Retour à la section

Délibération n°2017-250 du 14 septembre 2017

JORF n°0119 du 26 mai 2018

La Commission nationale de 1'informatique et des libertés,
Saisie par le ministre de l'économie d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de transfert de données fiscales relatives aux redevables de la cotisation annuelle prévue à l'article L. 380-2 du code de la sécurité sociale ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le livre des procédures fiscales, notamment ses articles L. 152, L. 288, R*. 287-1 ;
Vu le code de la sécurité sociale, notamment son article L. 380-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-I-1° ;
Vu le décret n° 2000-8 du 4 janvier 2000 pris pour l'application de l'article L. 288 du livre des procédures fiscales ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 5 avril 2002 modifié portant création par la direction générale des finances publiques d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers » (ADONIS) ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'économie d'une demande d'avis relative à un projet de décret portant création d'un traitement automatisé de transfert de données fiscales concernant les redevables de la cotisation annuelle prévue à l'article L. 380-2 du code de la sécurité sociale (CSS).
Le traitement projeté doit permettre le transfert à l'Agence centrale des organismes de sécurité sociale (ACOSS) de données fiscales nécessaires à la détermination de l'assiette sociale et au calcul de la cotisation subsidiaire maladie des personnes. Est prévue, dans ce cadre, la communication du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR). Le traitement projeté relève dès lors de l'article 27-I-1° de la loi du 6 janvier 1978 modifiée et doit être autorisé par décret en Conseil d'Etat, pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
Aux termes de l'article 1er du projet de décret soumis à la commission, le traitement, qui doit être mis en œuvre par la direction générale des finances publiques (DGFiP) du ministère de l'économie, a pour finalité : « de communiquer sur support informatique à l'ACOSS les informations fiscales nécessaires à la détermination de l'assiette et au montant de la cotisation prévue par les dispositions de l'article L. 380-2 du code de la sécurité sociale, dans le cadre de ses missions légales ».
L'article L. 380-2 du CSS, issu de l'article 32 de la loi de financement de la sécurité sociale pour 2016, porte sur la cotisation annuelle due par les bénéficiaires de la protection universelle maladie (PUMa), qui garantit à toute personne qui travaille ou réside en France de manière stable et régulière un droit à la prise en charge de ses frais de santé.
L'affiliation individuelle à ce régime de protection se fait automatiquement, sans démarche de la part des assurés, sur la base d'un critère professionnel et d'un critère de résidence. Les bénéficiaires de la PUMa peuvent, en outre, en application de l'article L. 380-2 du CSS, être redevables d'une cotisation annuelle au regard de conditions liées à leurs revenus. La contribution de chaque bénéficiaire est proportionnelle à ses capacités contributives et dépend de son régime d'assurance (salarié, indépendant…).
C'est pour permettre à l'ACOSS de disposer des informations nécessaires à la détermination de l'assiette sociale et au calcul de la cotisation subsidiaire maladie des personnes qui y sont assujetties que la DGFiP, qui dispose des données requises concernant les résidents fiscaux, envisage de constituer et de transférer à l'ACOSS un fichier recensant les individus redevables de la cotisation subsidiaire maladie et, pour chacun d'eux, les données fiscales de l'année N-1 nécessaires pour le calcul de la cotisation.
La transmission de telles données à des organismes en charge de l'application de la législation sociale est expressément prévue au dernier alinéa de l'article L. 380-2 du code de la sécurité sociale qui dispose que « les agents des administrations fiscales communiquent aux organismes mentionnés aux articles L. 213-1 et L. 752-2 les informations nominatives déclarées pour l'établissement de l'impôt sur le revenu par les personnes » remplissant les conditions permettant de bénéficier de la PUMa, conformément à l'article L. 152 du livre des procédures fiscales (LPF).
Le projet de décret soumis à la commission, qui n'entre pas dans le cadre des dispositifs de transferts mis en œuvre par le Centre national de transfert des données fiscales (CNTDF), vise uniquement à autoriser la communication par la DGFiP des données nécessaires à l'ACOSS, cette dernière restant responsable de l'accomplissement des formalités requises pour l'autorisation du traitement dans lequel seront ensuite enregistrées et conservées les données communiquées.
Dans ces conditions, la commission considère que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes, conformément à l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur les données traitées et leur durée de conservation :
Les catégories de données à caractère personnel traitées sont définies dans une annexe au projet de décret, qui distingue les données relatives à l'état civil, l'identité ou l'identification des personnes, des données d'ordre économique et financier.
Les données relatives à l'état civil, l'identité ou l'identification des personnes mentionnées sont les suivantes :

- civilité ;
- nom de famille ;
- nom d'usage ;
- prénoms ;
- date de naissance ;
- lieu de naissance ;
- adresse du domicile ;
- adresse de correspondance ;
- NIR.

S'agissant des données d'ordre économique et financier, l'annexe au projet de décret mentionne notamment :

- traitements et salaires ;
- pensions, retraites et rentes ;
- revenus et plus-values des professions non salariées ;
- revenus des valeurs et capitaux mobiliers ;
- revenus fonciers ;
- les rectifications apportées par le contribuable ou les services de la DGFiP en cas d'émission de rôles supplémentaires et de dégrèvements.

La commission prend acte que ces informations seront extraites du compte fiscal des particuliers (ADONIS), dont les conditions de mise en œuvre sont définies par l'arrêté du 5 avril 2002 susvisé, et que l'extraction sera limitée aux informations nécessaires à la détermination de l'assiette et au montant de la cotisation subsidiaire maladie. Elle prend également acte que seules les données à caractère personnel relatives à des personnes identifiées comme redevables de cette cotisation feront l'objet d'une transmission à l'ACOSS, ce qui est expressément prévu à l'article 2 du projet de décret.
La commission relève en outre que le NIR figure parmi les catégories de données mentionnées par l'annexe au projet de décret.
L'article 2 du projet de décret précise que l'identifiant fiscal national individuel des personnes concernées (numéro SPI) sera rapproché par la DGFiP des fichiers informatisés dédiés, dénommés « tables de correspondance NIR/ITIP-SPI », qui permettent d'établir un lien fixe entre le NIR et le numéro SPI.
Seul le NIR sera ensuite communiqué par la DGFiP à l'ACOSS, une telle communication devant permettre de renforcer la fiabilité de l'identification des redevables de la cotisation.
Sur ce point, la commission relève que l'article L. 152 du LPF permet l'utilisation du NIR par les agents des administrations fiscales pour les demandes, échanges et traitements notamment nécessaires à l'appréciation, par des organismes chargés de la gestion d'un régime obligatoire de sécurité sociale, des conditions d'assujettissement aux cotisations et contributions ou pour la détermination de l'assiette et du montant des cotisations et contributions.
Dès lors, la communication par la DGFiP du NIR à l'ACOSS, qui doit intervenir dans le cadre d'échanges nécessaires à la détermination de l'assiette et du montant de la cotisation subsidiaire maladie, n'appelle pas d'observation de la part de la commission.
Il en va de même des autres catégories de données mentionnées par l'annexe au projet de décret soumis à la commission, qui apparaissent adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6-3° de la loi du 6 janvier 1978 modifiée.
S'agissant de la durée de conservation des données, le dossier soumis à la commission précise que les fichiers produits par la DGFiP en vue du transfert de données à l'ACOSS ne seront pas archivés et seront détruits au bout de quelques jours, dès que l'assurance qu'ils ont bien été reçus de manière exploitable par leur destinataire sera acquise, ce dont elle prend acte. Elle considère toutefois que le projet de décret devrait expressément prévoir que les données extraites du traitement ADONIS pour être transférées à l'ACOSS dans le cadre de la mise en œuvre du traitement projeté ne seront pas conservées par la DGFiP au-delà du délai nécessaire à la réalisation effective de ce transfert. La commission prend acte que le projet de décret sera modifié en ce sens.
Sur les destinataires du traitement/des données :
L'article 3 du projet de décret prévoit que sont destinataires des données à caractère personnel et des informations mentionnées à l'annexe au projet, à raison de leurs attributions et du besoin d'en connaître, les agents de l'ACOSS en charge de la protection universelle maladie.
Un tel accès aux données apparaît justifié au regard des finalités du traitement.
La commission prend également acte que, à sa demande, dans la mesure où l'extraction de données issues du fichier ADONIS et leur transfert à l'ACOSS imposent la mise en œuvre d'un traitement spécifique, conduisant au sein des services de la DGFiP à l'établissement d'une liste nominative et à la substitution du numéro SPI par le NIR, le projet de décret sera modifié afin de prévoir un accès aux données par des agents de cette direction.
Sur l'information et les droits des personnes concernées :
Le projet de décret prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du centre des finances publiques du domicile fiscal du requérant, ce dont la commission prend acte.
En outre, le projet de décret prévoit que le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas au traitement, ce qui n'appelle pas d'observation de la part de la commission.
La commission rappelle toutefois que des mesures doivent être prévues par le responsable de traitement pour assurer l'information des intéressés, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée. Cette obligation supposera notamment de compléter la mention d'information des contribuables sur le site internet du ministère concernant l'utilisation des données enregistrées dans le traitement ADONIS pour intégrer l'extraction et le transfert éventuels de données aujourd'hui envisagés.
La commission considère en outre que, dans la mesure où la communication d'informations envisagée ne résultera d'aucune démarche des intéressés, une information spécifique des personnes concernées par le transfert à l'ACOSS doit être prévue.
Sur les mesures de sécurité du traitement :
Le fichier est constitué à partir d'une extraction d'ADONIS permettant de ne sélectionner que la population effectivement soumise à la contribution collectée par l'ACOSS. Cette extraction est chiffrée par GPG par le service émetteur à l'aide de la clé publique du service destinataire.
Suite à cette extraction, le service destinataire du fichier procédera à la substitution du numéro SPI par le NIR des individus concernés. Le fichier résultant sera chiffré via GPG avec la clé publique de l'ACOSS, puis mis à disposition sur un serveur FTP accessible via un tunnel VPN.
La commission considère que ces mesures permettent de garantir la confidentialité des transferts de données. Elle rappelle toutefois que les opérations de chiffrement doivent respecter l'annexe Bl du Référentiel général de sécurité qui décrit les modalités pratiques de mise en œuvre de ce type de mesure ainsi que les tailles de clé minimale qui doivent être utilisées.
Les autres mesures de sécurité n'appellent pas d'observation de la part de la commission.
Dans ces conditions, la commission considère que les mesures prévues par le responsable de traitement sont conformes à l'exigence de sécurité prévue par 1'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que le respect de cette exigence nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

1 version

Historique des versions

Version 1

La Commission nationale de 1'informatique et des libertés,

Saisie par le ministre de l'économie d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de transfert de données fiscales relatives aux redevables de la cotisation annuelle prévue à l'article L. 380-2 du code de la sécurité sociale ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le livre des procédures fiscales, notamment ses articles L. 152, L. 288, R*. 287-1 ;

Vu le code de la sécurité sociale, notamment son article L. 380-2 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-I-1° ;

Vu le décret n° 2000-8 du 4 janvier 2000 pris pour l'application de l'article L. 288 du livre des procédures fiscales ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu l'arrêté du 5 avril 2002 modifié portant création par la direction générale des finances publiques d'un traitement automatisé d'informations nominatives dénommé « accès au dossier fiscal des particuliers » (ADONIS) ;

Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Emet l'avis suivant :

La commission a été saisie par le ministre de l'économie d'une demande d'avis relative à un projet de décret portant création d'un traitement automatisé de transfert de données fiscales concernant les redevables de la cotisation annuelle prévue à l'article L. 380-2 du code de la sécurité sociale (CSS).

Le traitement projeté doit permettre le transfert à l'Agence centrale des organismes de sécurité sociale (ACOSS) de données fiscales nécessaires à la détermination de l'assiette sociale et au calcul de la cotisation subsidiaire maladie des personnes. Est prévue, dans ce cadre, la communication du numéro d'inscription au répertoire national d'identification des personnes physiques (NIR). Le traitement projeté relève dès lors de l'article 27-I-1° de la loi du 6 janvier 1978 modifiée et doit être autorisé par décret en Conseil d'Etat, pris après avis motivé et publié de la commission.

Sur les finalités du traitement :

Aux termes de l'article 1er du projet de décret soumis à la commission, le traitement, qui doit être mis en œuvre par la direction générale des finances publiques (DGFiP) du ministère de l'économie, a pour finalité : « de communiquer sur support informatique à l'ACOSS les informations fiscales nécessaires à la détermination de l'assiette et au montant de la cotisation prévue par les dispositions de l'article L. 380-2 du code de la sécurité sociale, dans le cadre de ses missions légales ».

L'article L. 380-2 du CSS, issu de l'article 32 de la loi de financement de la sécurité sociale pour 2016, porte sur la cotisation annuelle due par les bénéficiaires de la protection universelle maladie (PUMa), qui garantit à toute personne qui travaille ou réside en France de manière stable et régulière un droit à la prise en charge de ses frais de santé.

L'affiliation individuelle à ce régime de protection se fait automatiquement, sans démarche de la part des assurés, sur la base d'un critère professionnel et d'un critère de résidence. Les bénéficiaires de la PUMa peuvent, en outre, en application de l'article L. 380-2 du CSS, être redevables d'une cotisation annuelle au regard de conditions liées à leurs revenus. La contribution de chaque bénéficiaire est proportionnelle à ses capacités contributives et dépend de son régime d'assurance (salarié, indépendant…).

C'est pour permettre à l'ACOSS de disposer des informations nécessaires à la détermination de l'assiette sociale et au calcul de la cotisation subsidiaire maladie des personnes qui y sont assujetties que la DGFiP, qui dispose des données requises concernant les résidents fiscaux, envisage de constituer et de transférer à l'ACOSS un fichier recensant les individus redevables de la cotisation subsidiaire maladie et, pour chacun d'eux, les données fiscales de l'année N-1 nécessaires pour le calcul de la cotisation.

La transmission de telles données à des organismes en charge de l'application de la législation sociale est expressément prévue au dernier alinéa de l'article L. 380-2 du code de la sécurité sociale qui dispose que « les agents des administrations fiscales communiquent aux organismes mentionnés aux articles L. 213-1 et L. 752-2 les informations nominatives déclarées pour l'établissement de l'impôt sur le revenu par les personnes » remplissant les conditions permettant de bénéficier de la PUMa, conformément à l'article L. 152 du livre des procédures fiscales (LPF).

Le projet de décret soumis à la commission, qui n'entre pas dans le cadre des dispositifs de transferts mis en œuvre par le Centre national de transfert des données fiscales (CNTDF), vise uniquement à autoriser la communication par la DGFiP des données nécessaires à l'ACOSS, cette dernière restant responsable de l'accomplissement des formalités requises pour l'autorisation du traitement dans lequel seront ensuite enregistrées et conservées les données communiquées.

Dans ces conditions, la commission considère que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes, conformément à l'article 6-2° de la loi du 6 janvier 1978 modifiée.

Sur les données traitées et leur durée de conservation :

Les catégories de données à caractère personnel traitées sont définies dans une annexe au projet de décret, qui distingue les données relatives à l'état civil, l'identité ou l'identification des personnes, des données d'ordre économique et financier.

Les données relatives à l'état civil, l'identité ou l'identification des personnes mentionnées sont les suivantes :

- civilité ;

- nom de famille ;

- nom d'usage ;

- prénoms ;

- date de naissance ;

- lieu de naissance ;

- adresse du domicile ;

- adresse de correspondance ;

- NIR.

S'agissant des données d'ordre économique et financier, l'annexe au projet de décret mentionne notamment :

- traitements et salaires ;

- pensions, retraites et rentes ;

- revenus et plus-values des professions non salariées ;

- revenus des valeurs et capitaux mobiliers ;

- revenus fonciers ;

- les rectifications apportées par le contribuable ou les services de la DGFiP en cas d'émission de rôles supplémentaires et de dégrèvements.

La commission prend acte que ces informations seront extraites du compte fiscal des particuliers (ADONIS), dont les conditions de mise en œuvre sont définies par l'arrêté du 5 avril 2002 susvisé, et que l'extraction sera limitée aux informations nécessaires à la détermination de l'assiette et au montant de la cotisation subsidiaire maladie. Elle prend également acte que seules les données à caractère personnel relatives à des personnes identifiées comme redevables de cette cotisation feront l'objet d'une transmission à l'ACOSS, ce qui est expressément prévu à l'article 2 du projet de décret.

La commission relève en outre que le NIR figure parmi les catégories de données mentionnées par l'annexe au projet de décret.

L'article 2 du projet de décret précise que l'identifiant fiscal national individuel des personnes concernées (numéro SPI) sera rapproché par la DGFiP des fichiers informatisés dédiés, dénommés « tables de correspondance NIR/ITIP-SPI », qui permettent d'établir un lien fixe entre le NIR et le numéro SPI.

Seul le NIR sera ensuite communiqué par la DGFiP à l'ACOSS, une telle communication devant permettre de renforcer la fiabilité de l'identification des redevables de la cotisation.

Sur ce point, la commission relève que l'article L. 152 du LPF permet l'utilisation du NIR par les agents des administrations fiscales pour les demandes, échanges et traitements notamment nécessaires à l'appréciation, par des organismes chargés de la gestion d'un régime obligatoire de sécurité sociale, des conditions d'assujettissement aux cotisations et contributions ou pour la détermination de l'assiette et du montant des cotisations et contributions.

Dès lors, la communication par la DGFiP du NIR à l'ACOSS, qui doit intervenir dans le cadre d'échanges nécessaires à la détermination de l'assiette et du montant de la cotisation subsidiaire maladie, n'appelle pas d'observation de la part de la commission.

Il en va de même des autres catégories de données mentionnées par l'annexe au projet de décret soumis à la commission, qui apparaissent adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6-3° de la loi du 6 janvier 1978 modifiée.

S'agissant de la durée de conservation des données, le dossier soumis à la commission précise que les fichiers produits par la DGFiP en vue du transfert de données à l'ACOSS ne seront pas archivés et seront détruits au bout de quelques jours, dès que l'assurance qu'ils ont bien été reçus de manière exploitable par leur destinataire sera acquise, ce dont elle prend acte. Elle considère toutefois que le projet de décret devrait expressément prévoir que les données extraites du traitement ADONIS pour être transférées à l'ACOSS dans le cadre de la mise en œuvre du traitement projeté ne seront pas conservées par la DGFiP au-delà du délai nécessaire à la réalisation effective de ce transfert. La commission prend acte que le projet de décret sera modifié en ce sens.

Sur les destinataires du traitement/des données :

L'article 3 du projet de décret prévoit que sont destinataires des données à caractère personnel et des informations mentionnées à l'annexe au projet, à raison de leurs attributions et du besoin d'en connaître, les agents de l'ACOSS en charge de la protection universelle maladie.

Un tel accès aux données apparaît justifié au regard des finalités du traitement.

La commission prend également acte que, à sa demande, dans la mesure où l'extraction de données issues du fichier ADONIS et leur transfert à l'ACOSS imposent la mise en œuvre d'un traitement spécifique, conduisant au sein des services de la DGFiP à l'établissement d'une liste nominative et à la substitution du numéro SPI par le NIR, le projet de décret sera modifié afin de prévoir un accès aux données par des agents de cette direction.

Sur l'information et les droits des personnes concernées :

Le projet de décret prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent auprès du centre des finances publiques du domicile fiscal du requérant, ce dont la commission prend acte.

En outre, le projet de décret prévoit que le droit d'opposition prévu à l'article 38 de la même loi ne s'applique pas au traitement, ce qui n'appelle pas d'observation de la part de la commission.

La commission rappelle toutefois que des mesures doivent être prévues par le responsable de traitement pour assurer l'information des intéressés, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée. Cette obligation supposera notamment de compléter la mention d'information des contribuables sur le site internet du ministère concernant l'utilisation des données enregistrées dans le traitement ADONIS pour intégrer l'extraction et le transfert éventuels de données aujourd'hui envisagés.

La commission considère en outre que, dans la mesure où la communication d'informations envisagée ne résultera d'aucune démarche des intéressés, une information spécifique des personnes concernées par le transfert à l'ACOSS doit être prévue.

Sur les mesures de sécurité du traitement :

Le fichier est constitué à partir d'une extraction d'ADONIS permettant de ne sélectionner que la population effectivement soumise à la contribution collectée par l'ACOSS. Cette extraction est chiffrée par GPG par le service émetteur à l'aide de la clé publique du service destinataire.

Suite à cette extraction, le service destinataire du fichier procédera à la substitution du numéro SPI par le NIR des individus concernés. Le fichier résultant sera chiffré via GPG avec la clé publique de l'ACOSS, puis mis à disposition sur un serveur FTP accessible via un tunnel VPN.

La commission considère que ces mesures permettent de garantir la confidentialité des transferts de données. Elle rappelle toutefois que les opérations de chiffrement doivent respecter l'annexe Bl du Référentiel général de sécurité qui décrit les modalités pratiques de mise en œuvre de ce type de mesure ainsi que les tailles de clé minimale qui doivent être utilisées.

Les autres mesures de sécurité n'appellent pas d'observation de la part de la commission.

Dans ces conditions, la commission considère que les mesures prévues par le responsable de traitement sont conformes à l'exigence de sécurité prévue par 1'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que le respect de cette exigence nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.