• Home  / 
  • DELIBERATION 01-037

DELIBERATION 01-037

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le ministre de l'Economie, des finances et de l'industrie d'un projet d'arrêté "autorisant la mise en oeuvre à la direction générale des impôts d'un traitement automatisé dénommé TéléTVA, permettant d'effectuer des opérations de transmission par voie électronique des éléments déclaratifs et de paiement de la taxe sur la valeur ajoutée et des taxes assimilées",

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, ensemble le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application des dispositions de la loi précitée,

Vu la loi n° 79-18 du 3 janvier 1979 sur les archives,

Vu la loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique, ensemble le décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique,

Vu le code général des impôts, notamment les articles 1649 quater B bis, 1649 quater B quater et 1695 quater,

Vu le livre des procédures fiscales, notamment les articles L. 170, L. 176 et L. 176 A,

Vu le décret n° 2000-1036 du 23 octobre 2000 pris pour l'application des articles 1649 quater B bis et 1649 quater B quater du code général des impôts et relatif à la transmission des déclarations fiscales professionnelles par voie électronique,

Vu l'arrêté du 23 octobre 2000 portant convention-type relative aux opérations de transfert de données fiscales effectuées par des partenaires de la direction générale des impôts pour les échanges de données informatisés,

Après avoir entendu Monsieur Jean-Pierre de LONGEVIALLE en son rapport et Madame Charlotte-Marie PITRAT, Commissaire du Gouvernement, en ses observations,

REND L'AVIS SUIVANT :

Le dispositif dénommé "TéléTVA" qui est soumis à l'examen de la CNIL par le ministère de l'économie, des finances et de l'industrie (Minefi), a pour finalité de permettre aux contribuables de transmettre par voie électronique à la direction générale des impôts (DGI), notamment par Internet, les éléments déclaratifs et éventuellement de paiement relatifs à la taxe sur la valeur ajoutée et aux taxes assimilées aux taxes sur le chiffre d'affaires.

"TéléTVA" regroupe un ensemble de services qui assure l'envoi, dans un même message, de la déclaration et du paiement. L'adhésion à la téléprocédure est proposée :

- aux contribuables qui ont l'obligation de transmettre par voie électronique leurs déclarations de TVA et les règlements qui leurs sont associés,

- à tous les contribuables soumis à des obligations déclaratives en matière de TVA qui souhaitent y souscrire volontairement, qu'ils relèvent du régime réel normal, du régime mini réel, du régime simplifié d'imposition ou du régime simplifié agricole.

Les documents déclaratifs actuellement susceptibles d'être dématérialisés sont :

- la déclaration mensuelle ou trimestrielle CA 3 et les formulaires annexes, qui sont propres aux régimes réel normal et mini réel,

- la déclaration annuelle de régularisation relative au régime simplifié d'imposition,

- la déclaration propre au régime simplifié agricole,

- la déclaration de régularisation spécifique au régime simplifié agricole.

Le procédé de télépaiement retenu s'appuie sur la procédure de télérèglement de type A, qui suppose une adhésion préalable du contribuable au télérèglement, donnée lors de la souscription à la téléprocédure, puis un ordre de paiement spécifique pour chaque opération, lors de la signature de la télédéclaration et du télépaiement.

Le règlement peut être partiel et son montant ventilé sur trois comptes, selon le souhait du redevable et pour les montants qu'il indique. Le prélèvement n'est effectué qu'à la date limite de paiement. Aucune somme d'argent ne transitant via l'Internet, l'opération peut être réalisée par un expert-comptable dès lors qu'elle consiste seulement dans la transmission des éléments nécessaires au paiement et ne participe en rien à la délivrance des fonds.

Ces modalités générales n'appellent pas d'observations particulières de la part de la Commission.

En ce qui concerne le "contrat d'adhésion" à la téléprocédure

Le recours à la procédure dématérialisée est lié au dépôt préalable par le redevable d'un formulaire de souscription à "TéléTVA" auprès de la recette des impôts dont il relève, qu'il soit souscripteur à titre obligatoire ou optionnel. A l'égard de l'adhérent volontaire, ce document tient lieu de contrat au sens de l'article 1649 quater B bis du code général des impôts (CGI). Il doit y indiquer s'il adhère au dispositif pour la seule télédéclaration ou s'il opte également pour le télérèglement.

Le formulaire de souscription renvoie, par ailleurs, à un "cahier des dispositions générales" pour la description des caractéristiques de la procédure fixées par l'administration. Ce document étant indissociable du contrat prévu par la loi, le non-respect de ses clauses serait de nature à engager la responsabilité de l'Etat.

Le formulaire de souscription comporte notamment une clause par laquelle l'adhérent autorise le partenaire EDI qu'il a mandaté à avoir recours, à titre de sous-traitance, à un autre partenaire "EDI agréé par la DGI". Cette disposition étant de nature à influer sur les "modalités de transmission" des déclarations qui doivent être définies par arrêté pris après avis de la CNIL, l'article 5 du projet d'arrêté devrait être complété en ce sens.

En outre, le formulaire de souscription et le cahier des dispositions générales - page 11 - devraient être précisés afin de rappeler que le seuil de 100 millions de francs hors taxe de chiffre d'affaires à prendre en considération, au titre des articles 1649 quater B quater et 1695 quater du CGI, pour délimiter le champ de l'obligation de télétransmission s'applique au précédent exercice de l'entrepris, c'est-à-dire celui qui fait l'objet de la dernière déclaration de résultat.

En ce qui concerne les modalités techniques de transmission des informations

"TéléTVA" propose deux modalités techniques de transmission des déclarations de TVA et des paiements associés, qui sont exclusives l'une de l'autre. La sécurité de l'ensemble des échanges est assurée par l'utilisation de la signature électronique qui garantit l'authentification, la non-répudiation de l'émetteur et l'intégrité des données transmises, notamment des comptes bancaires et des montants indiqués par le redevable.

1) La procédure d'échange de données informatisé (EDI) consiste à permettre le transfert des fichiers d'ordinateur à ordinateur. Le déclarant est invité à renseigner, à partir de son micro-ordinateur et de son logiciel de gestion, un formulaire préexistant et à l'envoyer à l'administration, via un "réseau téléphonique spécial" (ex. : Numéris) ou sur support magnétique. Les données envoyées sont conformes à la norme EDIFACT qui permet à l'administration, après traitement automatique, de les intégrer directement dans ses systèmes informatiques.

Le "partenaire EDI" de la DGI pour les échanges de données informatisées peut être :

- un organisme-relais choisi par le déclarant pour intervenir en son nom et pour son compte,

- le contribuable lui-même, s'il a acquis cette qualité, pour son compte personnel.

Les relations entre le "partenaire EDI" et l'administration fiscale sont régies par une convention type, dont les termes ont été fixés par arrêté du 23 octobre 2000.

Dans le cadre de l'EDI, la DGI assure elle-même la fonction d'autorité de certification : lors de son agrément, le "partenaire EDI" reçoit de la DGI le certificat qui l'authentifiera. Au préalable, la DGI aura établi et validé les éléments qui identifieront de façon unique ce partenaire, puis les aura signés afin de les rendre infalsifiables.

2) La procédure d'échange de formulaires informatisé (EFI) par Internet met en relation une personne connectée et une machine serveur placée sous le contrôle de la DGI. Elle permet au déclarant de récupérer en ligne, depuis le site Internet du Minefi, un formulaire dématérialisé, de l'ouvrir par son navigateur Internet, de le remplir grâce à un logiciel d'aide à la saisie qui met en oeuvre divers contrôles de cohérence et calculs automatiques, de sauvegarder ses travaux sous forme de brouillon, et d'envoyer à l'administration, via Internet, les seules données validées après les avoir confirmées.

L'utilisation de cette procédure suppose que l'entreprise ait préalablement acquis, auprès d'une autorité de certification du marché, un ou plusieurs certificats numériques d'identification.

Toutefois, ne pourront être acceptées et traitées que les télédéclarations s'appuyant sur un certificat référencé par le Minefi et sur des signatures électroniques et moyens de confidentialité conformes aux normes adoptées par le ministère. Les contribuables peuvent choisir librement leur fournisseur de certificats parmi ceux ayant obtenu leur homologation. En outre, les certificats référencés, qui ne contiennent aucune information spécifique à une application du Minefi, peuvent être utilisés par leur titulaire en tant que "ticket unique" d'accès à l'ensemble des téléprocédures du ministère, de même qu'avec d'autres partenaires.

Ces dispositifs n'appellent pas d'observations particulières.

En ce qui concerne le chiffrement des informations transmises

1) S'agissant de la procédure EFI, l'utilisation du protocole SSL V3 garantit le chiffrement des données transmises durant la session. En outre, le déclarant pourra choisir de chiffrer, de 40 à 128 bits, les informations le concernant avant de les transmettre à l'administration fiscale.

La Commission prend acte de ce dispositif.

2) S'agissant de la procédure EDI, la Commission observe que les informations fiscales sont communiquées en clair à la DGI par le partenaire EDI, ce qu'elle avait déjà constaté en 2000 pour la télétransmission des déclarations de résultat.

De manière générale, la Commission estime que toute procédure de télédéclaration revêtant un caractère obligatoire devrait mettre en oeuvre un procédé de chiffrement assurant la confidentialité des données transmises par voie électronique.

A cet égard, la Commission estime qu'un dispositif technique devrait permettre à chaque adhérent à la procédure EDI de choisir le degré de confidentialité dont il souhaite bénéficier - y compris un niveau très élevé - pour le transfert des informations le concernant, ce qui suppose que les serveurs de l'administration fiscale soient en mesure d'accepter tous les niveaux de sécurité.

Toutefois, la Commission observe que deux voies étant offertes aux télédéclarants, dont l'une - l'EFI - garantit la confidentialité des informations transmises, le dispositif de télétransmission mis en place peut être accepté, à la condition que les contribuables soient informés, par une clause appropriée du cahier des dispositions générales, de ce que les informations les concernant sont transmises en clair, dans le cas de la procédure EDI, entre le partenaire EDI et la DGI et que seule la signature électronique fait l'objet d'un procédé de chiffrement qui garantit l'origine et l'intégrité des données, mais non leur confidentialité.

En ce qui concerne les modalités d'exploitation des informations

La DGI se réserve la faculté de confier à un prestataire externe le soin d'assurer la gestion technique des téléprocédures, l'exploitation du serveur "TéléTVA" et la prise en charge des fichiers des télédéclarations et des télérèglements.

La Commission estime que, dans cette hypothèse, les traitements mis en oeuvre par le prestataire doivent être installés dans des environnements sécurisés et entièrement automatisés.

En outre, le cahier des dispositions générales et l'article 5 du projet d'arrêté devraient être complétés comme suit : "La direction générale des impôts peut faire appel à un prestataire externe pour la gestion technique des téléprocédures, l'exploitation du serveur "TéléTVA" et la prise en charge des fichiers des télédéclarations et des télérèglements. Dans cette éventualité, les chaînes de traitements mises en oeuvre par le prestataire sont entièrement automatisées et installées dans des environnements sécurisés. Le prestataire ne peut faire usage des informations traitées à d'autres fins que celles prévues par le présent arrêté, notamment pour son propre compte."

En ce qui concerne les garanties apportées aux adhérents, notamment en cas de dysfonctionnement du système

Le cahier des dispositions générales précité indique, d'une part, que "le redevable reste tenu au respect de ses obligations fiscales. En cas de défaillance du partenaire EDI, c'est le redevable qui fera l'objet des mises en demeure et, le cas échéant, des suites que prévoit la législation en vigueur" (page 10), d'autre part, que "le souscripteur est responsable des données télédéclarées et téléréglées. Les données transmises sont réputées émaner régulièrement des redevables" (page 12).

La Commission observe que ces clauses ne sauraient faire échec à l'application des règles générales qui gouvernent le droit de la responsabilité, et que la responsabilité de l'adhérent ne pourra être engagée que pour autant qu'il aura été mis en mesure de réagir utilement en cas de défaillance technique et qu'il aura disposé, à cette fin, de toute l'information nécessaire sur le contenu et les suites de chaque transfert électronique le concernant.

1) Il est prévu que l'adhérent EDI reçoive, à ce titre, sur simple appel téléphonique d'un serveur vocal, un avis de réception de dépôt (CEDP) et un accusé de réception de paiement accompagné d'un numéro CPOP (certificat de prise en compte de l'ordre de paiement), la confidentialité des données transmises étant garantie par la combinaison d'un code d'accès et d'un mot de passe choisi par le contribuable.

Il convient cependant que des mesures comparables à celles adoptées par l'administration fiscale dans le cadre des procédures "TDFC" de télétransmission des déclarations de résultat soient prises pour réduire le risque de mises en demeure intempestives en cas de dysfonctionnement de la procédure "EDI-TéléTVA", telles que la réduction des délais de mise des télédéclarations à la disposition des services fiscaux, l'aménagement du calendrier des obligations déclaratives en cas d'incident technique, la mise en place d'une structure départementale ayant pour mission d'effectuer, pour chaque incident, un suivi personnalisé et une analyse.

2) S'agissant de la procédure EFI, la délivrance d'un avis de réception du dépôt à la fin de la transaction assure le redevable de la bonne réception par la DGI du fichier transmis. En outre, ce dernier peut obtenir la preuve qu'il a accompli ses obligations déclaratives dans les délais prévus par :

- la délivrance d'un avis de réception du dépôt par le même serveur vocal que pour les adhérent EDI, accessible sur simple appel téléphonique,

- l'envoi à l'adresse électronique du souscripteur d'un certificat de dépôt CEDP et d'un certificat de paiement CPOP, à l'exclusion de toute transmission d'informations confidentielles,

- la consultation via Internet, à partir d'une transaction sécurisée, de la télédéclaration déposée, de l'accusé de réception du paiement et du numéro CPOP qui atteste de l'envoi de l'ordre de paiement à la Banque de France.

En outre, dans l'hypothèse où le souscripteur aurait des difficultés ou des inquiétudes lors des opérations de transmission des informations le concernant, il dispose d'une assistance téléphonique et peut, en dernier recours, contacter la recette des impôts dont il relève.

Enfin, en cas d'indisponibilité du service, le souscripteur en est averti par un message affiché sur le site du ministère et délivré par l'assistance téléphonique. Dans ce seul cas, il est autorisé, après avoir pris l'attache de sa recette des impôts, à recourir aux procédures traditionnelles d'envoi de déclarations papier et de règlements.

La Commission prend acte de ces mesures, destinées à assurer l'information du contribuable sur l'issue des téléprocédures le concernant.

En ce qui concerne les services annexes proposés aux adhérents

Les adhérents EFI pourront consulter les télédéclarations, les avis de réception de leur dépôt et les télé-règlements les concernant pendant les deux années suivants l'année du dépôt, depuis la zone sécurisée du serveur TéléTVA, c'est-à-dire après authentification sur présentation du certificat numérique et sous une connexion chiffrée et sécurisée.

Ils bénéficient également d'une fonction de gestion des certificats numériques qui permet de déléguer à un tiers le pouvoir de télédéclarer et de télérégler.

Par ailleurs, la mise en oeuvre d'une procédure de "rejeu", à la demande de l'administration ou du souscripteur - qu'il ait adhéré à l'EDI ou à l'EFI, permet de s'assurer de la concordance entre les données transmises par le déclarant ou pour son compte et les données restituées à la DGI. A cette fin, les télédéclarations sont archivées dans le format d'origine produit par l'émetteur. La transmission des éléments ainsi conservés est effectuée par envoi recommandé dans les deux mois suivant la réception de la demande écrite.

La DGI prévoit toutefois, dans le cahier des dispositions générales - page 19 -, que "cette procédure n'est mise en oeuvre que dans les cas où le redevable conteste l'existence de la déclaration, ou les éléments de celle-ci, qui lui sont opposées par le service gestionnaire. En conséquence, elle ne concerne pas les cas où la réclamation tend uniquement à la réparation d'erreurs ou d'omissions commises par le déclarant, ni lorsque la réclamation concerne les dates de dépôt.

La Commission rappelle que le droit d'accès, tel qu'il est organisé par la loi du 6 janvier 1978, ne prévoit pas d'autres exceptions que celles prévues à l'article 35 de la loi (demandes répétitives) et que son exercice n'a pas à être justifié. En conséquence, s'il est légitime de préciser dans quelles hypothèses la procédure de "rejeu" est tout particulièrement adaptée, il convient de ne pas exclure de façon générale son emploi dans d'autres circonstances. Les clauses précitées du cahier des dispositions générales devraient être modifiées en ce sens.

En ce qui concerne la durée de conservation des informations

Le projet d'arrêté prévoit que, dans le cadre de la mise en oeuvre de la procédure d'archivage "rejeu", les informations sont conservées pendant la période d'exercice du droit de reprise prévu par les articles L. 176 et L. 177 du livre des procédures fiscales, soit jusqu'au 31 décembre de la quatrième année suivant celle au cours de laquelle la taxe est devenue exigible.

Il ajoute toutefois qu'en tout état de cause, la durée de conservation ne peut excéder dix ans, conformément à l'article L. 170 du même livre. Il est précisé, par ailleurs, que cette durée a été déterminée par analogie avec les règles d'archivage applicables aux documents papier correspondants qui ont été définies en collaboration avec la direction des archives de France.

Or, il ressort de l'examen des dispositions pertinentes du livre des procédures fiscales que l'article L. 170 ne concerne que les impôts directs d'Etat et que le droit de reprise de l'administration s'exerce au maximum en matière de taxes sur le chiffre d'affaires, selon les articles L. 176 et L. 176 A, jusqu'à la fin de la sixième année suivant l'année d'exigibilité. La durée de conservation globale devrait être fixée en conséquence et l'article 6 du projet d'arrêté modifié sur ce point.

Le projet d'arrêté prévoit également, s'agissant des relations entre les contribuables et les partenaires EDI, que ces derniers ne conservent les données destinées à l'administration au de la du temps nécessaire à leur transmission et à leur bonne réception par la DGI qu'avec l'accord du contribuable concerné et pour la réalisation d'opérations effectuées à sa demande.

En outre, les informations ne sont conservées sur le serveur "TéléTVA" que jusqu'au terme de la deuxième année civile suivant leur réception.

Les autres dispositions de la demande d'avis et du projet d'arrêté qui lui est annexé n'appellent pas d'observations particulières.

AU BENEFICE DE CES OBSERVATIONS, LA COMMISSION EMET UN AVIS FAVORABLE sur le projet d'arrêté du ministre de l'Economie, des finances et de l'industrie relatif au traitement "TéléTVA", sous réserve :

- que l'article 5 de l'arrêté soit complété par un deuxième alinéa : "Le mandataire choisi par le redevable peut recourir à un sous-traitant, à la condition que ce dernier ait lui-même été agréé par la direction générale des impôts."

- que les dispositions suivantes soient ajoutées dans le cahier des dispositions générales et à l'article 5, dans un troisième alinéa : "La direction générale des impôts peut faire appel à un prestataire externe pour la gestion technique des téléprocédures, l'exploitation du serveur "TéléTVA" et la prise en charge des fichiers de télédéclarations et de télérèglements. Dans cette éventualité, les chaînes de traitements mises en oeuvre par le prestataire sont entièrement automatisées et installées dans des environnements sécurisés. Le prestataire ne peut faire usage des informations traitées à d'autres fins que celles prévues par le présent arrêté, notamment pour son propre compte."

- que le premier alinéa de l'article 6 soit modifié comme suit : "Dans le cadre de la mise en oeuvre possible de la procédure d'archivage rejeu, la durée de conservation des données par la DGI ou par son sous-traitant ne peut excéder six ans à compter de l'année au titre de laquelle la taxe est devenue exigible."

- que les clauses du cahier des dispositions générales qui limitent le recours à la procédure de "rejeu" à l'existence d'un contentieux soient aménagées afin que ne soit pas exclue toute utilisation de cette fonction dans d'autres hypothèses, ce qui contreviendrait aux articles 34 et 35 de la loi du 6 janvier 1978 sur le droit d'accès,

- que le formulaire de souscription précise que le seuil de 100 millions de francs hors taxe de chiffre, d'affaires à prendre en considération pour délimiter le champ de l'obligation de télétransmission s'applique au précédent exercice de l'entreprise qui a été l'objet de la dernière déclaration de résultat et que le cahier des dispositions générales soit modifié - page 11 - en conséquence,

- que, jusqu'à la mise en place du dispositif de cryptage dont la Commission souhaite qu'il intervienne dans les meilleurs délais, les contribuables adhérents à "TéléTVA" soient clairement informés, par une clause appropriée du cahier des dispositions générales, du choix qui leur est offert entre deux voies de télétransmission des données, l'une - l'EFI - qui autorise le chiffrement des données fiscales transmises, l'autre - l'EDI - qui provisoirement ne comporte pas un tel dispositif,

- que des solutions comparables à celles mises en place dans le cadre de la télétransmission des déclarations de résultat soient adoptées, afin de réduire le risque de mises en demeure intempestives en cas de dysfonctionnement de la procédure "EDI-TéléTVA".

Le Président, Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: