La Commission nationale de l'informatique et des libertés,
Saisie par le ministre du budget, des comptes publics et de la réforme de l'Etat d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 5 avril 2002 portant création par la direction générale des impôts d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers (ADONIS) » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/146/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code monétaire et financier, notamment ses articles L. 561-23 à L. 561-31 et R. 561-33 à R. 561-37 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 27-II (4°) et 30 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 5 avril 2002 portant création par la direction générale des impôts d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers (ADONIS) » ;
Vu l'arrêté du 2 octobre 2012 modifiant l'arrêté du 5 avril 2002 portant création par la direction générale des finances publiques d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers (ADONIS) » ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre du budget, des comptes publics et de la réforme de l'Etat d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 5 avril 2002 portant création par la direction générale des impôts d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers (ADONIS) ».
Aux termes de cet arrêté, le traitement ADONIS permet aux particuliers de consulter certaines informations issues de leur dossier fiscal. Il permet également aux agents habilités de la direction générale des finances publiques (DGFiP) de consulter ces mêmes données du compte fiscal aux fins d'exercice de leurs missions d'établissement de l'assiette, de contrôle et de recouvrement, de gestion de certains patrimoines privés et de contrôle des droits à pension.
Il permet en outre aux agents habilités de la cellule de renseignement financier nationale dénommée « Traitement du renseignement et action contre les circuits financiers clandestins » (Tracfin) d'accéder aux dossiers des contribuables, dans le cadre des missions qui leur sont dévolues par les dispositions du code monétaire et financier (CMF).
La modification envisagée vise à modifier les modalités d'accès de ces agents aux données enregistrées dans le traitement ADONIS. Dans la mesure où ce traitement constitue un téléservice de l'administration comportant un identifiant des personnes physiques, la modification envisagé doit être autorisée par arrêté ministériel pris après avis motivé et publié de la commission, conformément aux dispositions des articles 27-II (4°) et 30 de la loi du 6 janvier 1978 modifiée.
Sur la finalité et la légalité du dispositif envisagé :
Le service à compétence nationale Tracfin, placé sous la tutelle du ministère des finances et des comptes publics, fait partie des services spécialisés de renseignement énumérés à l'article R. 811-1 du code de la sécurité intérieure. Il a notamment pour mission de recueillir, analyser, enrichir et exploiter les déclarations de soupçons que les différents professionnels assujettis sont tenus, par la loi, de lui déclarer dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme.
Dans ce cadre, et afin de vérifier la pertinence des informations reçues, l'article L. 561-27 du CMF prévoit que Tracfin « dispose, pour les besoins de l'accomplissement de sa mission, d'un droit d'accès direct aux fichiers utilisés par les services en charge de l'établissement de l'assiette, du contrôle et du recouvrement des impôts ». L'article 7 de l'arrêté du 5 avril 2002 précité prévoit ainsi que les agents de Tracfin sont destinataires des informations enregistrées dans le traitement ADONIS.
Le projet d'arrêté vise à permettre à la DGFiP de communiquer à Tracfin, de manière régulière, une copie partielle de la base ADONIS, afin de lui permettre d'exploiter plus facilement les données qui y sont enregistrées.
En effet, les modalités actuelles d'accès à ces données sont jugées inadaptées par le ministère, compte tenu notamment de l'augmentation importante du nombre de signalements reçus par Tracfin. Les déclarations de soupçon sont ainsi systématiquement analysées et enrichies par plusieurs actes d'investigation, principalement par des recherches dans les traitements de données à caractère personnel auxquels ces agents ont accès et dans des bases de données ouvertes, ainsi que, dans une moindre mesure, par l'exercice d'un droit de communication et par des requêtes adressées aux cellules de renseignement financier étrangères. Les fichiers concernés, mis en œuvre par la DGFiP ou la direction générale des douanes et droits indirects (DGDDI), sont ainsi de plus en plus consultés par Tracfin.
Dans ce contexte, cette nouvelle modalité d'accès aux données, qui interviendra de manière automatique et au début du processus d'analyse de la déclaration de soupçon, constitue un moyen plus facile et plus rapide d'accéder aux informations les plus pertinentes qui figurent dans ADONIS et d'orienter les agents de Tracfin dans leurs investigations.
La commission prend dès lors acte de l'intérêt opérationnel du dispositif envisagé pour l'exercice des missions de Tracfin.
S'agissant de la légalité de ce dispositif, la commission observe que la transmission d'une copie partielle des données ne semble pas correspondre à la lettre des dispositions du CMF, qui se réfèrent à un « droit d'accès direct » aux fichiers utilisés par les services en charge de l'établissement de l'assiette, du contrôle et du recouvrement des impôts.
Néanmoins, celles-ci manifestent clairement l'intention du législateur de doter Tracfin de moyens de recherche étendus, afin de lui permettre de prendre connaissance de toute information utile à ses investigations et à ses missions de renseignement, quelles que soient les modalités exactes d'accès aux données.
Si ces dispositions ne font pas obstacle à ce que Tracfin ait accès, par l'intermédiaire d'une copie partielle d'ADONIS, aux données enregistrées dans ce traitement, la commission estime qu'une modification de ces dispositions ou des dispositions réglementaires correspondantes du CMF permettrait de renforcer la sécurité juridique du dispositif projeté. En outre, elle invite le ministère à modifier le projet d'arrêté afin que le dispositif effectivement mis en œuvre apparaisse plus clairement, en faisant notamment référence à une copie partielle et actualisée du traitement ADONIS.
En tout état de cause, elle rappelle que la mise à disposition d'un fichier, en lieu et place d'un accès direct à ce dernier, fait peser des risques importants du point de vue de la protection des données personnelles.
En effet, cette pratique permet d'accéder à des données relatives à un plus grand nombre de personnes concernées et soulève des difficultés de mise à jour des données ainsi transmises. En outre, la conformité à la loi du 6 janvier 1978 modifiée des conditions de traitement ultérieur de ces données, et notamment des finalités de leur utilisation et de leur durée de conservation, est plus difficile à contrôler. Enfin, une telle mise à disposition induit des risques supplémentaires du point de vue des obligations de sécurité prévues à l'article 34 de la loi précitée, et notamment en matière de traçabilité.
Au regard de ces éléments, la commission estime que des garanties adéquates doivent être prévues afin de limiter ces risques.
Sur les garanties mises en œuvre :
Le dispositif envisagé nécessite en effet la mise en œuvre de garanties de nature à assurer la protection des données à caractère personnel ainsi communiquées, en termes de pertinence des données transmises, de conditions de conservation et de mise à jour et de mesures de sécurité entourant leur transfert, particulièrement par l'intermédiaire d'une traçabilité effective.
La commission relève tout d'abord que les données transmises à Tracfin sont limitées à ce qui est strictement nécessaire. Ces données, énumérées à l'article 1er du projet d'arrêté, sont relatives à l'identité du contribuable, de leur conjoint et des personnes rattachées, à l'impôt sur le revenu, aux taxes foncière et d'habitation et aux tiers déclarants.
Ainsi, les agents de Tracfin auront dans ce cadre accès à des données moins nombreuses que par l'intermédiaire de leur accès direct à ADONIS, puisque seules les données jugées les plus utiles par ce service, aux fins d'une première orientation du dossier, leur seront accessibles. La commission estime dès lors que la limitation des données transmises est pertinente au regard des objectifs du dispositif, qui constitue le premier acte de l'enrichissement d'une déclaration de soupçon.
En effet, le I de l'article 7 de l'arrêté du 5 avril 2002 précité n'est pas modifié par le présent projet d'arrêté, de sorte que les agents de Tracfin conserveront leur accès direct à ADONIS. Si un processus d'investigation plus complet est décidé, notamment sur la base des informations ainsi transmises, les agents pourront consulter ADONIS afin de prendre connaissance des informations plus complètes et plus précises qui figurent dans ce traitement.
Les agents de Tracfin pourraient en outre avoir accès à des données relatives à des personnes qui ne font pas l'objet d'une attention particulière de leur part, les données transmises portant sur l'ensemble des contribuables, indépendamment de tout soupçon.
Toutefois, la commission relève que cette copie partielle ne sera pas directement accessible aux agents de Tracfin et ne sera utilisée qu'à des fins de mise en relation automatique des données d'ADONIS avec les déclarations de soupçon.
S'agissant de la mise à jour des données, la commission relève que des fichiers d'initialisation, correspondant aux déclarations des années antérieures, seront communiqués dans un premier temps à Tracfin, puis que, par la suite, deux envois seront effectués chaque année, en août et en janvier. Dans l'hypothèse de plusieurs déclarations de revenus dans l'année, les informations seront uniquement extraites de la dernière et, pour les situations partielles, l'extraction concernera les deux périodes (avant et après changement de situation), de telle sorte que les données seront mises à jour.
En outre, au-delà de la mise à jour des données transmises par la DGFiP, la commission relève que, dans le cadre de l'accès direct des agents de Tracfin à ADONIS, ces derniers peuvent alerter la DGFiP de discordances constatées entre la situation déclarative et les flux financiers. Elle estime dès lors que, si Tracfin, dans le cadre de l'accès à ADONIS par l'intermédiaire de cette copie partielle, devait identifier des erreurs ou des données qui ne seraient plus à jour, une information devrait être délivrée en ce sens à la DGFIP.
Au regard de la nature des données concernées, relatives à la situation fiscale des intéressés, la commission estime que ces modalités de mise à jour sont suffisantes au regard des dispositions de l'article 6 (4°) de la loi du 6 janvier 1978 modifiée.
S'agissant des modalités de transmission des données, la copie partielle de la base ADONIS sera transmise via le réseau interministériel de l'Etat. Les données seront par ailleurs chiffrées, puis déchiffrées dans une zone sécurisée accessible aux seuls agents disposant d'une habilitation secret défense.
Elle prend acte que les dates d'envoi du fichier à Tracfin feront l'objet d'une journalisation, les traces étant conservées trois ans.
S'agissant enfin des mesures de traçabilité, la commission relève que les accès aux données qui interviennent via cette copie partielle ne feront pas l'objet des mesures de traçabilité prévues par l'article 7-I de l'arrêté du 5 avril 2002 susvisé. Aussi, elle rappelle que de telles mesures devront être mises en œuvre par le service Tracfin et prend acte de l'engagement du Gouvernement sur ce point.
La commission estime que les mesures de sécurité mises ainsi en place sont conformes à l'état de l'art et satisfaisantes au regard de l'article 34 de la loi du 6 janvier 1978 modifiée.
Si elle prend acte de l'ensemble de ces garanties, elle regrette néanmoins qu'aucune alternative technique à cette mise à disposition n'ait été envisagée afin d'assurer un meilleur contrôle de l'accès, par les agents de Tracfin, aux données enregistrées dans le traitement ADONIS.
Dans la mesure où il est prévu que d'autres traitements mis en œuvre par la DGFiP et la DGDDI fassent l'objet d'un dispositif similaire, la commission demande que de telles alternatives soient étudiées, comme par exemple la mise en œuvre d'interfaces de programmation applicative (API), dans le cadre des modifications réglementaires qui devront être apportées auxdits traitements.
La commission rappelle enfin qu'elle sera attentive aux modalités d'exploitation de ces données transmises à Tracfin par la DGFiP, lesquelles devront être portées à sa connaissance par Tracfin.