• Home  / 
  • DELIBERATION 2004-091

DELIBERATION 2004-091

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le ministère de l'économie, des finances et de l'industrie, d'un projet d'arrêté relatif à la mise en service par la direction générale des impôts d'un traitement automatisé d'aide à la sélection et au contrôle des dossiers des particuliers ("SIRIUS-FP"),

Vu la Convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;

Vu le Code général des impôts et le Livre des procédures fiscales ;

Après avoir entendu M. Jean-Pierre de Longevialle, commissaire, en son rapport et Mme Charlotte-Marie Pitrat, commissaire du gouvernement, en ses observations ;

Observe que les caractéristiques principales du traitement sont les suivantes :

Traitement d'aide à la décision pour le contrôle de la situation fiscale des particuliers, "SIRIUS-FP" repose sur :

- un entrepôt national de données relatives à l'impôt sur le revenu (IR) et à l'impôt de solidarité sur la fortune (ISF),

- un logiciel d'interrogation permettant à un grand nombre d'agents répartis aux différents niveaux de la direction générale des impôts (DGI) - centres des impôts (CDI), directions des services fiscaux (DSF), délégations interrégionales, directions du contrôle fiscal (DIRCOFI), directions de contrôle fiscal à compétences nationales, administration centrale - d'exploiter les données entreposées.

Les points suivants ressortent du projet d'arrêté et du dossier technique transmis par l'administration :

- Avant leur intégration dans l'entrepôt, les données IR et ISF sont automatiquement rapprochées des fichiers "FIP" et "SPI" des contribuables pour être rattachées au bon foyer fiscal. La base ne devant comporter que des informations rattachées à une personne déterminée, les données orphelines sont dérivées dans une base de rejet pour permettre leur analyse et les corrections nécessaires.

- Les données IR et ISF intégrées dans "SIRIUS-FP" sont les données numériques des déclarations n° 2042, 2042 C et 2725, sans leurs annexes, ainsi que les résultats de la taxation, après, le cas échéant, redressement des bases déclarées.

- Pour obtenir les éléments d'aide au contrôle des déclarations fiscales fournis par le traitement, les agents habilités de la DGI affichent à l'écran l'une des requêtes prédéterminées prévues (au nombre d'une centaine) ou une requête qu'ils définissent librement aux fins d'effectuer des tris dans les dossiers individuels et de sélectionner ceux répondant à certains critères (par exemple les montants en jeu) ou présentant des anomalies ou des incohérences d'une année sur l'autre ou entre les données IR et ISF.

- En réponse aux requêtes, le traitement restitue des listes de déclarants auxquelles sont attachées des fiches individuelles de synthèse auxquelles les agents peuvent accéder en cliquant sur la ligne correspondante de la liste. Ces listes peuvent être conservées sur support papier ou dématérialisé. Chaque liste est limitée à 300 lignes.

- Les accès à "SIRIUS-FP", fonction des habilitations individuelles délivrées par le chef de service, sont gérés automatiquement via l'application "Annuaire DG". Les agents habilités qui sont en fonction dans les CDI (environ 5.400) ou dans les DSF (3.400) ont accès à un périmètre de restitution limité au ressort de la DSF (le plus souvent le département). Les habilitations des agents des délégations interrégionales et des DIRCOFI (2.130) sont limitées au niveau interrégional. Celles des directions nationales et de l'administration centrale ne comportent aucune limitation géographique. Cependant, la présence dans la base d'indicateurs précisant pour chaque déclarant le CDI de rattachement et le ou les services en charge des contrôles externes permet de limiter le champ des requêtes à la seule population de déclarants à l'égard de laquelle l'agent habilité a une mission effective d'assiette ou de contrôle.

- Par exception, la consultation des dossiers qui sont affectés d'un indicateur signifiant leur sensibilité particulière, est réservée aux directeurs et aux chefs de bureau d'administration centrale qui bénéficient d'un profil d'habilitation spécifique.

- Tous les accès à "SIRIUS-FP" font l'objet d'une journalisation qui permet un contrôle a posteriori, par le supérieur hiérarchique et par les responsables de la sécurité du système d'information, de la bonne utilisation du traitement.

- Les données relatives à l'IR sont conservées pendant cinq ans, les données ISF pendant dix ans à compter de l'année au titre de laquelle elles sont souscrites, ces durées étant définies en fonction des durées de prescription respectivement prévues aux articles L. 169 et L. 186 du Livre des procédures fiscales. Les données de connexion, consultables par les chefs de service jusqu'à la fin de l'année en cours, sont conservées pendant cinq ans au maximum à compter de la date de connexion.

- Les droits d'accès et de rectification s'exercent auprès du centre des impôts du domicile fiscal du requérant.

Formule l'avis suivant :

Sur le principe et la finalité du traitement

Il est rappelé qu'aux termes de l'article 6 de la loi précitée du 6 janvier 1978 modifiée, "Un traitement ne peut porter que sur des données à caractère personnel (...) collectées pour des finalités déterminées, explicites et légitimes" et qu'aux termes de l'article 10 deuxième alinéa, "Aucune (...) décision produisant des effets juridiques à l'égard des personnes ne peut être prise sur le seul fondement d'un traitement automatisé de données destiné à définir le profil de l'intéressé".

Appelé à remplacer les applications existantes "Multicritères IR" et "VIZIR", "SIRIUS-FP" centralise des informations qui ont toutes été collectées pour une finalité fiscale et sont issues d'autres traitements automatisés de la DGI. Ne se traduisant par la collecte d'aucune nouvelle donnée à caractère personnel, il n'accroît pas les obligations déclaratives des contribuables et sa mise en oeuvre ne semble se heurter à aucune disposition expresse du Code général des impôts ou du Livre des procédures fiscales, ni à aucun principe général de la procédure fiscale.

"SIRIUS-FP" a pour finalité l'aide à la programmation des opérations de contrôle fiscal, qu'il s'agisse du contrôle sur pièces exercé par le service d'assiette ou des contrôles externes susceptibles d'être exercés par des services spécialisés aux différents niveaux de l'administration fiscale. Une telle finalité est légitime pour autant que les éléments issus du traitement n'auront qu'une valeur de signalement parmi d'autres à la disposition des services fiscaux et ne conduisent en aucun cas à une programmation automatique des contrôles, ni a fortiori à des décisions de redressement directement opposables aux contribuables.

Sur les données personnelles traitées et restituées par "SIRIUS-FP".

Il est rappelé qu'aux termes de l'article 6 de la loi précitée du 6 janvier 1978 modifiée, "Un traitement ne peut porter que sur des données à caractère personnel (...) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées".

La Commission constate que le choix a été fait d'inclure parmi les données traitées les noms des déclarants alors que l'existence des identifiants fiscaux pouvait permettre de l'éviter dès lors que les unités en charge des contrôles, et elles seules, auraient été dotées de moyens logiciels permettant de faire correspondre aux identifiants des listes "SIRIUS-FP" les noms des contribuables concernés.

L'administration justifie ce choix par la nécessité - dans des cas qui restent exceptionnels (ex. : fraude en bande organisée, recherches dans une même famille et revenus et/ou patrimoines incohérents) - de pouvoir interroger la base "SIRIUS-FP" à partir de noms de déclarants.

Elle accepte cependant - pour assurer le respect du principe de proportionnalité découlant des dispositions précitées - le retrait à terme des noms des contribuables des listes de restitution, ce qui suppose, notamment, l'introduction dans ces listes d'un indicateur permettant d'identifier les dossiers déjà contrôlés. Mais les modifications de programme nécessaires, compte tenu du plan de charge du programme COPERNIC, ne pourraient être apportées qu'en 2007 au plus tôt.

La Commission demande avec insistance que ces modifications soient effectivement mises en oeuvre dans les meilleurs délais, et en tout état de cause avant le 31 décembre 2007 au plus tard.

Sur les droits d'utilisation du traitement et l'exploitation des données restituées

Il est rappelé qu'aux termes de l'article 30 de la loi précitée du 6 janvier 1978, "Les (...) demandes d'avis adressées à la commission (...) précisent (...) les destinataires ou catégories de destinataires habilités à recevoir communication des données ; (...) les dispositions prises pour assurer la sécurité des traitements et des données et la garantie des secrets protégés par la loi" et qu'aux termes de l'article 34 "le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher (...) que des tiers non autorisés y aient accès".

La Commission estime que la concentration dans une base nationale de données personnelles dont la confidentialité est spécialement protégée par la loi fait naître des risques spécifiques appelant des précautions particulières en ce qui concerne notamment les accès au traitement et l'exploitation des éléments restitués.

Il résulte de ce qui a été dit précédemment qu'environ 12250 agents seraient habilités à interroger "SIRIUS-FP" et que la gestion des habilitations via l'application "Annuaire DGI" ne permet pas un filtrage des accès qui limite automatiquement le champ des requêtes à la population de déclarants à l'égard de laquelle l'agent habilité a une mission effective d'assiette ou de contrôle.

Sur un plan général, la Commission estime que la réflexion sur la gestion des droits d'utilisation à travers la gestion des habilitations, telle qu'elle est actuellement organisée dans l'application "Annuaire DGI", mérite d'être poursuivie.

En attendant, elle prend acte de ce que l'administration se propose d'encadrer, par une instruction et ainsi qu'il suit, les requêtes dans "SIRIUS-FP".

- Pour les requêtes prédéfinies et les requêtes libres, les chefs de service préciseront aux agents placés sous leur responsabilité que leur périmètre géographique doit être limité en fonction de leurs attributions et que toute requête sur un champ géographique plus large nécessite une autorisation.

A défaut d'un filtrage adéquat par l'application elle-même des données restituées, la Commission approuve ces règles tout en souhaitant l'étude d'un dispositif de type clignotant qui apparaîtrait sur l'écran de l'utilisateur quand celui-ci lancerait une requête excédant le périmètre géographique correspondant à son affectation.

- Pour les requêtes libres, les habilitations délivrées seraient limitées à 2400 agents (un ou deux par service) spécialement formés. En outre, l'utilisation du patronyme comme critère de recherche ne serait autorisée que dans des cas exceptionnels et après accord écrit du chef de service.

D'autres règles, également posées par voie d'instruction, s'appliqueront à l'exploitation des données restituées par "SIRIUS-FP".

- Il a été précisé que les restitutions du traitement "SIRIUS-FP" pouvaient être éditées sous forme de listes papier ou être enregistrées sous forme dématérialisée et faire l'objet d'un transfert au format Excel. L'instruction préciserait que les listes ne doivent jamais circuler de service à service sur support papier ou disquette et que chaque liste doit être détruite après avoir été exploitée.

- Il serait d'autre part indiqué que les fichiers ne pourraient être transmis que par messagerie et par l'intermédiaire du chef de service utilisateur. A l'issue de leur exploitation, les supports de conservation des données extraites de l'application seraient détruits par l'utilisateur final. Cette opération devrait intervenir le plus rapidement possible et, en toute hypothèse, dans un délai ne pouvant pas excéder trois ans à compter de l'extraction des données.

La Commission demande que le III de l'article 5 du projet d'arrêté soit modifié en conséquence.

Sur les autres mesures de sécurité

La DGI a indiqué que des instructions rappelleront aux chefs de service la nécessité de vérifier, au moins une fois par mois, grâce au module de traçabilité, le respect des consignes d'interrogation de "SIRIUS-FP" en ce qui concerne les restrictions géographiques des requêtes et les interrogations par le patronyme.

Une instruction préciserait également que les autorisations préalables données à un agent par son chef de service pour lancer une requête sortant du périmètre géographique de ses attributions ou à partir d'un patronyme ou pour transmettre par messagerie une liste de restitution doivent être conservées pendant une durée d'un an.

Sur l'information des contribuables

Il est rappelé qu'aux termes de l'article 32 de la loi précitée du 6 janvier 1978 "la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant est informée (...) par le responsable du traitement ou son représentant (...) de la finalité poursuivie par le traitement auquel les données sont destinées".

En conséquence, il y a lieu de prévoir que les contribuables seront clairement informés sur les imprimés déclaratifs n° 2042, 2042 C et 2725 de l'existence d'un traitement informatique permettant de procéder à un rapprochement des données issues des déclarations souscrites avec celles des déclarations des années précédentes et, le cas échéant, des données issues des déclarations de revenus avec celles des déclarations en matière d'ISF.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: