Utilisation du numéro d`assuré AVS comme numéro d`identification
Transcription
Utilisation du numéro d`assuré AVS comme numéro d`identification
Département fédéral de justice et police DFJP Office fédéral de la justice OFJ Domaine de direction Droit public P.P. CH-3003 Berne, OFJ__________________________________ Secrétariat d’Etat aux questions financières internationales 3003 Berne Référence/numéro de dossier: COO.2180.109.7.158684 / 665.1/2014/00950 Dossier 665.1-026c Votre référence: Notre référence: STE/WII Berne, le 5 août 2015 Utilisation du numéro d’assuré AVS comme numéro d’identification fiscale dans le cadre de l’échange automatique de renseignements en matière fiscale (EAR) Mesdames, Messieurs, Lors de sa séance des 29 et 30 juin 2015, la Commission de l’économie et des redevances du Conseil national a chargé le Secrétariat d’Etat aux questions financières internationales (SFI) d’obtenir un avis de l’Office fédéral de la justice ou du préposé fédéral à la protection des données et à la transparence (PFPDT) concernant le niveau de protection des données lors de l’utilisation du numéro AVS en comparaison avec l’utilisation d’un nouveau numéro d’identification fiscale (NIF). Vous trouverez ci-après les appréciations de notre office, de l’office fédéral des assurances sociales (OFAS) et du préposé fédéral à la protection des données et à la transparence (PFPDT). 1. Contexte et problématique Le projet de loi sur l’échange international automatique de renseignements en matière fiscale (projet de loi EAR; FF 2015 5501) prévoit que le Conseil fédéral peut introduire un numéro d’identification fiscale servant à identifier de manière univoque les personnes physiques assujetOffice fédéral de la justice OFJ Luzius Mader, Prof. Dr. iur. Bundesrain 20, 3003 Berne Tél. +41 58 462 41 02, fax +41 58 462 84 01 [email protected] www.bj.admin.ch Référence/numéro de dossier: COO.2180.109.7.158684 / 665.1/2014/00950 ties à l’impôt en Suisse (cf. art. 3, let. f, en relation avec l’art. 21 du projet de loi EAR)1. Il est prévu qu’un numéro d’identification fiscale soit créé spécifiquement aux fins de l’application de l’EAR. A l’intérieur de la Suisse, l’administration fédérale des contributions (AFC) et les cantons peuvent toutefois utiliser le numéro d’assuré AVS (numéro AVS) pour traiter les informations reçues (cf. le message relatif à l’approbation de l’accord multilatéral entre autorités compétentes concernant l’échange automatique de renseignements relatifs aux comptes financiers et à sa mise en œuvre; FF 2015 4975, 5044). Ils s’appuient à cet effet sur la loi fédérale du 14 décembre 1990 sur l’impôt fédéral direct (RS 642.11). Dans le cadre des auditions auxquelles a procédé la CER-N, des représentants de cantons ont proposé de ne pas créer un nouveau numéro d’identification fiscale, afin d’éviter des charges administratives supplémentaires, mais d’utiliser plutôt le numéro AVS comme numéro d’identification fiscale. Cette demande avait déjà été formulée dans le cadre de la procédure de consultation (cf. FF 2015 4994). La CER-N a ensuite soulevé la question du niveau de protection des données lors de l’utilisation du numéro AVS en comparaison avec l’utilisation d’un nouveau numéro d’identification fiscale (NIF). Le SFI a prié notre office de prendre position sur cette question et de recueillir les appréciations de l’OFAS et du PFPDT. Nous évoquons ci-après en premier lieu le cadre juridique régissant l’utilisation systématique du numéro AVS en dehors des assurances sociales (ch. 2). Nous exposons ensuite les principales réserves de l’OFAS et du PFPDT quant à l’utilisation du numéro AVS dans d’autres domaines (ch. 3). 2. Cadre juridique régissant l’utilisation systématique du numéro AVS en dehors des assurances sociales 2.1 Conditions préalables à une utilisation systématique du numéro AVS dans d’autres domaines Le numéro AVS ne peut être utilisé systématiquement en dehors des assurances sociales fédérales que dans la mesure où une loi fédérale le prévoit et où le but de l’utilisation et les utilisateurs légitimés sont définis (art. 50e, al. 1, de la loi fédérale sur l’assurance-vieillesse et survivants, LAVS). Les services cantonaux sont également habilités à utiliser systématiquement le numéro AVS pour accomplir leurs tâches légales en vertu du droit cantonal dans les domaines suivants: l’exécution de la réduction de primes dans l’assurance-maladie, l’exécution de l’aide sociale, l’exécution de la législation fiscale et la formation (art. 50e, al. 2, LAVS). Afin de pouvoir utiliser systématiquement le numéro AVS en vue de l’application du droit cantonal en dehors des domaines susmentionnés, les services cantonaux doivent pouvoir se prévaloir d’une base légale formelle suffisamment concrète en droit cantonal (art. 50e, al. 3, LAVS). 1 Sur la nécessité de créer un tel numéro, cf. le message relatif à l’approbation de l’accord multilatéral entre autorités compétentes concernant l’échange automatique de renseignements relatifs aux comptes financiers et à sa mise en œuvre (loi fédérale sur l’échange international automatique de renseignements en matière fiscale), commentaire relatif à l’art. 21 du projet de loi EAR; FF 2015 5043 s.. 2/8 Référence/numéro de dossier: COO.2180.109.7.158684 / 665.1/2014/00950 2.2 Mesures de précaution La LAVS et le Règlement sur l’assurance-vieillesse et survivants (RAVS) contiennent des dispositions concernant la protection du numéro AVS et des droits de la personnalité des individus concernés. Ainsi, toute organisation souhaitant utiliser systématiquement le numéro AVS doit l’annoncer auprès de la Centrale de compensation (CdC) (art. 50g, al. 1, LAVS en relation avec l’art. 134ter RAVS). Ceci permet de garantir que toutes les utilisations systématiques du numéro AVS soient contrôlées. Toutefois, la CdC ne vérifie pas si la base juridique invoquée par l’organisation requérante couvre effectivement l’utilisation prévue du numéro. Une liste de tous les utilisateurs habilités, dont le nombre s’élève déjà à plusieurs milliers, est publiée annuellement sur le site Internet de la CdC (http://www.zas.admin.ch/org/00721/00722/00901/index.html?lang=fr). Les utilisateurs légitimés doivent prendre des mesures techniques et organisationnelles garantissant que le numéro AVS utilisé soit correct et qu’il n’en soit pas fait une utilisation abusive (art. 50g, al. 2, let. a, LAVS). Cette disposition correspond pour l’essentiel à l’art. 7 de la loi fédérale sur la protection des données (LPD). L’ordonnance relative à la loi fédérale sur la protection des données (OLPD) développe l’art. 7 LPD d’une manière générale (art. 20, al. 1, en relation avec les art. 8 à 10 OLPD). L’art. 25, al. 4, OLPD subordonne explicitement l’utilisation du numéro AVS à la législation sur l’AVS. Le DFI a édicté des prescriptions à ce sujet dans son ordonnance sur les exigences minimales auxquelles doivent satisfaire les mesures techniques et organisationnelles à prendre par les services et institutions utilisant systématiquement le numéro AVS en dehors de l’AVS (RS 831.101.4). Cette ordonnance exige par exemple que lorsque le numéro AVS est utilisé dans des systèmes complexes, le risque d’un regroupement illicite de collections de données fasse l’objet d’une analyse détaillée et que les mesures de protection nécessaires soient prises sur cette base. Par ailleurs, lorsque des collections transitent par un réseau public et qu’elles contiennent des jeux de données où figure le numéro AVS, elles doivent être cryptées conformément à l’état de la technique. L’utilisation de ressources informatiques et d’unités de mémoire doit en outre respecter des normes de sécurité précises. Enfin, chaque utilisateur du numéro AVS est tenu d’informer ses collaborateurs, dans le cadre de cours de formation et de perfectionnement, que le numéro AVS ne peut être utilisé qu’en rapport avec leurs tâches. L’ordonnance du DFI spécifie par conséquent les exigences de la législation suisse en matière de protection des données concernant la sécurité de ces dernières. 2.3 Sanctions en cas d’utilisation du numéro AVS non conforme à la loi La LAVS ne sanctionne pas l’utilisation abusive du numéro AVS. En revanche, son utilisation systématique sans autorisation constitue une infraction à moins qu’il ne s’agisse d’un crime ou d’un délit frappé d’une peine plus lourde (art. 87 LAVS). De plus, celui qui utilise le numéro AVS sans prendre les mesures de précaution garantissant sa protection est puni d’une amende (art. 88 LAVS). 3/8 Référence/numéro de dossier: COO.2180.109.7.158684 / 665.1/2014/00950 Protection des données dans le cadre de l’échange automatique de renseignements (EAR) 2.4 Dans le cadre de l’échange automatique de renseignements, le Conseil fédéral peut conclure des accords en matière de protection des données uniquement si la convention applicable prévoit que l’autorité qui transmet les renseignements peut définir des dispositions en la matière devant être respectées par l’autorité qui reçoit les renseignements (art. 6 du projet de loi EAR). 2.4.1 Echange dans le cadre du MCAA (art. 1, al. 1, let. a, du projet de loi EAR) Dans le cadre d’un échange en vertu de l’accord multilatéral entre autorités compétentes concernant l’échange automatique de renseignements relatifs aux comptes financiers (MCAA), sur la base duquel la norme EAR de l’OCDE sera mise en œuvre, la partie fournissant les renseignements peut spécifier les garanties exigées de la partie destinataire pour assurer le secret des données. Cette disposition est prévue à la section 5, par. 1, MCAA en relation avec l’art. 22, par. 1, de la Convention du Conseil de l’Europe et de l’OCDE concernant l’assistance administrative mutuelle en matière fiscale. Afin de pouvoir être mis en œuvre, l’EAR doit être conclu de manière bilatérale entre les différents Etats parties au MCAA et activé par notification au Secrétariat de l’OCDE. La conclusion d’un accord international supplémentaire n’est dès lors pas nécessaire. L’activation bilatérale de l’EAR sera soumise à l’approbation de l’Assemblée fédérale sous la forme d’un arrêté fédéral distinct pour chaque Etat partenaire. En d’autres termes, il ne sera pas possible, dans le cadre de cette notification, de contraindre juridiquement l’Etat partenaire au respect des prescriptions de la LPD et de la législation sur l’AVS. Par conséquent, les exigences strictes auxquelles est soumise l’utilisation du numéro AVS ne peuvent pas être respectées. Si le numéro AVS était utilisé comme numéro d’identification fiscale, le Conseil fédéral devrait en premier lieu conclure préalablement un accord international avec chaque Etat partenaire avec lequel il souhaite échanger automatiquement des renseignements afin de garantir que l’Etat concerné applique tant les prescriptions de la législation sur l’AVS concernant l’utilisation systématique du numéro AVS que les dispositions de la LPD. Il serait également possible que cet Etat s’engage à assurer un même niveau de protection des données par des dispositions concrètes (spécifiées dans l’accord même). En deuxième lieu, les points suivants devraient être explicitement réglés dans la loi EAR: - Les autorités et services (institutions financières) étrangers habilités à utiliser systématiquement le numéro AVS devraient être déterminés de manière suffisamment explicite dans la loi EAR. Ce serait pour les personnes concernées la seule manière de savoir qui utilise leur numéro AVS. Ces différentes autorités pourraient être ensuite mentionnées dans une ordonnance (au moyen d’une norme de délégation dans la loi). - La loi EAR devrait définir de manière suffisamment concrète le but dans lequel le numéro peut être utilisé. 4/8 Référence/numéro de dossier: COO.2180.109.7.158684 / 665.1/2014/00950 - En dérogation à l’art. 15, al. 4, du projet de loi EAR, le numéro AVS ne devrait pas pouvoir être utilisé par les autorités et institutions financières destinataires à d’autres fins que des fins fiscales, de même qu’il ne devrait pas pouvoir être transmis à un Etat tiers ou à d’autres tiers. - Le Conseil fédéral devrait être chargé (en complément de l’art. 6 et en dérogation à l’art. 15, al. 3, du projet de loi EAR) de conclure avec chaque Etat partenaire un accord international pour l’utilisation du numéro AVS, lequel déclarerait les dispositions de la législation sur l’AVS et de la LPD applicables pour l’utilisation du numéro AVS ou contiendrait directement les dispositions nécessaires en la matière. 2.4.2 Echange dans le cadre d’une autre convention internationale conformément à l’art. 1, al. 1, let. b, du projet de loi EAR Les considérations décrites au ch. 2.4.1 concernant les compléments à apporter au projet de loi EAR sont également valables ici. La convention internationale devrait reprendre directement les obligations à respecter pour l’utilisation du numéro AVS en vertu de la législation sur l’AVS et sur la protection des données. 3. Réserves du PFPDT et de l’OFAS concernant l’utilisation systématique du numéro AVS dans d’autres domaines 3.1 Arguments du PFPDT 3.1.1 Généralités Le PFPDT s’inquiète de l’utilisation toujours plus importante du numéro AVS par l’administration fédérale, les administrations cantonales et des institutions privées. Actuellement, quelque 14 000 entités utilisent déjà systématiquement le numéro AVS (cf. l’annuaire des utilisateurs systématiques du NAVS13 mentionné au ch. 2.2). Les cantons ont de leur côté également relevé la nécessité d’évaluer les bases légales pour l’introduction d’un numéro d’identification de personne univoque et universel et estiment que le numéro AVS serait idéal dans ce contexte. Au vu de cette évolution, le PFPDT se demande si cette utilisation étendue est toujours conforme à la Constitution. Aussi approuve-t-il l’initiative de certains cantons, à commencer par Berne, qui ont créé un numéro d’identification sectoriel en matière fiscale. En outre, il convient de noter que cette évolution se profile également au niveau européen (cf. Commission européenne, NIF par pays, à l’adresse https://ec.europa.eu/taxation_customs/tin/tinByCountry.html). 3.1.2 Problèmes et risques Le numéro AVS a été initialement conçu de manière à ne pas permettre une identification directe de la personne concernée. Cependant, du fait de l’utilisation grandissante de ce numéro dans différents domaines, la probabilité d’une ré-identification de la personne concernée augmente également de façon exponentielle. Contrairement à sa finalité initiale, ce numéro se 5/8 Référence/numéro de dossier: COO.2180.109.7.158684 / 665.1/2014/00950 transforme ainsi toujours plus en un numéro d’identification de personne. C’est pourquoi le PFPDT s’est opposé à plusieurs reprises à l’utilisation du numéro AVS en dehors du droit des assurances sociales, et en particulier à son utilisation dans le cadre de l’EAR. La principale objection du PFPDT est que la propagation générale du numéro AVS en tant que «numéro de citoyen» pourrait permettre un accès non souhaitable et non prévu par la loi à différents registres et bases de données. En outre, l’utilisation répandue de ce numéro faciliterait le recoupement, au moyen d’algorithmes performants, d’informations de nature très diverse sur une personne. La valeur commerciale des données personnelles est, d’une manière générale, largement sous-estimée. Selon une étude américaine, la valeur des données personnelles européennes est estimée à 300 milliards d’euros, un chiffre qui devrait quadrupler au cours des dix à quinze prochaines années. Le délit dit d’«usurpation d’identité» constitue un autre danger dans ce contexte et peut revêtir plusieurs formes: utilisation abusive des cartes de crédit, perception de prestations sociales au nom d’autrui, utilisation non autorisée de l’identité d’autrui dans le commerce électronique, etc. Aux Etats-Unis, le nombre de délits de ce type serait actuellement en forte expansion. Au Canada, les autorités fiscales se seraient fait soustraire plusieurs centaines de numéros de sécurité sociale suite à une faille informatique qui s’est produite en avril 2014 («Heartbleed»). Ces délits montrent le grand intérêt que suscitent ces numéros. Le PFPDT fait en outre remarquer que la législation suisse ne sanctionne pas l’utilisation abusive du numéro AVS, à la différence par exemple de la législation américaine. La multiplication des bases légales créées en vue de l’utilisation du numéro AVS en dehors du droit des assurances sociales complique les possibilités de contrôle. Les critères de l’opportunité et de la proportionnalité ont régulièrement été ignorés lors de l’élaboration des bases légales en vue d’une utilisation plus étendue (en dehors des assurances sociales) de ce numéro. Le PFPDT a par ailleurs observé que l’utilisation qui en est réellement faite n’est que très rarement couverte par le cadre juridique existant. Dans de nombreux cas, en effet, il a relevé que les utilisateurs estiment à tort être habilités à recourir au numéro AVS, la base légale nécessaire étant inexistante ou ne couvrant pas du tout l’utilisation qui en est faite. Le PFPDT craint également que l’utilisation du numéro AVS ne s’étende au secteur privé, et ce en dehors d’un cadre légal bien défini. Il ne serait dès lors plus possible de la contrôler, ni de vérifier que le traitement des données reste conforme à la loi. Tel serait le cas notamment si le numéro AVS était utilisé comme numéro d’identification fiscale dans le cadre d’un EAR au niveau international. Le problème se situerait en particulier au niveau de la possibilité de transmettre des données à des Etats dont la législation ne garantit pas une protection adéquate de la personnalité des individus concernés. Des données personnelles pourraient être transmises à ces Etats uniquement aux conditions énoncées à l’art. 6, al. 2, LPD. En réalité, si le numéro AVS était transmis à l’étranger, l’utilisation qui en est faite échapperait totalement au contrôle des autorités suisses. La situation serait donc très risquée si les informations étaient transmises à des particuliers ou à des autorités ne pouvant pas garantir une protection adéquate des données. Le PFPDT observe cette évolution avec beaucoup d’inquiétude. Selon lui, elle créerait en effet des problèmes de fond concernant la protection de la sphère privée, qui ne sont souvent pas 6/8 Référence/numéro de dossier: COO.2180.109.7.158684 / 665.1/2014/00950 assez mesurés lors de l’élaboration d’un projet. Or, la création d’une base légale exige dans tous les cas l’appréciation et l’examen préalables des conséquences qu’elle entraîne. Cette évolution remet la fiabilité du numéro AVS en question, et ce d’autant plus dans un contexte où les possibilités de contrôle sont limitées, les données étant traitées à grande échelle, de manière générale et au moyen de l’informatique. Conclusion Pour toutes ces raisons2, le PFPDT a toujours été favorable à la création de numéros d’identification sectoriels. Dès lors qu’on ne recourt pas à cette solution, l’utilisation abusive du numéro AVS doit selon lui faire l’objet de sanctions. Il plaide cependant avec insistance en faveur d’un numéro d’identification fiscale créé spécifiquement aux fins de l’EAR. 3.2 Arguments de l’OFAS L’OFAS se montre lui aussi sceptique à l’égard d’une utilisation du numéro AVS comme numéro d’identification fiscale dans le cadre de l’EAR. Il fait remarquer que les services et institutions qui utilisent le numéro AVS doivent prendre des mesures techniques et organisationnelles pour que ce numéro soit correct et qu’il n’en soit pas fait une utilisation abusive (art. 50g, al. 2, let. a, LAVS). L’art. 50g, al. 3, LAVS charge le DFI de définir, d’entente avec le DFF, les standards minimaux auxquels doivent satisfaire les mesures au sens de l’art. 50g, al. 2, let. a, LAVS. L’ordonnance du DFI du 7 novembre 2007 sur les exigences minimales auxquelles doivent satisfaire les mesures techniques et organisationnelles à prendre par les services et institutions utilisant systématiquement le numéro AVS en dehors de l’AVS (RS 831.101.4) a été édictée sur la base de cette disposition. En outre, les modalités techniques de l’utilisation systématique du numéro AVS en dehors des assurances sociales sont fixées dans un cahier des charges sur l’utilisation du NAVS13 publié par l’OFAS. Si le numéro AVS était utilisé comme numéro d’identification fiscale, il devrait être indiqué, aux fins de l’EAR, lors de l’ouverture d’un compte à l’étranger. L’OFAS ne voit pas comment l’utilisation incontrôlée dans un contexte international et d’éventuels emplois abusifs de ce numéro pourraient dès lors être évités. 4. Conclusion La transmission du numéro AVS à des autorités fiscales et institutions financières étrangères est vue de manière critique. Tant l’OFJ que l’OFAS et le PFPDT émettent des réserves quant à l’utilisation de ce numéro à l’étranger. Les prescriptions régissant l’utilisation systématique de cet identificateur sont sévères et ne pourraient être que difficilement imposées à l’étranger. Etant donné les nombreux domaines dans lesquels le numéro AVS est utilisé, les possibilités d’abus sont déjà multiples, ne serait-ce que sur le territoire suisse. En cas d’utilisation de ce numéro à l’étranger également, la protection de ce dernier (et, partant, de la protection de 2 Sur les réserves du PFPDT, cf. aussi «Echange de données personnelles entre les registres des habitants, la Poste et d’autres détenteurs de données», rapport du Conseil fédéral du 12 novembre 2014 en exécution du postulat 12.3661 déposé par la Commission des institutions politiques du Conseil national le 16 août 2012, ch. 3.2. 7/8 Référence/numéro de dossier: COO.2180.109.7.158684 / 665.1/2014/00950 l’autodétermination de l’individu en matière d’information) ne pourrait pas être maintenue à son niveau actuel. Ceci remettrait également en question la fiabilité du numéro AVS dans les échanges au niveau suisse. Sur le plan juridique, la transmission de numéros d’assuré à des autorités fiscales et institutions financières étrangères ne serait possible que si les conditions strictes énoncées au ch. 2.4 sont respectées. Nous espérons que ces appréciations vous seront utiles et restons à votre disposition pour toute question à ce sujet. Veuillez agréer, Mesdames, Messieurs, nos salutations les meilleures. Office fédéral de la justice OFJ Domaine de direction Droit public Luzius Mader Directeur suppléant 8/8