Par la loi de finances pour 2017 (loi n°2016-1917 du 29 décembre 2016) le prélèvement à la source (PAS), véritable bouleversement dans la perception de l’impôt sur le revenu, a été introduit en France. Son entrée en vigueur était initialement prévue pour le 1er janvier 2018, mais une ordonnance n°2017-1390 du 22 septembre 2017 l’a décalée au 1er janvier 2019.

Les organismes versant des revenus rentrant dans l’assiette de l’impôt sur le revenu deviendront des organismes collecteurs. A ce titre, ils devront être dotés de systèmes permettant le prélèvement à la source dès le 1er janvier 2019.

Quels sont les changements devant être opérés par les organismes collecteurs dans le cadre du prélèvement à la source ? Quelle articulation avec la protection des données à caractère personnel ? Mathias Avocats fait le point.

Le prélèvement à la source : comment ça marche ?  

La grande majorité des revenus soumis à l’impôt sur le revenu sont concernés par cette mesure : traitements et salaires, pensions de retraite, revenus de remplacement, revenus fonciers, rentes viagères ou encore pensions alimentaires, etc. En conséquence, les profils d’organismes collecteurs seront variés : employeurs, caisses de retraite, etc.

Dans un premier temps, l’organisme collecteur communique au contribuable le document attestant du revenu versé. Pour les employeurs, il s’agit par exemple de la fiche de paie. Sur la base de ces documents, le contribuable réalisera sa déclaration de revenus auprès de l’administration fiscale. Cette dernière lui enverra alors un avis d’imposition et communiquera à l’organisme collecteur le taux de prélèvement à appliquer sur les revenus du contribuable.

Le contribuable n’a pas à communiquer d’informations sur sa situation fiscale à l’organisme collecteur et réciproquement, l’organisme collecteur n’a pas à en demander.  Le prélèvement à la source n’a ni pour objet ni pour effet de faire de l’organisme procédant à la collecte de l’impôt à la source le principal interlocuteur du contribuable en matière fiscale.

L’organisme collecteur devra veiller à distinguer le revenu net imposable du revenu effectivement versé après prélèvement de l’impôt au sein du document attestant du revenu. Il devra également rappeler le taux de prélèvement appliqué.

L’organisme collecteur recevra de la part de l’administration fiscale le taux de prélèvement à appliquer à chaque contribuable. Il pourra s’agir d’un taux personnalisé, adapté à sa situation fiscale, ou d’un taux établi sur la base d’une grille par défaut, si le contribuable en fait la demande et ne souhaite pas que son taux personnalisé soit communiqué à l’organisme collecteur. Chaque mois, il devra appliquer ce taux au revenu net imposable versé au contribuable, et verser la somme à l’administration fiscale.

Le recours à la déclaration sociale nominative pour les employeurs

Pour les entreprises privées, le prélèvement à la source s’effectuera en pratique par le biais de la déclaration sociale nominative (ou DSN), généralisée à l’été 2017. Cette déclaration mensuelle a pour but de centraliser les déclarations sociales des entreprises : l’employeur transmet en une fois les données issues de la paie. Elle permet aussi de manière ponctuelle de signaler les événements ayant un impact sur la paie du salarié : maladie, maternité, fin du contrat de travail, etc.

C’est par le biais de la DSN que les employeurs communiqueront le montant mensuel de l’impôt prélevé et verseront les sommes collectées. En retour, l’administration fiscale leur indiquera le taux de prélèvement applicable au contribuable.

Le prélèvement à la source, nouvelle finalité dans le traitement de gestion de la paie

Le prélèvement à la source vient s’inscrire à la fin du processus de gestion de la paie, au moment de la déclaration sociale nominative. La gestion de la paie impliquait déjà un traitement de données à caractère personnel. Avec le prélèvement à la source, une nouvelle sous-finalité s’ajoute et de nouvelles données à caractère personnel sont impliquées. Il s’agira du taux de prélèvement applicable à chaque contribuable ainsi que du montant effectivement versé à l’administration fiscale au titre de l’impôt sur le revenu.

Or s’il existe un traitement de données à caractère personnel, l’employeur doit s’assurer qu’il respecte la réglementation relative à la protection des données à caractère personnel : à compter du 25 mai 2018, il s’agira du Règlement général sur la protection des données (règlement n°2016/679 du 27 avril 2016 ou RGPD). Cette conformité implique que l’employeur informe de manière claire ses employés sur cette nouvelle sous-finalité et sur le traitement de leurs données.

L’employeur devra de plus mettre en œuvre de mesures techniques et organisationnelles visant à assurer la sécurité et la confidentialité de l’ensemble des données à toutes les étapes du traitement.

En pratique : pensez à vérifier vos logiciels de gestion de paie !

Les éditeurs de logiciels de gestion de paie ont été invités par la Direction générale des finances publiques (DGFiP) à participer depuis juillet 2017 à des phases pilotes. Lors des tests effectués, les éditeurs participants ont pu mettre à jour leurs logiciels afin de permettre la mise en œuvre effective du prélèvement à la source. La liste des éditeurs ayant signé la charte « Prélèvement à la source » et participé à la phase pilote est disponible sur le site ouvert par le ministère de l’action et des comptes publics.

Tous les employeurs doivent d’ores et déjà s’assurer qu’ils seront en mesure de procéder au prélèvement à la source à compter du 1er janvier 2019. S’ils ont opté pour un logiciel de paie, les employeurs sont invités à se tourner vers leur éditeur pour lui demander s’il sera effectivement mis à jour pour le 1er janvier. La DGFiP rappelle aux employeurs qui ont recours à un outil interne pour la gestion de la paie qu’ils doivent eux aussi l’adapter au prélèvement à la source.

Cette vérification sera aussi l’occasion de contrôler la conformité du traitement de gestion de la paie dans son ensemble aux dispositions du RGPD :

  • Le logiciel ou l’outil de gestion de paie intègre-t-il les nouveaux principes de protection des données dès la conception (privacy by design) et par défaut (privacy by default) ?
  • La sécurité des données est-elle assurée sur le plan technique (sécurisation des flux, gestion des accès, etc.) ?
  • Le logiciel ou l’outil permet-il de prendre en compte les demandes d’exercice de leurs droits par les personnes concernées ?

Dans ce contexte, il convient de ne pas oublier de procéder à la négociation de vos contrats avec les éditeurs de logiciels.

Mathias Avocats est à votre écoute et vous accompagne dans vos démarches de conformité.