• Home  / 
  • DELIBERATION 2009-588

DELIBERATION 2009-588

By Thiébaut Devergranne / 5 years ago

(avis n°1391302)
La Commission nationale de l’informatique et des libertés,
Saisie par le ministère du budget, des comptes publics, de la fonction publique et de la réforme de l’Etat, le 16 octobre 2009 d’une demande d’avis portant sur un projet d’arrêté portant création d’un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004, et notamment son article 26 ;
Vu le code général des impôts, notamment ses articles 1649A, 1649AA et 1741 et suivants ;
Vu le livre des procédures fiscales, notamment ses articles L10 B, L. 82C, L. 96A, L. 101 et L169 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par le décret n°2007-401 du 25 mars 2007 ;
Après avoir entendu M. Philippe GOSSELIN, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;
Emet l’avis suivant :
La Commission a été saisie par le ministère du budget, des comptes publics, de la fonction publique et de la réforme de l’Etat, d’une demande d’avis relative à un projet d’arrêté portant création par la direction générale des finances publiques (DGFiP) d’un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales, sur le fondement de l’article 26 I-2° de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004.
Ce traitement s’inscrit dans le cadre de la politique de lutte contre la fraude fiscale conduite par les pouvoirs publics. Il permet de recenser et de traiter les informations laissant présumer de la détention de comptes bancaires hors de France par des personnes physiques ou morales et sur cette base de mener des actions de prévention, de recherche, de constatation ou de poursuite de manquements fiscaux et d’infractions pénales.
Sur les finalités
Aux termes de l’article 2 du projet d’arrêté, le traitement a pour finalité de recenser des informations laissant présumer de la détention de comptes bancaires hors de France par des personnes physiques ou morales et sur cette base :

  • de mener des actions de prévention, de recherche, de constatation ou de poursuite d’infractions pénales ;
  • d’analyser et de vérifier la situation des personnes concernées en vue de procéder le cas échéant à des régularisations de situations fiscales ;
  • de programmer et mener des opérations de recherche, de constatation et de poursuite de manquements fiscaux ;
  • d’inciter les usagers à déclarer spontanément la détention de comptes bancaires hors de France.

La Commission estime que les finalités poursuivies par l'administration fiscale en créant ce traitement découlent des missions qui lui sont dévolues et sont par conséquent légitimes.
Sur les données traitées
Les données à caractère personnel traitées sont les suivantes :

  • l’identité de la personne : nom, prénoms, date et lieu de naissance, numéro fiscal (SPI) pour une personne physique et raison sociale, catégorie juridique, SIREN/SIRET, activité pour une personne morale ;
  • l’adresse ;
  • l’établissement de crédit ;
  • le numéro du ou des comptes ;
  • la date d’ouverture de ceux-ci ;
  • le montant des soldes et virements.

La Commission prend acte de ce que les informations relatives aux comptes détenus (établissement de crédit, numéro du (des) compte(s), date d’ouverture du (des) comptes et montant des soldes et virements) ne constituent avant validation que des présomptions.
Les opérations de validation consistent à vérifier l’exactitude des informations listées ci-dessus relatives à la détention de comptes bancaires notamment par les moyens suivants :

  • consultation des autres traitements de la direction générale des finances publiques ;
  • interrogation des établissements bancaires dans le cadre du droit de communication prévu par l’article L.96A du Livre des procédures fiscales ;
  • transmission d’informations dans le cadre de l’assistance administrative internationale.

Le projet d’arrêté prévoit également une zone commentaires destinée à enregistrer des « informations directement liées à l’instruction des dossiers, à l’exclusion de toute appréciation subjective ». En particulier, ces zones commentaires mentionneront le fait qu’un compte bancaire a été validé.
La Commission rappelle que les zones commentaires ne doivent comporter que des informations adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées ou traitées, conformément à la loi du 6 janvier 1978 modifiée.
Elle relève qu’il ressort du dossier de formalités que les données sont issues de diverses sources :

  • informations collectées lors des procédures de contrôle fiscal et d’enquête conduites par la DGFiP (droit d’enquête, de visite et de saisie) ;
  • mise en œuvre du droit de communication (notamment en application de l’article L96 A du Livre des procédures fiscales) ;
  • assistance administrative internationale ;
  • transmission d’informations par les autorités judiciaires (notamment articles L82 C et L101 du Livre des procédures fiscales) ;
  • toute information portée à la connaissance de l’administration conformément aux missions qui lui sont dévolues par les lois et règlements en vigueur.

Sur la durée de conservation
L’article 4 de l’arrêté prévoit que les données collectées seront conservées pendant une durée de dix ans à compter de leur enregistrement, éventuellement prolongée en cas de recours contentieux.
La Commission considère que cette durée est justifiée compte tenu des délais de prescription qui s’appliquent en matière fiscale et notamment ceux prévus à l’article L169 du Livre des procédures fiscales.
Elle prend acte du fait que les données relatives aux comptes bancaires détenus qui seraient inexactes à l’issue des travaux de validation seront supprimées.
Elle observe toutefois qu’aucune purge automatique n’est prévue à l’issue du délai de conservation de dix ans et demande qu’un tel dispositif soit mis en place par la DGFiP.
De même, la Commission considère que des vérifications régulières sur la base du nom, du lieu et de la date de naissance, ainsi que du numéro fiscal (SPI) devraient être opérées systématiquement pour éviter notamment des erreurs d’homonymie.
Sur les destinataires
Les destinataires sont les agents habilités de la direction nationale des enquêtes fiscales et des directions compétentes en matière de contrôle : Direction Nationale des Vérifications de Situations Fiscales (DNVSF), Direction des Vérifications Nationales et Internationales (DVNI), Direction des Résidents à l'Etranger et des Services Généraux (DRESG), Directions de Contrôle Fiscal (DIRCOFI) et les directions territoriales concernées.
Il est également envisagé dans le cadre des conventions fiscales signées par la France et afin de lutter contre la fraude et l’évasion fiscale, que l’administration fiscale communique certaines des informations figurant à l’article 3 du projet d’arrêté aux autorités des autres Etats co-signataires. Dans cette hypothèse, des transferts de données vers des pays situés en dehors de l’Union européenne sont susceptibles d’être effectués.
A cet égard, l’article 5 du projet d’arrêté précise : « Les données visées à l’article 3 pourront être transférées ponctuellement dans le cadre de l’assistance administrative internationale ».
Par ailleurs, la Commission relève que si le principe de ces transferts est prévu par différents traités bilatéraux conclus et ratifiés par la France avec les pays concernés, aucune disposition spécifique relative à la protection des données à caractère personnel n’est prévue dans ces conventions.
Il y a lieu dès lors de s’assurer que les transferts de données s’effectueront conformément aux dispositions du deuxième alinéa de l’article 68 de la loi du 6 janvier 1978 modifiée, qui dispose que « le caractère suffisant du niveau de protection assuré par un Etat s’apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées ».
La Commission demande, dans la mesure où d’autres échanges d’informations seraient envisagés à l’avenir, à pouvoir être associée à la préparation et à la définition de la position française dans les négociations internationales relatives aux échanges de données en matière fiscale, en application des dispositions de l’article 11-4-d) de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, et à être consultée sur les éventuels projets de loi de ratification des traités conclus à la suite desdites négociations, conformément aux dispositions de l’article 11-4-a) de la même loi.
Sur les sécurités
Le traitement est stocké sur un disque dur amovible (une copie de sauvegarde de secours étant réalisée sur un second disque dur après chaque mise à jour du fichier). Les deux disques ainsi que les documents transmis sous format papier ou magnétique à la DGFiP sont conservés dans des coffres forts. Les disques durs sont chiffrés et protégés par un mot de passe.
La Commission recommande, dans un souci de traçabilité des accès au traitement, que soit mis en œuvre un registre des consultations physiques ou logiques des disques.
Elle rappelle la nécessité de sécuriser la transmission des mots de passe et de prévoir un mécanisme d’effacement des données stockées au delà du délai de dix ans.
S’agissant des transferts réalisés en dehors de l’Union européenne, la Commission considère que les mesures de sécurité prévues n'appellent pas, en l’espèce, d'observations particulières.
Sur les droits des personnes
La Commission prend acte de ce que le droit d’information prévu à l’article 32 I de la loi du 6 janvier 1978 modifiée et le droit d’opposition prévu à l’article 38 de cette même loi ne s’appliquent pas au présent traitement.
Les droits d’accès et de rectification s’exerceront auprès de la Commission nationale de l’informatique et des libertés conformément aux dispositions de l’article 42 de la loi du 6 janvier 1978 modifiée.

Le Président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: