Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie d'une demande d'avis par le ministre de l'économie et des finances concernant un projet d'arrêté portant création, par la direction générale de finances publiques (DGFiP), d'un traitement automatisé de données à caractère personnel de gestion du prélèvement à la source mis en œuvre par les collecteurs n'entrant pas dans le champ de la déclaration sociale nominative ou versant des revenus de remplacement.
La loi du 29 décembre 2016 de finances pour 2017 a modifié les dispositions de l'article 204 A du code général des impôts (CGI) pour y introduire le principe du prélèvement à la source de l'impôt sur le revenu. La mise en œuvre de cette contribution s'appuie sur la communication à l'administration fiscale, par le tiers versant le revenu, des données nécessaires à la détermination du taux de prélèvement applicable à chaque bénéficiaire de revenus, taux que la DGFiP transmet en retour au tiers versant.
Un projet de décret d'application de ces dispositions législatives, qui prévoit notamment que ces échanges d'informations s'effectuent via la déclaration sociale nominative pour les tiers versants entrant dans le champ de l'article L. 133-5-3 du code de la sécurité sociale, ou au moyen d'une déclaration ad hoc pour les tiers versants qui ne sont pas soumis à la déclaration sociale nominative, a été soumis à la commission pour avis. Dans sa délibération susvisée du 23 mars 2017, la commission a estimé que, de manière générale, ce projet de décret était conforme aux dispositions de la loi du 6 janvier 1978 modifiée. Elle a toutefois émis une réserve concernant les destinataires des données traitées, dans la mesure où le texte n'apporte aucune précision quant aux personnes ou services habilités, au sein de l'organisme collecteur, à réceptionner les comptes rendus communiqués par l'administration fiscale.
Les modalités d'application projetées de la réforme du prélèvement de l'impôt sur le revenu impliquent la mise en œuvre, par la DGFiP, d'une nouvelle application dénommée PASRAU (Prélèvement A la Source - Revenus AUtres).
Parmi les données traitées par l'administration fiscale dans le cadre du dispositif PASRAU figure le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR). Le traitement relève dès lors des dispositions de l'article 27-II (2°) de la loi du 6 janvier 1978 modifiée et doit être autorisé par arrêté ministériel pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
Les articles 1er et 2 du projet d'arrêté prévoient d'autoriser la DGFiP à mettre en œuvre un traitement dénommé PASRAU pour permettre la gestion du prélèvement à la source par les collecteurs versant des revenus de remplacement et, transitoirement, par les organismes versant des traitements et salaires qui n'entrent pas encore dans le champ de la déclaration sociale nominative.
Ce traitement doit permettre :
- à la DGFiP de transmettre aux collecteurs le taux de retenue à la source à appliquer et les éventuelles anomalies nominatives et financières ;
- aux tiers collecteurs de transmettre à la DGFiP les informations individuelles relatives à chaque bénéficiaire de revenu soumis au prélèvement à la source, d'une part, et l'ordre de reversement des retenues collectées, d'autre part ;
- d'assurer le suivi statistique des données transmises ou échangées.
Ces dispositions apparaissent nécessaires à la mise en œuvre de la retenue à la source telle que décrite par le projet de décret d'application du 1° du 2 de l'article 204 A du CGI. Les finalités du dispositif PASRAU s'inscrivent ainsi dans le cadre des missions de l'administration fiscale et, en particulier, de l'établissement de l'assiette de l'impôt. Elles participent également à l'objectif général de simplification des démarches administratives et, en l'espèce, des obligations déclaratives des contribuables en matière de situations sociales.
La commission considère dès lors que ces finalités sont déterminées, explicites et légitimes au sens de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur les données traitées :
L'article 3 du projet d'arrêté énumère les données transférées et traitées par la DGFiP.
Ces données concernent les catégories suivantes :
- les données d'identification de l'émetteur de la déclaration, de l'entreprise, de l'établissement, du contribuable et, notamment, son NIR ;
- les données à caractère économique et financier déclarées relatives au revenu (traitement et salaires pour les entités non encore entrées en DSN, revenu de remplacement), au versement de l'organisme, à l'option pour un paiement trimestriel et au prélèvement à la source (taux et éléments de régularisation notamment) ;
- les identifiants du contribuable et de la collecte.
L'article 3 du projet d'arrêté prévoit en outre les catégories de données transmises en retour par la DGFiP aux tiers collecteurs, notamment les données relatives à la déclaration de retenue à la source (identité de l'émetteur, identification de la déclaration, identification du déclarant), les informations permettant d'identifier le bénéficiaire de revenu, en particulier son NIR, le taux de prélèvement à la source et, le cas échéant, les données relatives aux anomalies détectées par l'administration fiscale.
S'agissant du recours au NIR des bénéficiaires de revenu dans le cadre du prélèvement à la source, l'article L. 288 A du livre des procédures fiscales (LPF), créé par la loi précitée du 29 décembre 2016, dispose que les échanges entre le tiers collecteur et l'administration fiscale s'opèrent « sur la base du numéro d'inscription au répertoire national d'identification des personnes physiques ».
Le Législateur a ainsi expressément autorisé l'utilisation de cette donnée dans ce cadre, tout en précisant que les opérations d'échange d'informations entre le tiers collecteur et l'administration fiscale et les données recueillies, détenues ou transmises dans ce cadre le sont aux seules fins de gestion du prélèvement à la source et en étendant l'obligation de secret professionnel prévue à l'article L. 103 du LPF à ces informations.
En outre, la commission prend acte que l'utilisation du NIR est entourée de mesures de sécurité particulières.En effet, l'article 6 du projet d'arrêté prévoit que « les fichiers reçus par la DGFiP et les données stockées en base, contenant le NIR, sont exclusivement conservées sur des supports informatiques dédiés et font l'objet de mesures de sécurité renforcées en application du décret no 2000-8 du 4 janvier 2000 ».
Au regard de ces éléments, la commission considère que les données traitées via le dispositif PASRAU sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur les durées de conservation :
L'article 5 du projet d'arrêté prévoit que les données à caractère personnel transférées par les collecteurs à la DGFiP et celles qu'elle leur communique en retour sont conservées quatre ans à la DGFiP.
La commission prend acte que cette durée de conservation tient compte du délai de reprise dont dispose l'administration fiscale pour rectifier les omissions constatées dans l'assiette de l'impôt, les insuffisances, les inexactitudes ou les erreurs d'imposition. Pour l'impôt sur le revenu, ce droit de reprise s'exerce jusqu'à la fin de la troisième année qui suit celle au titre de laquelle l'imposition est due, conformément à l'article L. 169 du livre des procédures fiscales.
Dès lors, elle considère que cette durée n'excède pas la durée nécessaire aux finalités poursuivies, conformément aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 2 du projet d'arrêté précise que les échanges d'informations sont effectués via le portail Net-entreprises, géré par le groupement d'intérêt public« modernisation des déclarations sociales ».
L'article 7 de ce même texte prévoit que les destinataires des données à caractère personnel échangées entre les collecteurs et l'administration fiscale sont les agents habilités de la DGFiP et du groupement d'intérêt public « modernisation des déclarations sociales », chacun pour leur besoin d'en connaître.
Ces catégories de destinataires n'appellent pas d'observation particulière de la commission.
Le projet d'arrêté prévoit en outre que les destinataires des données relatives à la déclaration PASRAU et à la journalisation des consultations sont « l'encadrement et les responsables de la sécurité informatique ». La commission prend acte que le ministère entend préciser qu'il s'agit des personnels de la DGFiP ou du groupement d'intérêt public « modernisation des déclarations sociales ».
Elle prend également acte que, dans la mesure où le projet d'arrêté prévoit au titre des finalités du traitement PASRAU la transmission aux collecteurs du taux de retenue à la source effectuée et des éventuelles anomalies nominatives et financières, à sa demande, le ministère envisage de faire figurer les tiers collecteurs parmi les destinataires des données à caractère personnel traitées, et précisément « les personnes ou services chargés du versement des salaires, des pensions, des revenus de remplacement ou des autres revenus dans le champ de la retenue à la source, au sein des organismes susceptibles de recevoir et de traiter les données transmises par l'administration fiscale, ou pour le compte de ces organismes », limitant ainsi l'accès aux données aux seules personnes ou services ayant besoin d'en connaître.
Sur l'information et les droits des personnes :
La commission prend acte que les personnes concernées sont informées du traitement de leurs données personnelles par la publication de l'acte réglementaire autorisant la création du traitement. Elle rappelle la nécessité de délivrer une information claire et complète aux contribuables quant aux mécanismes d'échange des informations personnelles les concernant qui permettront à l'administration fiscale et aux tiers collecteurs de réaliser la retenue à la source de l'impôt sur le revenu.
S'agissant des droits d'accès et de rectification prévus aux articles 39 et 40 de la loi « Informatique et Libertés », l'article 8 du projet d'arrêté dispose que ceux-ci s'exercent auprès du centre des finances publiques compétent. La commission considère que l'exercice de ces droits doit être facilité, dans la mesure où l'inexactitude de ces données est susceptible d'emporter des conséquences financières importantes pour les bénéficiaires de revenus.
Le ministère entend faire application du dernier alinéa de l'article 38 de la loi susmentionnée en excluant le droit d'opposition, ce qui n'appelle pas d'observation particulière de la commission.
Sur les mesures de sécurité :
L'article 3 du projet d'arrêté prévoit la transmission, par le groupement d'intérêt public « modernisation des déclarations sociales » à la DGFiP, d'informations portant sur la sécurité et la fiabilité des échanges de données personnelles via le portail Net-entreprises. Il s'agit d'éléments concernant l'accusé d'enregistrement de la déclaration, ou l'avis de rejet et le bilan d'anomalie le cas échéant, concernant le certificat de conformité et un bilan d'identification du déclarant. L'article 4 du projet d'arrêté prévoit que ces informations sont conservées par le groupement d'intérêt public pour une durée maximale de deux ans.
L'article 3 du projet d'arrêté prévoit en outre que les consultations du dispositif PASRAU font l'objet d'une joumalisation. Pour chaque connexion, les éléments d'identification de leur auteur, la nature des actions menées ainsi que leurs date et heure sont conservées un an en ligne et trois ans en archive à la DGFiP.
La commission relève que le ministère envisage l'utilisation du protocole de chiffrement de flux SSLv3, officiellement obsolète depuis juin 2015. A cet égard, elle rappelle la nécessité de mise à jour des mesures de sécurité au regard d'une réévaluation régulière des risques.
Sous cette réserve, la commission considère que les mesures de sécurité envisagées par l'administration fiscale apparaissent cohérentes avec le niveau de sécurité attendu au regard de la nature des données traitées et des risques présentés par le traitement, conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.