La direction générale des finances publiques est autorisée à mettre en œuvre un traitement automatisé de données à caractère personnel de gestion du prélèvement à la source mis en œuvre par les collecteurs versant des revenus de remplacement et transitoirement par les organismes versant des traitements et salaires non encore entrés en déclaration sociale nominative.
Le traitement est dénommé PASRAU.

Le traitement a pour finalité, dans le cadre du recouvrement du prélèvement à la source :
1° Pour la direction générale des finances publiques, de transmettre aux collecteurs le taux de retenue à la source effectuée et les éventuelles anomalies nominatives et financières ;
2° Pour les tiers collecteurs, de transmettre à la direction générale des finances publiques, d'une part, les informations individuelles relatives à chaque bénéficiaire de revenu soumis au prélèvement à la source et, d'autre part, l'ordre de reversement des retenues collectées ;
3° D'assurer le suivi statistique des données transmises ou échangées.
Ces échanges sont effectués via le portail net-entreprises, géré par le groupement d'intérêt public « Modernisation des déclarations sociales ».

Les données traitées sont :
1° Les données transférées et valorisées à la direction générale des finances publiques :
a) Les données d'identification :

- de l'émetteur de la déclaration : SIREN, NIC, nom ou raison sociale, adresse, civilité, nom et prénom de la personne à contacter, adresse de messagerie électronique du contact émetteur, adresse téléphonique ;
- de la personne à contacter chez le déclaré : nom et prénom, adresse téléphonique, adresse de messagerie électronique, type ;
- de l'entreprise : SIREN, NIC du siège, code APEN, adresse ;
- de l'établissement : NIC, code APET, adresse, raison sociale ;
- du contribuable : numéro d'inscription au répertoire national des personnes physiques (NIR), nom de famille, nom d'usage, prénoms, sexe, date et lieu de naissance, adresse, code de département et pays de naissance, matricule de l'individu dans l'entreprise, numéro technique temporaire, données certifiées par le système national de gestion des identifiants (numéro d'inscription au répertoire, date de naissance, nom de famille, prénoms, nom d'usage, code résultat, indice de certification, commune de naissance, code département, pays de naissance, date du NIR), données relatives à une modification portant sur l'identification (date de la modification, ancien NIR, ancien nom de famille, anciens prénoms, ancienne date de naissance) ;

b) Les données à caractère économique et financier :

- date d'échéance appliquée à l'établissement, option pour un paiement trimestriel, dénonciation de l'option pour un paiement trimestriel ;
- versement de l'organisme : identifiant de l'organisme, BIC, IBAN, montant de versement, date de début de période de rattachement, date de fin de période de rattachement, mode de paiement, SIRET payeur ;
- revenus perçus par les individus (traitement, revenus de remplacement) : date de versement, montant net fiscal du revenu versé, numéro de versement, rémunération nette fiscale potentielle perçue par le salarié, date de fin de la relation entre la personne et l'organisme ;
- prélèvement à la source : taux de prélèvement à la source, type du taux de prélèvement à la source, identifiant du taux porté par le compte rendu métier PAS transmis par la direction générale des finances publiques, montant de prélèvement à la source ;
- régularisation de prélèvement à la source : mois de l'erreur, type d'erreur, régularisation de la rémunération nette fiscale, rémunération nette fiscale déclarée le mois de l'erreur, régularisation du taux de prélèvement à la source, taux déclaré le mois de l'erreur, montant de la régularisation du prélèvement à la source ;

c) Les données relatives à la déclaration : SIRET du déclarant inscrit, mode de dépôt de la déclaration, horodatage de la déclaration PASRAU, identifiant du flux, identifiant du flux de la déclaration annulée et remplacée, identifiant de la déclaration PASRAU, identifiant de la déclaration annulée et remplacée, nature de la déclaration, type de la déclaration, numéro de fraction de déclaration, numéro d'ordre de la déclaration, date du mois principal déclaré, date de constitution du fichier, devise de la déclaration ;
d) Les identifiants attribués par la direction générale des finances publiques : identifiant individu, identifiant collecte ;
2° Les données transférées aux collecteurs :
a) Les données transmises par la direction générale des finances publiques :

- identité de l'émetteur de la déclaration : SIREN, NIC ;
- données relatives à la déclaration : identification de la déclaration, date du mois de la déclaration, identification de la collecte ;
- identifiant du compte rendu métier ;
- identification du tiers déclarant : SIREN, NIC ;
- identité de l'individu : NIR ou numéro d'identification d'attente ou numéro technique temporaire, matricule, taux du PAS ;
- données liées aux anomalies : code de l'anomalie retracé dans la nomenclature, catégorie ou sévérité de l'anomalie, message associé à l'anomalie retracé dans la nomenclature, valeur, codification PASRAU de la rubrique déclenchant l'anomalie, valeur de la rubrique déclenchant l'anomalie, codification PASRAU de la rubrique associée de l'anomalie, valeur de la rubrique associée de l'anomalie ;

b) Les données transmises par le groupement d'intérêt public « Modernisation des déclarations sociales » :

- accusé d'enregistrement électronique : identifiant du flux, nom du flux, nom de l'archive, déclarant (nom, prénom, SIRET), date de génération de l'accusé d'enregistrement électronique ;
- avis de rejet : identifiant du flux, nom du flux, nom de l'archive (si flux présent dans une archive), déclarant (nom, prénom, SIRET), motifs de rejet ;
- bilan d'anomalie : identifiant du flux, nom du flux, nom de l'archive, type d'envoi, numéro de la version de la norme NEORAU, nom du logiciel produisant le fichier déposé, nom de l'éditeur du logiciel, version du logiciel, déclarant (nom, prénom, SIRET), identifiants des déclarations rejetées, pour chaque déclaration rejetée le ou les motifs de rejet (code et libellé) ;
- certificat de conformité : identifiant du flux, nom du flux, nom de l'archive, déclarant (nom, prénom, SIRET), mois principal déclaré et année, date et heure de réception du flux PASRAU, ensemble des identifiants de déclarations acceptées ;
- bilan d'identification : identification du déclarant (SIRET, nom, prénom), identification du flux, numéro de version de la norme utilisée, point de dépôt, type de l'envoi, code envoi du fichier (essai ou réel), SIRET de l'émetteur, nom du logiciel utilisé, nom de l'éditeur, numéro de version du logiciel utilisé, nature de la déclaration, type de la déclaration, numéro de fraction de la déclaration, numéro d'ordre de la déclaration, date du mois principal déclaré, SIREN, NIC siège, NIC d'affectation, bilan, nombre de salarié, anomalies ;

3° Les données d'authentification sur le site internet net-entreprises.fr et d'accès au service déclaratif : nom et prénom de l'utilisateur, SIRET de l'utilisateur, adresse IP de l'agent et de l'usager, nom et prénom de l'administrateur, date et heure de connexion et de déconnexion, commandes exécutées et résultat des commandes ;
4° Les interrogations effectuées par les utilisateurs, qui font l'objet d'une journalisation se traduisant par la conservation, pour chaque connexion, des éléments d'identification de l'auteur, des références et de la nature des actions effectuées ainsi que de leurs date et heure.

Le groupement d'intérêt public « Modernisation des déclarations sociales » interroge le système national de gestion des identités pour fiabiliser l'identification des personnes physiques.

I. - Les données à caractère personnel mentionnées au 1° et au 2° de l'article 3 sont conservées, pour les données qui les concernent, quatre ans par la direction générale des finances publiques et trois mois par le groupement d'intérêt public « Modernisation des déclarations sociales ».
II. - Les données à caractère personnel mentionnées au 3° de l'article 3 sont conservées deux ans maximum par le groupement d'intérêt public « Modernisation des déclarations sociales ».
III. - Les données à caractère personnel mentionnées au 4° de l'article 3 sont conservées un an en ligne et trois ans en archive par la direction générale des finances publiques.

Les fichiers reçus par la direction générale des finances publiques et les données stockées en base, contenant le NIR, sont exclusivement conservés sur des supports informatiques dédiés et font l'objet de mesures de sécurité renforcées, en application du décret n° 2000-8 du 4 janvier 2000 susvisé.

Les destinataires des données à caractère personnel mentionnées aux 1° et 2° de l'article 3 sont :

- les agents habilités de la direction générale des finances publiques et du groupement d'intérêt public « Modernisation des déclarations sociales », chacun pour son besoin d'en connaître ;
- les personnes ou services chargés du versement des salaires, des pensions, des revenus de remplacement ou des autres revenus dans le champ de la retenue à la source, au sein des organismes susceptibles de recevoir et de traiter les données transmises par l'administration fiscale, ou pour le compte de ces organismes.

Les destinataires des données à caractère personnel mentionnées aux 3° et 4° de l'article 3 sont l'encadrement et les responsables de la sécurité informatique de la direction générale des finances publiques et du groupement d'intérêt public « Modernisation des déclarations sociales ».

Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du centre des finances publiques compétent.

Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement.

Le directeur général des finances publiques est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.