Les débats en cours
Toutefois, ne pourront être acceptées et traitées que les télédéclarations
s’appuyant sur un certificat référencé par le Minefi et sur des signatures électroniques et moyens de confidentialité conformes aux normes adoptées par
le ministère. Les contribuables peuvent choisir librement leur fournisseur de
certificats parmi ceux ayant obtenu leur homologation. En outre, les certificats référencés, qui ne contiennent aucune information spécifique à une application du Minefi, peuvent être utilisés par leur titulaire en tant que « ticket
unique » d’accès à l’ensemble des téléprocédures du ministère, de même
qu’avec d’autres partenaires.
Ces dispositifs n’appellent pas d’observations particulières.
En ce qui concerne le chiffrement des informations transmises
1) S’agissant de la procédure EFI, l’utilisation du protocole SSL V3 garantit
le chiffrement des données transmises durant la session. En outre, le déclarant pourra choisir de chiffrer, de 40 à 128 bits, les informations le concernant avant de les transmettre à l’administration fiscale.
La Commission prend acte de ce dispositif.
2) S’agissant de la procédure EDI, la Commission observe que les informations fiscales sont communiquées en clair à la DGI par le partenaire EDI, ce
qu’elle avait déjà constaté en 2000 pour la télétransmission des déclarations de résultat.
De manière générale, la Commission estime que toute procédure de télédéclaration revêtant un caractère obligatoire devrait mettre en œuvre un procédé de chiffrement assurant la confidentialité des données transmises par voie
électronique.
À cet égard, la Commission estime qu’un dispositif technique devrait permettre à chaque adhérent à la procédure EDI de choisir le degré de confidentialité dont il souhaite bénéficier — y compris un niveau très élevé —
pour le transfert des informations le concernant, ce qui suppose que les serveurs de l’administration fiscale soient en mesure d’accepter tous les niveaux
de sécurité.
Toutefois, la Commission observe que deux voies étant offertes aux télédéclarants, dont l’une — l’EFI — garantit la confidentialité des informations
transmises, le dispositif de télétransmission mis en place peut être accepté, à
la condition que les contribuables soient informés, par une clause appropriée du cahier des dispositions générales, de ce que les informations les
concernant sont transmises en clair, dans le cas de la procédure EDI, entre le
partenaire EDI et la DGI et que seule la signature électronique fait l’objet
d’un procédé de chiffrement qui garantit l’origine et l’intégrité des données,
mais non leur confidentialité.
En ce qui concerne les modalités d’exploitation des informations
La DGI se réserve la faculté de confier à un prestataire externe le soin d’assurer la gestion technique des téléprocédures, l’exploitation du serveur « TéléTVA » et la prise en charge des fichiers des télédéclarations et des
télérèglements.
La Commission estime que, dans cette hypothèse, les traitements mis en
œuvre par le prestataire doivent être installés dans des environnements sécurisés et entièrement automatisés. En outre, le cahier des dispositions généra-
e
CNIL 22 rapport d'activité 2001
121