Legifrance - Le service public de l'accès au droit

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité le transfert vers l'Internal Revenue Service (IRS) des données collectées et stockées dans le cadre de FATCA et la réception par la DGFiP des données transférées par l'IRS,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95146/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2011/16/UE du Conseil de l'Union européenne du 15 février 2011 relative à la coopération administrative dans le domaine fiscal ;
Vu le livre des procédures fiscales, notamment ses articles L. 169, L. 174 et L. 176 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 68 et 69 ;
Vu la loi n° 2014-1098 du 29 septembre 2014 autorisant l'approbation de l'accord entre le Gouvernement de la République française et le Gouvernement des Etats-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA ») ;
Vu le décret n° 53-192 du 14 mars 1953 modifié relatif à la ratification et à la publication des engagements internationaux souscrits par la France ;
Vu le décret n° 96-222 du 15 mars 1996 portant publication de la Convention entre le Gouvernement de la République française et le Gouvernement des Etats-Unis d'Amérique en vue d'éviter les doubles impositions et de prévenir l'évasion et la fraude fiscales en matière d'impôts sur le revenu et sur la fortune (ensemble d'un échange de lettres), signée à Paris le 31 août 1994, et un échange de lettres complétant l'article 29 de ladite convention, signé à Washington les 19 et 20 décembre 1994 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2007-79 du 22 janvier 2007 portant publication de l'avenant à la Convention du 31 août 1994 entre le Gouvernement de la République française et le Gouvernement des Etats-Unis d'Amérique en vue d'éviter les doubles impositions et de prévenir l'évasion et la fraude fiscales en matière d'impôts sur le revenu et sur la fortune, signé à Washington le 8 décembre 2004 ;
Vu le décret n° 2010-28 du 8 janvier 2010 portant publication de l'avenant à la convention entre le Gouvernement de la République française et le Gouvernement des Etats-Unis d'Amérique en vue d'éviter les doubles impositions et de prévenir l'évasion et la fraude fiscales en matière d'impôts sur le revenu et sur la fortune, signée à Paris le 31 août 1994 et modifiée par l'avenant du 8 décembre 2004 (ensemble un protocole), signé à Paris le 13 janvier 2009 ;
Vu le dossier et ses compléments ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Sur le contexte :
Le Gouvernement de la République française et le Gouvernement des Etats-Unis d'Amérique sont signataires d'une convention bilatérale en vue d'éviter les doubles impositions et de prévenir l'évasion et la fraude fiscales en matière d'impôts sur le revenu et sur la fortune signée à Paris le 31 août 1994 et modifiée par un avenant du 8 décembre 2004 signé à Paris le 13 janvier 2009.
Les Etats-Unis ont promulgué le 18 mars 2010 la loi FATCA (Foreign Account Tax Compliance Act) qui fait obligation aux établissements financiers du monde entier de déclarer aux Etats-Unis toutes les informations sur les comptes bancaires, placements et revenus à l'étranger de « US-Persons ».
Dans le cadre de cette coopération entre la France et les Etats-Unis a été conclu un accord en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »).
Il ressort de l'ensemble de ces textes que les deux pays s'engagent à un échange réciproque de données fiscales concernant les « US-Persons » et contribuables français. L'accord prévoit que la transmission des informations se fera sur la base d'obligations déclaratives nationales auxquelles sont assujetties les institutions financières. Ces échanges seront automatiques et annuels.
Le ministère des finances et des comptes publics, par sa direction générale des finances publiques (DGFiP), a déclaré à la Commission nationale de l'informatique et des libertés un traitement dénommé « Echange automatique d'information » dont la finalité est la collecte auprès des institutions financières des données dont la transmission est exigée au titre de l'article 1649 AC du code général des impôts.
Outre leur traitement au titre des dispositions nationales relatives à la fiscalité des particuliers et des entreprises, les informations ainsi collectées doivent faire l'objet d'un transfert international à destination des Etats-Unis en application de l'accord. Le destinataire de ces données est l'Internal Revenue Service (IRS).
La commission a été saisie le 26 juin 2015 par la DGFiP d'une demande préalable d'autorisation pour ce transfert sur le fondement des dispositions du 2° de l'article 69 de la loi du 6 janvier 1978 modifiée qui permet aux responsables de traitements d'invoquer la sauvegarde de l'intérêt public pour transférer des données à caractère personnel vers un pays ne disposant pas d'un niveau de protection suffisant au sens de l'article 68.
Il appartient à la commission de se prononcer sur cette demande d'autorisation.
Sur le fondement légal du traitement et l'intérêt public attachés aux transferts de données de la DGFiP vers son homologue américain :
Il n'est pas contesté que le motif tiré de la sauvegarde de l'intérêt public puisse être reconnu s'agissant du transfert envisagé par la DGFiP.
Toutefois, de manière générale, s'agissant du transfert de données hors de l'Union européenne, le groupe européen de l'article 29 (G29) et la commission considèrent que le champ d'application des exceptions de l'article 69 (alinéas 1 à 6) doit être limité à des cas ponctuels et exceptionnels.
Tant le G29 que la commission recommandent, en particulier, que les transferts répétitifs, massifs ou structurels de données personnelles, ou ceux dont l'importance ou la régularité le justifie, fassent l'objet d'un encadrement juridique spécifique et ne reposent donc pas sur les dérogations prévues par la loi.
Le G29 s'est par ailleurs spécifiquement prononcé sur les échanges automatiques de données entre Etats à des fins fiscales dans une déclaration du 4 février 2015. Par cette déclaration, il entendait attirer l'attention des Etats sur la nécessité d'adopter, à l'occasion des accords internationaux de type EAI, des mécanismes réels et adéquats de sauvegarde des droits et libertés fondamentaux des personnes et d'assurer un niveau de protection des données adapté. Cette déclaration visait spécifiquement les transferts.
La commission constate que le transfert pour lequel elle est saisie d'une demande d'autorisation présente un caractère répétitif, massif et structurel en ce sens que les parties à l'accord entendent annualiser les échanges d'informations en utilisant des moyens de traitement dédiés. Elle constate également que le traitement concerne une population importante et ne peut en aucun cas être regardé comme un échange ponctuel.
Au regard de ces éléments, la commission considère que le transfert envisagé ne peut être réalisé sur le fondement de l'article 69 (2°) de la loi du 6 janvier 1978 modifiée. Il lui appartient en revanche de vérifier si les conditions exigées par le pénultième alinéa de l'article 69 sont réunies et si, conformément à celui-ci, elle peut considérer le niveau de protection suffisant et, dès lors, donner son autorisation au transfert.
Le caractère suffisant du niveau de protection s'apprécie en fonction notamment des dispositions en vigueur, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées.
Sur les garanties apportées au traitement :
La commission constate que l'accord vise l'article 27 de la convention qui fixe les conditions d'échanges réciproques de renseignements et fixe les conditions de confidentialité et garanties. L'article 3-7 du même accord prévoit que tous les renseignements échangés sont soumis aux obligations de confidentialité et autres protections prévues par la convention, y compris aux dispositions qui limitent l'utilisation des renseignements échangés.
La commission relève que la convention prévoit que les renseignements reçus par un Etat contractant sont tenus secrets de la même manière que les renseignements obtenus en application de la législation interne de cet Etat et ne sont communiqués qu'aux personnes ou autorités (y compris les tribunaux et organes administratifs) concernées par l'établissement ou le recouvrement ou l'administration des impôts, par les procédures ou poursuites concernant ces impôts, par les décisions sur les recours relatifs à ces impôts, ou par le contrôle de ce qui précède.
Ces personnes ou autorités n'utilisent ces renseignements qu'à ces fins. Eles peuvent révéler ces renseignements au cours d'audiences publiques de tribunaux ou dans des jugements.
Elle constate que les parties à l'accord disposent spécifiquement de législations et de mesures organisationnelles destinées à garantir la confidentialité des données et à limiter l'utilisation des données aux finalités prévues à l'accord.
De la même manière, la commission constate que la finalité des traitements opérés sur les données est précise et limitée à la vérification par les administrations fiscales du respect des obligations fiscales des personnes vis-à-vis du pays bénéficiaire de l'impôt.
La commission relève que les données échangées ne pourront pas être utilisées à d'autres fins que fiscales en ce sens que la convention prévoit que les renseignements obtenus ne sont transmis qu'aux personnes concernées par l'établissement ou le recouvrement ou l'administration des impôts, par les procédures ou poursuites concernant ces impôts, par les décisions sur les recours relatifs à ces impôts.
La commission considère que les termes de la convention et les éléments relatifs aux législations nationales applicables garantissent que les données transmises ne peuvent être utilisées pour des finalités différentes de celles qui sont l'objet de la convention.
S'agissant des données transférées par les administrations :
Pour les données transmises à l'IRS, les données sont relatives à :

- l'identification du déclarant, du mandataire et le cas échéant de l'intermédiaire ;
- la désignation du bénéficiaire pour les personnes physiques américaines ;
- la désignation du bénéficiaire pour les entités américaines ;
- la désignation du bénéficiaire pour les entités américaines détenues par une « personne américaine déterminée » ;
- la situation économique et financière du titulaire du compte.

Pour les données reçues de l'administration fiscale américaine, elles sont relatives à :

- l'identité du titulaire du compte, bénéficiaire du revenu ou détenteur du bien ;
- la situation économique et financière.

La commission note que celles-ci sont conformes aux termes de l'accord et qu'elles sont collectées par les institutions financières en application de l'article 1649 AC du code général des impôts, après qu'une information conforme à l'article 32 de la loi du 6 janvier 1978 modifiée a été délivrée aux personnes concernées. Les personnes peuvent exercer les droits qui leurs sont reconnus par le chapitre V, section 2, de la loi du 6 janvier 1978 modifiée tant auprès de l'organisme financier que de l'administration fiscale.
La commission prend note du fait que la mise en œuvre de l'échange d'information s'effectue de façon à respecter la confidentialité et l'intégrité des données transmises.
Les données sont échangées via des canaux de communication chiffrés entre des serveurs mutuellement authentifiés par certificat.
Les données sont transmises sous forme de fichier chiffré au moyen d'un algorithme considéré comme sûr et utilisant des clés de taille suffisante.
Les mécanismes mis en œuvre permettent de signer le fichier ainsi envoyé et d'en assurer l'intégrité.
La commission retient également le fait qu'une gestion des habilitations permet de limiter l'accès à ces environnements d'échange aux seules personnes dûment habilitées et qu'un niveau de traçabilité suffisant est mis en œuvre.
Ces mesures sont par ailleurs confortées par les échanges de documents réalisés entre l'IRS et la DGFiP, destinés à documenter les obligations et responsabilités en matière de sécurité et de contrôle de l'accès aux informations détenues par les administrations fiscales.
Les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
Dans ces conditions, la commission estime que le traitement de transfert fait l'objet de garanties suffisantes au regard des exigences posées par l'article 69, pénultième alinéa.
Elle autorise, conformément à la présente délibération, le ministre des finances et des comptes publics à mettre en œuvre le transfert susmentionné.