| N° de demande d'avis : 24014780. | Thématiques : applicatif métier ; contrôle fiscal. | |:---------------------------------------------------------------------------------------|:-------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme à l'origine de la saisine : ministère en charge de l'économie et des finances.|Fondement de la saisine : 2° du I de l'article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.|

L'essentiel :
Le traitement « PILOT CF », mis en œuvre par la direction générale des finances publiques, a vocation à moderniser les applications métiers utilisées dans le cadre du contrôle fiscal, en permettant une gestion complète des affaires (de la programmation aux potentiels contentieux) ainsi qu'un meilleur pilotage de l'activité des services concernés.
Le traitement au sein de « PILOT CF » des objectifs individuels des agents n'est pas nécessaire. Le projet d'arrêté devra écarter cette possibilité.
Certaines durées de conservation jugées disproportionnées devront être significativement réduites.
Plusieurs recommandations portant sur la politique d'information mise en œuvre, les mesures de sécurité ainsi que la documentation de conformité produite sont proposées.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31 ;
Sur la proposition de M. Philippe-Pierre Cabourdin, commissaire, et après avoir entendu les observations de Mme Céline Boyer, adjointe au commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

La direction générale des finances publiques (DGFiP) du ministère en charge de l'économie et des finances, a lancé un important projet de modernisation des outils métiers de ses agents, appelé « pilotage et analyse du contrôle » (dit « PILAT »). Ce projet, dont l'accomplissement facilitera la communication d'informations entre les services intervenant dans la chaîne du contrôle fiscal, vise à :

- valoriser l'importante masse de données collectées par la DGFiP dans le cadre des travaux, menés dès 2013, en faveur d'une stratégie de « datamining » ;
- réduire significativement les ruptures applicatives, facilitant ainsi le travail des agents et faisant gagner en efficience l'ensemble des services concernés. A titre d'illustration, le cloisonnement des applicatifs métiers entraîne l'impossibilité de faire le lien direct entre la programmation et les résultats des opérations de contrôle ;
- améliorer le pilotage de l'activité des services concernés (attribution des affaires aux agents, éventuel accompagnement etc.) par une gestion fluide de l'intégralité des dossiers ainsi que par la production d'indicateurs de suivi.

La CNIL s'est déjà prononcée sur certains anciens outils métiers de la DGFiP, comme le traitement « ALPAGE » (première déclaration à la CNIL en date du 9 décembre 2010, n° 103649), visant à suivre le déroulement des programmes annuels de contrôle fiscal et l'activité des services en charge d'une action de contrôle, et plus récemment sur les premières briques applicatives du projet « PILAT », à l'image du traitement « GALAXIE » permettant notamment la visualisation des liens existants entre des entités professionnelles (CNIL, SP, avis, 17 février 2022, traitement « GALAXIE », n° 2022-025, publié). Dans son dernier avis portant sur le traitement « CFVR », également mis en œuvre par la DGFiP à des fins de ciblage des personnes se trouvant en potentielle situation de manquement ou de fraude, la CNIL a rappelé « l'importance de la protection de la vie privée dès la conception et par défaut qui devra guider le développement de ces nouveaux outils. » (CNIL, SP, avis, 14 décembre 2023, traitement « CFVR », n° 2023-150, publié).
Le traitement « PILOT CF » constituera le nouvel outil unique de gestion et de suivi des activités liées au contrôle fiscal, remplaçant plusieurs traitements préexistants comme le traitement « ALPAGE » susmentionné, et sera mis en œuvre progressivement afin de couvrir l'entièreté de la chaîne du contrôle fiscal. Ce nouvel outil métier permettra le suivi du dossier d'une personne physique ou morale (appelé « affaire ») de bout en bout, par la communication d'informations entre les différents services concernés (ciblage, gestion, contrôle, recouvrement et contentieux) sans rupture applicative. Ce traitement dispose, d'une part, d'un module de gestion des documents (écriture, stockage, consultation, suivi, pour chaque affaire) et, d'autre part, d'un module de gestion des « motifs de contrôle » regroupant l'ensemble des opérations de suivi des affaires, dès la phase de programmation d'un contrôle (axes d'investigation, notamment), jusqu'aux devenirs du dit contrôle et des éventuels contentieux consécutifs. Ce dernier module sera également utilisé d'après l'AIPD pour le suivi de l'activité des services et des actions menées par chaque agent, dans les affaires sur lesquelles il intervient.
Ce traitement s'inscrit dans la stratégie de lutte contre la fraude fiscale telle que décrite dans le document de politique transversale correspondant annexé au projet de loi de finances pour 2025, dans laquelle l'importance du développement d'un « outil informatique plus intégré et facilitant davantage le travail et les échanges des acteurs du contrôle » est soulignée.

B. - L'objet de la saisine

La CNIL a été saisie pour avis, sur le fondement du 2° du I de l'article 31 de la loi du 6 janvier 1978 modifiée, par le ministère en charge de l'économie et des finances, d'un projet d'arrêté autorisant la mise en œuvre par la direction générale des finances publiques du traitement de données à caractère personnel dénommé « PILOT CF ». Ce traitement, mis en œuvre par la DGFiP, permettra notamment d'assurer la gestion des affaires suivies par les services en charge du contrôle fiscal, ainsi que le pilotage de l'activité des agents de ces services.
Le projet d'arrêté :

- crée le traitement « PILOT CF » et en décrit les finalités ;
- détaille les données traitées ou susceptibles de l'être, ainsi que les durées de conservation correspondantes ;
- habilite certains agents à accéder aux données nécessaires à la mise en œuvre de leurs missions ;
- liste les autres traitements abondant en données « PILOT CF » ;
- prévoit les modalités de mise en œuvre des droits des personnes concernées.

II. - L'avis de la CNIL

A titre liminaire, la CNIL :

- relève l'effort du ministère à respecter dès la conception et par défaut les principes de la protection des données, tel que cela est prévu par l'article 25 du RGPD ;
- accueille favorablement le maintien de la finalité, accessoire, « de recherche, de constatation ou de poursuite des infractions pénales en matière fiscale. » (dernier alinéa du projet d'article 2), du fait d'une possible transmission de certaines affaires au parquet résultant d'un choix propre de l'administration fiscale en application du II de l'article L. 228 du livre des procédures fiscales, tel que la CNIL l'a demandé à l'occasion de son avis du 14 décembre 2023 portant sur le traitement « CFVR » (v. paragraphe 15 de l'avis n° 2023-150, non-publié).

A. - Sur les accédants et destinataires

L'article 4 du projet d'arrêté décrit les agents susceptibles d'être rendus destinataires des données présentes dans « PILOT CF ».
En premier lieu, la CNIL relève les mécanismes d'habilitations mis en œuvre dans l'application « PILOT CF », et ce, grâce à la définition d'un certain nombre de variables (distinction de 17 profils dont les missions respectives justifient l'accès à certaines données ; nature de l'implication de l'agent dans l'affaire ; compétence géographique ; type de personnes visées par le contrôle ; circonstances particulières de l'affaire etc. - v. tableau des habilitations transmis).
En deuxième lieu, elle prend acte de l'engagement du ministère d'opérer une distinction, dans l'article 4 du projet d'arrêté, entre :

- d'une part, les accédants qui participent directement aux opérations du traitement « PILOT CF », au sein ou sous la supervision du responsable de traitement. Les accédants traitent les données de « PILOT CF » dans la stricte limite de leur besoin d'en connaître ;
- d'autre part, les destinataires, en l'occurrence les seuls agents de TRACFIN, qui peuvent recevoir communication des données, qu'il s'agisse ou non de tiers, mais n'interviennent en aucun cas dans la détermination des finalités ou des moyens du traitement « PILOT CF ».

B. - Sur les données collectées

L'article 3 du projet d'arrêté prévoit la collecte des « objectifs » assignés aux agents participant aux missions de contrôle fiscal. L'article 5 du projet d'arrêté prévoit également que « les données relatives aux objectifs individuels des agents sont conservées 3 ans par rapport à l'année d'attribution de l'objectif. ». Le ministère précise dans l'analyse d'impact relative à la protection des données (AIPD, pp. 190-191, annexe 5) qu'il s'agit, en particulier, des données relatives aux « aux objectifs assignés aux services en termes d'opération (nombre d'opération à engager sur l'année) et aux objectifs déclinés par les chefs de service au niveau des agents ». Ces données seraient exclusivement réservées aux chefs de service, de direction et d'administration centrale afin de leur permettre le pilotage de l'activité des agents intervenant sur les affaires de contrôle fiscal, et ce, sans qu'elles ne soient visibles par les services en charge des ressources humaines.
La CNIL estime la conservation des données relatives aux agents de l'administration fiscale légitime jusqu'à la fermeture de l'affaire. Elle prend acte de l'engagement du ministère de ne traiter dans « PILOT CF » que les objectifs globaux des services concernés.

C. - Sur les interconnexions et les rapprochements

L'article 6 du projet d'arrêté prévoit la liste des traitements de la DGFiP ayant vocation à abonder en données le traitement « PILOT CF ».
A titre liminaire, la CNIL rappelle qu'il convient de s'assurer que chacun des traitements alimentant le traitement « PILOT CF » fait l'objet, si cela est nécessaire au titre des articles 31 et 32 de la loi informatique et libertés, d'un acte réglementaire encadrant son fonctionnement.
Elle constate que le traitement « PILOT CF » repose sur un nombre important d'interconnexions, impliquant des opérations automatiques d'échanges de données entre ce traitement et d'autres, limitativement listés par le projet d'arrêté. La multiplication de ces interconnexions suppose une mise en cohérence des textes et de la documentation encadrant les traitements concernés par ce partage de données. En particulier, il convient de veiller à la compatibilité des finalités et à la symétrie des catégories d'accédants et de destinataires de chacun des traitements interconnectés (v. CNIL, SP, avis, 27 mai 2021, traitement « LRPGN », n° 2021-061, publié).

D. - Sur les durées de conservation

En premier lieu, l'article 5 du projet d'arrêté prévoit un délai de conservation de douze années à compter de :

- d'une part, pour les données relatives à la recherche et la programmation, « l'expiration du délai de reprise lorsqu'elles n'ont pas été utilisées dans le cadre d'une procédure de contrôle ou de sanction » (premier alinéa) ;
- d'autre part, pour les données utilisées dans le cadre d'une procédure de contrôle ou de sanction, soit « l'expiration des délais de réclamation prévus au livre des procédures fiscales ou de l'épuisement des voies de recours si ceux-ci ont été engagés », soit « l'expiration des délais de prescription de l'action pénale ou de l'épuisement des voies de recours si celle-ci a été engagée. » (deuxième alinéa).

Concernant les données à caractère personnel utilisées seulement dans le cadre de la recherche et de la programmation, et sans que cela ne donne lieu à l'ouverture d'un contrôle, la CNIL estime qu'une conservation au-delà des délais de reprise des potentiels manquements et infractions recherchés est disproportionnée. En effet, ces informations seraient susceptibles de créer une présomption de culpabilité à l'égard de certains contribuables, sans qu'aucune procédure de contrôle n'ait pourtant été ouverte. Elle prend acte de l'engagement du ministère de détruire toutes les données relatives à la recherche et à la programmation à l'expiration du délai de prescription applicable, à l'exception des données strictement nécessaires au pilotage statistique de l'activité globale des services concernés.
Concernant les données à caractère personnel utilisées dans le cadre d'une procédure de contrôle ou de sanction, le ministère précise dans l'AIPD (pp. 14-16) que cette durée de conservation de douze années, à compter de l'expiration des délais de recours ou de l'épuisement des voies recours si ces derniers ont été engagés, se compose :

- d'une phase d'archivage « consultation » de six années, pour laquelle l'accès aux données est restreint, visant à :
- établir la récidive et le manquement délibéré, la conservation de telles données pouvant prouver que le contribuable ne pouvait méconnaître ses obligations fiscales, et donc le caractère délibéré de l'irrégularité nouvelle (article 1729 du code général des impôts) ;
- permettre la dénonciation au procureur de la République de contribuables réitérant des manquements à l'égard de leurs obligations fiscales (article L. 228 du livre des procédures fiscales) ;
- assurer la qualité et la continuité des services de la DGFiP vis-à-vis des contribuables (suivre l'historique des dossiers des contribuables) ;
- assurer les audits et les réponses aux corps de contrôle (production d'études ; réponses aux corps de contrôle pouvant, selon le ministère, nécessiter la conservation d'une grande antériorité des affaires etc.) ;
- d'une phase d'archivage « sauvegarde », de six années également, et pour laquelle l'accès aux données est très restreint, permettant d'accéder à certaines données, à titre exceptionnel, dans le cas d'affaires se poursuivant devant les tribunaux et dans lesquelles la DGFiP pourrait, le cas échéant, devoir apporter des éléments complémentaires.

La CNIL estime tout d'abord la durée de conservation de six années en archivage « consultation » comme proportionnée au regard des articles 1729 du code général des impôts et L. 228 du livre des procédures fiscales. Toutefois, elle considère que la nécessité d'un archivage « sauvegarde » n'est pas suffisamment étayée par le ministère. Elle prend acte de l'engagement du ministère d'écarter du projet d'arrêté la possibilité d'archivage « sauvegarde » des données à caractère personnel utilisées dans le cadre d'une procédure de contrôle ou de sanction.
En deuxième lieu, l'article 5 du projet d'arrêté prévoit également que « les données en lien avec une prise de position de l'administration fiscale sont conservées tant que cette prise de position n'est pas rapportée. » Le ministère précise que les articles L. 80 A (garantie contre un changement d'interprétation formelle de dispositions fiscales par l'administration) et L. 80 B du livre des procédures fiscales (garantie contre un changement de position prise lors d'un contrôle par l'administration) instituent, au profit des contribuables, des garanties leur permettant de se prévaloir d'une prise de position antérieure de l'administration fiscale à leur égard. En application de ces articles, l'administration fiscale considère qu'elle se doit de garder trace de ses positions à l'égard des contribuables, et de ce qui les a motivées, jusqu'au 31 décembre de la troisième année suivant la cessation d'activité de l'entreprise ou le décès de la personne physique concernées.
A titre d'illustrations, peuvent constituer une prise de position un contrôle donnant lieu à une rectification, ou un contrôle sur place ne donnant lieu à aucune rectification (ce constat étant alors notifié au contribuable). A contrario, un contrôle sur pièces ne donnant lieu à aucune rectification ne constitue pas une prise de position de l'administration fiscale, le contribuable ne faisant l'objet d'aucune notification.
Tout d'abord, la CNIL relève que les durées de conservation, particulièrement longues, seraient la conséquence des dispositions législatives susmentionnées, et se feraient en faveur des contribuables.
Ensuite, la jurisprudence définit de manière suffisamment précise ce qui est susceptible de constituer une prise de position formelle de l'administration fiscale. A titre d'illustration, une telle position n'est pas constituée lorsque l'administration agit à titre gracieux (Conseil d'Etat, 14 janvier 2008, n° 297221). De même lorsque la position n'est pas suffisamment précise, explicite, ferme et non équivoque (Conseil d'Etat, 29 décembre 2004, n° 255831).
Elle prend acte, enfin, que le ministère s'est engagé à mettre en place plusieurs garanties en termes de protection des données, telles que décrites dans l'AIPD, à savoir :

- le ciblage strict des données pouvant faire l'objet d'une telle conservation (le résumé de l'affaire, le suivi des motifs de contrôle ayant donné lieu à la prise de position de l'administration, certaines pièces de procédure limitativement énumérées permettant de retracer la prise de position en question etc.). Elle considère, à cet égard, que seules les données à caractère personnel strictement nécessaires à la bonne mise en œuvre des garanties fiscales susmentionnées pourront faire l'objet d'une telle conservation ;
- le retrait ou la mise à jour des informations conservées lorsque la position est révoquée ou rapportée ;
- la limitation stricte de l'accès aux données aux seuls agents ayant besoin d'en connaître, et seulement au moment de l'enregistrement d'une nouvelle affaire concernant le même contribuable.

Si elle estime, en conséquence, cette durée de conservation proportionnée et légitime, elle :

- recommande au ministère de ne pas utiliser la formulation « dossier permanent », celle-ci laissant entendre qu'aucune durée de conservation n'a été prévue à l'égard des données conservées. Elle prend acte de l'engagement du ministère de renommer ce dossier « historique du dossier du contribuable » ;
- considère, qu'une purge annuelle des données conservées, dans le cadre d'un contrôle interne à intervalle fixe, devra être effectuée afin d'assurer la bonne prise en compte de la fin des garanties fiscales, quelle qu'en soit la cause (caducité de la position de l'administration fiscale, position rapportée etc.). Elle prend acte de l'engagement du ministère de mettre en œuvre une telle purge annuelle ;
- estime que ces durées de conservation ne pourront être appliquées qu'une fois que les développements informatiques permettront d'assurer l'ensemble des garanties susmentionnées (soit, lors de la livraison du « lot 5 »).

E. - Sur les droits des personnes concernées

L'article 7 prévoit les modalités d'exercice des droits des personnes concernées. En particulier, son deuxième alinéa aménage la possibilité, pour la DGFiP, de restreindre les droits d'accès et de rectification qui, le cas échéant, s'exercent indirectement auprès de la CNIL en application des articles 52 et 118 de la loi informatique et libertés.
En premier lieu, si la CNIL ne remet pas en cause les modalités d'exercice des droits d'accès et de rectification, ainsi que leurs potentielles limitations, elle considère que le projet de texte devra citer le e du I de l'article 23 du RGPD fondant une telle limitation de ces droits.
En second lieu, elle prend acte de l'engagement du ministère, pris dans l'AIPD (p. 117), de fournir aux personnes concernées une liste des données pour lesquelles elles sont en droit d'obtenir communication. Elle recommande également de consigner les motifs de fait ou de droit sur lesquels se fonde la décision de limitation des droits, et de mettre ces informations à sa disposition. Elle prend acte de l'engagement du ministère de poursuivre sa réflexion sur les modalités d'exercice des droits pour ce traitement et, plus précisément, sur le suivi des décisions de limitation afférentes.
Aucune dérogation au droit à l'information des administrés concernés n'est prévue. Si le ministère met en œuvre une politique d'information sur son site web, la CNIL rappelle, qu'en application des articles 12 et suivants du RGPD, ces informations doivent être aisément accessibles pour toute personne, rédigées de manière intelligible, pédagogique et spécifique au traitement concerné.
S'agissant de la finalité spécifique de la lutte contre la fraude, elle rappelle qu'elle admet que l'information de la personne dont les données sont traitées puisse, dans certains cas, nuire aux finalités de détection et de redressement des cas de fraude. Elle estime cependant nécessaire de conjuguer l'information des personnes et l'efficacité de la lutte contre la fraude (v. notamment CNIL, SP, avis, 14 décembre 2023, traitement « CFVR », n° 2023-150, non-publié). A cette fin, elle demande à ce que le projet d'arrêté soit modifié afin de prévoir, a minima, une politique d'information en trois temps distincts :

- dans un premier temps, une information générale de l'ensemble des personnes concernées sur la possibilité d'utilisation de leurs données à des fins de lutte contre la fraude ;
- dans un deuxième temps, une information individuelle lors des campagnes annuelles de déclaration des revenus ;
- dans un troisième temps, une information des personnes effectivement contrôlées dès lors que cette information n'est plus susceptible de nuire à l'efficacité du contrôle, c'est-à-dire au plus tard lorsqu'en application des droits de la défense, il est procédé à un échange contradictoire avec la personne soupçonnée de fraude.

F. - Sur les mesures de sécurité

Le II de l'article 3 détaille les modalités de journalisation du dispositif et, en particulier, limite la durée de conservation des journaux d'accès en base active à une année, conformément aux recommandations de la CNIL en la matière. Cet article prévoit toutefois un maintien en base d'archivage de ces données de journalisation pour trois années supplémentaires, étendant de fait la durée de conservation à quatre ans. Si la CNIL accueille favorablement le passage des données en archivage intermédiaire au bout d'une année, elle :

- considère qu'un tri devrait être effectué à l'occasion de ce transfert afin de discriminer les données dont la conservation est nécessaire. En particulier, elle recommande qu'aucune donnée relative aux usagers ne soit conservée en archive intermédiaire (v. AIPD et tableau des durées de conservation fournis) ;
- estime qu'une durée de conservation de deux ans en archivage intermédiaire est proportionnée, étendant la durée de conservation globale des journaux à trois ans au maximum (v. notamment CNIL, SP, avis, 17 février 2022, traitement « GALAXIE », n° 2022-025, publié), et prend acte de l'engagement du ministère de réduire ainsi la durée de conservation initialement prévue ;
- appelle enfin le ministère à informer les utilisateurs habilités de la mise en place du dispositif de journalisation, de la nature des données collectées et de la durée de conservation de ces dernières.

Dans le cadre de la modernisation des outils métiers et des migrations de données susceptibles d'advenir, elle attire l'attention de la DGFiP sur l'importance de la prise en compte des enjeux de qualité des données et plus largement de respect de l'intégrité de celles-ci dans le cadre de ce projet. En effet, la modification non désirée des données traitées et la perte d'intégrité de celles-ci, quelle qu'en soit la cause, aurait non seulement un impact préjudiciable au fonctionnement du traitement projeté, mais également des conséquences significatives sur les personnes concernées.

G. - Sur la documentation de conformité

La CNIL accueille favorablement la transmission, accompagnant le projet de texte, de l'AIPD.
Afin d'assurer la bonne qualité de cette documentation de conformité, elle :

- rappelle qu'elle doit régulièrement être mise à jour pour tenir compte de l'évolution du dispositif, d'autant qu'un déploiement progressif du traitement « PILOT CF » est envisagé par le ministère ;
- recommande, dans le cadre de la prochaine actualisation de l'AIPD, d'étoffer l'évaluation des risques identifiés pour les personnes concernées. Il peut s'agir, par exemple, de risques financiers en cas d'accès aux données bancaires ou encore, d'un risque de chantage ou d'atteinte réputationnelle en cas de divulgation d'informations relatifs à un contrôle fiscal ;
- recommande, enfin, l'établissement d'une matrice d'évaluation des risques plus complète. En pratique, il s'agirait, d'une part, d'améliorer la définition des niveaux de gravité et de vraisemblance d'un risque, en tenant compte des potentiels impacts pour la personne concernée et, d'autre part, de mieux justifier l'absence ou les conséquences limitées pour les personnes concernées de certains risques identifiés (tels que le risque de disparition de données).

Les autres dispositions du projet d'arrêté n'appellent pas d'observations.