Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre des finances et des comptes publics d'un projet d'arrêté relatif à la mise en service à la direction générale des finances publiques (DGFiP) d'une procédure automatisée de transfert de données fiscales avec la Caisse nationale de retraites des agents des collectivités locales (CNRACL), le fonds spécial des pensions des ouvriers des établissements industriels de l'Etat (FSPOEIE), la Caisse autonome nationale de sécurité sociale dans les mines (CANSSM), l'institution de retraite complémentaire des agents non titulaires de l'Etat et des collectivités publiques (IRCANTEC) et la retraite additionnelle de la fonction publique (RAFP).
La procédure de transfert de données fiscales (dite « TDF ») a été créée par le décret n° 2002-771 du 3 mai 2002 susvisé, pris après avis de la commission, afin de permettre aux agents des administrations fiscales de communiquer aux organismes et services chargés de la gestion d'un régime obligatoire de sécurité sociale ou d'un régime de retraite complémentaire obligatoire, sur support informatique, les informations fiscales nécessaires à l'exécution des finalités décrites à l'article L. 152 du livre des procédures fiscales en vigueur.
Ce même article précise également que le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) peut être utilisé pour les demandes, échanges et traitements nécessaires à la communication des informations qui y sont mentionnées, lorsqu'elles concernent des personnes physiques.
La procédure est mise en œuvre dans le cadre d'un centre de services informatiques unique, hébergé par la DGFiP et dénommé Centre national de transfert des données fiscales » (CNTDF), qui reçoit les demandes des organismes sociaux qui fournissent un « fichier d'appels », les transmet à la DGFiP et adresse les réponses reçues de celle-ci.
L'article 2 du décret n° 99-1047 du 14 décembre 1999 prévoit expressément que des arrêtés ministériels pris après avis de la Commission nationale de l'informatique et des libertés devront fixer « la liste des informations pouvant être obtenues » par les organismes de sécurité sociale et « les règles auxquelles doivent satisfaire les traitements opérés pour le recueil et l'exploitation de ces informations ».
La commission relève que c'est sur ce fondement que le présent projet d'arrêté lui a été soumis, lequel vise principalement à tenir compte de la création de la contribution additionnelle de solidarité sur l'autonomie (CASA), instaurée par l'article 17 de la loi n° 2012-1404 du 17 décembre 2012 susvisée et qui s'applique sur toutes les pensions des régimes de base et complémentaires. Il vise également à permettre un échange d'informations entre la DGFiP et les organismes susmentionnés afin d'apprécier les conditions d'ouverture et de maintien des droits à pensions de réversion des conjoints.
L'article 6 du projet d'arrêté vise à tenir compte de ces modifications en révisant certaines dispositions rédactionnelles de l'arrêté du 29 décembre 2003 susvisé, ce qui n'appelle pas d'observation particulière de la part de la commission. Les arrêtés du 31 décembre 2003 et du 28 mars 2006 susvisés sont quant à eux abrogés.
La commission observe que les différents organismes concernés par la modification de la procédure TDF gèrent des régimes obligatoires de sécurité sociale au sens de l'article R. 152-1 du LPF et que leur gestion a été confiée à la Caisse des dépôts et consignations (CDC). En effet :
- la CNRACL permet l'affiliation des agents des collectivités locales s'ils sont investis d'un emploi permanent, cette affiliation étant obligatoire pour les agents déjà tributaires d'un régime particulier de retraite ;
- le FSPOEIE constitue un régime spécial de retraite qui crée un cadre commun à l'ensemble des ouvriers de l'Etat ;
- la CANSSM constitue le régime spécial de base des salariés des exploitations minières et assimilées ;
- l'IRCANTEC est un régime complémentaire obligatoire par points dont bénéficient les agents non titulaires de l'Etat et des collectivités publiques ;
- le RAFP est un régime obligatoire, par répartition provisionné et par points, destiné à permettre l'acquisition de droits à la retraite de la fonction publique.
L'article 2 du projet d'arrêté énonce, pour chaque nouvel organisme concerné par la mise en œuvre de la procédure TDF, les finalités pour lesquelles les informations transmises peuvent être utilisées.
Concernant la CNRACL, le FSPOEIE et la CANSSM, il s'agit de déterminer les taux de prélèvement à appliquer sur les pensions du régime de retraite des agents des collectivités locales, des ouvriers des établissements industriels de l'Etat et des agents non titulaires de l'Etat et des collectivités publiques ainsi que les taux de la contribution sociale généralisée (CSG), de la contribution au remboursement de la dette sociale (CRDS) et de la CASA.
Concernant I'IRCANTEC, il s'agit de déterminer les taux de prélèvement à appliquer sur les pensions de retraite du régime de retraite des agents non titulaires de l'Etat et des collectivités publiques au titre de la CSG, de la CRDS, de la CASA et de la cotisation d'assurance maladie.
Concernant le RAFP, il s'agit de déterminer les taux de prélèvement à appliquer sur les prestations de retraite du régime de retraite additionnelle de la fonction publique au titre de la CSG, de la CRDS et de la CASA. La commission prend acte que le paiement des prestations de retraite additionnelle versées par le RAFP nécessite de précompter sur ces allocations le montant de la CSG, de la CRDS et de la CASA. L'assujettissement à ces précomptes sociaux dépend de la situation familiale du prestataire au regard du revenu fiscal de référence et du montant de la cotisation d'impôt sur le revenu.
Elle relève que la CDC souhaite que l'ensemble de ces organismes puissent également bénéficier de la procédure TDF en vue de l'appréciation des conditions d'ouverture et de maintien des droits à pensions de réversion des conjoints.
Elle observe que le versement des pensions de réversion est soumis à des conditions de situation familiale fixées par voie réglementaire, telles que l'absence de remariage du conjoint.
La commission relève que les modifications envisagées s'inscrivent dans le cadre initial de la procédure TDF, fixé par l'article 1er du décret n° 2002-771 du 3 mai 2002. A ce titre, elle rappelle que seules les informations fiscales nécessaires à l'exécution des finalités décrites à l'article L. 152 du LPF pourront être traitées.
L'article 3 du projet d'arrêté énumère les informations contenues dans le « fichier d'appels » transmis par ces organismes au CNTDF, lorsqu'ils demandent à avoir communication d'informations fiscales issues de la déclaration de revenus concernant certains de ces assurés.
La commission relève que la constitution d'un « fichier d'appels » s'effectue sous le contrôle de l'organisme demandeur. Tout « fichier d'appels » est ainsi accompagné des noms et coordonnées du correspondant CNTDF de l'organisme pour le compte duquel il est présenté.
Conformément aux dispositions de l'article R. 152-1 susvisé, le NIR peut également être communiqué par les organismes précités quand ils en ont connaissance. La commission rappelle que les NIR transmis par ces organismes sont exclusivement conservés au CNTDF dans des fichiers informatisés dédiés, dénommés « tables de correspondance NIR/ITIP-SPI », permettant d'établir un lien entre le NIR complété des quatre premiers caractères du nom de famille, d'une part, et l'identifiant technique du système d'information de la DGFiP (n° ITIP) et l'identifiant fiscal national individuel utilisé par les administrations fiscales dans leurs traitements internes et dans leurs relations avec les contribuables (n° SPI), d'autre part.
L'article 4 du projet d'arrêté énumère les informations restituées par le traitement TDF. Sur ce point, la commission relève que la « situation de famille du foyer fiscal » pourra être collectée pour l'appréciation du maintien des droits à pension de réversion des individus. Elle prend acte que cette notion recoupe les données suivantes : marié(es), célibataire, divorcé(e), veuf (ve), lié(es) par un pacte civil de solidarité (PACS).
La commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Elle prend acte que les informations contenues dans les fichiers d'appels ou de restitutions ne sont conservées au CNTDF que le temps strictement nécessaire aux traitements.
Les destinataires des informations, conservées au maximum trois ans à partir de l'exercice de paiement, sont les agents habilités des organismes demandeurs. La commission observe que cette durée de conservation permet d'apporter la justification des prélèvements effectués à l'occasion de toute demande de remboursement présentée ultérieurement, ce qui correspond au délai de prescription triennale visé à l'article L. 243-6 du code de la sécurité sociale.
S'agissant des modalités d'information des personnes, la commission relève que les organismes précités ne procèdent pas à une information spécifique. Néanmoins, une information générale est assurée par le biais d'une mention particulière figurant dans la notice de déclaration de revenus, sous l'intitulé « Données fiscales : accès et transmission », visant à informer l'ensemble des usagers de l'existence de la procédure de transfert de données fiscales. Elle rappelle toutefois que les organismes sollicitant leur adhésion à la procédure TDF pour la première fois doivent délivrer une information spécifique à leurs assurés.
La commission prend également acte que si, à l'occasion du traitement d'un flux CNTDF, une divergence est mise en évidence entre la situation connue par l'une des caisses de retraites et celle indiquée dans le flux CNTDF, une information ponctuelle sera délivrée à l'appelé pour lui signaler l'existence de cette divergence et procéder à une éventuelle régularisation.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du centre des finances publiques du domicile fiscal du requérant pour les informations issues de traitements relevant de la DGFiP et auprès du « correspondant informatique et libertés » de la CDC pour les informations transmises à la CNRACL, le FSPOEIE, la CANSSM, I'IRCANTEC et le RAFP.
La commission relève que le droit d'opposition, prévu par l'article 38 de la loi du 6 janvier 1978 modifiée, ne s'applique pas au traitement projeté, comme le prévoit expressément l'article 5 du projet d'arrêté.
S'agissant des mesures de sécurité, le CNTDF est situé au sein de l'établissement de services informatiques (ESI) de Nevers et répond aux conditions de sécurité prévues par le décret n° 2000-8 du 4 janvier 2000 susvisé.
Les transmissions des données sont effectuées sous forme chiffrée dans le cadre du réseau privé et sécurisé de la DGFiP ou exceptionnellement par CD-Rom.
Une copie de la « table de correspondance NIR/ITIP » est constituée dans l'ESI de Clermont-Ferrand puis transmise sous forme chiffrée au CNTDF par le réseau sécurisé. Cette table est conservée dans des fichiers dédiés sur des supports informatiques distincts permettant leur destruction physique. En cas de nécessité, un dispositif informatique permet de déclencher à distance l'effacement de la table de correspondance.
Une politique de gestion des habilitations est mise en œuvre. Le contrôle d'accès logique s'effectue par mot de passe. La commission prend acte que le ministère s'engage à respecter ses recommandations concernant la gestion des mots de passe.
Une traçabilité des actions des utilisateurs, individuellement habilités, est également assurée (identifiant, horodatage de connexion/déconnexion, commandes lancées). Il en va de même pour les accès à la « table de correspondance NIR/ITIP » qui font également l'objet d'une journalisation. L'ensemble des données de journalisation est conservé un an.
La commission considère que les mesures de sécurité mises en place sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.