Justificatif d’impôt sur le revenu : les précisions de la Cnil


La mise en service d'un service de vérification d'avis de l'impôt sur le revenu (SVAIR) début septembre 2013 a suscité des interrogations sur la sécurité et la confidentialité des données. Contactée par Toutsurmesfinances.com, la Cnil a tenu à préciser sa position.

Avis d'impôt 2013 sur les revenus de 2012

Faut-il s’inquiéter de la mise en place d’un nouveau service de vérification de l’avis d’impôt sur le revenu (SVAIR) ? Non, affirme la Commission nationale de l’informatique et des libertés (Cnil). Ce service par lequel un « usager professionnel », comme une banque, la CAF ou un bailleur, peut consulter un justificatif d’impôt sur le revenu doit permettre de vérifier la véracité des informations délivrées. Par exemple, un propriétaire ou une agence immobilière peut accéder au justificatif d’un candidat locataire afin de vérifier que ce dernier ne lui a pas fourni des informations falsifiées.

Accessible à l’aide de deux identifiants (numéro fiscal et numéro de référence de l’avis d’impôt sur le revenu), le SVAIR, en ligne depuis début septembre, soulève toutefois plusieurs questions en matière de sécurité des données personnelles et d’information des contribuables selon un avis délibératif de la Cnil publié au Journal officiel le 15 octobre 2013.

« Le traitement est légal »

Mais malgré les réserves émises, le directeur aux affaires juridiques de la Cnil Hervé Machi assure qu’ « en termes d’obligations, le traitement est légal » et conforme à la loi Informatique et libertés de 1978.

En particulier, la Cnil juge que « l’obligation d’information est remplie ». Une campagne de prévention a été initiée par la Direction générale des finances publiques (DGFiP) à la fin du mois d’août sur les espaces personnels des contribuables internautes, explique Hervé Machi. De plus, le justificatif qui peut être extrait par les contribuables mentionne que « les données de ce document peuvent être vérifiées directement en ligne sur impots.gouv.fr ». Pour autant, l’avis de la Cnil estimait que cette mention était trop peu précise, d’autant qu’un contribuable n’est pas prévenu outre mesure de la consultation de ce justificatif par un tiers.

La Cnil ainsi que la DGFiP soulignent toutefois que l’avis de la Commission n’est pas suspensif ou impératif. Il constitue davantage une sorte d’idéal « au maximum de ce que la Cnil peut recommander » en termes de protection des données personnelles explique Hervé Machi. « On peut toujours en demander plus », ajoute-t-il.

Une amélioration en matière de confidentialité…

Concernant l’accès au service, ouvert à n’importe quel internaute ayant les identifiants requis, la Cnil rappelle que le système de justificatif, limité à une page, remplace la délivrance d’un avis d’imposition complet de 4 pages, sur lequel figure davantage d’informations. De la sorte, « le SVAIR constitue un progrès car le justificatif ne présente que les éléments strictement nécessaires au contrôle des informations et contient moins d’informations personnelles » que l’avis d’imposition complet.

Reste que le service est accessible au premier venu qui dispose des identifiants, même si ces derniers ne sont pas si simples à obtenir. Or, le SVAIR ne requiert aucune authentification particulière. Hervé Machi affirme qu’un système d’identification plus protecteur aurait été « très difficile à mettre en œuvre » et que le ministère de l’Economie et des Finances n’a pas jugé « opportun » de renforcer cet aspect du SVAIR.

… pas assez aboutie ?

Un avis que ne partage pas Thiébaut Devergranne, spécialiste des risques juridiques en droit des nouvelles technologies et auteur du blog Donneespersonnelles.fr. Selon lui, il était tout à fait envisageable de mettre en place un système de signature électronique ou d’empreinte numérique, de manière à restreindre l’accès au justificatif aux seuls « usagers professionnels » visés. « L’étude de sécurité n’a pas été aussi aboutie qu’elle aurait pu l’être », argumente-t-il.

Aussi, le SVAIR ne répond pas tout à fait aux obligations de l’article 34 de la loi Informatique et libertés : celui-ci précise que « le responsable du traitement [ici la DGFiP, NDLR] est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher (…) que des tiers non autorisés y aient accès ».

 

Que faire si vous n’êtes pas d’accord avec l’utilisation de vos données ?

Le SVAIR a pour finalité d’authentifier la véracité des informations ou des documents transmis par un contribuable à sa banque, à la CAF ou à son bailleur. Puisqu’il s’agit d’un « traitement de puissance publique », il n’est pas possible de s’opposer au traitement des données personnelles. Une disposition tout à fait légale au regard de l’article 38 de la loi de 1978 et « très courante » selon Hervé Machi. Pour autant, un contribuable qui soupçonne un détournement de cette finalité peut tout à fait se faire entendre. Il peut ainsi adresser une plainte auprès de la Cnil, qui étudiera la question. Cette plainte peut être formulée même si le contribuable ne s’appuie que sur des suppositions.