• Home  / 
  • DELIBERATION 00-010

DELIBERATION 00-010

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 199S relative à la protection des personnes physiques, à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection de personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, ensemble le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application des dispositions de la loi précitée ;

Vu le code général des impôts, notamment les articles 170-1 bis, 1649 quater B ter ;

Vu le livre des procédures fiscales, notamment l'article R. 196-1 ;

Vu trois projets d'arrêtés du ministre de l'économie, des finances et de l'industrie concernant respectivement la transmission par voie électronique des éléments déclaratifs en matière d'impôt sur les revenus et portant conventions-types relatives à ces opérations, la modification consécutive de l'arrêté du 5 janvier 1990 relative au traitement "FIP" et celle de l'arrêté du 5 janvier 1990 relatif au traitement "IR" ;

Après avoir entendu Monsieur Noël CHAHID-NOUARAI en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement, en ses observations ;

Considérant que le ministère de l'économie et des finances a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis relative à un projet de traitement de la direction générale des impôts (DGI) dénommé "Télédéclaration IR", dont la finalité principal est de permettre aux contribuables qui le souhaitent de souscrire directement sur le réseau Internet leur déclaration de revenu global ainsi que leurs déclarations annexes, La télétransmission ne pouvant concerner toutefois les pièces justificatives qui ouvrent droit au bénéfice d'une réduction, lesquelles devront toujours être envoyées par courrier postal au centre des impôts mentionné sur le formulaire papier préidentifié ;

Considérant que le projet de traitement ainsi soumis à l'examen de la Commission trouve son fondement dans la loi de finances rectificative pour 1999 qui étend aux déclarations fiscales des particuliers les dispositions de l'article 1649 quater B bis du code général des impôts autorisant la transmission par voie électronique des déclarations des entreprises, dans des conditions fixées par voie contractuelle ;

Considérant que, s'agissant des particuliers, les modalités de la télétransmission des déclarations sont également définies dans un contrat d'adhésion, lequel fixe les obligations des parties et détaille la procédure suivie, qui sera consultable sur le site web du ministère de l'économie, des finances et de l'industrie et dont les clauses sont précisées dans le projet d'acte réglementaire soumis pour avis à la CNIL ;

Considérant qu'à la date à laquelle elle se trouve saisie de cette nouvelle téléprocédure, la Commission n'est plus en mesure de formuler utilement des suggestions de modification substantielle au dispositif technique envisagé ; qu'au surplus, une période d'acclimatation et essai est nécessaire à la mise au point définitive de ce dispositif ; qu'enfin un certain nombre de réformes techniques et juridiques déjà programmées en ce qui concerne le recours aux procédés de signature électronique pourraient être de nature à influer sur ses modalités définitives ; qu'il y a lieu, dès lors et en premier lieu, de limiter la portée du présent avis à la mise en oeuvre d'une expérimentation pendant la prochaine campagne, soit pendant une durée d'un an et de demander au ministère de l'économie, des finances et de l'industrie de présenter, à l'issue de cette campagne, un bilan de l'opération assorti de perspectives d'aménagement visant à obtenir dès 2001 un renforcement des dispositifs de sécurité et de chiffrement, incluant notamment la mise en place d'un procédé de signature électronique, seul système susceptible d'identifier sans risque d'erreur le (ou les) signataire (s) et de manifester son (ou leur) adhésion au contenu de la déclaration ;

Considérant toutefois et en second lieu, qu'il est possible, s'agissant du dispositif mis en place cette année, de formuler un certain nombre d'observations accompagnées de recommandations propres à assurer un meilleur agencement du service rendu aux contribuables ;

Considérant que le projet transmis à la CNIL prévoit que le contribuable souhaitant recourir à la téléprocédure s'identifie auprès du serveur du ministère en inscrivant "au caractère près" certains des renseignements portés sur la déclaration de revenus papier : ses nom et prénom - ou, en cas de personnes mariées, ceux de l'époux - et le numéro d'identification du foyer fiscal (numéro FIP) ; que ces éléments d'identification sont contrôlés à partir d'une base nationale de référence qui est créée pour la durée de la campagne de déclaration à partir des fichiers départementaux "FIA" et qui recense la totalité des contribuables ayant rempli une déclaration de revenus l'année précédente ; qu'à cette fin, le ministère a également saisi la CNIL d un projet d'arrêté modificatif concernant le traitement "FIP" de la DGI ;

Considérant que, l'identification du déclarant au moyen de son numéro FIP et la transmission des fichiers de télédéclaration vaut acceptation du contrat d'adhésion à la procédure de télédéclaration et qu'inversement, le dépôt d'une déclaration papier vaut résiliation du contrat ;

Considérant qu'il ne peut être procédé qu'à un seul transfert par voie électronique par foyer fiscal ; qu'à cette fin la base nationale de référence précitée conserve une trace de chaque déclaration reçue, identifiée par le numéro FIP du foyer fiscal, afin d'éviter les dépôts multiples ; qu'en conséquence, toute modification ultérieure d'une déclaration transmise par voie électronique doit être effectuée par courrier postal adressé au centre des impôts de rattachement du contribuable ; qu'en outre, la procédure de télédéclaration ne peut pas être utilisée par les primodéclarants et qu'elle ne doit pas l'être par les contribuables ayant connu, au cours de l'année concernée par la déclaration un changement dans leur état-civil ou dans leur situation familiale ;

Considérant que le numéro FIA permet d'attribuer une déclaration à un foyer fiscal ; qu'en revanche, il ne permet aucune identification du ou des auteurs de la déclaration ; qu'a fortiori, le dispositif de l'article 170-1 bis du code général des impôts selon lequel, lorsque le foyer comprend plusieurs membres, les époux doivent conjointement signer la déclaration d'ensemble des revenus de leur foyer, perd en l'état tout caractère opératoire dans le cadre de la télédéclaration, l'engagement des deux époux même s'il est toujours requis, ne pouvant pas être contrôlé ; qu'en conséquence, s'il est impossible de trouver, dès cette année, une solution à cette difficulté, il conviendra de la résoudre au plus tard l'an prochain ;

Considérant, en outre, que la confidentialité du numéro FIP ne peut pas être garantie dans la mesure où cet identifiant figure tant sur les formulaires papier préidentifiés de la déclaration de revenus que sur les avis d'imposition à l'impôt sur le revenu, à la CSG et à la taxe d'habitation du moins pour la taxe due au titre de la résidence principale, qui sont susceptibles d'être demandés par des personnes ou organismes souhaitant s'assurer de l'adresse ou du niveau global des revenus du contribuable ;

Considérant cependant que, moyennant un renforcement de l'information des contribuables, les règles prévues par le ministère en ce qui concerne l'envoi d'une seule déclaration électronique par foyer fiscal et la primauté donnée en toute circonstance aux déclarations transmises sur support papier devaient constituer une garantie suffisante contre tout établissement par l'administration de l'assiette de l'impôt du par un foyer fiscal sur la base d'une déclaration qui lui aurait été transmise à l'insu des personnes concernées ;

Considérant que si la DGI prévoit, à l'issue de la transmission des fichiers, de faire parvenir au contribuable, immédiatement un accusé de réception électronique indiquant que le transfert des déclarations énumérées sur le document informatique s'est bien ou mal déroulé sur le plan technique, et ultérieurement, par voie postale et dans les meilleurs délais, à l'adresse mentionnée sur la télédéclaration, un accusé de réception récapitulant l'ensemble des informations qu'elle comportait, un tel dispositif ne permet pas d'écarter tous risques ; que, par suite et dans l'attente d'une amélioration du dispositif d'authentification du déclarant et du contenu de la déclaration système, il conviendrait que la DGI donne instruction à ses services d'examiner avec une bienveillance toute particulière les réclamations liées à des difficultés rencontrées lors de l'utilisation de la télédéclaration ;

Considérant que l'information communiquée aux contribuables souhaitant recourir à la télédéclaration doit être de nature à pallier les lacunes du système mis en place ; qu'à cette fin, le programme de saisie des déclarations électroniques doit clairement informer les contribuables :

- sur la nécessité, compte tenu des risques de saturation du réseau, de procéder en temps utile à la télédéclaration,

- sur le court délai dans lequel l'administration s'engage à lui adresser un récépissé par courrier, afin qu'il puisse, en cas de doute, faire parvenu à l'administration une déclaration "papier",

- sur la possibilité pour lui d'envoyer, jusqu'à l'expiration du délai de dépôt de la déclaration, une déclaration papier afin de remplacer le document électronique qu'il vient de transmettre,

- sur l'intérêt qu'il a à éditer les déclarations qu'il vient de transmettre à la DGI afin d'en conserver une trace,

- sur l'opportunité de procéder à un effacement des fichiers transmis à la DGI de la mémoire de l'ordinateur utilisé pour l'opération lorsque le déclarant n'en est pas l'unique utilisateur ;

Considérant, en outre, qu'en cas de tentative d'envoi d'une déclaration par voie électronique au nom d'un contribuable pour le compte duquel le système de télédéclaration a déjà été utilisé, il conviendrait que le message de rejet informe l'usager des raisons du blocage et des conséquences qu'il doit en tirer ; qu'à cette fin il pourrait être indiqué au contribuable qu'une déclaration électronique concernant son foyer fiscal a déjà été adressée à l'administration et a fait ou fera l'objet d'un récépissé qu'il devrait normalement recevoir dans les prochains jours, qu'il doit dorénavant utiliser le formulaire papier à adresser à son centre d'impôts s'il souhaite faire une nouvelle déclaration et que cette nouvelle déclaration annulera la déclaration électronique qui a été faite à son nom par le réseau Internet ;

Considérant, enfin que l'administration devrait adresser au contribuable concerné, par envoi recommandé avec accusé de réception, non seulement les courriers qui vaudront connotation des renseignements portés sur les déclarations effectuées par voie électronique, mais aussi, en cas de réception pour un même foyer fiscal, de plusieurs déclarations réalisées sur support informatique ou papier, d'un courrier l'informant que seuls seront pris en compte les éléments déclaratifs portés sur le formulaire papier ;

Considérant, s'agissant des mesures de sécurité mises en place, que la protection du serveur du ministère des finances repose sur la définition de zones d'accès logiques dont l'accès est régulé par des pare-feu ; que la zone comportant la base de données nationale de référence qui recense l'ensemble des contribuables connus est placée sur un serveur dédié et bénéficie d'un dispositif de sécurité renforcé ; qu'en outre, la DGI a pris l'engagement formel que cette base nationale sera détruite un mois après l'expiration du délai de dépôt des déclarations d'impôt sur le revenu ;

Considérant, par ailleurs, que l'ensemble des équipements du site informatique central est installé sur un plateau technique commun, dans des locaux dont l'accès est réservé aux personnels habilités et contrôlé par des lecteurs de cartes à puce ; que l'accès à chaque serveur et aux projets des différents serveurs est également réservé à des personnes spécialement habilitées ; qu'ainsi seules deux personnes pourront accéder logiquement à la base de données des contribuables et à ses sauvegardes, qui sont conservées dans la même enceinte sécurisée ;

Considérant que la DGI a également pris l'engagement que le transfert électronique des déclarations s'effectue en mode sécurisé (SSL) au moyen d'un dispositif de cryptage connu uniquement de la DGI ; que les données reçues par l'administration sont décryptées pour être intégrées dans les traitements de taxation à l'impôt sur le revenu et, dans les cas les plus complexes, pour faire l'objet d'éditions papier à destination des services compétents ; que ces opérations sont déclarées à la Commission dans le cadre d'une demande d'avis modificative relative au traitement "IR" de la direction générale des impôts, dont l'objet est de gérer la situation des foyers fiscaux vis à vis de l'impôt sur le revenu ;

Considérant, enfin, que la DGI a indiqué que les transmissions de données effectuées entre le serveur et ses centres informatiques utilisent le réseau interne du ministère et sont également chiffrées ;

Considérant que le niveau de chiffrement assuré cette année, qui est de 40 bits seulement, peut être accepté mais que la Commission a pris bonne note que la DGI a conscience de l'insuffisance de cette solution et envisage de rehausser prochainement ce niveau de chiffrement ;

Considérant que les fichiers transmis par voie électronique sont conservés dans les centres informatiques de la DGI pendant le délai de recevabilité des réclamations des contribuables tel que fixé au point a de l'article R. 196-1 du livre des procédures fiscales, c'est-à-dire pendant les deux années suivant l'année de mise en recouvrement ; que, pendant ce délai, le contribuable qui n'aurait pas reçu d'accusé de réception devrait être en mesure de demander de recevoir ce document ;

Considérant, enfin que la DGI prévoit de retirer le système de télédéclaration du réseau internet le lendemain de la date limite de dépôt des déclarations à 8H00 ; que cependant, une telle mesure ne tiendrait pas pleinement compte de la dimension mondiale du réseau internet ; qu'en effet, dès lors que le projet d'arrêté ne prévoit pas de déroger aux règles de l'article 175 du code général des impôts concernant le délai fixé pour le dépôt des déclarations, il convient que l'envoi d'une déclaration par internet reste possible tant que la date limite fixée par l'article 175 n'aura pas été dépassée pour l'ensemble des fuseaux horaires ;

EMET, compte tenu de tout ce qui précède, un avis favorable pour un an, c'est-à-dire pour la durée de la campagne 2000 de l'impôt sur le revenu, sur Le projet d'arrêté du ministre de l'économie, des finances et de l'industrie relatif à la télédéclaration IR ainsi que sur les projets d'arrêtés modificatifs.s concernant les traitements "FIP" et "IR" et, dans ces conditions, sous réserve que l'article 1er du projet d'arrêté relatif à la télédéclaration IR précise que le traitement "est autorisé pour la durée de la campagne 2000 de l'impôt sur le revenu",

DEMANDE que soient d'ores et déjà dûment prises en compte par l'administration les recommandations précisées ci-dessus concernant ;

- l'information mise à la disposition des contribuables et tout particulièrement l'envoi d'un courrier avec accusé de réception, en cas de réception, pour un même foyer fiscal, de plusieurs déclarations réalisées sur support informatique ou papier,

- la transmission aux services fiscaux d'instructions leur demandant d'examiner avec une bienveillance toute particulière les réclamations qui seraient liées à des difficultés avérées rencontrées lors de l'utilisation de la procédure de télédéclaration,

- l'information des contribuables sur le fait qu'ils peuvent demander de recevoir copie du contenu des fichiers de déclaration les concernant qui auront été transmis par voie électronique pendant les deux années suivant l'année de mise en recouvrement,

- le retrait du réseau Internet du dispositif de télédéclaration après que la date limite fixée pour le dépôt des déclarations aura été dépassée pour l'ensemble des fuseaux horaires,

DEMANDE, en outre, dans la perspective de La mise en place du dispositif à établir pour l'année prochaine, qu'un bilan sur les conditions de mise en oeuvre en 2000 de la télédéclaration soit remis à la Commission et que l'administration étudie, pour 2001, Le renforcement des dispositifs de sécurité et de chiffrement, incluant la mise en place d'un procédé de signature électronique. Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: