Fiche N°3 – Cadre juridique (en cours de révision/modification ArtL135B et création L112A)

1/12/2017Accéder aux données

La fiche en bref

Le service DVF est encadré juridiquement par l’article L. 135 B du Livre des procédures fiscales (LPF), modifié successivement par plusieurs lois. Le Bulletin Officiel des Impôts précise cet article en exposant les modalités de la mise en œuvre du service et son entrée en vigueur.

Les Conditions Générales d’Utilisation de la DGFiP indiquent les règles s’appliquant aux ayants droit pour leur utilisation des données brutes. Ce document précise que la DGFiP conserve son droit d’auteur des fichiers mais cède aux utilisateurs un droit d’usage, qui comporte certaines limites.

En application de la loi « Informatique et Libertés », comme tout fichier ayant trait aux données personnelles, la base de données DVF nécessite, selon les usages, d’entreprendre des démarches auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Les textes

Loi « Informatique et Libertés », Livre des procédures fiscales et Bulletin Officiel des Impôts définissent les fondements de DVF.

Le cadre

L’utilisation de DVF est encadrée par la DGFiP à travers les Conditions Générales d’Utilisation fournies au requérant avec les données.

La CNIL

Des démarches auprès de la CNIL sont nécessaires selon les usages de DVF envisagés.

3.1 Panorama général de l'aspect juridique

3.1.1 Un service encadré par le Livre des procédures fiscales

C’est l’article L. 135 B du Livre des procédures fiscales (LPF) qui contraint l’administration fiscale à communiquer les valeurs foncières des mutations à tout requérant institutionnel ayant compétence en matière de politique foncière et d’aménagement. Cela se matérialise à travers le service DVF. Des lois successives ont ensuite fait évoluer cet article, ouvrant notamment l’accès au service à de plus en plus d’ayants droit.

3.1.2 Les Conditions Générales d’Utilisation

Dans le fichier de restitution, la DGFiP fournit, aux côtés du fichier texte contenant les données, des Conditions Générales d’Utilisation (CGU). Elles donnent un cadre à l’utilisateur en précisant ses droits et ses devoirs au regard des données fournies.

Les CGU précisent ainsi que l’utilisateur est responsable, pénalement et à titre individuel, des usages qu’il fait des données qui lui sont fournies par la DGFiP.

L’Etat, à travers la DGFiP, reste seul titulaire des droits d’auteur de la base de données. Il cède néanmoins des droits d’accès et des droits d’usage à l’utilisateur. Ces droits sont accordés au demandeur uniquement sous réserve que son usage des données soit :

  • limité aux missions de politique foncière et d’aménagement de l’institution,
  • circonscrit au périmètre géographique de son institution.

3.1.3 La protection des données personnelles

La loi « Informatique et Libertés » du 6 janvier 1978 définit les principes à respecter lors de la collecte, du traitement et de la conservation des données personnelles. Cette loi est applicable pour tout fichier informatique ou fichier « papier » contenant des informations personnelles relatives à des personnes physiques.

Une donnée personnelle est définie comme une information qui permet d’identifier ou de reconnaître un individu, directement ou indirectement.  Il peut s’agir d’un nom, d’une date de naissance, d’une adresse, d’une référence parcellaire, etc.

Les données du service DVF, contenant le numéro d’identification des parcelles de la mutation, sont donc concernées par l’application de la loi « Informatique et Libertés ».

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité en charge de veiller à la protection des données personnelles. A ce titre, elle régule et recense les fichiers et autorise les traitements les plus sensibles avant leur mise en place.

L’utilisateur des données DVF doit donc être très prudent concernant l’usage qu’il fait des données qui lui sont fournies par la DGFiP. Il s’engage à ce que les analyses diffusées ne permettent pas d’identifier les personnes concernées par les statistiques. Des démarches auprès de la CNIL sont à envisager pour certains traitements et usages des données issues de DVF.

LE SAVIEZ-VOUS ?
La CNIL veille à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
3.2 Les textes qui fondent le service DVF

3.2.1 Article L. 135 B du Livre des procédures fiscales

L’article L. 135 B du Livre des procédures fiscales (LPF), oblige l’administration fiscale à communiquer les valeurs foncières des mutations à tout requérantinstitutionnel (Etat, collectivités locales, établissements publics, etc.) exerçant des missions de politique foncière et d’aménagement. L’obligation ne concerne que les mutations des cinq dernières années.

3.2.2 Modifications par des lois successives

L’alinéa 1 de l’article L 135 B du LPF, relatif à la transmission de données foncières, a été modifié par la publication de deux lois successives. Ces lois ont notamment complété la liste des ayants droit, entités pouvant avoir accès au service DVF.

3.2.3 Bulletin officiel des finances publiques

Les paragraphes 400 et 420 du BOl DJC-SECR-10-20-20 du 12 septembre 2012 précise l’article L. 135 B du LPF. Il présente les modalités de la mise en œuvre du service (déroulement de la procédure).

À NOTER
Le service DVF est un service gratuit : les données sont restituées gratuitement au demandeur.
3.3 Les conditions générales d'utilisation qui encadrent le service DVF

3.3.1 Responsabilité de la DGFiP

La DGFiP n’est pas responsable :

  • en cas de manques éventuels ou d’erreurs dans les données transmises
  • en cas de non-transmission des données à cause de problèmes informatiques ou d’un événement qu’elle ne peut maîtriser (catastrophes naturelles, embargos, conflits du travail, boycotts, guerres, pénuries d’approvisionnement, retards de transport, etc.)
  • de l’usage des données transmises

3.3.2 Responsabilité pénale individuelle

La personne physique qui demande et reçoit les données dans le cadre du service DVF est responsable pénalement à titre individuel de l’usage qu’elle fait des données qui lui sont transmises.

3.3.3 Droits d’auteur de l’Etat

Selon le Code de la propriété intellectuelle, l’Etat, à travers la DGFiP, est l’auteur des fichiers transmis via le service DVF ainsi que des données qu’ils contiennent.

La diffusion et l’utilisation de ces fichiers et données n’a aucun impact sur les droits d’auteur : l’Etat, à travers la DGFiP, conserve ses droits sur les fichiers et données.

Sur demande de l’Etat, via la DGFiP, l’utilisateur du service DVF peut être amené à céder gratuitement une copie des études qu’il aurait réalisées avec les données.

3.3.4 Droits d’accès aux données et droits d’usage des données

Toutes les demandes d’accès au service DVF doivent comporter un argumentaire démontrant que les données attendues sont nécessaires à l’exercice d’une ou plusieurs missions de politique foncière et d’aménagement. L’accès est également restreint géographiquement : les données fournies sont limitées au champ de compétence géographique de l’utilisateur. Si ces deux critères ne sont pas réunis, la DGFiP est en droit de rejeter la demande d’accès.

L’utilisateur du service DVF se voit accorder par la DGFiP un droit d’usage sur toutes les données contenues dans les fichiers transmis. Ce droit est limité à des usages dans le cadre de missions de politique foncière et d’aménagement. Les données transmises ne doivent pas être utilisées :

  • pour du démarchage commercial,
  • à des fins politiques ou électorales,
  • pour des pratiques pouvant porter atteinte à l’honneur ou à la réputation des personnes ou au respect de la vie privée.

L’utilisateur du service DVF ne doit pas exploiter les données dans le but de produire un résultat diffusable qui permettrait, par rapprochement avec une autre source de données ou toute autre méthode, d’identifier les personnes concernées par les statistiques.

LE SAVIEZ-VOUS ?
Il est difficile de définir précisément les motivations éligibles au service DVF. Le principe à retenir est d’indiquer le contexte réglementaire du requérant(compétence concernée par la demande), et l’objet des traitements souhaités (connaissance des marchés, mission d’observation territoriale à l’échelle d’un périmètre, soutien à l’élaboration de stratégies foncière ou immobilière, etc.).

3.3.5 Limites du droit d’usage

En résumé, le droit d’usage des données communiquées par la DGFiP est limité au regard :

  • des exigences liées à la protection des données personnelles,
  • de l’interdiction d’effectuer du démarchage commercial,
  • de l’interdiction de manœuvres politiques ou électorales,
  • de la protection de l’intimité de la vie privée des personnes.

Les juristes du cabinet JurisDemat Avocat soulignent que les CGU n’indiquent pas si l’exercice du droit d’usage des données est limité dans le temps ou dans l’espace.

3.3.6 Diffusion par le demandeur de produits intégrant des données DVF

L’article 10 des CGU précise que « la DGFIP autorise le demandeur à diffuser tout produit composé des données qu’elle lui a transmise à condition que ces données soient suffisamment agrégées au regard du secret statistique pour respecter les règles relatives au secret professionnel ».

D’autre part, la DGFiP interdit à tout utilisateur du service DVF de communiquer à des tiers les informations nominatives reçues, même si ces tiers reçoivent eux-mêmes ces informations de la part de la DGFiP.

À NOTER
Selon les CGU, tout document diffusé intégrant des données transmises par la DGFiP doit comporter la mention « Source : Direction Générale des Finances Publiques : mise à jour : AAAA/S », où AAAA est le millésime de l’année et S celui du semestre d’actualisation des données communiquées. L’utilisateur doit privilégier la dernière version des données en sa possession. La diffusion des données historiques est autorisée uniquement à condition de préciser, après le millésime, que celui-ci n’est pas le dernier disponible.

3.3.7 Exploitation des données par un prestataire de service

L’article 9 des CGU autorise l’intervention d’un prestataire de service pour le traitement des données communiquées par la DGFiP.

Cet article reprend l’article R. 135 B-4 du Livre des procédures fiscales qui précise qu’il est possible de s’adresser à un prestataire de service dès lors qu’une convention définit précisément l’objet du traitement et mentionne les engagements du prestataire.

La convention passée avec le prestataire doit interdire l’utilisation des données fournies à d’autres fins que la mission pour laquelle elles lui sont confiées, interdire de les divulguer à des tiers et imposer une obligation en fin de contrat de restituer les données ou de les détruire.  Il est également fortement conseillé de préciser dans cette convention les conditions de sécurité et de confidentialité des données personnelles.

3.4 Le respect des préconisations de la CNIL

3.4.1 La Commission nationale de l’informatique et des libertés

La Commission nationale de l’informatique et des libertés (CNIL) est l’autorité en charge de veiller à la protection des données personnelles. Son rôle a été défini par la loi « Informatique et Libertés » du 6 janvier 1978.

A ce titre, elle dispose notamment d’un pouvoir de contrôle et de sanction. Jouant aussi un rôle d’alerte et de conseil, elle a pour mission de veiller à ce que le développement des nouvelles technologies ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

La CNIL régule et recense les fichiers, autorise les traitements les plus sensibles avant leur mise en place.

LE SAVIEZ-VOUS ?
La CNIL définit une donnée personnelle comme une information qui permet de vous identifier ou de vous reconnaître, directement ou indirectement. Il peut s’agir d’un nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d’un ordinateur, numéro de téléphone, numéro de carte de paiement, plaque d’immatriculation d’un véhicule, empreinte digitale, ADN, photo, numéro de sécurité sociale…

Il existe plusieurs procédures différentes auprès de la CNIL pour le traitement de données :

  • La déclaration normale
    • Régime de droit commun
    • Quand le fichier ne relève pas d’une procédure particulière
    • Le traitement peut être mis en oeuvre dès réception du récépissé délivré par la CNIL
  • La déclaration simplifiée
    • Elle est prévue uniquement pour certains traitements
    • Elle peut être effectuée sur le site web de la CNIL
  • La demande d’autorisation et la demande d’avis
    • Il s’agit de régimes plus protecteurs, qui s’appliquent aux fichiers considérés comme sensibles ou comportant des risques pour la vie privée ou les libertés

Processus de démarche auprès de la CNIL

Une fois le dossier complété en ligne :

  • dans le cas d’une télédéclaration, la CNIL adresse immédiatement après envoi un accusé de réception électronique,
  • dans le cas d’une déclaration au moyen du formulaire papier, cette dernière doit être adressée par envoi recommandé avec demande d’avis de réception postal à la CNIL ou déposé auprès de la CNIL contre récépissé.
À NOTER
Pas de nouvelle ne signifie pas acceptation : ne pas avoir de retour de la CNIL indique que la demande n’a pas encore été acceptée.

La CNIL délivre ensuite par voie postale ou électronique un récépissé de déclaration indiquant le numéro sous lequel le traitement déclaré est enregistré.

À NOTER
Le récépissé atteste de l’accomplissement des formalités de déclaration, mais n’exonère pas le responsable du traitement des autres obligations prévues par la loi (respect de la finalité du fichier, sécurité et confidentialité, respect des droits des personnes…).

Pour les procédures particulières d’autorisation ou d’avis, la CNIL adresse au déclarant une notification de l’autorisation ou de l’avis qu’elle a rendu.

La démarche effectuée par la DGFiP

Le 16 juin 2010, la CNIL a délivré un récépissé suite au dépôt de la déclaration d’ouverture du service de délivrance de valeurs foncières par l’administration. Le 14 octobre 2010 est publié au Journal Officiel l’arrêté du 25 août 2010 portant création par la DGFiP d’un traitement automatisé de données à caractère personnel dénommé « PATRIM Colloc » (ancien nom de DVF).

À NOTER
Cette démarche ne vaut que pour le producteur des données, à savoir la DGFiP. Les utilisateurs doivent déclarer à la CNIL, lorsque cela est nécessaire, les traitements qu’ils mettent en œuvre à partir des données DVF.

3.4.2 Votre démarche CNIL

Quelle démarche pour quel usage ?

Les démarches auprès de la CNIL sont liées aux questions d’utilisation et de diffusion de la donnée. Le Groupe national DVF prévoit de rencontrer la Commission, afin de mieux définir les obligations des utilisateurs DVF. Dans cette attente, le tableau suivant reprend les principaux points de convergence du groupe.

Usage prévu de la donnée DVF Démarche CNIL à entreprendre
Utilisation de DVF dans un SIG Déclaration de conformité à l’autorisation unique n°AU-001

Cette démarche peut s’effectuer en ligne (ou Cerfa 13810-02).

Croisement de DVF avec des données non personnelles
(exemple : fichiers fonciers standards anonymisés)
Déclaration normale

Cette démarche peut s’effectuer en ligne (ou Cerfa 13809-03).

Croisement de DVF avec des données personnelles
(exemples : fichiers fonciers standards, communément et improprement qualifiés de matrice cadastrale ; base des permis de construire)
Demande d’autorisation

Cette démarche peut s’effectuer en ligne (ou Cerfa 13786-02)

À NOTER
Certains fichiers ou traitements de données personnelles sensibles, qui visent une même finalité et des catégories de données et de destinataires identiques, sont autorisés par la CNIL au travers de décisions-cadre, appelées autorisations uniques. L’autorisation unique AU-001 concerne les traitements mis en œuvre à partir des données cadastrales pour la gestion foncière et l’urbanisme.

Dans le cadre des déclarations, quel que soit l’usage prévu de la donnée, le principe à respecter est le suivant : ne pas permettre de remonter à la donnée personnelle en recoupant les données.

Quand faire la demande auprès de la CNIL ?

La déclaration doit être préalable à l’usage des données ou au croisement de données à réaliser.

Qui doit faire la demande ?

Un fichier ou un traitement de données personnelles doit être déclaré par la personne qui en est responsable, c’est-à-dire celle qui décide de sa création, qui détermine à quoi il va servir et selon quelles modalités. C’est le dépositaire des données, l’utilisateur du service DVF enregistré auprès de la DGFiP, qui doit faire la demande. Dans le cadre d’une convention, c’est l’ayant droit qui fait la demande auprès de la CNIL.

POUR ALLER PLUS LOIN