La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté portant création à la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel permettant la gestion en ligne du prélèvement à la source de l'impôt sur le revenu ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le livre des procédures fiscales, notamment son article L. 169 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu la loi n° 2016-1917 du 29 décembre 2016 de finances pour 2017, notamment son article 60 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 9 mai 2006 modifié portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé « Abonnement en ligne des particuliers », notamment son article 2 ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis, par le ministre de l'économie et des finances, d'un projet d'arrêté portant création à la direction générale des finances publiques (DGFiP) d'un traitement automatisé de données à caractère personnel permettant la gestion en ligne du prélèvement à la source de l'impôt sur le revenu.
L'article 60 de la loi du 29 décembre 2016 de finances pour 2017 instaure le prélèvement à la source de l'impôt sur le revenu. Il prévoit que ce prélèvement prend la forme d'une retenue à la source pour les revenus de type salaires, pensions et rentes viagères, et d'un acompte acquitté directement par le contribuable pour les bénéfices industriels, commerciaux et agricoles, les bénéfices non commerciaux et les revenus fonciers notamment.
Concernant la retenue à la source, sa mise en œuvre s'appuie sur la communication à l'administration fiscale, par le tiers versant le revenu, des informations nécessaires à la détermination du taux de prélèvement applicable à chaque contribuable, taux que la DGFiP transmet en retour au tiers versant.
Le taux de prélèvement peut être modulé à la demande du contribuable, dans les conditions fixées à l'article 60 de la loi de finances pour 2017. Ce même article prévoit que les demandes de modulation « sont présentées par voie électronique par les contribuables dont la résidence principale est équipée d'un accès à internet et qui sont en mesure de le faire ».
Dans ce contexte, le nouveau traitement projeté par la DGFiP doit permettre au contribuable de gérer son prélèvement à la source, et notamment la modulation de son taux de prélèvement. Ce traitement comporte un téléservice de l'administration électronique, au sens des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée, et sa mise en œuvre doit dès lors être autorisée par arrêté pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
Les articles 1er et 2 du projet d'arrêté prévoient d'autoriser la DGFiP à mettre en œuvre un traitement dénommé « TREMIS » pour permettre la gestion en ligne du prélèvement à la source de l'impôt sur le revenu.
Ce traitement doit permettre :

- à chaque contribuable personne physique de consulter et gérer le taux et les montants de prélèvement, dans son espace personnel en ligne ;
- aux agents de la DGFiP de consulter et gérer les prélèvements à la source des contribuables personnes physiques ;
- le suivi statistique des actions effectuées par les usagers et les agents.

Plus précisément, le téléservice « TREMIS », qui vient compléter le bouquet de téléservices actuellement offerts aux particuliers depuis leur espace personnel sur « impots.gouv.fr », doit permettre au contribuable de consulter le taux appliqué, les prélèvements effectués par le tiers versant et le montant des acomptes à venir pour les revenus sans tiers collecteurs, ainsi que de gérer ses coordonnées bancaires.
Ce service en ligne doit également permettre à l'usager de signaler les variations de revenus ou changements de situation familiale, qui ont une incidence sur leur taux de prélèvement, et de gérer les différentes options prévues par les dispositions précitées du CGI en matière de taux, notamment l'individualisation pour les couples mariés ou pacsés, la modulation, la trimestrialisation des acomptes ou encore la transmission d'un taux neutre au tiers versant.
A cet égard, la commission rappelle que le système de retenue à la source conduit à porter à la connaissance du tiers versant le revenu, et notamment de l'employeur, certaines informations relatives à la vie privée du contribuable (revenus tirés d'autres sources que l'emploi, revenus du conjoint, etc.). Dans ce contexte, le législateur a prévu la possibilité, pour le contribuable, d'opter pour un taux par défaut ou « taux neutre », lequel ne révèle pas le taux d'imposition du foyer.
La commission rappelle que ce taux neutre constitue une garantie essentielle de la protection de la vie privée du contribuable, dans le cadre de l'instauration du prélèvement à la source ; il convient dès lors d'offrir aux usagers des conditions de mise en œuvre de nature à assurer l'effectivité de cette garantie, en leur permettant notamment de solliciter ce taux neutre par voie dématérialisée. Elle considère ainsi que le téléservice « TREMIS », au-delà de répondre à l'objectif de simplification des démarches administratives, permet de faciliter l'activation de la garantie que constitue le taux neutre.
Dès lors, la commission estime que la finalité de consultation et de gestion en ligne du prélèvement à la source est déterminée, explicite et légitime, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
S'agissant de l'utilisation de « TREMIS » par les agents de la DGFiP, la commission prend acte qu'il s'agit uniquement de permettre à ces agents d'accompagner tout contribuable dans la consultation et la gestion du prélèvement à la source et, en particulier, d'intervenir pour le compte de contribuables qui ne disposent pas d'un accès à internet ou qui sont exclus du service en ligne.
Enfin, la finalité statistique poursuivie par le traitement « TREMIS » n'appelle pas d'observation particulière de la commission.
Sur les données traitées :
L'article 3 du projet d'arrêté énumère les données personnelles traitées. Ces données concernent les catégories suivantes :

- les données d'identification de l'usager, à savoir les nom et prénom de l'usager et de son conjoint ou de son partenaire, les identifiants fiscaux de l'usager et du conjoint ou du partenaire, l'adresse de messagerie électronique de l'usager et du conjoint ou du partenaire, le nombre de personnes à la charge du foyer fiscal ainsi que leur année de naissance ;
- la situation familiale ;
- les données à caractère économique et financier : informations concernant les retenues et les évènements impliquant une modification du taux, la date de fin de validité du compte bancaire.

L'article 4 du projet d'arrêté précise que ces données peuvent être issues d'autres traitements régulièrement mis en œuvre par la DGFiP ou renseignées par l'usager lui-même, ce qui n'appelle pas d'observation particulière. La commission prend acte que, lorsqu'une modification est signalée par l'usager, les données sont ensuite transmises aux applications concernées de la DGFiP en vue de leur mise à jour.
La commission relève que le téléservice « TREMIS » permet uniquement la transmission par les usagers d'informations et non l'envoi de documents qui seraient ensuite stockés dans l'application. Elle prend en outre acte que, pour un couple, la situation présentée est celle du foyer fiscal et que chacun des membres du foyer peut ainsi consulter les actions effectuées par l'autre membre du couple et les montants prélevés par foyer.
La commission considère que les données traitées via le téléservice « TREMIS » sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 5 du projet d'arrêté prévoit que les données à caractère personnel traitées dans le cadre du dispositif « TREMIS » sont conservées au maximum quatre ans.
Cette durée de conservation tient compte du délai de reprise dont dispose l'administration pour rectifier les omissions constatées dans l'assiette de l'impôt, les insuffisances, les inexactitudes ou les erreurs d'imposition. Pour l'impôt sur le revenu, ce délai de reprise s'exerce jusqu'à la fin de la troisième année qui suit celle au titre de laquelle l'imposition est due, conformément aux dispositions de l'article L. 169 du livre des procédures fiscales.
La commission relève en outre que l'usager a ainsi accès à la liste des retenues effectuées par le tiers collecteur et des acomptes versés directement à la DGFiP par l'usager au cours des trois dernières années en plus de l'année en cours.
Elle considère que la durée de conservation projetée n'excède pas la durée nécessaire au regard des finalités poursuivies par le traitement, conformément aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 6 du projet d'arrêté prévoit que les destinataires des données relatives aux contribuables sont les seuls agents habilités de la DGFiP, ce qui n'appelle pas d'observation particulière de la commission.
Sur l'information et les droits des personnes :
Dans la mesure où le taux neutre constitue une garantie de nature à assurer un juste équilibre entre l'intérêt général qui s'attache à la mise en œuvre du prélèvement à la source et l'atteinte portée au droit au respect de la vie privée, la commission souligne l'importance de délivrer une information claire et complète aux contribuables quant à la possibilité qui leur est offerte d'actionner cette garantie.
Outre les mentions d'information prévues à l'article 32 de la loi « Informatique et Libertés », qui doivent obligatoirement être portées à la connaissance des personnes concernées, la commission estime donc que le téléservice « TREMIS », qui a précisément pour finalité la gestion de ce taux par les contribuables, doit fournir toute information de nature à permettre la mise en œuvre de cette garantie.
En outre, la commission observe que le site web sur lequel sera accessible le téléservice inclut un outil de mesure d'audience du site. Dès lors, elle rappelle la nécessité d'informer les contribuables et de les mettre en mesure de s'opposer au suivi de leur navigation sur le site, conformément aux dispositions de l'article 32-II de la loi du 6 janvier 1978 modifiée telles que précisées dans les recommandations formulées par la commission en la matière.
S'agissant des droits d'accès et de rectification prévus aux articles 39 et 40 de la loi susmentionnée, l'article 7 du projet d'arrêté dispose que ceux-ci s'exercent auprès du centre des finances publiques du domicile fiscal de l'usager.
Ce même article précise en outre que tout contribuable peut consulter sur internet les éléments constitutifs de son prélèvement à la source mis en ligne dans son espace personnel après s'être identifié. A cet égard, la commission appelle l'attention du ministère sur l'obligation qui incombe au responsable de traitement qui a collecté des données personnelles par voie électronique, de permettre à toute personne d'exercer ses droits, notamment son droit de rectification, également par voie électronique, conformément à l'article 43 bis de la loi du 6 janvier 1978 modifiée.
Le ministère entend faire application du dernier alinéa de l'article 38 de la loi susmentionnée en excluant le droit d'opposition, ce qui n'appelle pas d'observation particulière de la commission dans la mesure où le recours à un dispositif dématérialisé, pour les contribuables dont la résidence principale est équipée d'un accès à internet, est expressément prévu par l'article 60 de la loi de finances pour 2017.
Sur la sécurité des données et la traçabilité des actions :
Le traitement « TREMIS » constitue un téléservice de l'administration électronique et est, à ce titre, soumis au référentiel général de sécurité (RGS).
La commission prend acte que l'application « TREMIS » a fait l'objet d'une décision d'homologation au RGS le 7 juillet 2017. Néanmoins, en l'absence de transmission du détail de l'analyse de risques menée par la DGFiP, la seule mention du recours au protocole TLS n'apparaît pas suffisante pour permettre à la commission de déterminer si les mesures de sécurité envisagées sont satisfaisantes au regard des risques encourus par le traitement.
En tout état de cause, elle rappelle que l'ouverture du service en ligne devra être précédée de son homologation et qu'il conviendra de réactualiser régulièrement les mesures de sécurité encadrant le traitement afin qu'elles soient continuellement proportionnées aux risques.
S'agissant des modalités d'authentification des contribuables en vue d'accéder à leur espace personnel sécurisé dans le portail fiscal, l'article 7 du projet d'arrêté renvoie à l'article 2 de l'arrêté du 9 mai 2006 susvisé, lequel prévoit une authentification soit par la procédure de saisie des trois secrets, soit par identifiant/mot de passe en ligne, soit par identifiant/mot de passe via le site « mon.service-public.fr ». Ainsi, les contribuables doivent être mis en mesure de choisir parmi ces trois modalités d'authentification celle qu'ils souhaitent utiliser.
S'agissant plus généralement de l'authentification de tout utilisateur du dispositif par un système impliquant un mot de passe, la commission rappelle que cette authentification doit être conforme à l'état de l'art, tel que précisé dans les recommandations de la commission en la matière.
Concernant les mesures de traçabilité, les articles 3 et 5 du projet d'arrêté prévoient que les connexions effectuées par les usagers font l'objet d'une journalisation, qui se traduit par la conservation, de l'adresse IP de l'usager, des date et heure et des données de connexion pendant une durée de quatre-vingt-dix jours. Ils prévoient en outre que les actions réalisées par les agents de la DGFiP font également l'objet d'une journalisation qui induit la conservation pendant un an des éléments d'identification de l'auteur, des références et de la nature des actions effectuées ainsi que des date et heure.
La commission prend acte que le ministère s'engage à modifier l'article 6 du projet d'arrêté, qui prévoit que les destinataires des données relatives à la journalisation des actions menées sont « les personnels encadrant, les responsables de sécurité informatique et les agents habilités à consulter les traces » afin de préciser qu'il s'agit du personnel de la DGFiP.
Sous ces réserves, la commission considère que les mesures de sécurité envisagées par l'administration fiscale apparaissent cohérentes avec le niveau de sécurité attendu au regard de la nature des données traitées et des risques présentés par le traitement, conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée.