Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministre des finances et des comptes publics, d'une demande d'avis sur un projet d'arrêté modifiant l'arrêté du 21 février 2014 susvisé relatif au traitement automatisé de données à caractère personnel dénommé « Ciblage de la fraude et valorisation des requêtes » (CFVR), mis en œuvre par la direction générale des finances publiques (DGFiP).
Cet arrêté, pris après délibération n° 2014-045 de la commission en date du 30 janvier 2014, a autorisé la mise en œuvre, à titre expérimental pour une durée d'un an, dudit traitement, basé sur du datamining et ayant pour finalité la lutte contre la fraude fiscale. A l'issue de cette première expérimentation et après avis de la commission en date du 25 juin 2015 susvisé, le ministère a pérennisé la mise en œuvre du traitement CFVR s'agissant des contribuables professionnels et autorisé une nouvelle expérimentation concernant les personnes physiques impliquées dans le fonctionnement d'entreprises.
Au vu de cette seconde expérimentation, le ministère souhaite désormais pérenniser ledit traitement et modifier, en conséquence, l'arrêté du 21 février 2014 susvisé.
Dans la mesure où le traitement projeté a notamment pour objet la prévention, la recherche, la constatation et la poursuite d'infractions pénales, ces modifications doivent être autorisées par arrêté ministériel, pris après avis motivé et publié de la commission, en application des dispositions des articles 26-I (2°) et 30 de la loi du 6 janvier 1978 modifiée.
Sur le traitement CFVR et sa généralisation :
A titre liminaire, la commission rappelle que le traitement CFVR s'inscrit dans le cadre de la lutte contre la fraude fiscale, qui constitue un objectif à valeur constitutionnelle. Il a pour objectif principal d'améliorer le ciblage des contribuables professionnels à contrôler, en permettant de détecter, à partir des données contenues dans les dossiers des contribuables, les corrélations existants entre les dossiers à risques et les comportements frauduleux, ou susceptibles de l'être, modélisés par un logiciel de datamining. Il est mis en œuvre par une mission, dénommée « Requêtes et Valorisation » (dite « MRV »), rattachée au service du contrôle fiscal ainsi qu'au service des systèmes d'information de la DGFiP, créée dans cette perspective de rationalisation du contrôle fiscal.
Dans ses délibérations des 30 janvier 2014 et 25 juin 2015 précitées, la commission a estimé que, compte tenu des enjeux soulevés par le datamining, la combinaison et le croisement croissant de différents outils de détection et de lutte contre la fraude, l'ampleur des données traitées ainsi que le caractère innovant du dispositif envisagé, le traitement CFVR doit être entouré de garanties particulièrement fortes de nature à assurer un niveau élevé de protection des données à caractère personnel.
A cet égard, elle avait pris acte du fait que les éléments qui en sont issus ne conduisent pas automatiquement à une programmation des contrôles ou à des décisions de redressement. La production de listes de situations professionnelles susceptibles de présenter un risque de fraude significative n'a pas pour effet de déclencher automatiquement des opérations de contrôle fiscal. Le traitement constitue ainsi l'un des outils d'aide à la décision par les services fiscaux compétents pour programmer des vérifications et contrôles s'agissant des dossiers professionnels, les résultats produits n'ayant qu'une valeur de signalement parmi d'autres à disposition du ministère, conformément aux dispositions de l'article 10 de la loi du 6 janvier 1978 modifiée.
La commission prenait également acte de certaines garanties prévues dans le cadre de la mise en œuvre du traitement, dont le caractère expérimental du dispositif, le caractère progressif des expérimentations menées pour certains types de fraude et les seuls contribuables professionnels. A sa demande, le ministère a ainsi communiqué un bilan concernant le dispositif CFVR généralisé en 2015 pour les contribuables professionnels, ainsi qu'un bilan concernant l'expérimentation relative aux contribuables particuliers autorisée en 2015, au terme d'une année de mise en œuvre.
C'est dès lors à l'aune de ces bilans et du projet d'arrêté consolidé soumis pour avis que l'ensemble des conditions de mise en œuvre du traitement projeté est examiné par la commission.
Dans ce contexte, l'article 1er du projet d'arrêté vise à pérenniser l'ensemble des conditions de mise en œuvre du traitement en supprimant, l'article 2 de l'arrêté du 21 février 2014 susvisé, toute notion d'expérimentation concernant les personnes physiques ayant un lien avec une entreprise.
Le ministère estime en effet que l'exploitation des données concernant les particuliers en relation forte avec des entreprises renforce la pertinence et la fiabilité des modèles statistiques ainsi produits et, par là-même, améliore la programmation des actions de lutte contre la fraude fiscale, des vérifications et des contrôles diligentés auprès des professionnels.
Compte tenu de l'ensemble des garanties encadrant la mise en œuvre du traitement, et notamment le caractère progressif de son alimentation et des modalités d'exploitation des données concernées, cette pérennisation n'appelle pas d'observation particulière de la part de la commission.
Néanmoins, la commission relève que trois catégories de personnes physiques sont concernées par la notion de « relation forte avec une entité professionnelle » : les personnes y détenant ou y ayant détenu des parts sociales ou des actions, les personnes y exerçant ou y ayant exercé des fonctions de dirigeant et celles présentant des liens interpersonnels avec les personnes précitées.
La commission estime qu'il convient d'être particulièrement vigilant sur cette troisième catégorie de personnes physiques, compte tenu de la diversité des liens factuels susceptibles de caractériser une relation interpersonnelle avec un dirigeant ou associé d'entités professionnelles. Elle considère dès lors que des critères strictement déterminés doivent définir de tels liens, afin d'éviter toute collecte de données excessives au regard de la finalité du traitement. Les données nécessairement traitées aux fins d'établissement de ces liens interpersonnels, ainsi que l'origine de ces données, doivent également être limitativement définies par le ministère.
En outre, compte tenu du caractère nécessairement évolutif des hypothèses de fraude, le caractère progressif et la redéfinition itérative des caractéristiques de mise en œuvre du traitement doivent être maintenus afin de garantir la conformité de CFVR aux dispositions de la loi du 6 janvier 1978 modifiée, comme la commission l'a rappelé dans ses délibérations précitées.
A cet égard, elle demande au ministère d'être régulièrement associée aux travaux du comité consultatif institué en 2016, qui a pour mission de définir la gouvernance du dispositif CFVR.
Sur les modifications apportées aux conditions de mise en œuvre :
En premier lieu, l'article 2 du projet d'arrêté complète la liste des données traitées dans le cadre de CFVR par les informations sur chaque dossier renseignées en retour par les services fiscaux. Plus précisément, il s'agit des éléments relatifs au traitement du dossier par le service de vérification territorialement compétent. Ce dernier doit notamment répondre à une liste de questions qui, pour certaines, comportent une « zone de saisie libre » afin d'apporter une réponse circonstanciée.
La commission prend acte que les agents concernés seront informés que cette « zone bloc-notes » ne doit comporter aucune appréciation subjective relative à la situation de l'entreprise et qu'elle doit être limitée à la saisie d'informations nécessaires à la bonne gestion du dossier, ce qui contribue au respect de l'article 6- 30 de la loi « Informatique et Libertés ».
En deuxième lieu, l'article 3 du projet d'arrêté complète et modifie les durées de conservation des données traitées.
Il s'agit, d'une part, de porter la durée initiale d'un an à trois ans, s'agissant des données dont sont destinataires les agents fiscaux ainsi que des informations renseignées par ces agents.
La commission prend acte que cet allongement de la durée de conservation des résultats produits par CFVR et des renseignements apportés par les agents en charge de programmer les vérifications doit permettre à la mission « Requête et Valorisation » de disposer d'un éclairage sur ses travaux passés, suivre leur évolution, produire les différents bilans demandés et éviter des envois redondants de dossiers aux agents en charge de programmer les vérifications.
Il s'agit, d'autre part, de conserver, non plus une année mais deux ans, les données liées à la traçabilité des actions des agents fiscaux afin de renforcer le contrôle et le suivi des accès.
La commission considère que cette traçabilité constitue un enjeu important au vu de l'ampleur du dispositif et que cette modification apporte dès lors une garantie supplémentaire. Elle rappelle néanmoins au ministère que les données traitées à cette fin doivent faire l'objet d'analyses régulières et être conservées dans des conditions permettant de garantir leur intégrité et leur disponibilité.
Sur les autres conditions de mise en œuvre :
Dans la mesure où le traitement sera désormais généralisé et pérennisé, la commission considère que l'arrêté du 21 février 2014 susvisé devrait être clarifié sur plusieurs points, conformément aux demandes qu'elle a formulées antérieurement.
En particulier, elle rappelle qu'en application de l'article 29 de la loi « Informatique et Libertés », cet arrêté doit préciser l'ensemble des catégories de données traitées. Dès lors, la mention « coordonnées » prévue à l'article 3-1 dudit arrêté doit être complétée de l'ensemble des catégories de coordonnées traitées, à savoir les coordonnées postales, téléphoniques et électroniques.
En outre, il convient d'informer la commission de toute modification concernant les catégories et sources de données à caractère personnel, conformément à l'article 30 de la loi du 6 janvier 1978 modifiée, à l'instar de ce qui a été fait, dans le cadre de la présente saisine, s'agissant des données nouvellement issues du traitement, mis en œuvre par la DGFiP, aux fins d'assurer les échanges automatisés internationaux (EAI) intervenant en application d'obligations internationales prévues en matière fiscale.
En tout état de cause, la commission rappelle que les données susceptibles d'être obtenues dans le cadre de l'exercice du droit de communication prévu aux articles L. 81 et suivants du livre des procédures fiscales (LPF) doivent être exclues de tout enregistrement dans le traitement CFVR. Dans la mesure où il s'agit d'une garantie substantielle, la commission estime qu'elle devrait être prévue expressément dans l'arrêté du 21 février 2014 modifié.
En ce qui concerne le droit d'accès aux données traitées par CFVR, le ministère a prévu un droit d'accès indirect, par l'intermédiaire de la commission, en application des dispositions des articles 41 et 42 de la loi « Informatique et Libertés ».
Sur ce point, la commission relève que les données qui y figurent sont issues de traitements de données mis en œuvre par l'administration fiscale et pour lesquels les droits d'accès et de rectification s'exercent directement par les personnes concernées, auprès du ministère. Elle rappelle qu'un droit d'accès direct aux données n'interdit pas, par principe, l'établissement de mesures conservatoires. Elle estime dès lors nécessaire, au regard de l'ampleur du dispositif et de son caractère innovant, de prévoir un droit d'accès direct par les personnes concernées aux données traitées par CFVR.
En ce qui concerne les mesures de sécurité des données traitées, la commission rappelle que l'exigence prévue par l'article 34 de la loi du 6 janvier 1978 modifiée constitue une caractéristique fondamentale. Si elle prend acte des modifications apportées au traitement CFVR, elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.