La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie et des finances d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité l'interconnexion de fichiers en vue de fiabiliser les informations relatives aux locaux des bailleurs sociaux et améliorer l'assiette de la taxe d'habitation ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le livre des procédures fiscales, notamment son article L. 102 AE ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 25-I (5°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2016-178 du 22 février 2016 fixant les conditions d'exercice du droit de communication mentionné à l'article L. 102 AE du livre des procédures fiscales ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
La commission a été saisie par le ministère de l'économie et des finances d'une demande d'autorisation relative à un traitement automatisé de données à caractère personnel portant sur l'interconnexion d'un fichier détenu et transmis par les organismes visés aux articles L. 411-2 et L. 481-1 du code de la construction et de l'habitation (ci-après « les bailleurs sociaux ») et le système d'information de la Direction Générale des Finances Publiques (DGFiP) en vue de fiabiliser les locaux des bailleurs sociaux et d'améliorer ainsi l'assiette de la taxe d'habitation.
La mise en œuvre du traitement projeté relève dès lors des dispositions prévues au I (5°) de l'article 25 de la loi 6 janvier 1978 modifiée.
Depuis la loi de finances rectificative pour 2015 (n° 2015-1786 du 29 décembre 2015), les organismes mentionnés aux articles L. 411-2 et L. 481-1 du code de la construction et de l'habitation (« les bailleurs sociaux ») ont l'obligation de transmettre chaque année à l'administration fiscale, avant le 1er février, par voie dématérialisée, les informations nécessaires à l'établissement de la taxe d'habitation.
Les modalités ont été définies par le décret n° 2016-178 du 22 février 2016, entré en vigueur au 25 février 2016, lequel énumère les informations devant être transmises par les bailleurs sociaux à l'administration fiscale (article R. 102 AE-1 du livre des procédures fiscales).
Les informations visées par le décret précité portent sur :

- les locaux : nom du propriétaire ; numéro identifiant interne du bailleur ; identifiants du local dans le répertoire des logements locatifs des bailleurs sociaux (« RPLS ») prévu par l'article L. 411-10 du code de la construction et de l'habitation et de l'administration fiscale (n° invariant) ; adresse du local ; nature et type du local ; surface habitable du local.
- les occupants : titre, nom, prénom, date de naissance et adresse des titulaires des baux, présents au 1er janvier de l'année de la déclaration ; titre, nom, prénom, date de naissance et nouvelle adresse si elle est connue des titulaires des baux, présents au 1er janvier de l'année précédente ; date de départ des anciens titulaires des baux.

La commission relève que la mise en place de la transmission par voie dématérialisée des fichiers par les bailleurs sociaux à la DGFiP a donné lieu en 2016 à une déclaration normale modifiant le fichier de la taxe d'habitation (déclaration normale n° 116946 v.25).
Depuis lors, la transmission des fichiers des bailleurs sociaux s'effectue via une plateforme sécurisée appartenant à la DGFiP et dénommée « ESCALE ». Suite au dépôt desdits fichiers à l'échelon départemental, les Services des Impôts Particuliers (SIP) compétents effectuent des rapprochements manuels entre les fichiers transmis et le fichier taxe d'habitation pour procéder aux mises à jour nécessaires.
Le traitement projeté, mis en œuvre par la DGFiP, a donc vocation à remplacer le processus de rapprochement manuel des fichiers établi par l'intégration automatisée des fichiers transmis au système d'information de la DGFiP.
Sur les finalités :
A titre liminaire, la commission souligne que la transmission dématérialisée d'informations par les bailleurs sociaux à la DGFiP est encadrée par l'article L. 102 AE du livre des procédures fiscales et est effective depuis 2016.
Ce traitement s'inscrit dans le cadre de l'amélioration de la qualité des informations fiscales et a pour objectif principal de fiabiliser les locaux et d'améliorer ainsi l'assiette de la taxe d'habitation.
A cet effet, il est envisagé l'interconnexion du fichier transmis par les bailleurs sociaux et les données contenues dans les applications internes à la DGFiP.
Plus précisément, les fonctionnalités du traitement sont les suivantes :

1. l'acquisition via « POSEIDON » (plus précisément le silo « ACQUI-BAILLEURS ») et l'enrichissement du fichier des bailleurs sociaux (appel aux référentiels : « R-LOC », « TOPAD », « PERS ») ;
2. la fiabilisation des informations contenues dans le fichier des bailleurs sociaux (« GESTPART ») ;
3. l'intégration des informations mises à jour dans l'application « ILIAD » ;
4. le renvoi des informations mises à jour concernant l'identification du local (numéro invariant/numéro RPLS) aux bailleurs sociaux via « POSEIDON ».

En pratique, la personne habilitée représentant le bailleur social se connectera à la plateforme « POSEIDON », au moyen d'un mot de passe préalablement transmis par les services de la DGFiP, et y déposera son fichier (à l'échelon national ou départemental). Le dépôt dudit fichier donnera lieu à un accusé de réception. Suite au dépôt du fichier, les informations contenues dans celui-ci seront enrichies et fiabilisées pour envoi à l'application « ILIAD ». L'application « ILIAD » se chargera alors de répartir les informations sur les différents SIP en fonction de leur compétence géographique.
De par cette intégration automatique du fichier des bailleurs sociaux, la mise à jour des informations nécessaires à l'assiette de la taxe d'habitation et à la fiabilisation des locaux s'effectuera sans aucun travail manuel des agents des SIP compétents.
Suite aux observations formulées par les services de la commission concernant l'articulation du traitement projeté et la réforme envisagée de la taxe d'habitation (article 5 de la loi n° 2017-1837 du 30 décembre 2017 de finances pour 2018), le ministère de l'économie et des finances relève que la gestion de la taxe d'habitation reste identique malgré la réforme et que la DGFiP continuera à gérer l'affectation des personnes dans les locaux avant de pouvoir calculer si celles-ci bénéficieront ou non de la réforme. Le ministère souligne également que la réforme ne concerne que la taxe d'habitation au sens strict et ne concerne pas d'autres taxes, notamment les taxes sur les logements vacants, dont l'assiette est gérée simultanément à celle de la taxe d'habitation. La commission prend acte des éléments fournis.
La commission considère dès lors que les finalités poursuivies sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Par ailleurs, la commission invite le responsable de traitement à actualiser les accords-cadres conclus avec les bailleurs sociaux en vertu de l'article R. 102 AE-1 II du livre des procédures fiscales. La commission prend acte que le ministère s'engage à actualiser les accords-cadres précités.
Sur les données traitées :

Les données recueillies auprès des bailleurs sociaux et traitées sont les suivantes :
- des données relatives à l'identification du bailleur : nom du bailleur, n° SIRET, adresse de messagerie électronique, indicateur fichier correctif ;
- des données relatives à la localisation du local : n° identifiant interne du local, RPLS, n° invariant, situation du local ;
- des données relatives à l'identité du ou des occupant(s) du ou des titulaire(s) du bail à l'année N : titre, nom d'usage, nom de naissance, prénom, date de naissance, adresse d'envoi (si différente de l'adresse du logement) ;
- des données relatives à l'identité du ou des titulaire(s) du bail à l'année N-1 : titre, nom d'usage, nom de naissance, prénom, date de naissance, date de départ du logement, nouvelle adresse.

La commission observe que les informations traitées sont conformes aux dispositions de l'article R. 102 AE-1 du livre des procédures fiscales lequel énumère de manière exhaustive les informations pouvant être transmises à l'administration fiscale.
La commission relève toutefois que l'adresse de messagerie électronique collectée peut, selon le choix du bailleur social et les moyens dont il dispose, constituer soit l'adresse électronique générique du bailleur social soit l'adresse électronique d'une personne physique identifiée au sein du bailleur social.
La commission estime dès lors que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires :
Les données traitées sont uniquement accessibles aux agents de la DGFiP qui, en raison de leurs fonctions, sont chargés de les traiter, ce point n'appelle pas d'observation de la commission.
En outre, la commission relève que les bailleurs sociaux seront seuls destinataires, au sens de l'article 3 de la loi du 6 janvier 1978 modifiée, des informations mises à jour relatives à l'identification du local (n° invariant et n° RPLS).
Sur l'information et le droit d'accès :
La commission appelle l'attention du ministère de l'économie et des finances sur la nécessité de prendre toute mesure nécessaire à l'information des personnes dans des conditions conformes à l'article 32 de la loi du 6 janvier 1978 modifiée, par tout moyen à sa disposition.
La commission relève à cet égard que la publication d'un arrêté ne suffit pas à informer de manière claire et complète les personnes concernées par la mise en œuvre d'un traitement de données à caractère personnel et qu'il convient en conséquent de prévoir d'autres moyens d'information. La commission prend acte que le ministère s'engage à ajouter une mention d'information sur la notice de l'avis de taxe d'habitation dès les impositions pour 2018.
S'agissant des droits d'accès, de rectification et d'opposition, ceux-ci pourront s'exercer par écrit auprès du centre des finances publiques du domicile fiscal du requérant. Ce point n'appelle pas d'observation de la commission.
Sur les mesures de sécurité :
La commission rappelle qu'il incombe au ministère de l'économie et des finances de garantir de manière constante la confidentialité, l'intégrité, la disponibilité et la traçabilité des données transmises conformément à l'article 34 de la loi du 6 janvier 1978 modifiée.
A cet égard, la commission constate que pour déposer les fichiers concernés sur la plateforme « POSEIDON », les personnes habilitées représentant les bailleurs sociaux ont reçu préalablement de la DGFiP un mot de passe de 8 caractères sur lequel ne pose aucune contrainte en termes de structure. Ce mot de passe permettant l'authentification des personnes en question a été transmis sans précaution technique particulière, et ces dernières sont dans l'impossibilité de le modifier. La commission relève que ce mécanisme de génération et de transmission de mots de passe aux personnes n'est pas conforme à l'état de l'art en la matière et ne prend pas en compte les risques pouvant survenir (transmission de données erronées, interception de données,…). La commission invite donc le ministère à revoir ce procédé afin de garantir que les personnes accédant à la plateforme soient authentifiées dans les règles de l'art. La commission prend acte que le ministère s'engage à renforcer lesdits mots de passe (douze caractères avec des majuscules, des minuscules, des chiffres et des caractères spéciaux) pour la prochaine transmission dématérialisée prévue en début d'année 2019.
Le ministère indique que, lors de leur transmission, les données seront chiffrées au moyen du protocole TLS, précisément le ministère indique supporter les versions 1.0, 1.1 et 1.2. La commission constate que le ministère accepte l'usage d'algorithmes obsolètes dont l'usage est proscrit par l'Agence Nationale de la Sécurité des Systèmes d'Information (« ANSSI »). La commission souligne l'importance de suivre les recommandations de l'ANSSI et donc la nécessité pour le ministère de revoir les modalités de chiffrement des flux de données. La commission prend acte que le ministère s'engage à modifier la configuration TLS pour privilégier la version TLS 1.2.
En outre, la commission regrette que le ministère n'ai pas été en mesure d'apporter d'éléments concrets concernant la prise en compte des mesures de sécurité imposées par le référentiel général de sécurité.
Concernant les modalités de traçabilité des actions effectuées sur la plateforme « POSEIDON », la commission rappelle que les traces doivent être conservées pendant une durée de six mois. La commission prend acte que le ministère s'engage à respecter cette durée.
La commission prend acte que les supports de stockages mis au rebus, en panne, ou réutilisés pour d'autres traitements font l'objet d'une procédure de destruction physique ou d'un effacement sécurisé au moyen de logiciels spécifiques. La commission note également que la mise au point des logiciels s'effectue sur des données fictives.
Enfin, les autres mesures de sécurité n'appellent pas de remarques de la part de la commission.
Sur la durée de conservation :
La commission observe que la loi prévoit une transmission annuelle des informations par les bailleurs sociaux à la DGFiP, dès lors la commission estime que la durée de conservation prévue d'un an est conforme à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Autorise, conformément à la présente délibération, le ministère de l'économie et des finances à mettre en œuvre le traitement susmentionné.