Sur la proposition de M. Jean-Luc VIVET, commissaire, après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis, par le ministre de l'économie et des finances, d'un projet d'arrêté portant création à la direction générale des finances publiques (DGFiP) d'un traitement automatisé de données à caractère personnel de fiabilisation des états civils et de gestion des anomalies dans l'identification des usagers.
L'article 60 de la loi du 29 décembre 2016 de finances pour 2017, qui instaure le prélèvement à la source de l'impôt sur le revenu, prévoit que la mise en œuvre de cette contribution s'appuie sur la communication à l'administration fiscale, par le tiers versant le revenu, des informations nécessaires à la détermination du taux de prélèvement applicable à chaque bénéficiaire de revenus, taux que la DGFiP transmet en retour au tiers versant.
Dans ce contexte, la nécessité de garantir l'identification des contribuables a conduit la DGFiP à réaliser plusieurs campagnes de fiabilisation des identifiants fiscaux (SPI) par l'interrogation du répertoire national d'identification des personnes physiques et la collecte du NIR, campagnes au sujet desquelles la Commission a été consultée. Toutefois, il reste un certain nombre de contribuables connus du système d'information de la DGFiP par leur numéro SPI mais dont l'identité n'est pas certifiée au regard de ce répertoire.
Le présent projet d'arrêté vise dès lors à faire évoluer les modalités de mise en œuvre du dispositif de gestion des anomalies dans l'identification des contribuables dénommé « FIABPERS », afin de permettre la fiabilisation de l'état civil des contribuables dont l'identité n'est pas certifiée. Dans la mesure où le traitement porte sur des données parmi lesquelles figure le NIR et compte tenu du fait qu'il est utilisé par des services ayant pour mission d'établir l'assiette, de contrôler et de recouvrer des impositions, sa mise en œuvre doit être autorisée par arrêté ministériel pris après avis motivé et publié de la Commission, conformément aux dispositions de l'article 27-II (2°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
Les articles 1er et 2 du projet d'arrêté prévoient d'autoriser la DGFiP à mettre en œuvre un traitement dénommé « FIABPERS » pour permettre la fiabilisation des états civils des usagers ainsi que l'enregistrement et le suivi des anomalies d'identification des personnes et leur suivi.
S'agissant de l'objectif de fiabilisation des états civils, la Commission prend acte qu'il s'agit de permettre aux services locaux de la DGFiP de collecter directement auprès des contribuables non certifiés les informations relatives à leur état civil, ainsi que leur NIR le cas échéant. Il est prévu que cette collecte s'effectue chaque fois qu'un agent se trouve en présence d'une personne connue du système d'information de la DGFiP mais dont l'identité n'est pas certifiée, par la présentation par les personnes concernées des pièces justificatives nécessaires. La Commission relève que les données ainsi fiabilisées seront intégrées dans le référentiel « PERS » d'identification des personnes physiques et morales.
S'agissant de la gestion des anomalies d'identification, la Commission prend acte que cela concerne les hypothèses de création de doublons (une personne pour plusieurs identités enregistrées), de création d'amalgames (deux personnes enregistrées sous une même identité) et de litiges (contestation par un usager des données d'identification le concernant enregistrées par la DGFiP). Ces anomalies peuvent être détectées par la cellule d'administration du référentiel « PERS » ou par les services gestionnaires de la DGFiP, dans le cadre de leurs missions d'établissement de l'assiette, de taxation et de recouvrement ou de la relation entre la DGFiP et les usagers. Elles sont alors enregistrées dans le dispositif « FIABPERS ».
Les échanges d'informations entre le tiers collecteur et l'administration fiscale instaurés par le prélèvement à la source impliquent que le contribuable soit correctement identifié dans les applications mises en oeuvre par la DGFiP afin de prévenir toute erreur dans la détermination du taux de prélèvement applicable. Les identités non-certifiées conduisent à une reconnaissance de l'individu sur la base d'un état civil dit « pauvre », source de d'échecs ou de réponses multiples en cas d'homonymie. En pareille hypothèse, la DGFiP est alors amenée à communiquer au tiers collecteur un taux par défaut, fixé par la loi de Finances et qui ne correspond pas à la situation personnelle du contribuable. Dans ce contexte, les finalités du dispositif « FIABPERS » s'inscrivent dans le cadre des missions de l'administration fiscale et, en particulier, de l'établissement de l'assiette de l'impôt et participe de leur bon exercice.
La Commission considère dès lors que ces finalités sont déterminées, explicites et légitimes au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 3 du projet d'arrêté énumère les données personnelles traitées. Ces données concernent les catégories suivantes :
- les données d'identification : civilité, nom de naissance, prénoms, nom d'usage, NIR, numéro fiscal, date et département de naissance, libellé de commune de naissance ou du pays si né à l'étranger, adresse de messagerie électronique, identifiant du dossier, adresse postale ;
- les données relatives à la vie familiale : nom du conjoint ;
- la nature de l'impôt (impôt sur le revenu, taxe d'habitation, taxe foncière).
La Commission prend acte que l'utilisation du NIR par l'administration fiscale est expressément autorisée, aux termes de l'article L. 287 du livre des procédures fiscales, aux fins de « vérifier la fiabilité des éléments d'identification des personnes physiques figurant dans les traitements de données relatives à l'assiette, au contrôle et au recouvrement de tous impôts, droits, taxes, redevances ou amendes ». L'article R.* 287-1 du même livre précise que ce traitement du NIR peut intervenir en cas de « demande spécifique motivée par l'insuffisance ou la contradiction des éléments d'identification de l'intéressé » à disposition de l'administration fiscale.
La Commission estime que le traitement projeté s'inscrit dans ce cadre légal. Elle rappelle néanmoins que ces dispositions ne rendent pas obligatoire la fourniture, par les personnes concernées, de leur NIR aux fins de fiabilisation de l'identité fiscale. A cet égard, elle prend acte que le ministère de l'économie et des finances n'entend pas rendre la collecte du NIR obligatoire dans le cadre de la fiabilisation des états civils.
La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 4 du projet d'arrêté prévoit que les données à caractère personnel traitées dans le cadre du dispositif FIABPERS sont conservées trois ans, à l'exception du NIR qui est conservé un mois maximum.
La Commission prend acte que cette durée correspond au délai légal durant lequel un usager est recevable à contester, auprès de l'administration, les données qui ont permis de mettre à jour son état civil dans le système d'information de la DGFiP. Dans ce contexte, la durée de conservation projetée permet de répondre à l'éventualité d'un contentieux en assurant une traçabilité de la demande de l'usager.
Dès lors, la Commission considère que cette durée de conservation n'excède pas la durée nécessaire au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les accédants et destinataires des données :
La Commission prend acte que, à sa demande, le ministère a modifié la rédaction de l'article 5 du projet d'arrêté afin de préciser que les personnes habilitées à accéder aux données traitées sont les agents habilités de la DGFiP chargés de la collecte des informations relatives aux états civils des usagers et les destinataires des données traitées sont, quant à eux, les agents habilités de la DGFiP en charge de la fiabilisation de l'identification des usagers dans le référentiel des personnes (« PERS »).
Sur l'information et les droits des personnes :
La Commission rappelle la nécessité de délivrer une information claire et complète aux contribuables quant au traitement qui peut être fait de leurs données personnelles. En particulier, il convient de les informer des motifs de la collecte du NIR (améliorer l'identification et éviter la confusion avec une autre personne), ainsi que du caractère facultatif de cette collecte.
S'agissant des droits d'accès et de rectification prévus aux articles 39 et 40 de la loi « Informatique et Libertés », l'article 7 du projet d'arrêté dispose que ceux-ci s'exercent auprès du centre des finances publiques du domicile fiscal de l'usager.
Le ministère entend faire application du dernier alinéa de l'article 38 de la loi susmentionnée en excluant le droit d'opposition, ce qui n'appelle pas d'observation particulière de la Commission.
Sur la sécurité des données et la traçabilité des actions :
La Commission prend acte de l'engagement du ministère de recourir à la version 9.4 du système de gestion de base de données Postgre.
Le traitement ne sera accessible qu'aux agents habilités de la DGFiP, via le réseau interne au ministère, ce qui n'appelle pas de remarque particulière de la Commission.
S'agissant de leur authentification par un système impliquant un mot de passe, la Commission rappelle que cette authentification doit être conforme à l'état de l'art, tel que précisé dans les recommandations de la Commission en la matière.
Il est prévu que le NIR fasse l'objet de mesures de sécurité renforcées. Ainsi, il est stocké dans un espace de stockage spécifique, afin de garantir la meilleure étanchéité possible avec les autres données du traitement, et supprimé de la base au bout d'un mois. En outre, le ministère a prévu un mécanisme de suppression totale de cette donnée du traitement en cas de demande de la Commission.
Il est prévu que les transmissions de données sur des réseaux fassent l'objet de mesures de chiffrement. Néanmoins, en l'absence de transmission d'éléments plus précis sur ce point, la Commission n'est pas en mesure de déterminer si ces mesures de sécurité envisagées sont satisfaisantes au regard des risques encourus par le traitement.
Concernant les mesures de traçabilité, l'article 3 du projet d'arrêté prévoit que les actions des agents de la DGFiP (signalement d'une anomalie, enrichissement d'un état civil) font l'objet d'une journalisation qui se traduit par la conservation de leur identifiant ministériel, leurs nom, prénom et adresse de messagerie, ainsi que des coordonnées de leur service. En outre, l'article 4 du projet d'arrêté prévoit que ces données sont conservées trois ans. A cet égard, la Commission prend acte qu'il est nécessaire d'appliquer à cette catégorie de données la même durée de conservation que celle prévue pour les données des usagers car les données des agents relatives à la gestion sont susceptibles d'être utilisées en cas de contestation, par un usager, de la mise à jour de son état civil.
Sous ces réserves, la Commission considère que les mesures de sécurité envisagées par l'administration fiscale apparaissent cohérentes avec le niveau de sécurité attendu au regard de la nature des données traitées et des risques présentés par le traitement, conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.