La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'action et des comptes publics d'une demande d'avis concernant un projet d'arrêté modifiant l'arrêté du 13 septembre 2013 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé « PATRIM » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le livre des procédures fiscales, notamment ses articles L. 107 B, L. 135 ZG, R. 107 B1, R. 107 B-2 et R. 135 ZG-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 2741-4° et 30-II ;
Vu la loi n° 2013-907 du 11 octobre 2013 modifiée relative à la transparence de la vie publique ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 13 septembre 2013 modifié portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel dénommé « PATRIM » ;
Vu le dossier et ses compléments ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis par le ministère de l'action et des comptes publics d'un projet d'arrêté modificatif de l'arrêté du 13 septembre 2013 relatif au traitement « PATRIM », pris après un avis de la commission en date du 28 mars 2013.
Le traitement PATRIM, mis en œuvre par les services de la direction générale des finances publiques (DGFiP), comporte des éléments d'informations relatifs aux mutations à titre onéreux de biens immobiliers. Il a pour finalité, d'une part, de mettre ces informations à disposition des agents habilités de la DGFiP et de la cellule de renseignement financier nationale, dans les conditions prévues par l'arrêté du 13 septembre 2013 modifié, et, d'autre part, de permettre la communication par voie électronique de ces mêmes éléments aux personnes physiques mentionnées à l'article L. 107 B du livre des procédures fiscales (LPF), dans les conditions prévues aux articles R. 107 B1 et R. 107 B2 du même livre.
Il comporte notamment un téléservice de l'administration électronique au sens des dispositions de l'article 27-11 (4°) de la loi du 6 janvier 1978 modifiée. En application de ces dispositions et de celles prévues à l'article 30-II de la même loi, les modifications apportées à l'arrêté en portant création doivent dès lors être autorisées par arrêté ministériel pris après avis motivé et publié de la commission.
Le présent projet d'arrêté vise en premier lieu à autoriser l'accès des agents de la Haute Autorité pour la transparence de la vie publique (HATVP) aux données enregistrées dans le traitement PATRIM.
La HATVP est une autorité administrative indépendante dont les missions sont prévues à l'article 20 de la loi n° 2013-907 du 11 octobre 2013 susvisée. En particulier, elle est chargée de recevoir des principaux responsables publics relevant de sa compétence leurs déclarations de situation patrimoniale et leurs déclarations d'intérêts et d'en assurer la vérification et le contrôle.
Afin de permettre aux agents de cette autorité de contrôler, de manière efficace et rapide, l'évaluation et l'évolution du patrimoine des personnes concernées, les dispositions de l'article L. 135 GZ du livre des procédures fiscales (LPF) prévoient expressément une dérogation au secret professionnel en matière fiscale et leur permettent d'accéder notamment au traitement PATRIM. Pour les besoins de l'accomplissement de leurs missions, les agents de la HATVP, individuellement désignés et dûment habilités selon les modalités prévues à l'article R. 135 ZG-1 du LPF, disposent ainsi d'un droit d'accès audit traitement.
Dans ces conditions, les modifications prévues de l'arrêté du 13 septembre 2013 précité relatives aux finalités du traitement, afin de mentionner la mise à disposition des données enregistrées dans PATRIM à ces agents au titre de ces finalités, et à la liste des destinataires de ces données, afin d'y ajouter les agents habilités de la HATVP, n'appellent pas d'observation de la part de la commission.
S'agissant des modalités de ces nouveaux accès, la commission prend acte que les agents habilités de la HATVP, tenus au secret professionnel, auront accès, en seule consultation, à l'ensemble des données enregistrées dans le traitement sur le plan national, y compris aux dossiers sensibles, et aux fonctions de recherche offertes par l'application.
Il est prévu que cet accès Web au traitement PATRIM intervienne par connexion au portail ADER, accessible via le Réseau interministériel interne, au moyen d'un identifiant personnalisé et d'un mot de passe. Le ministère n'a toutefois pas précisé les règles de gestion de ces mots de passe. La commission rappelle dès lors que l'authentification de ces agents, et plus généralement de l'ensemble des agents s'authentifiant via ce portail en vue d'accéder à des traitements de données à caractère personnel, doit être conforme à l'état de l'art, tel que précisé dans les recommandations de la commission en la matière.
Conformément aux dispositions de l'article R. 135 GZ-1 du LPF, les habilitations individuelles des agents de la HATVP sont délivrées par le président de cette autorité et communiquées à la DGFiP, de même que toute modification relative à ces habilitations. La commission prend acte que ces habilitations seront revues tous les six mois et que ces échanges auront lieu par l'intermédiaire d'une plateforme d'échanges sécurisée. Elle rappelle toutefois que les échanges des clés de chiffrement devront être réalisés par un autre moyen de communication que celui utilisé pour transmettre les accès à la plateforme.
Les consultations du traitement PATRIM par les agents de la HATVP feront l'objet des mêmes mesures de journalisation que les autres utilisateurs du traitement et il est prévu que l'exploitation de ces traces soit de la responsabilité exclusive de la HATVP. A cet égard, la commission prend acte que la HATVP s'est engagée à appliquer les mêmes règles et analyses de contrôle de ces traces que celles auxquelles sont soumis ces autres utilisateurs et que les agents en charge de ce contrôle ont été dûment informés de ces processus par la DGFiP.
Le projet d'arrêté vise en second lieu à ajouter à la liste des informations ou catégories d'informations traitées par l'application PATRIM, qui figure à l'article 3 de l'arrêté du 13 septembre 2013 modifié, les images des actes relatifs aux mutations à titre onéreux de biens immobiliers.
Ces actes seront consultables, au format PDF, par l'ensemble des destinataires du traitement, afin de mieux fiabiliser les données structurées restituées par l'application, notamment en cas de contentieux sur l'évaluation des biens immeubles. La commission estime que ces données sont pertinentes, adéquates et non excessives au regard des finalités du traitement PATRIM, conformément aux dispositions de l'article 6-3° de la loi du 6 janvier 1978 modifiée.
Les autres conditions de mise en œuvre du traitement PATRIM ne font pas l'objet de modifications.