• Home  / 
  • DELIBERATION 00-034

DELIBERATION 00-034

By Thiébaut Devergranne / 5 years ago

La Commission Nationale de l'Informatique et des Libertés,

Saisie pour avis par le ministre de l'économie, des finances et de l'industrie :

- d'un projet de décret "pris pour l'application des articles 1649 quater B bis et 1649 quater B quater du code général des impôts et relatif à la transmission des déclarations fiscales professionnelles par voie électronique",

- d'un projet d'arrêté "portant convention-type relative aux opérations de transfert de données fiscales effectuées par des partenaires de la direction générale des impôts pour les échanges de données informatisés

- d'un projet d'arrêté "relatif à la mise en service par la direction générale des impôts d'un traitement automatisé de collecte des données fiscales et comptables" ("TDFC"),

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard d'un traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, ensemble le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application des dispositions de la loi précitée,

Vu la loi n° 79-18 du 3 janvier 1979 sur les archives, ensemble le décret n° 79-1037 relatif à la compétence des services d'archives publics et à la coopération entre les administrations pour la collecte, la conservation et la communication des archives publiques, notamment ses articles 12 et 13,

Vu la loi n° 94-126 du 11 février 1994 relative à l'initiative et à l'entreprise individuelle, notamment ses articles 1 et 4,

Vu la loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique,

Vu le code général des impôts, notamment les articles 1649 quater B bis et 1649 quater B quater,

Vu le livre des procédures fiscales, notamment les articles L. 170, L. 186 et R. 196-1.

Vu le code des marchés publics, notamment les articles 48 et 52 à 55,

Après avoir entendu Monsieur Noël CHAHID-NOURAI en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement, en ses observations,

FORMULE LES OBSERVATIONS SUIVANTES :

Le traitement de la direction générale des impôts (DGI) dénommé "transfert de données fiscales et comptables" (TDFC"), qui fait l'objet de la saisine pour avis, permet aux entreprises commerciales, agricoles ou libérales de faire parvenir à l'administration fiscale, sur support magnétique ou via le réseau de télécommunication, leurs déclarations de résultats, les liasses fiscales ainsi que tout document qui les accompagnent. Les opérations techniques d'échange de données données sont réalisées le plus souvent par un intermédiaire technique habilité par la DGI, dénommée "partenaire EDI" échange de données informatisé), spécialement mandaté à cet effet par le contribuable. Elles peuvent également l'être par le contribuable lui-même, sous réserve qu'il ait obtenu la qualité de partenaire EDI.

Les projets soumis à la CNIL prévoient, d'une part, l'instauration d'un nouveau cadre juridique qui s'applique à l'ensemble des téléprocédures fiscales mises, à terme, à la disposition des entreprises, d'autre part, l'aménagement du seul dispositif actuellement en vigueur, la procédure "TDFC".

I - Sur la mise en place d'un cadre juridique général pour les déclarations dématérialisées des entreprises

Le dispositif proposé comporte, plus précisément, un projet de décret pris pour l'application des articles 1649 quater B bis et 1649, quater B quater du CGI et un projet d'arrêté portant convention-type relative aux opérations de transfert de données fiscales effectuées par des partenaires de la direction générale des impôts pour les échanges de données informatisés.

Les modalités de la transmission électronique de l'ensemble des déclarations professionnelles, qui sont identiques quel que soit l'impôt considéré et le mode de transmission électronique utilisé, sont fixées lorsque la procédure est facultative, par un contrat d'adhésion qui lie l'administration au contribuable, et lorsqu'elle a un caractère obligatoire en application de l'article 1649 quater b quater du CGI, par arrêté du ministre chargé du budget.

La Commission prend acte de ce que, pour chaque catégorie de déclaration professionnelle, les modalités de transmission et de traitement correspondantes sont définies par arrêté du ministre compétent pris après avis de la CNIL.

Le projet de décret prévoit que chaque partenaire EDI, qu'il s'agisse pour son compte propre ou pour celui de ses mandants, conclut également avec l'administration fiscale, au vu d'un cahier des charges, une conventIon conforme au modèle défini par le projet d'arrêté susmentionné, qui formalise leurs engagements respectifs. La nouvelle convention-type sera adressée à l'ensemble des partenaires EDI recensés. Toutefois, les conventions conclues en application des dispositions antérieures seront prorogées.

Le projet de convention type - qui revêt la forme d'un arrêté - prévoit qu'un partenaire EDI n'est pas autorisé à sous-traiter l'envoi des télédéclarations fiscales à un organisme "ayant pas obtenu lui-même la qualité de partenaire EDI. Lorsque cette condition est remplie, le partenaire initialement mandaté a pour seule obligation d'en informer sa clientèle.

Les annexes de la demande d'avis - mais non le projet de décret, ni le projet d'arrêté - prévoient que la qualité de partenaire EDI est reconnue au terme d'une procédure d'habilitation qui comporte une phase administrative, au cours de laquelle la "moralité publique" du demandeur est examinée, et une phase technique qui se limite à l'analyse de la description faite par le candidat des moyens techniques qu'il mettra en oeuvre pour procéder aux transmissions. L'étude de la moralité du demandeur est effectuée sur la base des critères définis pour les personnes souhaitant être admises à concourir aux marchés de l'Etat (absence de faillite personnelle, régularité de la situation au regard des impôts, taxes et cotisations sociales). Les seules informations prises en compte par l'administration consistent dans les certificats, attestations ou déclarations, délivrés par les administrations et organismes compétents, que le candidat doit produire.

La commission observe, en ce qui concerne - phase administrative, que la procédure d'habilitation des candidats au titre de partenaire EDI, qui - sans texte spécial le prévoyant explicitement - suit les règles du code des marchés publics applicables aux personnes souhaitant soumissionner aux marchés de l'Etat alors qu'il ne s'agit pas de marchés publics, ne peut être regardée comme étant conforme aux dispositions en vigueur.

Les autres dispositions des projets de décret et d'arrêté relatifs à la transmission par voie électronique des déclarations fiscales professionnelles n'appellent pas d'observation particulière.

II. Sur les modalités de transfert et de traitement propres à la procédure "TDFC"

En ce qui concerne la transmission des informations fiscales et comptables

Les autres documents de la demande d'avis modificative, notamment le projet d'arrêté relatif à la mise en service par la direction générale des impôts d'un traitement automatisé de collecte des données fiscales et comptables, se rapportent exclusivement au dispositif relatif à l'envoi, sous une forme dématérialisée, des déclarations de résultats et de leurs annexes.

Les contribuables susceptibles d'adhérer à ce système sont :

- les entreprises soumises à l'impôt sur les sociétés, ou à l'impôt sur le revenu (IR) dans la catégorie des bénéfices industriels et commerciaux relevant d'un régime réel d'imposition,

- les contribuables soumis à l'IR dans la catégorie des bénéfices non commerciaux relevant du régime de la déclaration contrôlée,

- les contribuables soumis à l'IR dans la catégorie des bénéfices agricoles relevant d'un régime réel d'imposition,

Deux formules d'adhésion leur sont actuellement proposées :

- l'adhésion partielle permet de ne transmettre que leur liasse fiscale, à l'exclusion des autres documents (déclaration de résultats, annexes signées). Elle se traduit par la simple apposition d'une mention dans une case réservée à cet effet sur la première page de la déclaration de résultats papier correspondante. Cette adhésion doit être renouvelée chaque année ;

- l'adhésion globale concerne la transmission de l'ensemble des éléments déclaratifs, notamment de la plupart des annexes (relevé de frais généraux, attestation d'adhésion délivrée par l'organisme de gestion agréé, annexes libres ...). Elle suppose la souscription d'un contrat d'adhésion à "TDFC", qui doit être déposé auprès du centre des impôts de rattachement au plus tard à la date limite du dépôt papier. Ce contrat mentionne les coordonnées du partenaire EDI qui a été choisi pour assurer la transmission des documents fiscaux.

La convention "TDFC", dont le texte est modifié par le projet d'arrêté soumis à la CNIL, est conclue pour une durée d'un an à compter de la date de la signature et renouvelable par tacite reconduction. Les contribuables peuvent, à tout moment, renoncer au bénéfice de la procédure " IDFC" en déposant une déclaration de résultats sur support papier, pour ceux qui ont opté pour la transmission globale, ou tout ou partie de la liasse sur support papier, pour ceux qui ont choisi l'adhésion partielle.

Par ailleurs, la procédure de la transmission globale sera systématiquement appliquée à partir de 2001 aux contribuables ayant, au titre de l'article 1649 quater B quater du code général des impôt, l'obligation de souscrire par voie électronique leurs déclarations d'impôt sur les sociétés.

Alors que deux modes de transmission des fichiers émis par les partenaires EDI sont actuellement utilisés : depuis l'origine, le support magnétique (bande ou cartouche magnétiques) et depuis 1992, la télétransmission, l'administration fiscale envisage, désormais, la mise en place d'une nouvelle application- dénommée "EDI-TDFC", conforme à la norme internationale EDIFACT-ONU. La dématérialisation du dépôt des documents fiscaux et comptables a été engagée par la DGI dès 1991 sur un format "propriétaire". Or, depuis une circulaire du Premier ministre en date du 16 janvier 1997, les administrations doivent recourir, pour leurs échanges dématérialisés, à la norme EDIFACT, actuellement utilisée de façon prédominante en France et dans le monde.

"EDI-TDFC" présente l'avantage d'assurer l'identité de langage de l'émetteur déclarant au récepteur au sein de la DGI. Les opérations de conversion d'un langage à l'autre ne seront plus nécessaires au niveau du partenaire EDI ou les logiciels de comptabilité. En outre, les messages EDIFACT utilisés pour la procédure "EDI-TDFC" seront compris de la profession comptable, des banques, des tribunaux de commerce, des administrations, permettant ainsi, à terme, à un même émetteur des transmettre simultanément les informations à plusieurs destinataires.

Le format antérieur, dit "TDFC traditionnel" sera maintenu pendant une période de transition afin de permettre aux partenaires de la DGI de modifier leurs traitements. L'ensemble de ces modalités n'appelle pas d'observations particulières.

Depuis 1994, la procédure prévoit le recours à un dispositif de sécurisation électronique, qui est mis en place pour :

- les partenaires EDI ayant décidé de mettre en place la nouvelle procédure "EDI-TDFC"

- ceux qui adhérent à la procédure "TDFC traditionnel", mais qui ont choisi d'effectuer la transmission des déclarations de résultats et autres documents signés.

Par sécurisation on fait référence à un dispositif technique qui donne à un document sous forme électronique la même valeur administrative et juridique qu'un document papier signé.

Elle assure au partenaire EDI, auteur de l'échange, la garantie qu'il sera identifié de manière irréfutable par la DGI, que les données signées ne pourront plus être modifiées au cours ou après l'échange, que tous les éléments de sécurité sont archivés et qu'en cas de détournement du dispositif de sécurisation du partenaire EDI, le système sera immédiatement mis en opposition.

Le partenaire EDI qui désire mettre en oeuvre la sécurisation des données doit disposer d'une bibliothèque de fonctions de sécurité, d'un jeu de cartes à microprocesseur contenant ses éléments d'identification - appelé "certificat" -, une clé publique et une clé secrète d'échange, et d'un lecteur de cartes à microprocesseur. Lors de son agrément, le partenaire EDI reçoit de la DGI un certificat qui l'authentifie. Au cours de l'échange, le partenaire EDI transmet son certificat, la clé d'échange publique qui permettra à la DGI de déchiffrer sa signature, et une signature de la DGI garantissant ces éléments d'identification.

Par ailleurs, la valeur juridique des documents informatiques transmis sans recours au procédé de sécurisation électronique devrait, en toute hypothèse, être reconnue dès lors que seront réunies les conditions posées par la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique :

- l'identification de la personne dont émanent les documents ;

- l'établissement et la conservation de ceux-ci dans des conditions propres à un garantir l'intégrité.

La Commission observe, en revanche, que les informations, qui sont accompagnées du résultat de la sécurisation et du certificat de l'émetteur, sont transmises en clair par le partenaire EDI à la DGI.

La DGI justifie cette solution parla décision, prise au moment de l'étude préalable de "TDFC", de placer les transmissions dématérialisées et les échanges papier sur un même niveau de confidentialité.

Elle fait également observer que les informations transmises ont un caractère public pour la plupart des entreprises concernées par "IDFC" qui ont l'obligation de publier leurs comptes. Elle ajoute que la messagerie X400 ou le protocole PESIT sur TRANSPAC ont une garantie suffisante contre les intrusions. Elle annonce, enfin qu'une étude sera prochainement lancée en vue d'utiliser internet comme environnement d'échange et, dans ce cas, le message transmis. pourrait être chiffré.

La Commission considère, s'agissant de l'argument relatif à la publicité légale des comptes annuels que ce dispositif ne s'applique pas à l'ensemble des sociétés commerciales et civiles (ex. : certaines sociétés en nom collectif ou en commandite simple) et qu'a fortiori, elle ne concerne jamais les personnes physiques ayant la qualité de commerçant, artisan ou exerçant une profession libérale, qui sont cependant susceptibles d'adhérer à "TDFC". En outre, et en toute hypothèse, l'argument ne vaut ni pour l'ensemble des annexes transmises via "TDFC", ni pour la déclaration fiscale de résultats dont le contenu est soumis au secret fiscal.

L'exemple récent de la procédure de transmission par internet des déclarations de revenu montre que la DGI a parfois recours à des dispositifs de cryptage pour préserver la confidentialité des informations qui lui sont transmises et il paraît difficile de justifier que les déclarations de bénéfices industriels et commerciaux, de bénéfices non commerciaux ou de bénéfices agricoles ne bénéficient pas des garanties que les déclarations d'ensemble des revenus des mêmes personnes physiques.

En conséquence, la Commission insiste sur l'intérêt qu'il y aurait pour l'administration à mettre en place, à terme, conformément aux orientations générales du ministère de l'économie, des finances et de l'industrie, un dispositif technique permettant à chaque déclarant de choisir le degré de confidentialité dont il souhaite bénéficier - y compris à un niveau très élevé - pour le transfert des informations le concernant, ce qui suppose que les serveurs de l'administration fiscale soient en mesure d'accepter tous les niveaux de sécurité.

La Commission demande, par ailleurs, que, jusqu'à la mise en place de ce dispositif de cryptage dont elle souhaite qu"elle intervienne dans les meilleurs délais, les contribuables adhérents à "TDFC" soient clairement informés de ce que les informations les concernant sont transmises en clair entre le partenaire EDI et la DGI et que seule la signature électronique fait l'objet d'un procédé de chiffrement qui garantit l'origine et l'intégrité des données, mais non leur confidentialité.

En ce qui concerne les modalités d'exploitation et de conservation des informations par les partenaires EDI

La DGI propose, afin de prévenir la conservation, par le partenaire EDI, des informations au-délai du temps nécessaire aux opérations de transmission par voie électronique, que le cahier des charges de l'application indique que toute conservation ou utilisation des données au-délai du temps nécessaire à leur transmission et à leur bonne réception par la DGI s'écarte de la procédure TDFC, et relève, s'agissant des conditions de mise en oeuvre de traitements informatisés, de la loi n° 78-17 du 6 janvier 1978.

Le projet d'arrêté "TDFC" indique, par ailleurs, que le partenaire EDI ne peut conserver les informations au-delà de ce qu'impose la procédure de télédéclaration qu'avec l'accord du contribuable et pour la réalisation d'opérations effectuées à sa demande.

En outre, le partenaire EDI pourra transmettre, à des organismes tiers (organismes de gestion agréés, banques, tribunaux de commerce ...) et sous les formats définis pour les téléprocédures fiscales, les données informatiques relatives aux renseignements comptables et fiscaux à la condition qu'il respecte les prescriptions de la loi du 7 janvier 1978, que la transmission ait été expressément autorisée par le contribuable et que le numéro fiscal FRP ne fasse pas partie des données transmises.

Ces dernières dispositions n'appellent pas d'observations particulières

En ce qui concerne les modalités d'exploitation et de conservation des informations par la DGI.

Le centre régional informatique (CRI) de Nevers assure la réception des envois dématérialisés. Il vérifie la qualité des données avant de les communiquer aux autres CRI en fonction de leur compétence territoriale, en vue de leur utilisation. Les informations sont, en premier lieu, intégrées dans les chaînes de traitement de l'application "FNDP". En second lieu les déclarations professionnelles sont mise à la disposition des seuls agents des recettes et des centres des impôts chargés de l'assiette, du contrôle et du recouvrement, en fonction des règles de compétence territoriale, soit sous forme d'éditions papier, soit en consultation à l'écran.

Le projet d'arrêté "TDFC" indique que la durée de conservation des informations est définie par référence à l'article R. 196-1 du livre des procédures fiscales (LPF) qui définit sauf dérogations particulières, le délai général de réclamation en matière fiscale : deux ans après l'année, suivant le cas, de la mise en recouvrement du rôle ou le versement spontané de l'impôt, Toutefois, la DGI ajoute qu'il ne saurait, dans un arrêté, être préjugé des dérogations législatives ou réglementaires qui existent ou qui pourraient être instaurés. Il en est ainsi des reports d'amortissements de déficits dont l'origine doit pouvoir être justifiée dès lors qu'ils ont un effet sur les résultats d'un exercice non prescrit. En tout état de cause, l'administration considère que la durée moyenne des effets des dispositions légales en vigueur permet d'indiquer que le délai de conservation sera de 10 ans, conformément aux articles L. 170 et L. 186 du livre des procédures fiscales.

En conséquence, la Commission considère qu'il convient que les informations restent consultables en ligne par les services fiscaux pendant deux années, conformément au délai prévu à l'article R. 196-1, et qu'elles soient, ensuite, intégrées aux archives intermédiaires des CRI pendant une période ne pouvant excéder dix ans à compter de l'année d'imposition . Pendant cette période, les informations pourront être communiquées aux services des impôts qui en feront la demande. Le premier alinéa de l'article du projet d'arrêté régissant le traitement "TDFC" devra être modifié en ce sens.

En ce qui concernent les garanties apportées aux adhérents à la téléprocédure, notamment en cas de dysfonctionnement du système :

Le calendrier des obligations déclaratives subit certains aménagements pour les adhérents à la procédure "TDFC", un délai supplémentaire de 15 jours à compter de la date légale du dépôt papier leur sera systématiquement accordé, auquel s'ajoute un délai supplémentaire, accordé en cas de documents ayant fait l'objet d'un rejet technique de la part du CRI de Nevers.

Le partenaire EDI et le contribuable sont informés des suites du transfert électronique : le contribuable adhérant à TDFC reçoit à sa demande, un accusé de réception postal relatif aux documents reçus par le CRI de Nevers. Le partenaire EDI reçoit, pour sa part, en premier lieu, un accusé de réception magnétique précisant, pour les fichiers rejetés, la nature de l'anomalie la plus grave affectant la transmission, en second lieu, un document de synthèse établi sur papier, appelé "état qualité", qui présente l'ensemble des anomalies constatées dans la transmission.

Par ailleurs, de l'émetteur initial au récepteur final (le centre ou la recette des impôts), plusieurs intermédiaires interviennent pour que la déclaration parvienne à temps au centre des impôts et centres relais, le CRI de Nevers, les opérateurs de télécommunication) et la défaillance à l'autre ou l'autre de ces niveaux peut aboutir à des mise en demeure intempestives. Afin de réduire ce risque, l'administration prévoit la réduction des délais de transfert des informations des CRI vers les centres des impôts, la création de blocages logiciels à l'émission des mises en demeure lorsqu'une déclaration a été télétransmise au CRI de Nevers, ainsi que la mise en place d'une structure départementale ayant pour mission de procéder, pour chaque incident, à un suivi personnalisé et à une analyse.

La Commission considère qu'il convient également que les documents transmis via "TDFC " fassent l'objet d'un marquage informatique spécifique à la réception des mêmes documents sur support papier, afin d'éviter toute erreur sur la nature des informations à prendre en compte pour le calcul de l'impôt.

AU BENEFICE DE CES OBSERVATIONS, LA COMMISSION EMET UN AVIS FAVORABLE sur le projet de décret et les deux projets d'arrêtés qui lui sont soumis par le ministère de l'économie, des finances et de l'industrie SOUS RESERVE :

- qu'une solution juridiquement satisfaisante soit trouvée à la question du support juridique de la procédure d'habilitation mise en place pour les candidats au titre de partenaire EDI,

- que, jusqu'à la mise en place de ce dispositif de cryptage dont la Commission souhaite qu'il intervienne dans les meilleurs délais les contribuables adhérents à "TDFC" soient clairement informés de ce que les données fiscales et comptables sont transmises en clair entre le partenaire EDI et la DGI et que seule la signature électronique fait l'objet d'un procédé de chiffrement garantissant l'origine et l'intégrité des informations, mais non leur confidentialité,

- que les informations issues de "TDFC" soient consultables en ligne par les services fiscaux pendant deux années, qu'elles soient ensuite intégrées aux archives intermédiaires des CRI pendant une période ne pouvant pas excéder 10 ans à compter de l'année d'imposition et que le premier alinéa de l'article 4 du projet d'arrêté "TDFC" soit modifié en ce sens,

- que les documents transmis via "TDFC" fassent l'objet d'un marquage informatique spécifique à la réception des mêmes documents sur support papier. Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: