La direction générale des finances publiques (DGFiP) est autorisée à mettre en œuvre un traitement informatisé et automatisé de données à caractère personnel dénommé « PILOT CF » au sein de ses services chargés d'une mission participant au contrôle des impôts, droits et taxes, d'une mission de recouvrement des droits et pénalités issus des opérations de contrôle fiscal ainsi que d'une mission de gestion du contentieux né de ces mêmes opérations.

Le traitement PILOT CF est un outil de gestion, de pilotage et de suivi des actions de prévention, de recherche, de constatation ou de poursuites des manquements fiscaux, aux fins d'amélioration du respect des obligations fiscales des usagers et de lutte contre la fraude.
Il permet à ce titre :

- la gestion et le suivi des affaires de contrôle fiscal liées à la recherche des manquements fiscaux ;
- la gestion et le suivi des affaires de contrôle fiscal programmées notamment à partir de la mobilisation du renseignement ou par l'intermédiaire des listes de programmation issues du traitement de données dénommé « ciblage de la fraude et valorisation des requêtes » prévu par l'arrêté du 21 février 2014 susvisé ;
- la gestion des affaires pour lesquelles un contrôle fiscal ou une opération assimilée est engagé et leur suivi jusqu'à l'expiration de toutes les voies de recours.

Le traitement PILOT CF permet également :

- d'assurer le pilotage de la mission, la valorisation de l'activité et le suivi de l'activité des agents du contrôle fiscal ;
- aux agents habilités de la cellule de renseignement financier nationale, dénommée TRACFIN, d'accéder aux dossiers de contrôle fiscal des contribuables dans le cadre des missions qui leurs sont dévolues par les dispositions du code monétaire et financier ;
- d'assurer le suivi statistique des activités de contrôle fiscal.

A titre accessoire, la gestion et le suivi de ces affaires sont susceptibles de conduire à des actions de prévention, de recherche, de constatation ou de poursuite des infractions pénales en matière fiscale.

I. - Sont traitées les données à caractère personnel suivantes :
1° Données d'identification des personnes physiques et morales :
a) S'agissant des entreprises et personnes morales : numéro SIREN, dénomination, code et libellé NACE (nomenclature des activités économiques dans la communauté européenne), forme juridique, dates de création et de cessation d'activité, adresse du siège social ;
b) S'agissant des personnes physiques : numéro fiscal, noms et prénoms, date et lieu de naissance, date de décès, civilité, situation familiale, adresse fiscale de taxation et adresse d'envoi et, le cas échéant, numéro SIREN de l'entreprise dirigée par la personne physique ou des sociétés dont elle est associée ;
c) S'agissant des agents habilités de la direction générale des finances publiques : identification de l'agent intervenant sur les affaires, données relatives aux rôles des agents et aux interventions réalisées.
2° Données fiscales :
a) S'agissant des entreprises et personnes morales : obligations fiscales (impôts et taxes auxquels sont assujetties les personnes), adresse fiscale de taxation ;
b) S'agissant des personnes physiques : obligations fiscales (impôts et taxes auxquels sont assujetties les personnes), adresse fiscale de taxation, année de déclaration, indicateur de dossier fort enjeu.
3° Données à caractère économique et financier en lien avec les affaires et activités de contrôle fiscal :
a) Eléments descriptifs du déroulement des affaires et activités liées au contrôle fiscal : identification, avancement et gestion de l'affaire et de l'activité, données relatives aux interventions, données liées à la gestion des documents, données relatives aux axes et aux motifs de programmation, données liées aux procédures envisagées et aux rectifications, données relatives aux procédures pénales, données relatives aux mises en recouvrement, identification des risques de minoration des impôts payés ou des déclarations déposées, identification et cotation des risques pesant sur le recouvrement, pièces de procédure, données relatives aux dispositifs légaux garantissant l'opposabilité de la prise de position formelle de l'administration sur une situation de fait au regard d'un texte fiscal aux fins d'améliorer la sécurité juridique des contribuables ;
b) Données saisies par les agents dans les zones de commentaires libres, ne comportant pas d'appréciation subjective ou de données relevant des articles 9 et 10 du règlement (UE) 2016/679 susvisé, et limitées à la saisie d'informations objectives, pertinentes et appropriées, nécessaires au bon suivi du dossier.
4° Données issues des travaux de valorisation menés par le bureau en charge de la programmation et de l'analyse des données :
a) S'agissant des entreprises et personnes morales : dénomination de la personne ou de l'entreprise, numéro SIREN, adresse fiscale de l'entreprise, code de l'activité principale, forme juridique, obligations fiscales, identification et cotation du risque fiscal, identification des dossiers devant être examinés, axes de contrôle ;
b) S'agissant des personnes physiques : nom, date de naissance, date de décès, numéro SIREN de l'entreprise dont la personne est dirigeante ou associée, situation familiale, adresse fiscale de taxation, année des revenus concernés, obligations fiscales, indicateur de dossier à fort enjeu.
II. - Les connexions à la base effectuées par les agents de la DGFiP et de la cellule de renseignement financier nationale, dénommée TRACFIN, font l'objet d'une journalisation qui se traduit par la conservation, pour chaque connexion, des éléments d'identification de l'auteur et du dossier consulté ainsi que des date et heure de la consultation. Elles sont conservées sur support informatique pendant un an à compter de la consultation, puis deux ans en base d'archivage.

Peuvent seuls accéder, à raison de leurs attributions respectives et dans la stricte limite de ce dont ils ont à connaître pour les besoins de leurs missions de recherche, de programmation, de contrôle, de recouvrement ou de contentieux, à tout ou partie des données à caractère personnel et informations mentionnées à l'article 3, les agents de la direction générale des finances publiques territorialement compétents.
Peuvent être destinataires de tout ou partie des données enregistrées dans le traitement, à raison de leurs attributions et dans la limite de leur besoin d'en connaître, les agents habilités de la cellule de renseignement financier nationale, dénommée TRACFIN, en application de l'article L. 561-27 du code monétaire et financier.

En l'absence de mise en œuvre d'une procédure de contrôle ou de sanction, les données relatives à la recherche et à la programmation sont détruites à l'expiration du délai de prescription, à l'exception des données strictement nécessaires au pilotage statistique de l'activité des services concernés.
En cas de mise en œuvre d'une procédure de contrôle ou de sanction, les données sont détruites à l'issue d'une période de six ans à compter, soit de l'expiration des délais de réclamation prévus au livre des procédures fiscales ou de l'épuisement des voies de recours si ceux-ci ont été engagés, soit de l'expiration des délais de prescription de l'action pénale ou de l'épuisement des voies de recours si celles-ci ont été engagées.
Les données en lien avec une prise de position de l'administration fiscale sont conservées tant que cette prise de position n'est pas rapportée.
Les données relatives à l'identification des agents, à leur rôle et à leurs interventions dans les affaires de contrôle fiscal sont conservées au plus tard jusqu'à la fin de la période de suivi de l'affaire.

Les données traitées sont issues des applications suivantes de la DGFiP :

- le référentiel des personnes physiques et morales (PERS) ;
- le référentiel des occurrences fiscales et des adresses (OCFI) ;
- le référentiel des données topographiques, des services et de leurs compétences (TOPAD) ;
- le traitement de tenue du fichier des redevables professionnels et de gestion des opérations de recouvrement (MEDOC) ;
- le traitement de suivi du contrôle fiscal (ALPAGE) pour la reprise des informations ;
- le traitement de ciblage de la fraude et valorisation des requêtes (CFVR) ;
- le traitement de suivi des alertes en matière de contrôle fiscal (ALERTES CF) ;
- le traitement de restitution de données apportant une vision synthétique de la situation d'un contribuable particulier ou professionnel (VUE 360).

Les droits d'accès et de rectification s'exercent auprès du service en charge du contrôle fiscal dans les conditions prévues par les articles 15 et 16 du règlement (UE) 2016/679 susvisé à l'adresse suivante : bureau SJCF-1D, bâtiment Sully, 64-70, allée de Bercy, 75574 Paris Cedex 12.
Les droits d'accès et de rectification peuvent faire l'objet de restrictions en application du premier alinéa de l'article 52 de la loi du 6 janvier 1978 modifiée et conformément au e du 1 de l'article 23 du règlement (UE) 2016/679 du 27 avril 2016 susvisé. La personne concernée par ces restrictions exerce ses droits auprès de la Commission nationale de l'informatique et des libertés dans les conditions prévues à l'article 118 de la loi susmentionnée.
Le droit à la limitation du traitement et le droit d'opposition respectivement prévus aux articles 18 et 21 du règlement (UE) 2016/679 du 27 avril 2016 susvisé ne s'appliquent pas au présent traitement, en application du e du 1 de l'article 23 du même règlement.
Le droit à l'effacement prévu à l'article 17 du règlement (UE) 2016/679 du 27 avril 2016 susvisé n'est pas applicable au présent traitement, conformément au b du 3 de ce même article.
Afin de garantir l'information des personnes concernées relativement aux données traitées dans le cadre de la finalité spécifique de lutte contre la fraude fiscale, il est prévu :

- une information générale sur le site internet du ministère en vue d'informer les personnes concernées sur la possibilité d'utilisation de leurs données à des fins de lutte contre la fraude ;
- une information individuelle pour les personnes effectivement contrôlées, dès lors que cette information n'est pas susceptible de nuire à l'efficacité du contrôle.

Le présent arrêté sera publié au Journal officiel de la République française.