Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère en charge des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté portant création, par la direction générale des finances publiques (DGFiP), d'un traitement automatisé de données à caractère personnel dénommé « DSN ».
Ce dispositif vise à permettre à la DGFiP d'acquérir mensuellement et de stocker les données issues des déclarations sociales nominatives (DSN) qui lui sont nécessaires pour préremplir la déclaration d'impôt sur les revenus (IR) et gérer les impôts et taxes assises sur les salaires, et notamment le calcul de la répartition des « cotisations sur la valeur ajoutée des entreprises » (CVAE). Parmi les données contenues dans les DSN et traitées par l'administration fiscale figure le NIR (numéro d'inscription au Répertoire national d'identification des personnes physiques - RNIPP).
Ce traitement relève des dispositions de l'article 27-II (2°) de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté ministériel, pris après avis motivé et publié de la commission.
Sur la finalité du traitement :
Les articles 1er et 2 du projet d'arrêté prévoient d'autoriser la DGFiP à mettre en œuvre un traitement dénommé « DSN » pour lui permettre d'acquérir mensuellement et de stocker les données issues des déclarations sociales nominatives nécessaires aux missions de l'administration fiscale.
Les conditions de mise en œuvre de la déclaration sociale nominative (DSN), créée par la loi n° 2012-387 du 22 mars 2012 susvisée, sont prévues par décret n° 2013-266 du 28 mars 2013, pris après l'avis de la CNIL du 15 novembre 2012. Ce dispositif centralise un ensemble de formalités que doit accomplir tout employeur, en application des dispositions du code de la sécurité sociale et du code général des impôts. Pour chaque établissement, une déclaration unifiée rassemblant la masse des émoluments versés, les effectifs employés et une liste nominative de leurs salariés indiquant, pour chacun, le montant des rémunérations salariales perçues doit ainsi être effectuée.
Déployée sous la responsabilité de la Commission nationale des assurances vieillesse (CNAV), la mise en place progressive de la DSN a notamment pour effet de remplacer la déclaration annuelle des données sociales (DADS). Elle permet ainsi aux employeurs de saisir, chaque mois, à partir d'un guichet unique, les données correspondant au mois échu et de déclarer leurs salariés par voie dématérialisée et mensuelle, et non plus annuelle.
La CNAV transmet ensuite aux autorités administratives compétentes les données nécessaires à l'accomplissement de leurs missions respectives. Ainsi, la DGFiP reçoit certaines données sociales et les exploite aux fins de simplification des démarches fiscales des contribuables, personnes physiques et morales, de suivi et de vérification des obligations fiscales ainsi que d'établissement de statistiques.
Plus précisément, le projet soumis à la commission concerne la phase d'acquisition et de stockage liée à la mise en œuvre du dispositif DSN au sein de la DGFiP. Il s'agit pour l'administration de prendre en compte les nouvelles caractéristiques des flux DSN transmis par la CNAV, en particulier leur fréquence mensuelle et le format d'échange des données (XML/XSD). Cette première phase consiste à acquérir, chaque mois, les « fichiers enveloppes DSN » produites par la CNAV à destination de l'administration fiscale, à procéder aux vérifications de cohérence des données et à les conserver avant leur exploitation annuelle au sein d'autres traitements.
Cette première phase devrait permettre d'adapter certaines fonctionnalités du système d'information de la DGFiP, actuellement configuré pour collecter et exploiter les DADS transmises annuellement. La commission prend acte qu'elle sera saisie ultérieurement d'autres modifications des traitements existants nécessaires à l'exploitation des données issues des DSN.
Ce dispositif « DSN » de l'administration fiscale s'inscrit dès lors dans le cadre de ses missions et, en particulier, en matière d'établissement de l'assiette des impôts et taxes assises sur les salaires. Il participe également à l'objectif général de simplification des démarches administratives et, en l'espèce, des obligations déclaratives des contribuables en matière de situations sociales.
La commission considère dès lors que la finalité du traitement « DSN » de la DGFIP est déterminée, explicite et légitime, au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données traitées et l'utilisation du NIR :
L'article 3 du projet d'arrêté énumère les données faisant l'objet du traitement DSN. Ces données concernent les catégories suivantes :
- les données d'identification de l'émetteur de la déclaration, de l'entreprise, de l'établissement d'affectation, du salarié, du bénéficiaire des honoraires ;
- les données professionnelles déclarées relatives à l'affectation fiscale, à l'assujettissement fiscal, au contrat de travail, au changement de contrat, à l'arrêt de travail, au temps partiel et au temps thérapeutique, à la fin et à la suspension du contrat, à l'activité, à la cotisation individuelle et au lieu de travail ;
- les données à caractère économique et financier déclarées relatives à la rémunération et à ses accessoires, aux autres revenus net imposables, aux honoraires, aux actions gratuites et options sur titre, aux bons de souscription de parts de créateur d'entreprise ;
- les données relatives à la déclaration de la DSN ;
- les données relatives à l'envoi de la DSN.
Si les données traitées sont particulièrement nombreuses, la commission estime que leur traitement est néanmoins justifié, dans la mesure où elles correspondent à différentes obligations déclaratives des employeurs, transmises directement et par l'intermédiaire d'organismes sociaux, auprès de l'administration fiscale. Elle relève en outre que seules les données nécessaires aux besoins de la DGFiP sont transmises par la CNAV, après avoir assuré un tri parmi l'ensemble des données déclarées par chaque employeur, et que les données DSN ainsi acquises constituent ainsi un volume moindre comparé aux données reçues par la DGFiP dans le cadre des DADS.
Concernant le NIR, la commission relève que la DGFiP est expressément autorisée à traiter les NIR communiqués par les organismes sociaux en application de l'article L. 98 B du livre des procédures fiscales (LPF). L'article R. 98 B-3 du même livre précise que le NIR est exclusivement utilisé par l'administration fiscale « pour vérifier la fiabilité des éléments d'identification des personnes physiques figurant dans les traitements de données relatives à l'assiette, au contrôle et au recouvrement de l'impôt sur le revenu ». En pratique, le traitement du NIR permet à l'administration fiscale d'établir la correspondance avec les identifiants fiscaux (SPI).
Dans ce contexte, afin de consolider en une seule fois les données DSN acquises chaque mois, la DGFiP souhaite conserver l'ensemble des données, y compris le NIR, avant de remplacer une fois par an le NIR par le SPI et de relier les données DSN au foyer fiscal correspondant, à l'occasion de l'exploitation des DSN.
Dans le cadre du dispositif envisagé, les NIR seraient donc conservés une année par la DGFiP avant d'être remplacés par les identifiants fiscaux correspondants, à l'occasion de l'exploitation des données DSN. La conservation du NIR pendant une année constitue ainsi un changement des pratiques actuellement mises en œuvre pour les données issues des DADS qui sont transmises et exploitées une fois par an.
Cependant, la commission estime que le traitement du NIR s'inscrit dans le cadre légal précité. Elle rappelle que la finalité du traitement de cette donnée est exclusivement limitée, aux termes des dispositions précitées du LPF, aux vérifications de la fiabilité des éléments d'identification des contribuables.
Elle rappelle en outre que, en complément des pouvoirs dont dispose la commission en application de la loi « Informatique et Libertés », les articles R. 98 B-4 et R. 288-1 à R. 288-3 du LPF lui octroient des prérogatives spécifiques en matière du traitement du NIR par l'administration fiscale. Elle relève enfin que des mesures de sécurité sont renforcées, s'agissant tout particulièrement des modalités de conservation du NIR au sein de supports dédiés et sous forme d'enveloppes (de liasses) contenant l'ensemble des données DSN acquises par la DGFiP afin d'éviter tout traitement indu du NIR.
Dès lors, la commission estime que cette désynchronisation, rendue nécessaire par l'exploitation des données issues des déclarations sociales qui reste, pour la DGFiP, sur une fréquence annuelle (à l'exception des données exploitées mensuellement pour la CVAE), ne fait pas obstacle à la mise en œuvre du dispositif DSN par la DGFiP, compte tenu des garanties existantes en matière de traitement du NIR par l'administration fiscale.
Au vu de l'ensemble de ces éléments, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation :
L'article 7 de ce projet indique que l'ensemble des données à caractère personnel est conservé pendant sept ans.
La durée de conservation de l'ensemble des données est principalement définie au regard des délais de recours en contentieux indemnitaire applicables en matière de CVAE.
De manière générale, la commission considère que cette durée n'excède pas la durée nécessaire à la finalité poursuivie par le traitement mis en œuvre, conformément à l'article 6 (5°) de la loi « Informatique et Libertés ».
En tout état de cause, elle rappelle qu'il incombe au ministère d'organiser une procédure d'archivage intermédiaire. En particulier, elle souligne la nécessité de différencier, d'une part, les modalités de conservation des données à exploiter annuellement et, d'autre part, les modalités de conservation des données à des fins contentieuses, et ce d'autant plus que les données DSN contiennent le NIR. La commission prend acte que, à sa demande, l'administration fiscale engage une réflexion en ce sens.
Sur les destinataires :
Le projet d'arrêté prévoit dans son article 7 que les destinataires des données sont les agents habilités de la DGFiP.
La commission prend acte que les données recueillies ne seront utilisées que par les agents de la DGFiP pour organiser leur conservation et ne seront communiquées qu'aux agents spécifiquement habilités à les exploiter au sein d'un dispositif distinct.
Ces dispositions n'appellent pas d'observation au regard de la loi « Informatique et Libertés ».
Sur l'exercice des droits des personnes :
L'article 8 du projet d'arrêté mentionne que les droits prévus au chapitre V de la loi « Informatique et Libertés » s'exercent directement auprès du centre des finances publiques compétent.
La commission relève que le ministère entend faire application des dispositions de l'article 38 de la loi du 6 janvier 1978 modifiée en excluant le droit d'opposition.
Ces dispositions n'appellent pas d'observation particulière.
Sur les mesures de sécurité du traitement :
Outre leur conservation pendant une année, le traitement prévoit la transmission mensuelle des DSN entre le groupement d'intérêt public « Modernisation des déclarations sociales » (GIP-MDS) et la DGFiP pour la totalité des données répondant aux besoins des missions de l'administration fiscale.
L'article 5 du projet d'arrêté prévoit que « les fichiers reçus par la DGFiP et les données stockées en base, contenant le NIR, sont exclusivement conservées sur des supports informatiques dédiés et font l'objet de mesures de sécurité renforcées en application du décret n° 2000-8 susvisé ».
Les autres mesures de sécurité décrites par le responsable de traitement n'appellent pas de remarque spécifique de la commission, le traitement étant mis en œuvre au sein d'un système d'information de la DGFiP qui présente des garanties de sécurité et de traçabilité satisfaisantes. A cet égard, elle rappelle que les dispositions précitées du LPF lui permettent, en cas de méconnaissance des règles relatives à la sécurité, d'enjoindre l'administration fiscale à mettre en œuvre certaines mesures de sécurité, pouvant aller jusqu'à la destruction des supports contenant le NIR.
Elle souligne en ce sens l'importance de justifier de la mise en œuvre des mesures de sécurité appropriées dès lors que ces dernières sont de nature à garantir, tout particulièrement, la proportionnalité du traitement du NIR par l'administration fiscale.
La commission rappelle enfin que l'obligation de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard d'une réévaluation régulière des risques.