La Commission nationale de l’informatique et des libertés,

Saisie par le ministère de l’économie, des finances et de la souveraineté industrielle et numérique d’une demande d’avis concernant le projet de décret relatif aux obligations déclaratives des opérateurs de plateformes de mise en relation par voie électronique ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 8-I-4°-a) ;

Vu le code général des impôts, notamment ses articles 1649 ter A à 1649 ter E et l’annexe III à ce code ;

Sur la proposition de M. Philippe-Pierre CABOURDIN, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Émet l’avis suivant :

Le projet de décret soumis pour avis de la Commission définit les modalités d’application des obligations déclaratives des plateformes de mise en relation par voie électronique (ci-après les plateformes ).

Ces obligations déclaratives sont issues de la directive 2021/514 du 22 mars 2021 relative à la coopération fiscale et de sa transposition en droit national aux articles 1649 ter A à E du code général des impôts (CGI). Il est mis en place un dispositif harmonisé de déclaration des revenus générés grâce aux plateformes ainsi que d’échange automatique de ces informations entre États membres.

Sa mise en œuvre implique au moins deux catégories de traitement de données à caractère personnel. Les premiers seraient mis en œuvre au niveau des plateformes pour la collecte et la transmission des informations relatives aux vendeurs ou prestataires-personne physique. Les plateformes auront la qualité de responsable de traitement. Les seconds seraient mis en œuvre au niveau de l’administration fiscale pour l’analyse des déclarations, les échanges éventuels entre administrations fiscales, et la programmation de contrôles.

Le projet de décret n’a pas pour objet de créer des traitements mais s’inscrit dans la poursuite de la transposition de la directive précitée. Il définit ainsi les modalités d’application des principes généraux fixés par la loi, notamment les données à collecter puis à déclarer à l’administration fiscale.

Le ministère précise qu’à ce stade quatre traitements sont envisagés. Le premier concerne la collecte des déclarations déposées par les plateformes. Le deuxième, le regroupement et l’envoi des données aux États ou territoires destinataires. Le troisième, l’identification et la transmission au contribuable des montants des sommes perçues et la plateforme les ayant déclarés. Le quatrième concerne enfin l’exploitation des données dans le cadre du contrôle fiscal et de la déclaration préremplie de revenus.

Le ministère indique que les premières déclarations pourront être déposées par les plateformes à compter de janvier 2024 et porteront sur l’activité réalisée en 2023. Il précise en outre attendre la publication de l’ensemble des textes réglementaires transposant ce dispositif harmonisé, avant d’initier des réflexions quant aux conditions de mise en œuvre des traitements envisagés ainsi que de leur conformité à la réglementation en matière de données à caractère personnel.

Si le ministère a d’ores et déjà annoncé la rédaction d’Analyses d’Impact pour la Protection des Données (AIPD) pour les traitements qui relèveront de sa responsabilité, la Commission rappelle qu’il appartiendra aux plateformes et à la direction générale des finances publiques (DGFiP) de s’assurer de la conformité de chacun des traitements projetés à la réglementation relative à la protection des données à caractère personnel.

A cet égard, la Commission rappelle qu’elle pourra être saisie pour avis quant aux modalités précises de mise en œuvre de ces traitements.

Sur les finalités du traitement

Les données collectées par l’administration fiscale seront exploitées pour trois finalités. D’abord, elles permettront le respect des engagements de la France en matière de coopération fiscale, issus de la Directive 2021/514 du 22 mars 2021. Cette dernière organise notamment l’échange d’informations entre administrations fiscales pour contrebalancer la dimension transfrontière des plateformes et le manque d’effectivité des règles fiscales qui peut en découler. Ensuite, elles permettront pour le vendeur ou le prestataire concerné de faciliter sa déclaration fiscale en pré-affichant sur leurs déclarations de revenus, les informations transmises par les plateformes. Enfin, les données collectées seront recoupées avec les éléments déclarés dans le cadre de la programmation du contrôle fiscal.

La Commission prend acte de ce que l’analyse de ces données ne donnera pas lieu à des décisions individuelles automatisées en matière de contrôle.

Sur les catégories de données

Le projet de décret énumère les catégories de données contenues dans les déclarations transmises par les plateformes à l’administration fiscale. Outre les éléments d’identification propre à la plateforme, il s’agit des données relatives aux prestataires ou vendeurs personne-physique suivantes :

• nom et prénom ;
• date de naissance ;
• adresse de résidence principale ;
• numéro d’identification fiscale ou lieu de naissance ;
• le cas échéant, numéro d’identification à la taxe sur la valeur ajoutée ;

• État ou territoire de résidence fiscale ;

• en matière de location de biens immobiliers : adresse, nombre de jours et, le cas échéant, numéro d’enregistrement foncier de chaque lot ;
• montant total de la contrepartie perçue au cours de chaque trimestre ;
• nombre d’opérations pour lesquelles la contrepartie totale a été perçue ;
• tous les frais, commissions ou taxes retenus ou prélevés par l’opérateur de plateforme au cours de chaque trimestre ;
• identifiant du compte financier sur lequel la contrepartie est versée.

Dans l’hypothèse où le titulaire du compte financier n’est pas le vendeur ou le prestataire, le nom et le prénom du titulaire ainsi que toute autre information d’identification financière le concernant sont renseignés. Le ministère précise qu’en pratique lors d’une inscription le prestataire ou vendeur communique le nom et le prénom du bénéficiaire ainsi qu’un numéro IBAN. La communication desdites informations sont indispensables à l’identification par l’administration fiscale de la personne qui doit être effectivement imposée.

La Commission considère que le projet de décret devrait intégrer la précision apportée par le ministère que seul l’IBAN serait collecté dans le cas visé afin d’identifier précisément les informations financières d’identification collectées à ce titre.

Sur les droits des personnes

L’information des personnes sera en premier lieu assurée par les plateformes qui indiquent aux personnes concernées les informations transmises à l’administration fiscale les concernant. En second lieu, le ministère précise qu’une information sera mise à disposition des usagers sur le site internet impots.gouv.fr, sans que le contenu de cette information soit précisé à ce stade. Le ministère renvoie à la définition ultérieure des caractéristiques des traitements dont la création n’entre pas dans le cadre du présent projet de décret.

La Commission appelle en tout état de cause à une vigilance particulière quant aux modalités d’exercice des droits des personnes concernées qui devront être définies dans le cadre de la mise en œuvre des traitements projetés.

Sur la durée de conservation

Les plateformes conservent les données pour une durée de 10 ans, conformément à l’article 1649 ter D-I-2° alinéa 5 du CGI. Le projet de décret précise le point de départ de cette période. Cette durée, qui est fixée par la loi, n’appelle pas d’observation particulière.

Le ministère prévoit néanmoins que pour les traitements qu’il mettra en œuvre sur le fondement du projet de décret, ces derniers pourront prévoir une conservation des données de dix ans. Il précise à cet égard que cette durée correspond au droit de reprise dont dispose l’administration en cas d’activités occultes qui peut s’exercer jusqu’à la fin de la dixième année suivant celle au titre de laquelle l’imposition est due, conformément à l’article L. 169 du livre des procédures fiscales.

Compte tenu du périmètre large des traitements qui seront mis en œuvre sur le fondement de ce texte ainsi que de leurs finalités variées, la Commission considère que la durée de conservation de ces données devra être proportionnée aux finalités de chaque traitement et ne jamais excéder la durée maximale de 10 ans prévue par le droit de reprise en cas d’activités occultes apparaît insuffisamment justifiée dès lors qu’elle conduirait à les conserver par principe pour une durée particulièrement longue et en l’absence de nécessité démontrée.

Sur les interconnexions

Le ministère précise que certains des traitements ayant vocation à être mis en œuvre sur le fondement du projet de décret pourront être interconnectés avec le traitement ciblage de la fraude et valorisation des requêtes (CFVR) pour les données relatives aux résidents fiscaux français. L’arrêté du 21 février 2014 portant création par la direction générale des finances publiques du traitement CFVR prévoit que sont traitées les données transmises par les opérateurs de plateformes collaboratives en application de l’article 242 bis du code général des impôts .

Dans la mesure où le nouveau dispositif encadré par le projet de décret a vocation à se substituer à celui prévu par l’article 242 bis précité, la Commission estime cette interconnexion légitime en son principe. Elle appelle néanmoins l’attention du ministère sur les conditions réelles de mise en œuvre de cette possibilité et notamment à s’assurer que l’opération de mise en relation soit notamment conforme aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés. En effet, pour être licite, le transfert de données d’une base vers une autre doit s’inscrire ou concourir aux finalités poursuivies par la base d’origine ou à celles associées aux transmissions à des destinataires, les données transférées doivent être autorisées à figurer dans la base de destination et au moins une personne habilitée à alimenter la base de destination doit constituer un accédant ou un destinataire de la base d’origine (CNIL, SP, 27 mai 2021, Avis sur projet de décret, LRPGN, n° 2021-061, publié).

En outre, la Commission prend acte de ce que l’interconnexion au bénéfice de l’URSSAF – Caisse nationale prévue par le dispositif actuel, sera maintenue par le nouveau dispositif sous réserve de la modification de l’article L.114-19-1 du code de la sécurité sociale (CSS). Ce dernier prévoit en effet la transmission par l’administration fiscale de certaines des données récoltées auprès des plateformes afin de permettre le contrôle et la lutte contre le travail dissimulé par les agents l’URSSAF – Caisse nationale.

Sur les transferts

Le dispositif permet l’échange entre autorités fiscales des différents Etats membres de l’Union européenne (UE). Ces échanges pourraient également concerner les Etats ou territoires avec lesquels la France a conclu un accord permettant l’échange d’informations automatique et obligatoire dans le cadre de la directive 2011/16/UE modifiée relative à la coopération administrative dans le domaine fiscal. L’article 2 du projet de décret prévoit la fixation par arrêté de la liste de l’ensemble des États ou territoires partenaires.

La Commission prend acte de ce que la France n’a signé à ce jour aucune convention permettant un échange à destination d’un pays tiers à l’UE. Elle rappelle que dans cette hypothèse, le responsable de traitement devra s’assurer de l’adéquation du niveau de protection des données offert par le pays de destination, conformément à la règlementation relative à la protection des données à caractère personnel.

Sur les mesures de sécurité

En l’absence de connaissance des caractéristiques des traitements futurs ayant vocation à être mis en œuvre sur la base du projet de texte, la Commission ne peut se prononcer et invite à une particulière vigilance sur les modalités techniques et organisationnelles qui seront retenues afin d’assurer la sécurité des traitements.

La Présidente

Marie-Laure DENIS