La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis sur le projet d'arrêté du ministère des finances et des comptes publics modifiant l'arrêté du 14 juin 1984 relatif à l'extension d'un système automatisé de gestion du fichier des comptes bancaires (FICOBA) afin d'instaurer un droit d'accès pour les ayants droit et la possibilité pour les notaires de consulter l'application FICOBA 2 dans le cadre de l'établissement de l'actif successoral en vue du règlement de la succession pour laquelle ils ont été mandatés ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code général des impôts, notamment son article 1649 A ;
Vu le livre des procédures fiscales, notamment son article L. 151 B ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 30 ;
Vu la loi n° 2014-617 du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d'assurance-vie en déshérence, notamment son article 8 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 14 juin 1982 relatif à l'extension d'un système automatisé de gestion du fichier des comptes bancaires ;
Vu le dossier et ses compléments ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et M. Jean Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis par le ministère des finances et des comptes publics d'un projet d'arrêté modifiant l'arrêté du 14 juin 1982 modifié relatif à l'extension d'un système automatisé de gestion du fichier des comptes bancaires (FICOBA). Le projet d'arrêté instaure un droit d'accès des ayants droit du titulaire du compte à FICOBA, et la possibilité pour les notaires de consulter l'application dite FICOBA 2 (ci-après « FICOBA ») dans le cadre de l'établissement de l'actif successoral en vue du règlement de la succession pour laquelle ils ont été mandatés.
Conformément aux dispositions du deuxième alinéa de l'article L. 151 B du livre des procédures fiscales institué par l'article 8 de la loi n° 2014-617 du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d'assurance-vie en déshérence, le droit d'accès des ayants droit, pour l'identification de l'ensemble des comptes bancaires ouverts au nom du défunt, s'exerce désormais auprès du centre des finances publiques compétent.
Cette modification législative intervient à la suite de l'arrêt n° 339147 du 29 juin 2011 du Conseil d'Etat qui a consacré l'existence d'un droit d'accès des héritiers à l'application FICOBA en leur qualité d'ayants droit héritant des soldes des comptes bancaires, lesdits ayants droits devant être considérés comme des personnes « concernées » au sens de l'article 39 de la loi du 6 janvier 1978 modifiée.
La commission était tout particulièrement sollicitée concernant ce fichier dans le cadre du règlement des successions, depuis la reconnaissance, par le Conseil d'Etat, du droit d'accès des ayants droit à ce fichier.
Désormais, pour le règlement des successions, les héritiers peuvent saisir directement l'administration fiscale. La commission n'est plus compétente pour traiter ces demandes dans le cadre du droit d'accès indirect prévu par l'article 41 la loi du 6 janvier 1978 modifiée. Ce droit d'accès indirect continue à s'exercer auprès de la commission pour les seuls titulaires des comptes, s'agissant des informations concernant les données relatives à la nature et à l'identification de leurs propres comptes bancaires.
Le projet d'arrêté prévoit également l'ouverture de la consultation de FICOBA aux notaires via un « accès web » leur permettant de vérifier l'actif successoral en vue du règlement de la succession pour laquelle ils ont été mandatés. La communication des données issues de FICOBA est prévue par les dispositions de l'article L. 151 B du livre des procédures fiscales.
Le 1 de l'article L. 151 B du livre des procédures fiscales prévoit en effet que le notaire chargé d'établir l'actif successoral en vue du règlement de la succession pour laquelle il a été mandaté « demande à l'administration fiscale et obtient de celle-ci la communication des informations détenues par celle-ci en application de l'article 1649 A du code général des impôts, afin d'identifier l'ensemble des comptes bancaires ouverts au nom du défunt ».
A ce titre, l'article 2 du projet d'arrêté complète les dispositions de l'article 4 de l'arrêté de 1982 en permettant aux notaires de bénéficier d'une dérogation législative aux règles du secret professionnel pour l'accès à FICOBA.
La commission constate qu'à l'instar des autres officiers ministériels les notaires pourront bénéficier d'un accès direct à l'application FICOBA. Dès lors, la commission considère que des garanties suffisantes doivent être apportées afin que ces accès interviennent dans la stricte limite du mandat du notaire et pour la seule finalité prévue par le législateur.
Sur les données traitées :
La consultation de l'application FICOBA 2 par les notaires pourra s'effectuer sur plusieurs critères selon qu'elle portera sur des personnes physiques ou des personnes morales :
Pour les personnes physiques :
- interrogation par état civil : nom, prénom, date et département de naissance (cumulativement) ;
- interrogation par le numéro fiscal de référence : le numéro SPI ;
- interrogation par compte : les coordonnées bancaires du RIB.
Pour les personnes morales :
- interrogation par entité juridique : raison sociale, catégorie juridique, département d'établissement, commune d'établissement (cumulativement) ;
- interrogation par numéro d'identification des personnes morales : le numéro SIREN.
En retour, le ministère a précisé que les données suivantes seront communiquées aux notaires :
- identité du titulaire et du cotitulaire du compte ;
- adresse et historique des adresses du titulaire ;
- adresse de l'établissement détenteur des comptes bancaires ;
- identification des comptes actifs détenus par la personne, objet de l'interrogation.
L'article L. 151 B du livre des procédures fiscales dispose que « le notaire […] obtient de celle-ci [l'administration fiscale] la communication des informations détenues par celle-ci en application de l'article 1649 A du code général des impôts, afin d'identifier l'ensemble des comptes bancaires ouverts au nom du défunt ».
La commission relève que seules les informations relatives aux comptes ouverts, c'est-à-dire les comptes actifs, seront communiquées aux notaires. Ainsi, les notaires seront destinataires des seules informations sur les comptes ouverts, à l'exclusion de celles sur les comptes clos.
Sur l'information des personnes :
La commission prend note que le Conseil supérieur du notariat (CSN) s'est engagé à adresser une circulaire à l'ensemble des notaires sur les nouvelles modalités d'accès au fichier FICOBA, comportant en particulier un rappel de leurs obligations sur le bon usage du dispositif mis en place.
S'agissant des ayants droit, l'article 3 du projet d'arrêté précise que « le droit d'accès s'exerce par les ayants droit en vue du règlement de la succession, dans les conditions posées à l'article 39 de la loi du 6 janvier 1978 modifiée, auprès du Centre national de traitement des demandes des ayants droit ».
La commission relève la nécessité pour l'administration fiscale de veiller à assurer l'information appropriée des ayants droit sur ces nouvelles modalités d'exercice de leur droit d'accès à FICOBA, afin d'éviter qu'à défaut ils continuent à s'orienter en vain vers la commission. Elle prend note de l'engagement du ministère à compléter l'arrêté en précisant les coordonnées du centre national qui sera en charge de traiter l'intégralité des demandes d'accès des héritiers.
En outre, en vue d'une meilleure information, il convient d'indiquer aux ayants droit l'étendue des informations dont ils peuvent avoir communication.
Sur les mesures de sécurité :
La commission rappelle le besoin de mise en œuvre de mesures de protection physiques, logiques et organisationnelles permettant de préserver la sécurité des informations enregistrées dans le traitement projeté, afin d'empêcher toute utilisation détournée ou frauduleuse de celles-ci, notamment par des tiers non autorisés.
Dès lors, s'agissant des accès au traitement mis en œuvre, il importe que ceux-ci reposent sur une authentification des personnes accédant aux données, au moyen d'un identifiant et d'un mot de passe individuels, suffisamment robustes et régulièrement renouvelés, conformément aux recommandations de la commission en la matière.
Des profils d'habilitation doivent définir les données et les fonctionnalités accessibles en fonction des utilisateurs et du besoin d'en connaître. Le responsable de traitement se doit de mettre en œuvre un mécanisme de gestion des habilitations régulièrement mis à jour pour garantir le fait que les personnes habilitées n'ont accès qu'aux données effectivement nécessaires à la réalisation de leurs missions.
La commission rappelle la nécessité de mettre en œuvre des solutions de chiffrement permettant d'assurer la confidentialité des données traitées et transmises en complément des éléments d'authentification et de cloisonnement des environnements.
Sur les habilitations d'accès aux données :
La commission observe que l'authentification des destinataires se fait par l'intermédiaire du fichier APEX (annuaire des personnes externes). L'inscription dans ce fichier se fait à la suite de la transmission du CSN à la DGFiP d'informations relatives au destinataire pour lequel une habilitation est demandée (nom, prénom, adresse professionnelle et numéro d'identification professionnelle).Cette transmission est réalisée dans la messagerie sécurisée ESCALE. En retour, la DGFiP fournit au CSN, via l'envoi de courriels distincts, les identifiants et mots de passe qui sont ensuite adressés au destinataire par envoi de deux courriers différents. La commission observe que les informations échangées entre le CSN et la DGFiP sont chiffrées à l'aide du logiciel GPG.
La commission considère que la communication des identifiants et mots de passe est réalisée selon des modalités conformes aux exigences formulées précédemment.
Sur la consultation des données :
La commission observe que l'accès à l'application FICOBA se fait par le réseau internet via le portail fiscal (site impots.gouv.fr).
La commission observe que, pour l'accès par les notaires à l'application FICOBA, il n'est pas prévu de vérification préalable de la désignation du notaire ou d'un mandat donné au notaire pour l'identification des comptes bancaires ouverts au nom du défunt en vue du règlement de la succession. Elle prend également note que, contrairement à l'accès au fichier des contrats d'assurance-vie (article 2 L. 151 B du livre des procédures fiscales), le législateur n'a pas prévu que les notaires joignent à leurs demandes le mandat les autorisant à agir.
Toutefois, à la suite des échanges avec la DGFiP, la commission prend note des engagements suivants visant à préciser les conditions de consultation telles que prévues par l'article L. 151-8 du livre des procédures fiscales.
L'administration fiscale met en œuvre une procédure d'engagement sur l'honneur rappelant aux notaires, lors de chaque accès à l'application FICOBA, les conditions de consultation ainsi que les responsabilités afférentes. Le notaire devra attester sur l'honneur être mandaté pour établir l'actif successoral du dossier consulté. Cette attestation se fera au moyen d'une case à cocher, préalable à toute interrogation de l'application.
Lors de l'interrogation, il est prévu que les notaires saisissent obligatoirement, pour chacune de leurs demandes, les informations relatives justificatives de la consultation dans deux zones de saisie libre (« justificatif cadre juridique » et « référence ») et une zone date (« date du justificatif ») présentes dans l'application FICOBA. Ces informations de nature à motiver les demandes seront enregistrées dans les fichiers de traçabilité des consultations. En outre, il est prévu que les notaires indiquent la date de décès du titulaire, cette saisie étant un prérequis à la consultation de l'application FICOBA.
Sur la sécurité des échanges :
La commission prend note que les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l'authentification de la source et de la destination. En particulier, l'accès à l'application FICOBA est sécurisé au moyen du protocole HTTPS. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
Sur la traçabilité des consultations :
La commission prend note que la DGFIP transmet tous les mois au CSN un fichier retraçant les critères d'interrogation de toutes les consultations des notaires. Ce fichier comprend, pour chaque consultation, l'identification du notaire, la date et l'heure de la consultation, les éléments du dossier consulté (nom/prénom, adresse, SPI), la nature de la consultation (personne physique, SPI, personne morale, SIREN, ou compte), le justificatif, la référence et la date de justificatif issus des champs obligatoires.
A partir du fichier retraçant les critères d'interrogation des consultations, le CSN est chargé de mettre en place le contrôle interne de traçabilité des consultations de FICOBA par les notaires, en s'assurant que ces consultations correspondent effectivement aux cas définis à l'article L. 151 B du LPF. Le CSN demande ainsi aux instances professionnelles de faire procéder, lors des inspections, à un contrôle annuel représentant 5 % des consultations effectuées par les notaires. Pour ces dossiers (les 5 %), il est notamment demandé les mandats justifiant les interrogations effectuées par les notaires.
En complément, la commission observe que le CSN adresse à la sous-direction du contrôle fiscal, bureau CF1, avant le 31 janvier de chaque année, un bilan d'utilisation de l'application et des opérations de traçabilité effectuées au titre de l'année précédente. Ce bilan est établi sur la base des rapports d'inspection réalisés par les chambres interdépartementales et les conseils régionaux des notaires. En cas de constatation de consultations abusives, des sanctions disciplinaires pourront être prononcées à l'encontre des notaires.
La commission prend note que ces engagements du CSN figureront dans la convention juridique conclue avec la DGFiP. Dans le cadre de cette convention, le CSN s'engage en outre à rappeler aux bénéficiaires les droits et obligations qui découlent de leur habilitation à accéder à l'application FICOBA et les sanctions encourues en cas de détournement de finalité.
Sur les mesures mises en œuvre pour empêcher les utilisations détournées ou frauduleuses :
La commission relève qu'afin d'éviter une utilisation excessive de FICOBA le nombre de consultations journalières de chaque utilisateur est limité.
La commission note que la DGFiP procède par ailleurs à une vérification annuelle globale en comparant le nombre de consultations de FICOBA et le nombre de décès. Si ce rapprochement révèle une situation anormale, la convention juridique prévoira que le CSN devra justifier le nombre des consultations.
Enfin, la commission prend note de l'engagement de la DGFiP de mettre en place un filtre permettant de ne restituer aux notaires que les comptes ouverts au nom de titulaires physiques décédés.
Au regard de ces éléments, la commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.