Articles

Article AUTONOME (Délibération n° 2024-100 du 12 décembre 2024 portant avis sur un projet d'arrêté autorisant la création d'un traitement automatisé dénommé « DALIA »)

Article AUTONOME (Délibération n° 2024-100 du 12 décembre 2024 portant avis sur un projet d'arrêté autorisant la création d'un traitement automatisé dénommé « DALIA »)


N° de demande d'avis : 24010479.
Thématiques : lutte contre le blanchiment de capitaux et le financement du terrorisme, lutte contre la fraude douanière.

Organismes à l'origine de la saisine : ministères en charge de l'économie et des finances.
Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.


L'essentiel :
1. Les finalités du traitement « DALIA 2 », permettant en particulier aux personnes physiques de s'acquitter par internet de leur obligation déclarative d'argent liquide et d'optimiser la lutte contre les flux financiers illicites, sont légitimes.
2. La modernisation et la rationalisation des traitements de données mis en œuvre par la DGDDI dont, certains, souffrent de limitations techniques, notamment en ce qui concerne l'état de l'art en termes de sécurité informatique, et ne répondent plus efficacement aux missions de cette direction, sont accueillies favorablement.
3. Si, au titre d'obligations européennes, le traitement d'un numéro d'identification personnel des personnes physiques est considéré nécessaire, la CNIL invite à prioriser la collecte du numéro d'identification en matière fiscale par rapport au numéro de sécurité sociale (dit « NIR »).
4. La CNIL rappelle certaines exigences de sécurité nécessaires au déploiement d'un tel traitement de données à caractère personnel, en particulier en ce qui concerne la mise en œuvre des journaux de connexion.


La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31 et son titre III ;
Après avoir entendu le rapport de M. Philippe-Pierre Cabourdin, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :


I. - La saisine
A. - Le contexte


Afin de prévenir le blanchiment de capitaux, de faciliter la prévention et la détection d'activités criminelles, et en particulier de prévenir le financement du terrorisme, le règlement 2018/1672 du 23 octobre 2018 relatif aux contrôles de l'argent liquide entrant dans l'Union ou sortant de l'Union prévoit des obligations relatives à la transparence du transport transfrontalier d'argent liquide.
Les articles 3 et 4 de ce règlement prévoient notamment des obligations de déclaration d'argent liquide par les personnes physiques auprès de l'autorité compétente déclarée par les autorités françaises, la direction générale des douanes et des droits indirects (DGDDI), lorsque cet argent sort ou entre de l'Union européenne.
Ces normes européennes sont complétées par des dispositions nationales qui imposent des obligations déclaratives similaires pour ce qui concerne les transports et les envois d'argent liquide :


- à l'intérieur de l'Union européenne (articles L. 152-1 et L. 152-1-1 du code monétaire et financier et article 464 du code des douanes) ;
- en provenance ou à destination des collectivités d'outre-mer au sens de l'article 74 de la Constitution (articles L. 722-6 et suivants du code monétaire et financier).


Pour permettre les déclarations d'argent liquide prévues par ces dispositions européennes et nationales, un téléservice, dont la dénomination et les caractéristiques sont fixées par arrêté du ministre chargé des douanes, est mis en œuvre. En conséquence, l'arrêté du 7 novembre 2012 autorise la création d'un traitement automatisé dénommé « DALIA » (ci-après « DALIA 1 ») sur lequel la CNIL a rendu un avis le 30 mars 2012 (n° 1511422).
Toutefois, selon la DGDDI, plusieurs limites juridiques et techniques relatives au traitement « DALIA 1 » sont constatées :


- il ne tiendrait plus compte des évolutions législatives en la matière et ne faciliterait pas suffisamment les formalités déclaratives des usagers ;
- il souffrirait de limitations techniques et, notamment, ne répondrait plus aux exigences de sécurité des systèmes d'information douaniers ;
- il ne permettrait pas de répondre pleinement aux besoins des services de la DGDDI dans leur mission de lutte contre la fraude, en particulier en matière de de ciblage de celle-ci du fait d'un défaut ou d'une insuffisance des possibilités de requêtage.


B. - L'objet de la saisine


La CNIL a été saisie pour avis, par les ministères en charge de l'économie et des finances, d'un projet d'arrêté autorisant la création d'un traitement automatisé dénommé « DALIA » (ci-dessous « DALIA 2 ») et abrogeant l'arrêté antérieur du 7 novembre 2012.
Mis en œuvre par la DGDDI, ce traitement a vocation à remplacer « DALIA 1 ». Il vise, en particulier, à faciliter l'accomplissement des obligations déclaratives des personnes physiques ainsi que la détection de fraudes par les services de la DGDDI.


II. - L'avis de la CNIL
A. - Sur les finalités, le régime juridique et le périmètre du traitement


a) Les finalités du traitement
Le I de l'article 1er du projet d'arrêté prévoit que le téléservice « DALIA 2 » permet « aux personnes physiques de s'acquitter par internet de leur obligation déclarative d'argent liquide et de leur obligation de divulgation ». Le déploiement de ce téléservice, en cohérence avec les objectifs du règlement 2018/1672 du 23 octobre 2018, permettra la lutte contre le blanchiment de capitaux et le financement du terrorisme.
En application du II du projet d'article 1er, le traitement « DALIA 2 » permet également :


- en premier lieu, « d'optimiser la lutte contre les flux financiers illicites (ciblage, analyse de risque, consultation des données en cours de contrôle) » (1°). Le traitement des données pour cette finalité apparait nécessaire au regard de l'article 5 du règlement 2018/1672 susmentionné, qui prévoit les pouvoirs de contrôle de l'autorité compétente. L'opportunité de ces contrôles serait, à cet égard, fondée sur une « analyse de risque aux fins d'identifier et d'évaluer les risques ainsi que d'élaborer les contre-mesures nécessaires […] » (quatrième alinéa de cet article 5) ;
- en deuxième lieu, « d'établir des statistiques fiables sur les flux physiques de capitaux » (2°). Cette finalité répond également à l'une des obligations, s'imposant au titre de l'article 18 du règlement 2018/1672 susmentionné, selon laquelle les Etats membres transmettent à la Commission européenne des « informations statistiques anonymisées concernant les déclarations, les contrôles et les infractions » ;
- en dernier lieu, « de remplir les formulaires déclaratifs obligatoires suite à la constatation d'un manquement à une obligation déclarative (MOD) ou de divulgation (MODiV) ou en cas de retenue temporaire d'argent liquide (RTAL) » (3°). Cet objectif apparait pertinent au regard des pouvoirs de contrôle de la DGDDI au titre des articles 5 et 6 du règlement 2018/1672 susmentionné (déclaration d'office établie par les autorités compétentes dans certains cas), des articles L. 152-4 et suivants du code monétaire et financier et des articles 67 ter B et suivants du code des douanes (retenue temporaire d'argent liquide).


Au regard de ces éléments, et dans la mesure où elles résultent de dispositions législatives ou européennes, les finalités de « DALIA 2 » sont déterminées, explicites et légitimes.
b) Le régime juridique applicable
Le ministère estime que le régime juridique applicable au traitement « DALIA 2 » est celui du titre III de la loi « informatique et libertés », découlant des dispositions de la directive 2016/680 du 27 avril 2016 (dite directive « police-justice »).
Si la CNIL considère généralement le RGPD applicable aux téléservices (v. par ex. CNIL, SP, avis, 14 décembre 2023, n° 2023-130, non-publié ; ou encore, CNIL, SP, avis, 4 avril 2024, traitement « GMBI », n° 2024-037, non-publié), elle relève que le traitement « DALIA 2 » a pour finalité première la prévention, la recherche, la constatation et la poursuite d'infractions pénales par une autorité compétente, au sens des articles 31 et 87 de la loi « informatique et libertés » et de l'article 3 de la directive « police-justice » (v. par ex. CNIL, SP, avis, 4 avril 2024, traitement « plainte en ligne », n° 2024-028, publié).
Dès lors que les traitements mis en œuvre pour répondre aux obligations posées par le règlement 2018/1672 ont pour finalités la prévention des activités criminelles et la lutte contre de telles activités, et que la DGDDI est une autorité compétente au sens de la directive « police-justice » lorsqu'elle poursuit ces finalités, le traitement « DALIA 2 » relève des dispositions du titre III de la loi « informatique et libertés ».
c) Le périmètre du traitement
Deux applicatifs déployés par la DGDDI seront abondés par les données du traitement « DALIA 2 » :


- d'une part, l'application « Recherche et orientation des contrôles » (dite « ROC »), permettant aux agents des douanes sur le terrain d'interroger les antécédents douaniers d'une personne physique pour vérifier si elle a effectivement réalisé la déclaration obligatoire à laquelle elle est soumise ;
- d'autre part, l'un des modules (dit « DKS ») du traitement « CANOPEE » permettant de rechercher, de consulter et d'analyser les informations contenues dans les déclarations douanières à des fins d'analyse de risque et de gestion des déclarations (arrêté du 15 septembre 2016 portant création d'un traitement relatif à la recherche et à la consultation des déclarations déposées auprès de la DGDDI). Cette application permet par exemple de réaliser des requêtages ou de croiser des informations présentes dans plusieurs déclarations d'argent liquide (recherche de déclarations correspondant à certains critères préétablis, production et consultation de données agrégées statistiques etc.)


Le ministère précise que ces deux traitements participent à l'optimisation de la lutte contre les flux financiers illicites par le ciblage, l'analyse de risque et la consultation des données en cours de contrôle. Il indique également que :


- l'applicatif « ROC » est l'un des modules du traitement « Système d'information de lutte contre la fraude », dit « SI LCF », ayant fait l'objet de plusieurs avis de la CNIL (v. notamment CNIL, SP, avis, 22 mai 2003, traitement « SI LCF », n° 03-029, publié) et n'est qu'un outil de recherche, ne stockant aucune donnée à caractère personnel en propre ;
- qu'aucun de ces traitements ne recourt, à ce stade, à de la valorisation de données par l'utilisation d'intelligence artificielle.


A titre liminaire, la CNIL ne se prononce pas sur la conformité des traitements de données à caractère personnel « ROC » et « CANOPEE », sur lesquels elle n'est pas saisie.
En premier lieu, la CNIL accueille favorablement la volonté de la DGDDI de moderniser et de rationaliser ses traitements de données dont, certains, souffrent de limitations techniques, notamment en ce qui concerne l'état de l'art en termes de sécurité informatique, et ne répondent plus efficacement aux missions de cette direction. Elle recommande d'effectuer ce travail en lien étroit avec le délégué à la protection des données du ministère et dans le respect du principe de conformité « dès la conception » des nouveaux traitements mis en œuvre.
En second lieu, elle considère que la rédaction actuelle de l'arrêté du 15 septembre 2016 susmentionné ne permet pas, en l'état, l'alimentation du traitement « CANOPEE » à partir des données de « DALIA 2 ». Les finalités et la liste des personnes habilitées à accéder aux données, en particulier, devront faire l'objet de modifications pour maintenir les conditions de traitement des données issues du traitement « DALIA 2 » (v. CNIL, SP, avis, 27 mai 2021, traitement « LRPGN », n° 2021-061, publié). Elle prend acte de l'engagement du ministère de modifier cet arrêté.
Elle rappelle qu'aucun transfert de données de « DALIA 2 » vers « CANOPEE » ne devra être effectué avant l'entrée en vigueur de l'acte modifié.


B. - Sur les catégories de données


L'article 2 du projet d'arrêté liste des catégories de données pouvant être enregistrées dans le traitement.
Le numéro de sécurité sociale (dit « NIR ») pourra, « le cas échéant », être enregistré dans « DALIA 2 », et ce, sans que le règlement 2018/1672 susmentionné ne fasse référence à la collecte d'un tel numéro d'identification. Le ministère précise qu'il s'agit d'une possibilité pour l'usager, qui n'a nullement l'obligation de renseigner ce numéro. Par ailleurs, le 12° du D de l'article 2 du décret n° 2019-341 du 19 avril 2019, prévoyant que les agents des douanes « dûment habilités et dans la limite du droit d'en connaître » peuvent traiter le NIR pour « leurs missions de lutte contre fraude en matières […] douanière », est interprété par le ministère comme suffisamment précis pour autoriser un traitement du NIR dans « DALIA 2 ».
A cet égard, le règlement d'exécution 2021/776 du 11 mai 2021 prévoit bien la collecte, « le cas échéant », d'un « numéro d'identification personnel (c'est-à-dire le numéro d'identification personnel unique en matière fiscale, de sécurité sociale ou similaire) ». Or, afin de respecter le principe d'étanchéité des numéros d'identification selon les différentes sphères de l'action publique, il semblerait pertinent de privilégier la collecte d'un numéro d'identification en matière fiscale pour les finalités poursuivies par le traitement « DALIA 2 ». La CNIL prend acte qu'une telle collecte n'est ni réclamée par les services des douanes, ni une obligation pour les usagers, et recommande de préciser dans le formulaire que le numéro d'identification personnel facultativement demandé soit prioritairement le numéro d'identification en matière fiscale.


C. - Sur les durées de conservation


L'article 3 du projet d'arrêté prévoit une conservation des données de six ans « à compter de la validation de la déclaration ».
En premier lieu, le ministère précise que cette durée est fixée en application de l'article 351 du code des douanes prévoyant la prescription des délits douaniers.
L'article 13 du règlement 2018/1672 susmentionné prévoit que les autorités compétentes et les cellules nationales de renseignement financier conservent les données à caractère personnel pendant une durée de cinq ans à compter de la date à laquelle ces données ont été obtenues. La durée de conservation peut être prolongée une fois, après une évaluation approfondie et pour répondre à certains objectifs limitativement énumérés, par une période qui n'excède pas trois années supplémentaires.
Au regard de ces éléments, la CNIL considère que le projet d'arrêté devra prévoir une durée de conservation de cinq années, et ce, afin de s'aligner sur les dispositions de ce règlement. Lorsque le ministère procédera à l'évaluation approfondie de la nécessité et de la proportionnalité d'une prolongation, telle qu'elle est prévue à l'article 13 susmentionné, et dans la mesure où la prescription prévue par l'article 351 du code des douanes est de six années, il pourra exister une présomption de légitimité de prolongation d'un an.
En second lieu, la création d'un compte sur l'application « DALIA 2 » permettra à l'usager d'enregistrer des brouillons de déclarations et d'accéder à l'historique de toutes ses déclarations antérieures. En conséquence, l'arrêté devrait prévoir une durée de conservation plus réduite pour les données enregistrées à titre de brouillon (v. CNIL, SP, avis, 4 avril 2024, traitement « plainte en ligne », n° 2024-028, publié).


D. - Sur le droit à l'information


Le ministère précise qu'une politique d'information sera menée, en application de l'article 104 de la loi « informatique et libertés », et sera mise en œuvre par le biais de plusieurs canaux : la publication de l'acte réglementaire de création du traitement, notamment, mais aussi une information individuelle à travers les conditions générales d'utilisation du traitement, présentées via un pop-up avant la validation de la déclaration. Aucune restriction du droit à l'information des personnes concernées n'est prévue au titre du 1° du II de l'article 107 de la loi informatique et libertés.
En premier lieu, la CNIL accueille favorablement la mise en œuvre d'une politique d'information pédagogique intégrée directement à l'interface de navigation des usagers utilisant le traitement « DALIA 2 ». Elle encourage le ministère à approfondir ce travail en intégrant, au sein de l'interface, des rappels de la politique d'information tout au long du parcours des usagers.
En second lieu, l'information de la personne dont les données sont traitées peut, dans certains cas, nuire aux finalités de détection des cas de fraude. La CNIL estime nécessaire de conjuguer l'information des personnes et l'efficacité de la lutte contre la fraude (v. CNIL, SP, avis, 14 décembre 2023, traitement « CFRV », n° 2023-150, non-publié). A cette fin, elle recommande que la politique d'information soit mise en œuvre, a minima, en deux temps distincts :


- dans un premier temps, une information générale de l'ensemble des personnes concernées sur la possibilité d'utilisation de leurs données à des fins de lutte contre la fraude en matière douanière ;
- dans un second temps, une information spécifique des personnes effectivement contrôlées dès lors que cette information n'est plus susceptible de nuire à l'efficacité du contrôle, c'est-à-dire au plus tard lorsqu'en application des droits de la défense, il est procédé à un échange contradictoire avec la personne soupçonnée de fraude.


E. - Sur les mesures de journalisation


L'article 5 du projet d'arrêté prévoit que les opérations de collecte, de consultation, de modification, de communication et d'effacement des données et informations du traitement font l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération effectuée. Cette journalisation est conservée pour une durée d'un an.
En premier lieu, il ressort de l'analyse d'impact relative à la protection des données (AIPD) que les traces fonctionnelles ainsi que les journaux techniques sont actuellement conservés pour une durée de 5 mois. La CNIL prend acte de ce que les développements permettant l'augmentation de cette durée sont en cours afin de la porter à un an. Elle rappelle avoir considéré, dans sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation, qu'une durée de conservation comprise entre six mois et un an est correcte.
En second lieu, en application des articles 99 et 101 de la loi informatique et libertés, un mécanisme proactif de contrôle automatique des données de journalisation devra être mis en œuvre, contribuant à assurer la sécurité du traitement par la génération automatique d'alertes. Certaines catégories de données devraient apparaître dans les journaux des opérations de traitement (l'identifiant de la personne consultant ou communiquant les données, les éventuels destinataires, le motif, la date et l'heure), celles-ci étant de nature à améliorer la recherche de potentielles anomalies dans l'utilisation des données par les agents des douanes.


F. - Sur la sécurité du traitement


L'article 12 du règlement 2018/1672 du 23 octobre 2018 prévoit l'obligation pour les autorités compétentes de veiller à la sécurité des données traitées sur le fondement de ce règlement. Toutes les informations obtenues par les autorités compétentes sont couvertes par l'obligation de secret professionnel.
Elle prend acte de ce qu'une homologation de sécurité du traitement « DALIA 2 » est prévue pour le 4e trimestre 2024. Elle invite le ministère à l'informer du résultat de cette procédure, s'agissant notamment de l'attribution de l'homologation, sans réserve pour une durée de trois ans ou avec réserve pour une durée plus courte d'un an.
Des mesures de chiffrement des échanges seront assurées concomitamment à la mise en œuvre du traitement, qu'il s'agisse des flux sur internet pour les utilisateurs déclarants ou encore des flux internes sur le réseau de la DGDDI. Elle rappelle qu'il est indispensable de mettre en œuvre les version TLS les plus récentes.
Le déclarant aura accès à l'application « DALIA 2 » par le biais d'un site internet public. Une fois sur le site, il devra s'authentifier afin de réaliser ses démarches. Pour ce faire, deux possibilités lui sont proposées :


- se connecter en utilisant « France Connect » ;
- créer un compte directement sur « DALIA 2 ».


La CNIL ne dispose pas d'informations sur les mesures de sécurité mises en œuvre afin de sécuriser le compte utilisateur créé directement sur l'application « DALIA 2 ». S'agissant de l'authentification par l'utilisation d'un identifiant et d'un mot de passe, elle rappelle que tout responsable de traitement utilisant des mots de passe doit garantir un niveau minimal de sécurité reposant, en particulier, sur une longueur et une complexité suffisantes, conformément à sa recommandation sur les mots de passe (v. CNIL, SP, avis, 21 juillet 2022, recommandation relative aux mots de passe, n° 2022-100, publié).
Les autres dispositions du projet d'arrêté n'appellent pas d'observations.