Quelque chose d'autre peut être souligné : pour effectuer sa déclaration ou accéder à ses informations, il faut au préalable accepter le certificat fourni par ce site.
Mais c'est un certificat "auto-déclaré" par la direction des impots, c'est à dire qu'il n'a pas été validé par une autorité de certification indépendante (comme verisign ou keynectis). Donc chaque utilisateur voit apparaitre une alerte lui indiquant que le certificat n'est pas émis par une autorité de certification reconnue, et il doit alors confirmer lui-même que le certificat provient d'un site de confiance.
Et c'est là le problème : si l'utilisateur avait été redirigé sur un faux site des impots, avec un faux certificat auto-déclaré (n'importe qui peut faire un certificat de ce type), il aurait exactement la même alerte.
Les impots justifient la non-utilisation d'une autorité de certification indépendante par le fait que cela revient à faire confiance à une entité extérieure (comprendre "américaine").
Mais le risque serait moins élevé que de continuer à faire confiance aux utilisateurs pour reconnaitre le certificat émis par les impots.