[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-025 du 25 février 2021 portant avis sur un projet d'arrêté modifiant l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé Ficovie (demande d'avis n° 1942384)

Données personnelles
Consommateurs
Assurance
Déposé le 24 février 2021 à 23h00, publié le 18 juin 2021 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'économie, des finances et de la relance,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le code général des impôts, notamment son article 1649 ter ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31-I ;

Après avoir entendu M. Philippe-Pierre CABOURDIN, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement en ses observations,
Emet l'avis suivant :
La Commission a été saisie sur le fondement du I de l'article 31 de la loi du 6 janvier 1978 modifiée, d'une demande d'avis relative à un projet d'arrêté modifiant l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques (DGFiP) d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé Ficovie.
Le projet d'arrêté poursuit plusieurs objectifs. Il intègre la « gestion des tiers autorisés » aux finalités poursuivies par Ficovie, élargit les personnes pouvant accéder à ce traitement et modifie les dispositions relatives à l'exercice des droits des personnes concernées au regard des évolutions de la réglementation relative à la protection des données à caractère personnel opérée par l'entrée en application du « paquet européen » de la protection des données en 2018.
La Commission relève que, s'agissant des évolutions apportées aux catégories de personnels pouvant accéder à Ficovie, celles-ci visent à tirer les conséquences des modifications apportées par le législateur à plusieurs articles du livre des procédures fiscales, du code des douanes ainsi que du code du travail, principalement dans le cadre de la loi du 23 octobre 2018 relative à la lutte contre la fraude. Elle rappelle qu'elle s'est prononcée dans sa délibération n° 2019-080 du 20 juin 2019 portant avis sur un projet de décret relatif aux modalités d'habilitation et de désignation des agents de plusieurs organismes et administrations à accéder aux informations issues des traitements automatisés dénommés Patrim, FICOBA, FICOVIE et BNDP, sur les modalités d'habilitation et de désignation de ceux-ci. Dans ces conditions, elle estime que ces modifications n'appellent pas d'observation. La Commission rappelle toutefois qu'il convient d'en tirer les conséquences nécessaires en actualisant les mesures de sécurité du traitement à mettre en œuvre.
Sur le régime juridique applicable et les droits des personnes concernées
Le ministère considère que le traitement FICOVIE « a pour finalité, dans le domaine fiscal, la prévention, la détection et la poursuite des infractions pénales par une autorité publique compétente, entrant ainsi dans le champ d'application de l'article 87 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ».
La Commission rappelle que pour qu'un traitement puisse entrer, partiellement ou totalement, dans le champ d'application de la directive (UE) 2016/680 du 27 avril 2016, dite « directive Police-Justice », telle que transposée au titre III de la loi n° 78-17 du 6 janvier modifiée, un traitement de données doit répondre à deux conditions cumulatives. Il doit d'une part poursuivre l'une des finalités mentionnées à son article 1er relatives à la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, et d'autre part, être mis en œuvre par une autorité compétente au sens de cette directive.
S'agissant du critère de finalité poursuivie par le traitement, la Commission relève que l'article 2 de l'arrêté du 1er septembre 2016 portant création par la direction générale des finances publiques d'un traitement automatisé de données à caractère personnel de gestion du fichier des contrats de capitalisation et d'assurance vie dénommé Ficovie prévoit « Le traitement a pour finalité de recenser, sur support informatique, les déclarations des contrats et placements prévues aux I et II de l'article 1649 ter du code général des impôts (…) ».
Or s'agissant du régime juridique applicable, le Conseil d'Etat a considéré dans sa décision n° 424216 du 19 juillet 2019 qu'un traitement de données à caractère personnel relève, selon sa finalité, du champ d'application du règlement du 27 avril 2016 ou de celui de la directive du même jour : « Alors même qu'ainsi qu'il a été dit au point 8, le traitement litigieux a plusieurs objets, au nombre desquels figurent la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l'évasion fiscales, l'amélioration du respect de leurs obligations fiscales par les contribuables français et américains. Il s'ensuit qu'il relève du champ d'application du règlement du 27 avril 2016 et non de celui de la directive du même jour ». Il en résulte que le seul fait qu'un traitement, qui a été créé pour d'autres finalités, serve également à détecter d'éventuelles infractions, ne suffit pas à le faire relever de la directive « police-justice ».
En l'espèce, la Commission considère que le traitement susvisé relève du champ d'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 susvisé (RGPD), sans qu'il soit besoin d'examiner le critère relatif à l'autorité compétente au sens de l'article 3.7 de la directive dite « Police-Justice ». Elle estime dès lors que le projet d'arrêté devra être mis à jour considérant ces éléments et prend acte de l'engagement du ministère sur ce point. Au regard de ses caractéristiques, la Commission relève également que ce traitement répond au formalisme imposé par l'article 31 de la loi susvisée.
Dans ce cadre, la Commission entend formuler en particulier des observations sur les articles 4 et 5 du projet. L'article 4 fait mention des droits d'accès, de rectification, d'effacement et à la limitation tels que prévus par la directive dite « Police-Justice » transposée aux articles 105 et 106 de la loi du 6 janvier 1978 modifiée. L'article 5 écarte l'application du droit d'opposition au titre de l'article 110 de la loi du 6 janvier 1978.
L'article 4 du projet d'arrêté prévoit notamment une différenciation de l'exercice du droit d'accès selon la qualité de la personne concernée (souscripteur, assuré, bénéficiaire, bénéficiaire qui ne serait pas en mesure d'apporter la preuve de son acceptation du bénéfice du contrat). La DGFiP entend en particulier supprimer toute possibilité pour le bénéficiaire non acceptant d'exercer son droit d'accès.
A cet égard, la Commission rappelle que le droit d'accès est composé a minima de deux volets. Le premier volet permet à la personne concernée de savoir si des données la concernant sont traitées par le responsable de traitement, sans que les dispositions de l'article 15 du RGPD ne prévoient de dérogations possibles sur ce point.
En cas de réponse positive, le deuxième volet du droit d'accès permet à la personne d'obtenir communication des données la concernant. La Commission relève que si la différenciation dans la fourniture de la copie des données selon la qualité de la personne concernée apparaît conforme au paragraphe 4 de l'article 15 du RGPD afin de préserver la vie privée d'autrui, l'exercice du droit d'accès différencié doit être modulé proportionnellement à l'atteinte à la vie privée d'autrui qu'il peut engendrer.
Ainsi, elle estime que le bénéficiaire acceptant ayant déjà connaissance de l'identité du souscripteur et de l'assuré doit avoir accès à l'ensemble des données d'identification le concernant mais également à l'identité (nom et prénom) du souscripteur et de l'assuré, et aux données du contrat visées au 2° du I de l'arrêté du 1er septembre 2016 précité dans la mesure où ces informations ne sont pas susceptibles de porter atteinte aux droits de ces tiers.
La Commission relève en revanche que des restrictions au droit d'accès peuvent être apportées lorsqu'il est exercé par le bénéficiaire qui n'aurait pas encore accepté ou le bénéficiaire qui ne serait pas en mesure d'apporter la preuve de son acceptation du bénéfice du contrat. En conséquent, il doit avoir accès à ses seules données d'identification : nom, prénoms, date et lieu de naissance, sexe, domicile, identifiant technique du système d'information de la DGFiP (numéro ITIP) et identifiant fiscal national individuel utilisé par les administrations fiscales dans leurs traitements internes et dans leurs relations avec les contribuables (numéro SPI) pour les personnes physiques. En effet, ces données ne portent pas atteinte aux droits et libertés d'autrui, puisqu'elles ne sont relatives qu'à la personne concernée de manière directe.
La Commission rappelle au responsable du traitement qu'il lui appartient d'indiquer à un bénéficiaire qui ne serait pas en mesure d'apporter la preuve de son acceptation du bénéfice du contrat que des données à caractère personnel le concernant sont traitées ou non à la date de la consultation, au regard des modifications qui peuvent être amenées par le souscripteur jusqu'à son décès. Elle prend acte de l'engagement du ministère d'étudier une telle possibilité, en lien avec les assureurs.
Le projet d'arrêté prévoit que les personnes concernées exercent leurs droits « auprès du service des impôts des particuliers dont dépend le requérant. La demande peut être effectuée par courrier, par courriel via la messagerie sécurisée de son espace personnel ou directement à l'accueil du service des impôts des particuliers ». La Commission appelle l'attention de la DGFiP sur le cas d'un bénéficiaire étranger qui ne résiderait pas en France et qui n'aurait pas de numéro fiscal et, par voie de conséquence, de service des impôts des particuliers territorialement compétent. Elle prend acte que le projet d'arrêté sera complété sur ce point.
La Commission demande en conséquence que les mentions relatives aux droits des personnes (droit d'accès, de rectification, d'effacement, etc.) soient modifiées pour correspondre aux droits prévus par le RGPD.
Sur les mesures de sécurité mises en œuvre
Deux applications principales permettent la consultation des données du traitement : le système FICOVIE-Agents, à destination des agents de l'administration et le sous-système FICOVIE-Notaires, à destination des notaires.
La Commission rappelle tout d'abord que le traitement étant un téléservice au sens de la loi, il est soumis aux prescriptions prévues par l'ordonnance n° 2005-1516 du 8 décembre 2005, doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010.
La Commission rappelle également, qu'à ce titre, le traitement doit faire l'objet d'une analyse de risques incluant les risques pesant sur les personnes concernées. Elle rappelle également qu'il revient au responsable de traitement d'attester formellement de l'acceptation du niveau de sécurité du téléservice au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur son site.
La Commission prend acte de ce que l'accès à l'application FICOVIE-Notaires, seule application accessible via le réseau internet, est sécurisé par le protocole TLS 1.1 mais elle recommande, sur ce point, d'utiliser, autant que possible, la version de TLS la plus à jour.
La Commission relève que les applications FICOVIE-Agents et FICOVIE-Notaires ne sont accessibles qu'aux seules personnes et seuls agents habilités et que ces derniers ont l'obligation de saisir un identifiant et un mot de passe personnels afin de se connecter. Le traitement prévoit à ce stade un mot de passe compris entre huit et douze caractères, qui n'est pas conforme aux critères définis dans sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. Elle recommande de modifier le traitement pour le mettre en conformité avec cette recommandation.
Sur la gestion des traces applicatives et des journaux techniques
La Commission note que différentes traces sont générées par le traitement (application FICOVIE-Agents et application FICOVIE-Notaires) et que la durée de conservation de ces dernières varie en fonction de la population concernée, ainsi que du type de trace.
Ainsi, la durée de conservation des journaux techniques du système FICOVIE-Agents (« logs ») est de trente-et-un jours et la durée de conservation des traces fonctionnelles des agents est d'une année. Par ailleurs, le sous-système FICOVIE-Notaires génère et conserve les traces fonctionnelles des notaires pour une durée de trois ans. Il convient de noter que ce sous-système ne conserve pas de journaux techniques.
La Commission rappelle que sa recommandation, sur la gestion des traces et des journaux est de mettre en œuvre une durée de conservation de 6 mois, sauf à prouver que certains risques ne peuvent être couverts que par une extension de cette durée, et de mettre en œuvre, un système de centralisation des traces en vue d'être en mesure d'assurer l'intégrité et la disponibilité de la gestion des traces et des journaux. La Commission considère donc qu'il est nécessaire que le sous-système FICOVIE-Notaires et le système FICOVIE-Agents permettent une conservation de journaux techniques, dont la durée de conservation, adaptée au contexte, devrait être de six mois. De même, la Commission recommande que, sous réserve de nécessité et de la mise en œuvre des dispositifs précités, les traces fonctionnelles relatives au sous-système FICOVIE-Notaires et au système FICOVIE-Agents, soient conservées pendant une durée équivalente, qui compte tenu des risques particuliers présentés par le traitement pourra être portée à un an.
La Commission relève qu'aucun outil de surveillance des journaux, tant technique qu'applicatif n'est déployé. Elle rappelle que la mise en œuvre d'un mécanisme proactif de contrôle automatique des traces contribue à la détection des comportements anormaux par la génération automatique d'alertes et est donc, par conséquence, nécessaire et plus adapté qu'une conservation rallongée des traces. Enfin, la Commission encourage le ministère à mettre en œuvre, tel qu'il est déjà fait pour le sous-système FICOVIE-Notaires, des mesures organisationnelles, sur une base de temps régulière, ayant pour objet l'analyse des journaux dans l'optique de détecter des comportements suspects ou des anomalies d'utilisation.

La présidente,


M.-L. Denis