L’application du RGPD aux autorités fiscales
CJUE, Arrêt du 24 février 2022 « SS » SIA / Valsts ieņēmumu dienests, C‑175/20
Si l’on veut vendre sa voiture d’occasion en Lettonie, il est possible de passer par les services d’une entreprise qui tient un site web permettant de publier des annonces en ligne. Il faut alors fournir des informations telles que son nom, numéro de téléphone, la marque et le modèle du véhicule, le numéro de châssis et le prix.
Alors que l’administration fiscale lettonne avait dans un premier temps accès à ces données, l’entreprise a supprimé cet accès puis refusé de répondre favorablement à la demande de communication non limitée dans le temps visant à obtenir ces informations. La société a motivé son refus en arguant que la demande ne respectait pas les principes de proportionnalité et de finalité (art. 5 par. 1 let. b et c RGPD). Après une réclamation et un recours n’ayant pas abouti, les autorités estimant que le RGPD n’est pas applicable à l’administration fiscale lettonne, la société fait appel. L’instance d’appel pose des questions préjudicielles à la Cour de justice de l’Union européenne (CJUE) sur l’interprétation du RGPD.
Questions préjudicielles
Les questions posées à la CJUE consistent à déterminer si l’administration fiscale d’un État membre est soumise au RGPD et, si tel est le cas, si elle peut se prévaloir de dérogations non prévues par son droit national permettant de ne pas respecter les principes généraux de protection des données. Il est encore demandé s’il y a, en l’espèce, des intérêts légitimes au traitement de données n’ayant pas été communiqués.
En l’espèce, la société traite notamment des numéros de châssis de véhicules. Ces numéros sont, à l’instar des plaques d’immatriculation, des données à caractère personnel. Le numéro de châssis, numéro VIN (Vehicule Identification Number) ou numéro de série est un identifiant unique à chaque véhicule, consistant en une suite de 17 caractères alphanumériques renseignant sur le type de véhicule en question. Il figure sur les cartes grises de chaque véhicule et peut être lié à l’identité des propriétaires successifs de chaque véhicule.
La CJUE poursuit l’analyse sur les exceptions au champ d’application du RGPD et en particulier celle de l’art. 2 par. 2 let. d RGPD qui exclut de son champ d’application matériel les traitements de données effectués « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. »
La CJUE rappelle sa jurisprudence selon laquelle les exceptions à l’application du RGPD doivent être interprétées de manière stricte (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, par. 84). La définition de « l’autorité compétente » est donnée par l’art. 3 par. 7 de la directive (UE) 2016/680, relative aux traitements de données par ces autorités à des fins pénales. La CJUE conclut qu’une administration fiscale n’est pas une « autorité compétente ».
Même s’il existe des infractions en matière fiscale, l’état de fait n’indique pas que ces données sont collectées à des fins de poursuite pénale. Il s’agissait de se voir communiquer et d’avoir accès aux données relatives à toutes les annonces publiées sur la plateforme de la société, sans que cela soit lié à une quelconque procédure pénale. Le seul fait que certaines de ces données auraient pu être utilisées dans le cadre de poursuites pénales liées à des infractions fiscales n’est pas suffisant pour se prévaloir de l’exception de l’art. 2 par. 2 let. d RGPD. Partant, le RGPD est pleinement applicable au traitement de données effectué par l’administration fiscale lettonne. Les principes de protection des données s’appliquent donc sans restriction.
Même en étant soumis au RGPD, il existe encore la possibilité de se prévaloir de l’art. 23 RGPD, qui prévoit que le droit national d’un État membre peut limiter l’application de certaines dispositions, dont l’art. 5 RGPD, sous certaines conditions. Ces limitations doivent respecter notamment l’essence des libertés et des droits fondamentaux et doivent être nécessaires et proportionnelles afin de garantir l’un des éléments listés. En particulier, des limitations peuvent être prévues pour garantir d’autres objectifs importants d’intérêt public de l’Union européenne ou d’un État membre, notamment un intérêt économique ou financier important, y compris dans les domaines budgétaire et fiscal (art. 23 par. 1 let. e RGPD).
En l’espèce, la Lettonie n’a pas adopté de base légale permettant de limiter la portée d’obligations du RGPD à charge du responsable du traitement. La CJUE relève que le considérant 41 du RGPD, donnant des précisions sur la notion de mesure législative, indique qu’elle ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée.
Cependant, la CJUE rappelle que la Charte des droits fondamentaux de l’Union européenne (Charte) exige que les limitations aux droits fondamentaux doivent être prévues dans une loi (art. 52 par. 1 Charte). Or la protection des données à caractère personnel est un droit fondamental (art. 8 Charte). Ainsi, la règle de principe est que les mesures législatives permettant de déroger à l’art. 5 RGPD doivent être claires et précises. De plus, elles doivent être prévisibles pour le justiciable, de manière à prévoir les circonstances et les conditions dans lesquelles la portée des obligations et des droits prévus à l’art. 5 RGPD peut être limitée.
En l’absence d’une quelconque mesure législative en droit letton, l’administration fiscale ne pouvait donc pas se prévaloir d’une limitation aux obligations à sa charge en vertu de l’art. 5 RGPD. Les principes de protection des données doivent être respectés lors du traitement.
Reste enfin la question de savoir si la demande de communication de données portant sur une période indéterminée et sans indication de la finalité est licite. La CJUE considère que le traitement est licite, car une disposition de droit national prévoit la communication à l’autorité fiscale et parce que les finalités du traitement sont nécessaires à l’exécution de la mission d’intérêt public que sont la perception de l’impôt et la lutte contre la fraude dont est investie l’autorité fiscale (art. 6 par. 2 let. e et par. 3 RGPD).
La CJUE insiste toutefois sur les qualités que doit revêtir la réglementation interne prévoyant la communication de données : elle « doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles un prestataire de services en ligne est tenu de transmettre des données à caractère personnel relatives à ses utilisateurs. »
S’agissant du fait que la demande n’a pas de limite temporelle, la CJUE rappelle que la durée de la collecte ne doit pas dépasser celle qui est strictement nécessaire pour atteindre le but visé (art. 5 par. 1 let. e RGPD). Elle ajoute que ce n’est pas parce que la demande n’a pas de limite temporelle que cela implique automatiquement un dépassement de la durée nécessaire. C’est au responsable du traitement d’apporter la preuve que la durée de la collecte est nécessaire. Pour le surplus, elle laisse la juridiction lettonne trancher la question sur le fond.
Proposition de citation : Alexandre Barbey, L’application du RGPD aux autorités fiscales, 28 avril 2022 in www.swissprivacy.law/140
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.