La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté relatif à la mise en service à la direction générale des finances publiques, à l'association pour la gestion de la sécurité sociale des auteurs et à la maison des artistes d'une procédure automatisée de transfert des données fiscales ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code général des impôts ;
Vu le livre des procédures fiscales, notamment ses articles L. 152, L. 288, R. 152-1, R. 287 et R. 288-1 et suivants ;
Vu Je code de la sécurité sociale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 99-1047 du 14 décembre 1999 pris pour l'application de l'article 107 de la loi de finances pour 1999 (n° 98-1266 du 30 décembre 1998) relatif à l'utilisation du numéro d'inscription au répertoire national d'identification des personnes physiques par la direction générale des impôts, la direction générale de la comptabilité publique et la direction générale des douanes et droits indirects ;
Vu le décret n° 2000-8 du 4 janvier 2000 modifié pris pour l'application de l'article L. 288 du livre des procédures fiscales ;
Vu le décret n° 2002-771 du 3 mai 2002 modifié portant création d'une procédure de transfert de données fiscales ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 01-055 du 25 octobre 2001 relative à la création d'une procédure de transfert de données fiscales pour le compte de l'Etat et des organismes de protection sociale visés à l'article L. 152 du livre des procédures fiscales ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre des finances et des comptes publics d'un projet d'arrêté relatif à la mise en service, à la direction générale des finances publiques (DGFiP), d'une procédure automatisée de transfert des données fiscales au bénéfice de l'Association pour la gestion de la securite sociale des auteurs (AGESSA) et de la Maison des artistes (MDA).
La procédure de transfert de données fiscales (dite« TDF ») a été créée par le décret n° 2002-771 du 3 mai 2002 susvisé, pris après l'avis de la commission en date du 25 octobre 2001, afin de permettre aux agents des administrations fiscales de communiquer aux organismes et services chargés de la gestion d'un régime obligatoire de sécurité sociale ou d'un régime de retraite complémentaire obligatoire, sur support informatique, les informations fiscales nécessaires à l'exécution des finalités mentionnées à l'article L. 152 du livre des procédures fiscales (LPF). Ces finalités concernent, à titre général, le contrôle des déclarations des allocataires aux fins d'ouverture, de maintien et de calcul des droits.
Ce même article précise que le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR) peut être utilisé pour les demandes, échanges et traitements nécessaires à la communication des informations qui y sont mentionnées, lorsqu'elles concernent des personnes physiques.
La procédure TDF est mise en œuvre dans le cadre d'un centre de services informatiques unique, hébergé par la DGFiP et dénommé Centre national de transfert de donnees fiscales (CNTDF). Celui-ci reçoit les demandes des organismes sociaux qui fournissent un « fichier d'appels » concernant certains de leurs assurés, les transmet à la DGFiP et adresse les réponses reçues de cette dernière (« fichiers de restitutions »). Cette procédure permet ainsi de communiquer uniquement les données des personnes concernées par la demande adressée par ces organismes et à transmettre les seules informations qui leur sont nécessaires.
L'article 2 du décret n° 99-1047 du 14 décembre 1999 susvisé prévoit expressément que des arrêtés ministériels pris après avis de la Commission nationale de l'informatique et des libertés fixent « la liste des informations pouvant être obtenues » par les organismes de sécurité sociale et « les règles auxquelles doivent satisfaire les traitements opérés pour le recueil et l'exploitation de ces informations ».
C'est dès lors sur le fondement de ce décret qu'un projet d'arrêté est soumis pour avis à la commission, lequel vise à faire bénéficier deux nouveaux organismes, l'AGESSA et la MDA, de la procédure TDF.
L'AGESSA et la MDA sont deux organismes de sécurité sociale participant au régime des artistes auteurs, intégré au régime général de sécurité sociale. Ces deux organismes sont directement placés sous la double tutelle du ministère du travail, de l'emploi et de la santé (direction de la sécurité sociale) et du ministère de la culture et de la communication.
L'article 2 du projet d'arrêté énonce les finalités pour lesquelles les informations transmises à l'AGESSA et la MDA peuvent être utilisées.
Il s'agit de permettre le contrôle de cohérence des éléments de revenu pour la détermination du montant des cotisation sociales dues au titre des revenus artistiques de leurs affiliés et, le cas échéant, les nouvelles liquidations en vue d'un rappel de cotisations sociales.
La commission considère que la mise en œuvre de la procédure de transfert de données fiscales pour ces nouveaux organismes est conforme aux dispositions de l'article L. 152 du LPF. Elle rappelle néanmoins que seules les informations fiscales nécessaires à l'exécution des finalités décrites dans ces dispositions pourront être traitées.
L'article 3 du projet d'arrêté énumère les informations contenues dans le « fichier d'appels » transmis par l'AGESSA et la MDA au CNTDF, lorsqu'elles demandent à avoir communication d'informations fiscales issues de la déclaration de revenus concernant certains de leurs assurés.
La commission relève que la constitution d'un « fichier d'appels » s'effectue sous le contrôle de l'organisme demandeur. Tout « fichier d'appels » est ainsi accompagné des noms et coordonnés du correspondant CNTDF de l'organisme pour le compte duquel il est présenté.
Conformément aux dispositions de l'article R. 152-1 du LPF, le NIR peut être communiqué par l'AGESSA et la MDA quand elles en ont connaissance. La commission rappelle que les NIR transmis par ces organismes sont exclusivement conservés au CNTDF dans des fichiers informatisés dédiés, dénommés « tables de correspondance NIR/ITIP-SPI », permettant d'établir un lien entre le NIR complété des quatre premiers caractères du nom de famille, d'une part, et l'identifiant technique du système d'information de la DGFiP (n° ITIP) et l'identifant fiscal national individuel utilisé par les administrations fiscales dans leurs traitements internes et dans leurs relations avec les contribuables (n° SPI), d'autre part.
L'article 4 du projet d'arrêté énumère les informations restituées par le traitement TDF en ce qui concerne la situation fiscale des assurés, qui n'appellent pas d'observation particulière.
Au regard de ces éléments, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Les informations contenues dans les« fichiers d'appels » ou« de restitutions » sont conservées au CNTDF deux ans au maximum à compter de la réception des fichiers, comme le prévoit expressément l'article 3 du projet d'arrêté.
Cette durée correspond à l'année en cours et à l'année précédente et permet dès lors de traiter des requêtes adressées par les organismes et leurs réponses.
Les informations présentes dans les « fichiers de restitutions » sont conservées par l'AGESSA et la MDA le temps de la prescription, soit trois années plus l'année en cours, conformément à l'article L. 244-3 du code de la sécurité sociale.
Les destinataires des « fichiers de restitutions » sont les agents habilités de l'AGESSA et la MDA.
S'agissant des modalités d'information des personnes, la commission observe qu'une mention figure dans la notice de déclaration de revenus, sous l'intitulé « données fiscales : accès et transmission », visant à informer l'ensemble des usagers de l'existence de la procédure de transfert de données fiscales.
Il est prévu qu'une information similaire soit délivrée sur le portail internet commun de l'ADESSA et de la MDA. A cet égard, la commission estime que, pour permettre l'information de l'ensemble des assurés concernés, un courrier spécifique leur serait utilement adressé concernant la mise en œuvre de la procédure TDF.
Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent :
- auprès du centre des finances publiques du domicile fiscal du requérant, pour les informations issues de traitements relevant de la DGFiP ;
- auprès du correspondant à la protection à la protection des données à caractère personnel au sens de la loi Informatique et Libertés (CIL) de l'AGESSA, par courrier postal ou par courriel, pour les données traitées par l'AGESSA ;
- auprès du CIL de la MDA, par courrier postal ou par courriel, en ce qui concerne les données traitées par ce responsable de traitement.
La commission relève que le droit d'opposition, prévu par l'article 38 de la loi du 6 janvier 1978 modifiée, ne s'applique pas au traitement projeté.
S'agissant des mesures de sécurité, le CNTDF est situé au sein de l'Etablissement de services informatiques (ESI) de Nevers, lequel répond aux conditions de sécurité particulières exigées par le décret n° 2000-8 du 4 janvier 2000 susvisé.
Les transmissions des données sont effectuées sous forme chiffrée dans le cadre du réseau privé et sécurisé de la DGFiP ou exceptionnellement par CD-ROM.
Une copie de la « table de correspondance NIR/ITIP » est constituée par l'ESI de Clermont-Ferrand puis transmise sous forme chiffrée au CNTDF par le réseau sécurisé. Cette table est conservée dans des fichiers dédiés sur des supports informatiques distincts permettant leur destruction physique. En cas de nécessité, un dispositif informatique permet de déclencher à distance l'effacement de la table de correspondance.
Une politique de gestion des habilitations est mise en œuvre. Le contrôle d'accès logique s'effectue par mot de passe. La commission prend acte que le ministère s'engage à respecter ses recommandations concernant la gestion des mots de passe.
Une traçabilité des actions des utilisateurs, individuellement habilités, est également assurée (identifiant, horodatage de connexion/déconnexion, commandes lancées). Il en va de même pour les accès à la « table de correspondance NIR/ITIP » qui font également l'objet d'une journalisation. L'ensemble des données de journalisation est conservé un an.
La DGFIP respecte les recommandations de la commission concernant la durée de conservation des données de journalisation.
La commission considère que les mesures de sécurité mises en place sont conformes à l'exigence de sécurité prévue à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.