La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté portant création, par la direction générale des finances publiques, d'un traitement automatisé de données à caractère personnel permettant la fiabilisation des états civils des usagers utilisant la transmission par voie électronique des déclarations des revenus et de leurs annexes ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95146/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le livre des procédures fiscales, notamment ses articles L. 287, L. 288 et R. 287-1 à R. 288-3 :
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés modifiée, notamment son article 27-II (4°) ;
Vu la loi n° 2015-1785 du 29 décembre 2015 de finances pour 2016, notamment son article 76 ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre usagers et administrations et entre administrations, notamment le décret RGS ;
Vu le décret n° 82-103 du 22 janvier 1982 modifié relatif au répertoire national d'identification des personnes physiques ;
Vu le décret n° 2000-8 du 4 janvier 2000 pris pour l'application de l'article L. 288 du livre des procédures fiscales ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 17 janvier 2008 relatif à la mise en service par la direction générale des finances publiques d'un traitement automatisé d'identification des personnes physiques et morales dénommé « PERS » ;
Vu la délibération n° 2007-216 du 10 juillet 2007 autorisant la mise en œuvre, par le ministère de l'économie, des finances et de l'industrie, d'un traitement automatisé de données à caractère personnel ayant pour objet l'identification des contribuables, dénommé « PERS » ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport et Mme Catherine POZZO Dl BORGO, commissaire adjoint du gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministre des finances et des comptes publics, d'un projet d'arrêté portant création d'un téléservice ayant pour objet de collecter, auprès des contribuables, les données nécessaires à la fiabilisation du référentiel national d'identités fiscales (dit référentiel « PERS ») au regard des données inscrites au répertoire national d'inscription des personnes physiques (RNIPP).
Ce téléservice sera rendu accessible aux contribuables concernés, durant la campagne de déclaration des impôts sur les revenus, à partir du portail internet « impots.gouv.fr » qui propose plusieurs services fiscaux dématérialisés au sein d'espaces sécurisés.
Il s'agit d'un téléservice de l'administration électronique recourant à un identifiant de personne physique, qui doit dès lors être autorisé par arrêté du ministère pris après avis motivé et publié de la commission, en application de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
L'article 1er du projet d'arrêté prévoit que le téléservice a pour objet « la fiabilisation des états civils des usagers dont l'état civil n'est pas certifié et qui utilisent la transmission par voie électronique des déclarations des revenus et de leurs annexes ». Il vise plus précisément à collecter les données nécessaires à la consolidation du référentiel « PERS », géré par la direction générale des finances publiques (DGFiP), afin d'assurer l'identification des contribuables au sein des systèmes d'information de l'administration fiscale.
Le traitement « PERS », créé par l'arrêté du 17 janvier 2008 susvisé pris après l'avis de la commission en date du 10 juillet 2007, a pour objet de gérer le système d'identification des contribuables, personnes physiques et morales, en leur attribuant leurs identifiants fiscaux (SPI pour les personnes physiques, FIP pour les foyers fiscaux).
Or, certains de ces identifiants fiscaux ne reposent pas sur des données d'identité considérées par l'administration fiscale comme suffisamment fiables. En particulier, certains SPI ne sont pas certifiés au regard des données inscrites au RNIPP. Dans ce contexte, il est prévu de collecter, auprès des contribuables concernés, les NIR et éventuels correctifs ou compléments des données d'état civil dont dispose la DGFiP afin d'interroger le RNIPP et, en cas de concordance, d'apposer un marqueur de cette certification pour chaque SPI concerné.
Cette procédure de collecte interviendra par voie dématérialisée durant la campagne de déclaration d'impôt sur les revenus (IR) et sera offerte aux contribuables qui télédéclarent leur situation fiscale à partir du portail « impots.gouv.fr », en complément des opérations de fiabilisation actuellement menées par voie postale.
Ces procédures de consolidation du référentiel PERS interviennent en perspective de l'instauration d'un mécanisme de« retenue à la source », prévue par l'article 76 de la loi de finances pour 2016, qui nécessite une identification particulièrement fiable des contribuables.
La commission rappelle que l'utilisation du NIR par l'administration fiscale est expressément autorisée, aux termes de l'article L. 287 du livre des procédures fiscales (LPF), aux fins de « vérifier la fiabilité des éléments d'identification des personnes physiques figurant dans les traitements de données relatives à l'assiette, au contrôle et au recouvrement de tous impôts, droits, taxes, redevances ou amendes ». L'article R. 287-1 du même livre précise que ce traitement du NIR peut intervenir en cas de « demande spécifique motivée par l'insuffisance ou la contradiction des éléments d'identification de l'intéressé » à disposition de l'administration fiscale.
La commission estime que le traitement projeté s'inscrit dans ce cadre légal. Elle relève que ces opérations de fiabilisation sont analogues à celles qui ont déjà été réalisées dans le cadre de la campagne menée en 2004, par voie postale, en perspective du préremplissage des déclarations d'impôt sur les revenus.
Elle rappelle néanmoins que ces dispositions ne rendent pas obligatoire la fourniture, par les personnes concernées, de leur NIR aux fins de fiabilisation de l'identité fiscale.
Dans ces conditions, la commission considère que la finalité poursuivie par le traitement est déterminée, explicite et légitime, conformément à l'article 6 (2°) de la loi « informatique et libertés ».
Toutefois, au regard des risques soulevés par le traitement du NIR, elle estime nécessaire que l'administration fiscale lui transmette, à l'issue de la campagne de fiabilisation menée en 2016, un bilan de mise en œuvre concernant l'ensemble des opérations effectuées pour consolider le référentiel PERS et, tout particulièrement, concernant la mise en œuvre du présent téléservice de collecte. Elle prend acte de l'engagement du ministère de lui adresser un tel bilan.
Sur les données traitées et leur durée de conservation :
Les personnes concernées par le traitement projeté sont uniquement les contribuables qui disposent d'un identifiant fiscal (SPI) non certifié au regard du RNIPP et qui utilisent déjà le téléservice « impots.gouv.fr ». Parmi les 1 800 000 personnes physiques identifiées en 2016 par la DGFiP comme disposant d'un SPI non certifié, 450 000 contribuables pourront ainsi utiliser le téléservice de collecte.
L'article 2 du projet d'arrêté liste l'ensemble des données traitées par ce dispositif. Il s'agit du NIR, des nom(s) de naissance et d'usage, des prénom(s) de naissance, des date (jour, mois, année) et lieu (commune, département, pays) de naissance. Concrètement, les contribuables se voient proposer une fiche rassemblant les données d'identité dont dispose l'administration fiscale et permettant d'apporter les éventuels correctifs et compléments nécessaires.
Au regard du cadre juridique applicable, la commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités poursuivies par le traitement de la DGFiP, conformément à l'article 6 (3°) de la loi« informatique et libertés ».
Elle rappelle toutefois que la fourniture du NIR par les contribuables concernés est facultative. Elle prend acte de ce que, à sa demande, l'article 2 du projet d'arrêté sera précisé en ce sens.
La durée de conservation des données collectées par le téléservice est de quatre mois à compter de la mise à disposition de la déclaration des revenus depuis l'espace utilisateur du site « impots.gouv.fr ». Il s'agit d'une durée maximale à compter du premier jour de la période de collecte, ce qui est précisé à l'article 3 du projet d'arrêté.
Interrogé sur ce point, le ministère a précisé que ce délai est calculé sur la base d'une période d'ouverture du téléservice de trois mois, augmentée d'un mois pour transmettre et traiter, au sein du référentiel PERS, les données à certifier par l'intermédiaire du RNIPP.
En tout état de cause. la commission rappelle que cette durée concerne uniquement les données traitées au sein du téléservice et se distingue de la durée de conservation des mêmes données au sein du référentiel PERS.
Elle estime que cette durée n'excède pas la durée nécessaire à la finalité poursuivie par le traitement mis en œuvre, conformément à l'article 6 (5°) de la loi« informatique et libertés ».
Sur les destinataires des données :
Le projet d'arrêté ne prévoit pas que des personnels aient directement accès aux données traitées dans le cadre du téléservice de collecte. L'article 4 prévoit néanmoins que l'ensemble de ces données sont transmises au référentiel « PERS ».
Ainsi, seuls les personnels habilités mentionnés dans l'arrêté du 17 janvier 2008 susvisé auront accès à ces données. Le service de l'INSEE est également rendu destinataire des données nécessaires à l'interrogation du RNIPP et à la certification des données d'état civil.
Ces personnes ayant un intérêt légitime à accéder aux données compte tenu de leurs attributions, ce point n'appelle pas d'observation de la commission.
Sur l'information et les droits des personnes concernées :
Il est prévu que les personnes soient informées des motifs de la collecte du NIR (améliorer l'identification et éviter la confusion avec une autre personne) par l'affichage d'une « infobulle » à partir du champ de saisie du NIR. Elles seront également informées du caractère facultatif de cette collecte et des documents sur lesquels le « numéro de sécurité sociale » (le NIR) peut être trouvé (carte Vitale, bulletin de paye ou relevé de sécurité sociale). Il est enfin prévu que les personnes soient informées par le biais d'un « lien renvoyant vers les mentions CNIL du site “impots.gouv.fr” qui seront enrichies des informations sur ce nouveau traitement ».
La commission considère que les modalités pratiques pour informer les contribuables concernés revêtent une importance particulière en raison des données traitées et du caractère exceptionnel de la collecte du NIR de nombreux contribuables.
Elle rappelle à cet égard que le dernier alinéa de l'article 32 de la loi « informatique et libertés » exige, pour tout formulaire de collecte, papier ou électronique, l'insertion des mentions suivantes : l'identité du responsable du traitement et, le cas échéant, celle de son représentant ; la finalité poursuivie par le traitement auquel les données sont destinées ; le caractère obligatoire ou facultatif des réponses ; et les droits « informatique et libertés » de la personne envers les données la concernant.
En outre, l'utilisation du présent téléservice dédié à la fiabilisation de l'identité des contribuables n'étant pas davantage rendu obligatoire, la commission demande à l'administration d'aménager une possibilité de répondre par un vecteur de communication autre que dématérialisé et de consolider, sur ce point, l'information accessible pour ce téléservice.
L'artide 6 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent directement auprès du centre des finances publiques gestionnaire de l'imposition concernée. Il rappelle également la possibilité du contribuable de consulter son compte fiscal en ligne pour accéder à certaines données traitées par l'administration fiscale et de demander, le cas échéant, certaines rectifications.
Le droit d'opposition est exclu par l'article 7 du projet d'arrêté conformément au troisième alinéa.
Ces modalités n'appellent pas d'observation particulière de la commission.
Sur les mesures de sécurité du traitement :
L'article 5 du projet d'arrêté prévoit expressément que « Les numéros d'inscription au répertoire national d'identification des personnes physiques sont exclusivement conservés dans des fichiers informatisés dédiés » et que ces « fichiers font l'objet de mesures de sécurité renforcées ».
La commission prend acte que des mesures de sécurité particulières sont prises s'agissant du traitement du NIR (espace sécurisé, modalités de transmission différentes des modalités concernant la transmission des données de la déclaration des revenus effectuée sur le site « impots.gouv.fr », chiffrement, sauvegarde sur support spécifique, etc.) et de sa consultation (journalisation des interrogations, délivrance d'une habilitation, analyse des traces, etc.), conformément aux dispositions législatives et réglementaires applicables et à l'arrêté du 17 janvier 2008 relatif au référentiel « PERS ».
En complément des pouvoirs dont elle dispose en application de la loi « informatique et libertés », la commission rappelle en outre que les dispositions du LPF précitées lui octroient des prérogatives spécifiques en matière du traitement du NIR par l'administration fiscale. En particulier, en cas de méconnaissance des règles relatives à la sécurité, la commission peut enjoindre à l'administration fiscale de mettre en œuvre certaines mesures de sécurité, pouvant aller jusqu'à la destruction des supports contenant le NIR.
Elle prend également acte que le présent téléservice est déployé dans le respect des obligations issues de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée et, en particulier, des référentiels généraux de sécurité (RGS) et d'interopérabilité (RGI).
Les autres mesures de sécurité n'appellent pas d'observation de la part de la commission. Elle rappelle en outre que l'obligation de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard d'une réévaluation régulière des risques.