et ne comportant aucune appréciation subjective ou données sensibles au sens de l'article 8 de la toi du 6 janvier 1978 modifiée.
L'article 5-1 de l'arrêté du 15 juin 2007 précité indique que la durée de conservation des données à caractère personnel traitées dans GAIA est de quatre ans avant l'archivage, de dix ans avant l'opération de purge des contacts et des affaires, à l'exception des informations contenues dans le bloc-notes qui sont conservées pendant deux ans.
L'article 1er du projet d'arrêté modifie ces dispositions afin de permettre, par exception, la prolongation du délai de purge des informations contenues dans le bloc-notes, lorsque le contenu de l'annotation répond à des besoins métiers spécifiques. La commission prend acte des précisions apportées par le ministère selon lesquelles la prolongation du délai de purge pourra intervenir en cas de rescrit fiscal, d'événement mettant en jeu la responsabilité personnelle et pécuniaire du comptable public ou tant que la créance n'est pas soldée, de prise de position formelle dans le cadre d'un contrôle fiscal ainsi qu'en présence de toutes informations à caractère durable sur les caractéristiques patrimoniales, juridiques etde localisation du dossier. Elle s'interroge néanmoins sur ce que recoupe cette dernière catégorie et considère que cette formulation mériterait d'être clarifiée.
De manière générale, la commission demande que l'article 1 du projet d'arrêté soit modifié afin d'énumérer, de manière exhaustive, les événements susceptibles d'être concernés par cette prolongation.
Elle prend acte que cette annotation sera conservée tant qu'il n'aura pas été mis fin à la prolongation du délai de purge, ce qui n'appelle pas d'observation particulière, sous réserve que cette durée n'excède pas le délai maximal envisagé pour la conservation des informations prévues pour les événements précités. En tout état de cause, la commission rappelle l'importance de s'assurer que les données ainsi conservées n'excèdent pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée. Dans le cas contraire, elles devront être effacées.
Enfin, en ce qui concerne les mesures de sécurité entourant l'application « bloc-notes » du traitement GAIA, la commission relève que des garanties sont prévues afin de s'assurer notamment que des tiers non autorisés n'aient pas accès aux données contenues dans celle-ci. Le dispositif de profil d'habilitation mis en place dans le cadre du traitement GAIA s'applique à l'accès au bloc-notes en consultation ou en écriture. Outre la mise en œuvre d'opérations de contrôle interne et la traçabilité des actions effectuées par les agents sur les informations relatives aux démarches des usagers dans GAIA, une traçabilité spécifique des actions effectuées par ces agents, sur le bloc-notes est mise en œuvre. De manière générale, la commission considère que les mesures de sécurité décrites et prévues par le responsable de traitement sont conformes à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.