Articles

Article AUTONOME VIGUEUR, en vigueur depuis le (Arrêté du 9 avril 2018 portant création d'un traitement automatisé de données à caractère personnel dénommé PayFiP)

Article AUTONOME VIGUEUR, en vigueur depuis le (Arrêté du 9 avril 2018 portant création d'un traitement automatisé de données à caractère personnel dénommé PayFiP)



ANNEXEDélibération n° 2018-078 du 22 février 2018 portant avis sur un projet d'arrêté relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « PayFiP » ayant pour finalité de mettre à disposition des usagers une offre de paiement par prélèvement bancaire (demande d'avis n° 2136736)


La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « PAYFiP » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2012-1246 du 7 novembre 2012 relatif à la gestion budgétaire et comptable publique ;
Vu l'arrêté du 22 décembre 2009 portant création d'un traitement automatisé de données à caractère personnel dénommé « TIPI » (Titres payables par internet) ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de l'économie et des finances d'une demande d'avis sur un projet d'arrêté portant création, par la Direction Générale des Finances publiques (DGFiP), d'un traitement de données à caractère personnel dénommé « PAYFiP ».
Ce dispositif vise à mettre à disposition des usagers des administrations publiques un téléservice de l'administration permettant aux usagers d'effectuer un paiement en ligne par prélèvement bancaire.
Dans la mesure où le traitement projeté comporte un identifiant des personnes physiques, il relève des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée. Conformément auxdites dispositions, sa mise en œuvre doit dès lors être autorisée par arrêté ministériel pris après avis motivé et publié de la commission.
Le ministère a indiqué qu'à terme, une deuxième version de « PayFiP » permettant notamment de s'authentifier via FranceConnect serait déployée. La commission rappelle qu'elle devra être saisie de toutes les modifications que le déploiement de cette prochaine version du traitement pourrait impliquer.
Sur la finalité du traitement :
Le traitement projeté s'insère dans le cadre du développement de l'administration numérique et particulièrement des moyens de paiement électronique offerts aux usagers.
Aux termes de l'article 2 du projet d'arrêté, le traitement a pour finalité de mettre à disposition des usagers, un service sécurisé de paiement en ligne, leur permettant de régler, par prélèvement bancaire, les créances émises par les organismes et services publics soumis au décret n° 2012-1246 du 7 novembre 2012 (services de l'Etat, collectivités territoriales, établissements publics d'enseignement, établissements publics de santé…).
La commission prend acte que le traitement « PayFiP » permettra à un usager de payer des créances fiscales et des créances non fiscales (restauration, piscine, bibliothèque, centre de loisirs, etc.) en ligne à un organisme ou service public adhérant au dispositif « TIPI » par prélèvement bancaire.
La commission prend acte qu'il s'agit d'un service de paiement facultatif mis à disposition des usagers.
L'article 2 indique en outre que « Le service sécurisé de paiement en ligne est mis à disposition par l'intermédiaire d'application ou de téléservices ».
En pratique, le dispositif envisagé dans sa première version ne pourra fonctionner qu'avec l'application « TIPI ». Pour rappel, le traitement « TIPI » (Titres Payables par Internet), mis en œuvre par la DGFiP, a pour objet la gestion du paiement en ligne par carte bancaire des titres de recette et des factures de régie émis par les organismes ayant adhéré au dispositif « TIPI ».
« TIPI » permet aux usagers des entités publiques adhérentes au dispositif de payer une créance dont ils sont débiteurs par carte bancaire sur internet par l'intermédiaire d'un gestionnaire de télépaiement agissant pour le compte de la DGFiP.
Concrètement, pour payer une facture, l'usager pourra accéder à « TIPI » soit depuis le portail de paiement de la DGFiP (www.tipi.budget.gouv.fr) soit depuis le portail de l'entité, de la collectivité ou du service public adhérant au dispositif « TIPI ».
Si l'accès se fait via le portail d'une collectivité adhérant à « TIPI », l'usager renseigne sur la page dédiée le numéro de facture, son montant et son adresse électronique et confirme sa volonté de payer. Il est alors redirigé vers « TIPI ». Pour payer par prélèvement, l'usager doit ensuite sélectionner l'option de paiement « prélèvement ».
En cas d'accès via le portail de la DGFiP, l'usager saisit les données nécessaires au paiement à savoir l'identifiant de l'organisme adhérent, les références de la créance et le montant ainsi qu'une adresse de messagerie électronique. L'usager valide sa volonté de payer la créance choisie et est redirigée vers « TIPI ». L'usager peut alors sélectionner l'option de paiement « prélèvement ».
Pour poursuivre l'opération de paiement, une brique d'authentification propose à l'usager de renseigner un identifiant et un mot de passe. En l'occurrence, l'identifiant et le mot de passe concernés sont ceux utilisés pour accéder sur l'espace personnel accessible via le site impots.gouv.fr. L'identifiant dont il est question est l'identifiant fiscal, aussi dénommé « SPI ». L'étape d'authentification de l'usager s'avère nécessaire pour accéder à « PayFiP ».
Une fois l'authentification effectuée l'usager est redirigée vers « PayFiP » et il lui est proposé soit de sélectionner un compte bancaire parmi ceux enregistrés dans le référentiel des comptes bancaires de la DGFiP « REF-CB » soit de saisir les références du compte bancaire avec lequel ilsouhaite payer sa créance.
Après confirmation du paiement par l'usager, ce dernier ainsi que le comptable ou le régisseur concerné par la créance reçoivent un « ticket de paiement » par courriel.
La commission considère que ce traitement est de nature à simplifier les démarches administratives des usagers et d'améliorer les relations entre les usagers et l'administration. A ce titre, elle estime que les finalités poursuivies sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 3 du projet d'arrêté précise les différentes catégories de données enregistrées dans le traitement en distinguant les données relatives au débiteur, les données relatives à la créance, les coordonnées bancaires utilisées pour le paiement, les données relatives à l'ordre de paiement, les données relatives au mandat de prélèvement et les données relatives au règlement de la créance.
Les données relatives à la créance et à son règlement, à l'ordre de paiement et au mandat de prélèvement n'appellent pas d'observation de la commission.
Concernant les données relatives au débiteur, le projet d'arrêté précise que sont traités les nom et prénom, l'identifiant dans le référentiel « PERS » et l'adresse électronique.
La commission prend acte que l'identifiant de la personne dans le référentiel « PERS » fait référence à l'« ITIP », il s'agit d'un identifiant technique interne à l'administration fiscale. La commission relève que cet élément doit être précisé dans le projet d'arrêté. Sur ce point, la commission prend acte que le ministère s'engage à préciser l'identifiant précité dans l'arrêté.
Par ailleurs, il est observé que les données relatives à l'authentification (le « SPI » et le mot de passe) nécessaires pour accéder à « PayFiP » ne sont pas mentionnées dans le projet d'arrêté. Sur ce point la commission rappelle l'importance d'informer les personnes concernées de l'ensemble des données collectées les concernant et invite en conséquent le ministère à modifier le projet d'arrêté en ce sens.
Aussi, la commission relève que les données relatives à l'authentification ne sont pas obligatoirement celles du débiteur. En effet, le ministère admet que la créance puisse être payée par une personne différente de celle du débiteur mais sous réserve de s'authentifier. Autrement dit, il conviendrait d'indiquer dans le projet d'arrêté que les données relatives à l'authentification (le « SPI » et le mot de passe) du payeur (qu'il soit débiteur ou non) sont enregistrées dans le traitement.
S'agissant des coordonnées bancaires utilisées pour le paiement (référence du compte, libellé du compte, identification du titulaire du compte : civilité, nom, prénom, adresse), la commission considère qu'il s'agit de données nécessaires et pertinentes au regard de la finalité poursuivie par le traitement à savoir, la réalisation d'une opération de paiement par prélèvement bancaire.
Toutefois, suite aux demandes des services de la commission concernant les coordonnées bancaires utilisées pour le paiement, le ministère a confirmé que les coordonnées bancaires utilisées pour payer une créance via « PayFiP » étaient automatiquement enregistrées dans le référentiel de la DGFiP « REF-CB » et cela sans information de l'usager et sans possibilité pour lui de refuser cet enregistrement.
Dans une logique de simplification des démarches pour l'usager, la commission entend le souci du ministère d'enregistrer les comptes bancaires des usagers en vue de leur proposer lors du paiement d'une nouvelle créance, néanmoins la commission rappelle que l'usager doit être informé du traitement de ses données conformément à l'article 32 de la loi du 6 janvier 1978 modifiée et que son consentement doit être recueilli au sens de l'article 7 de la loi précitée.
La commission souligne que les coordonnées bancaires constitue des données à caractère personnel, elle invite donc le ministère à ne pas enregistrer de manière automatique les coordonnées bancaires des usagers dans le référentiel « REF-CB » sans les avoir préalablement informé et mis en mesure d'accepter. La commission prend acte que le ministère s'engage à intégrer une évolution applicative permettant le recueil du consentement de l'usager pour la conservation de ses coordonnées bancaires dans la deuxième version de « PayFIP » déployée.
Enfin, l'article 4 du projet d'arrêté précise que les données de connexion de l'usager à « PayFiP » sont enregistrées, à savoir l'adresse IP ainsi que la date et l'heure des connexions, ce point n'appelle pas d'observation de la commission.
Sous réserve des précédentes observations, la commission estime que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 5 du projet d'arrêté distingue deux types de durées de conservation.
S'agissant des données mentionnées à l'article 3 du projet d'arrêté (notamment les données relatives au débiteur et les données relatives aux coordonnées bancaires) et des mandats dématérialisés, il est prévu une durée de conservation de dix-huit mois, justifiée par le ministère par le traitement des réclamations et notamment le délai de forclusion de treize mois suivant le débit de l'opération prévue à l'article L. 133-24 du code monétaire et financier.
La commission considère toutefois que le projet d'arrêté devrait prévoir une durée de conservation limitée au délai de forclusion précitée, soit treize mois à compter du débit de l'opération. A cet égard, la commission prend acte que le ministère s'engage à conserver les données pendant une durée de treize mois.
S'agissant des données de connexion, la durée de conservation prévue de quatre-vingt­dix jours n'appelle pas d'observation de la commission.
Sur les destinataires des données :
L'article 6 du projet d'arrêté prévoit comme destinataires au sein de la DGFiP, les agents habilités chargés de l'accompagnement des organismes et services publics pour les moyens de paiement.
Ledit article prévoit également comme destinataires le comptable public assignataire et les régisseurs, ainsi que les agents habilités placés sous leurs autorités, et la Banque de France dans le cadre des opérations de paiement.
La commission estime que les destinataires des données sont justifiés au regard de la finalité poursuivie par le traitement.
Sur l'information des personnes :
Le ministère prévoit d'informer les personnes concernées du traitement de leurs données par une mention sur le portail de télépaiement de la DGFiP, la commission estime que cette mention d'information est conforme à l'article 32 de la loi du 6 janvier 1978 modifiée.
Néanmoins, la commission rappelle l'importance de la qualité de l'information qui doit être relayée par le ministère auprès des collectivités, services publics, organismes adhérant au dispositif « TIPI ». Dans ce cadre, la commission invite le ministère à transmettre des mentions-types d'information aux collectivités, services publics et organismes adhérant au dispositif « TIPI » aux fins d'insertion sur la page d'accès ou de redirection au service de télépaiement.
Sur les droits d'accès, de rectification et d'opposition des personnes :
S'agissant des droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, l'article 7 du projet d'arrêté dispose que ceux-ci s'exercent auprès du comptable compétent, ce point n'appelle pas d'observation de la commission.
La commission rappelle toutefois que le responsable de traitement ayant collecté les données à caractère personnel par voie électronique, conformément à l'article 43 bis de la loi du 6 janvier 1978 modifiée, doit permettre à toute personne concernée par le traitement d'exercer ses droits par voie électronique.
Enfin, le ministère entend faire application du dernier alinéa de l'article 38 de la loi susmentionnée en excluant le droit d'opposition, ce qui n'appelle pas d'observation particulière de la commission.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle que le traitement étant un téléservice au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance susvisée, et doit à ce titre faire l'objet d'une analyse de risque incluant les risques pesant sur les personnes concernées. Elle rappelle également qu'il revient au responsable de traitement d'attester formellement de l'acceptation du niveau de sécurité du téléservice au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur son site.
La commission note que des profils utilisateurs et administrateurs sont prévus afin de gérer les accès aux données en tant que de besoin. Chaque usager du téléservice s'authentifie avec les identifiant (« SPI ») et mot de passe utilisés pour accéder à son espace personnel sur le site impots.gouv.fr. A cet égard, la commission rappelle que la politique de mots de passe mise en œuvre doit être conforme à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.
La commission relève qu'un module d'analyse de données est mis en place et permet une exploitation statistique des opérations effectuées comme par exemple, le montant des opérations réalisées par jour, par créancier, etc. Seuls les administrateurs ont accès aux statistiques fournies par ce module d'analyse. Ce point n'appelle pas d'observation de la commission.
Les accès au traitement « PayFiP » se font via le protocole HTIPS qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
La commission observe que les transferts de données sont sécurisés par l'utilisation de réseaux isolés et compartimentés et que des mesures sont prévues pour assurer le cloisonnement du traitement. Le réseau de la DGFiP fait l'objet de mesure de filtrage ayant pour but de restreindre l'émission et la réception des flux aux machines identifiées et autorisées.
En outre, des sauvegardes sont réalisées quotidiennement. Elles sont stockées dans un endroit garantissant leur sécurité et leur disponibilité. La commission rappelle que celles-ci doivent être testées régulièrement afin de s'assurer de leur intégrité.
Concernant la confidentialité des données, la commission prend acte que le ministère prévoit de mettre en œuvre du chiffrement pour les sauvegardes au deuxième semestre 2018.
La commission relève que les connexions des usagers font l'objet d'une journalisation pendant quatre-vingt-dix jours. Sont conservés l'adresse IP de l'usager, la requête réalisée ainsi que la date et l'heure de celle-ci. Les journaux sont accessibles uniquement par les personnels bénéficiant du profil administrateur.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


Le vice-président délégué,
M.-F. Mazars