La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté relatif à la mise en service à la direction générale des finances publiques et à la Caisse nationale du régime social des indépendants d'une procédure automatisée de transfert des données fiscales ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code général des impôts ;
Vu le livre des procédures fiscales, notamment ses articles L. 152, L. 288, R. 152-1, R. 287 et R. 288-1 et suivants ;
Vu le code de la sécurité sociale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles ;
Vu le décret n° 99-1047 du 14 décembre 1999 pris pour l'application de l'article 107 de la loi de finances pour 1999 (n° 98-1266 du 30 décembre 1998) relatif à l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques par la direction générale des impôts, la direction générale de la comptabilité publique et la direction générale des douanes et droits indirects ;
Vu le décret n° 2000-8 du 4 janvier 2000 modifié pris pour l'application de l'article L. 288 du livre des procédures fiscales ;
Vu le décret n° 2002-771 du 3 mai 2002 modifié portant création d'une procédure de transfert de données fiscales ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 01-055 du 25 octobre 2001 relative à la création d'une procédure de transfert de données fiscales pour le compte de l'Etat et des organismes de protection sociale visés à l'article L. 152 du livre des procédures fiscales :
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre des finances et des comptes publics d'un projet d'arrêté relatif à la mise en service, à la direction générale des finances publiques (DGFiP), d'une procédure automatisée de transfert des données fiscales avec la Caisse nationale du régime social des indépendants (RSI).
La procédure de transfert de données fiscales (dite « TDF ») a été créée par le décret n° 2002-771 du 3 mai 2002 susvisé, pris après l'avis de la commission en date du 25 octobre 2001, afin de permettre aux agents des administrations fiscales de communiquer aux organismes et services chargés de la gestion d'un régime obligatoire de sécurité sociale ou d'un régime de retraite complémentaire obligatoire, sur support informatique, les informations fiscales nécessaires à l'exécution des finalités mentionnées à l'article L. 152 du livre des procédures fiscales (LPF). Ces finalités concernent, à titre général, le contrôle des déclarations des allocataires aux fins d'ouverture, de maintien et de calcul des droits.
Ce même article précise que le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) peut être utilisé pour les demandes, échanges et traitements nécessaires à la communication des informations qui y sont mentionnées, lorsqu'elles concernent des personnes physiques.
La procédure TDF est mise en oeuvre dans le cadre d'un centre de services informatiques unique, hébergé par la DGFIP et dénommé Centre national de transfert de données fiscales (CNTDF). Celui-ci reçoit les demandes des organismes sociaux qui fournissent un « fichier d'appels » concernant certains de leurs assurés, les transmet à la DGFiP et adresse les réponses reçues de cette dernière (« fichiers de restitutions »). Cette procédure permet ainsi de communiquer uniquement les données des personnes concernées par la demande adressée par ces organismes et à transmettre les seules informations qui leur sont nécessaires.
L'article 2 du décret n° 99-1047 du 14 décembre 1999 susvisé prévoit expressément que des arrêtés ministériels pris après avis de la Commission nationale de l'informatique et des libertés fixent « la liste des informations pouvant être obtenues » par les organismes de sécurité sociale et « les règles auxquelles doivent satisfaire les traitements opérés pour le recueil et l'exploitation de ces informations ».
C'est dès lors sur le fondement de ce décret qu'un projet d'arrêté est soumis pour avis à la commission, lequel vise à faire bénéficier un nouvel organisme, la Caisse nationale du RSI de la procédure TDF.
En premier lieu, la commission relève que la Caisse nationale du RSI est un organisme de sécurité sociale de droit privé chargé d'une mission de service public au profit des travailleurs indépendants. Dotée d'une compétence nationale, cette caisse est chargée de contrôler la gestion des droits d'une population soumise à condition de ressources. Les prestations qu'elle délivre peuvent bénéficier aux travailleurs indépendants au titre de l'assurance maladie et maternité, de l'assurance vieillesse, de l'invalidité-décès et de l'assurance vieillesse complémentaire obligatoire.
L'article 2 du présent projet d'arrêté énonce les finalités pour lesquelles les informations transmises à la Caisse nationale du RSI peuvent être utilisées.
Plus précisément, il s'agit de déterminer les « taux de prélèvements à appliquer sur les pensions de retraite et sur les pensions d'invalidité du régime d'assurance vieillesse invalidité et décès du RS1 au titre de la contribution sociale généralisée, de la contribution au remboursement de la dette sociale et de la contribution additionnelle de solidarité sur l'autonomie ».
Au regard de l'ensemble de ces éléments, la commission considère que la mise en œuvre de la procédure de transfert de données fiscales avec ce nouvel organisme apparatt conforme aux dispositions de l'article L. 152 du LPF. Elle rappelle néanmoins que seules les informations fiscales nécessaires à l'exécution des finalités décrites à l'article L. 152 du LPF pourront être traitées.
L'article 3 du présent projet d'arrêté énumère les informations contenues dans le « fichier d'appels » transmis par la Caisse nationale du RSI au CNTDF, lorsqu'elle demande à avoir communication d'informations fiscales issues de la déclaration de revenus concernant certains de ses assurés. L'article 4 du projet d'arrêté énumère les informations restituées par le traitement TDF.
La commission relève que la constitution d'un « fichier d'appels » s'effectue sous le contrôle de l'organisme demandeur. Tout « fichier d'appels » est ainsi accompagné des noms et coordonnés du correspondant CNTDF de l'organisme pour le compte duquel il est présenté.
Conformément aux dispositions de l'article R. 152-1 susvisé, le NIR peut être communiqué par la CNBF et la RSI quand elles en ont connaissance. La commission rappelle que les NIR transmis par ces organismes sont exclusivement conservés au CNTDF dans des fichiers informatisés dédiés, dénommés « tables de correspondance NIRIITIP-SPI », permettant d'établir un lien entre le NIR complété des quatre premiers caractères du nom de famille, d'une part, et l'identifiant technique du système d'information de la DGFiP (n° ITIP) et l'identifiant fiscal national individuel utilisé par les administrations fiscales dans leurs traitements internes et dans leurs relations avec les contribuables (n° SPI), d'autre part.
La commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 8-3° de la loi du 6 janvier 1978 modifiée.
Les informations contenues dans les « fichiers d'appels » ou « de restitutions » sont conservés au CNTDF deux ans au maximum à compter de la réception des fichiers.
La commission prend acte des précisions du ministère selon lesquelles cette durée correspond à l'année en cours ainsi qu'à l'année précédente et qu'il s'agit du temps nécessaire à la réalisation du traitement et aux réponses adressées aux requêtes des organismes. Elle prend acte que, à sa demande, le point de départ de cette durée de conservation, c'est-à-dire la réception de ces fichiers, figurera expressément dans le projet d'arrêté.
Les informations présentes dans les « fichiers de restitutions » sont conservées trois ans à compter de la date d'acquittement des contributions ou cotisations sociales, par la Caisse nationale du RSI, conformément à l'article L. 243-6 du CSS.
Les destinataires des « fichiers de restitutions » sont les agents habilités de la Caisse nationale du RSI.
S'agissant des modalités d'information des personnes la Commission observe qu'une mention particulière figure dans la notice de déclaration de revenus, sous l'intitulé « Données fiscales : accès et transmission », visant à informer l'ensemble des usagers de l'existence de la procédure de transfert de données fiscales. Elle relève par ailleurs qu'une information sera délivrée sur le site internet de la Caisse nationale du RSI.
La commission considère que les conditions d'information prévues à l'article 32 de la loi du 6 janvier 1978 modifiée sont remplies.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du centre des finances publiques du domicile fiscal du requérant, pour les informations issues de traitements relevant de la DGFiP, et auprès de la Caisse RSI de rattachement de l'assuré pour les informations transmises à cet organisme.
La commission relève que le droit d'opposition, prévu par l'article 38 de la loi du 6 janvier 1978 modifiée, ne s'applique pas au traitement projeté.
S'agissant des mesures de sécurité, le CNTDF est situé au sein de l'établissement de services informatiques (ESI) de Nevers. lequel répond aux conditions de sécurité particulières exigées par le décret n° 2000-8 du 4 janvier 2000 susvisé.
Les transmissions des données sont effectuées sous forme chiffrée dans le cadre du réseau privé et sécurisé de la DGFIP ou exceptionnellement par CD-Rom.
Une copie de la « table de correspondance NIR/ITIP » est constituée dans l'ESI de Clermont-Ferrand puis transmise sous forme chiffrée au CNTDF par le réseau sécurisé. Cette table est conservée dans des fichiers dédiés sur des supports informatiques distincts permettant leur destruction physique. En cas de nécessité, un dispositif informatique permet de déclencher à distance l'effacement de la table de correspondance.
Une politique de gestion des habilitations est mise en œuvre. Le contrôle d'accès logique s'effectue par mot de passe. La commission prend acte que le ministère s'engage à respecter ses recommandations concernant la gestion des mots de passe.
Une traçabilité des actions des utilisateurs, individuellement habilités, est également assurée (identifiant, horodatage de connexion/déconnexion, commandes lancées). Il en va de même pour les accès à la « table de correspondance NIR/ITIP » qui font également l'objet d'une journalisation. L'ensemble des données de journalisation est conservé treize mois.
La commission considère que les mesures de sécurité mises en place sont conformes à l'exigence de sécurité prévue à l'article 34 de la loi du 8 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.