CJUE, Arrêt du 24 février 2022 « SS » SIA /​ Valsts ieņē­mumu dienests, C‑175/​20

Si l’on veut vendre sa voiture d’occasion en Lettonie, il est possible de passer par les services d’une entre­prise qui tient un site web permet­tant de publier des annonces en ligne. Il faut alors four­nir des infor­ma­tions telles que son nom, numéro de télé­phone, la marque et le modèle du véhi­cule, le numéro de châs­sis et le prix.

Alors que l’administration fiscale lettonne avait dans un premier temps accès à ces données, l’entreprise a supprimé cet accès puis refusé de répondre favo­ra­ble­ment à la demande de commu­ni­ca­tion non limi­tée dans le temps visant à obte­nir ces infor­ma­tions. La société a motivé son refus en arguant que la demande ne respec­tait pas les prin­cipes de propor­tion­na­lité et de fina­lité (art. 5 par. 1 let. b et c RGPD). Après une récla­ma­tion et un recours n’ayant pas abouti, les auto­ri­tés esti­mant que le RGPD n’est pas appli­cable à l’administration fiscale lettonne, la société fait appel. L’instance d’appel pose des ques­tions préju­di­cielles à la Cour de justice de l’Union euro­péenne (CJUE) sur l’interprétation du RGPD.

Questions préju­di­cielles

Les ques­tions posées à la CJUE consistent à déter­mi­ner si l’administration fiscale d’un État membre est soumise au RGPD et, si tel est le cas, si elle peut se préva­loir de déro­ga­tions non prévues par son droit natio­nal permet­tant de ne pas respec­ter les prin­cipes géné­raux de protec­tion des données. Il est encore demandé s’il y a, en l’espèce, des inté­rêts légi­times au trai­te­ment de données n’ayant pas été communiqués.

En l’espèce, la société traite notam­ment des numé­ros de châs­sis de véhi­cules. Ces numé­ros sont, à l’instar des plaques d’immatriculation, des données à carac­tère person­nel. Le numéro de châs­sis, numéro VIN (Vehicule Identification Number) ou numéro de série est un iden­ti­fiant unique à chaque véhi­cule, consis­tant en une suite de 17 carac­tères alpha­nu­mé­riques rensei­gnant sur le type de véhi­cule en ques­tion. Il figure sur les cartes grises de chaque véhi­cule et peut être lié à l’identité des proprié­taires succes­sifs de chaque véhicule.

La CJUE pour­suit l’analyse sur les excep­tions au champ d’application du RGPD et en parti­cu­lier celle de l’art. 2 par. 2 let. d RGPD qui exclut de son champ d’application maté­riel les trai­te­ments de données effec­tués « par les auto­ri­tés compé­tentes à des fins de préven­tion et de détec­tion des infrac­tions pénales, d’enquêtes et de pour­suites en la matière ou d’exécution de sanc­tions pénales. »

La CJUE rappelle sa juris­pru­dence selon laquelle les excep­tions à l’application du RGPD doivent être inter­pré­tées de manière stricte (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/​18, par. 84). La défi­ni­tion de « l’autorité compé­tente » est donnée par l’art. 3 par. 7 de la direc­tive (UE) 2016/​680, rela­tive aux trai­te­ments de données par ces auto­ri­tés à des fins pénales. La CJUE conclut qu’une admi­nis­tra­tion fiscale n’est pas une « auto­rité compétente ».

Même s’il existe des infrac­tions en matière fiscale, l’état de fait n’indique pas que ces données sont collec­tées à des fins de pour­suite pénale. Il s’agissait de se voir commu­ni­quer et d’avoir accès aux données rela­tives à toutes les annonces publiées sur la plate­forme de la société, sans que cela soit lié à une quel­conque procé­dure pénale. Le seul fait que certaines de ces données auraient pu être utili­sées dans le cadre de pour­suites pénales liées à des infrac­tions fiscales n’est pas suffi­sant pour se préva­loir de l’exception de l’art. 2 par. 2 let. d RGPD. Partant, le RGPD est plei­ne­ment appli­cable au trai­te­ment de données effec­tué par l’administration fiscale lettonne. Les prin­cipes de protec­tion des données s’appliquent donc sans restriction.

Même en étant soumis au RGPD, il existe encore la possi­bi­lité de se préva­loir de l’art. 23 RGPD, qui prévoit que le droit natio­nal d’un État membre peut limi­ter l’application de certaines dispo­si­tions, dont l’art. 5 RGPD, sous certaines condi­tions. Ces limi­ta­tions doivent respec­ter notam­ment l’essence des liber­tés et des droits fonda­men­taux et doivent être néces­saires et propor­tion­nelles afin de garan­tir l’un des éléments listés. En parti­cu­lier, des limi­ta­tions peuvent être prévues pour garan­tir d’autres objec­tifs impor­tants d’intérêt public de l’Union euro­péenne ou d’un État membre, notam­ment un inté­rêt écono­mique ou finan­cier impor­tant, y compris dans les domaines budgé­taire et fiscal (art. 23 par. 1 let. e RGPD).

En l’espèce, la Lettonie n’a pas adopté de base légale permet­tant de limi­ter la portée d’obligations du RGPD à charge du respon­sable du trai­te­ment. La CJUE relève que le consi­dé­rant 41 du RGPD, donnant des préci­sions sur la notion de mesure légis­la­tive, indique qu’elle ne signi­fie pas néces­sai­re­ment que l’adoption d’un acte légis­la­tif par un parle­ment est exigée.

Cependant, la CJUE rappelle que la Charte des droits fonda­men­taux de l’Union euro­péenne (Charte) exige que les limi­ta­tions aux droits fonda­men­taux doivent être prévues dans une loi (art. 52 par. 1 Charte). Or la protec­tion des données à carac­tère person­nel est un droit fonda­men­tal (art. 8 Charte). Ainsi, la règle de prin­cipe est que les mesures légis­la­tives permet­tant de déro­ger à l’art. 5 RGPD doivent être claires et précises. De plus, elles doivent être prévi­sibles pour le justi­ciable, de manière à prévoir les circons­tances et les condi­tions dans lesquelles la portée des obli­ga­tions et des droits prévus à l’art. 5 RGPD peut être limitée.

En l’absence d’une quel­conque mesure légis­la­tive en droit letton, l’administration fiscale ne pouvait donc pas se préva­loir d’une limi­ta­tion aux obli­ga­tions à sa charge en vertu de l’art. 5 RGPD. Les prin­cipes de protec­tion des données doivent être respec­tés lors du traitement.

Reste enfin la ques­tion de savoir si la demande de commu­ni­ca­tion de données portant sur une période indé­ter­mi­née et sans indi­ca­tion de la fina­lité est licite. La CJUE consi­dère que le trai­te­ment est licite, car une dispo­si­tion de droit natio­nal prévoit la commu­ni­ca­tion à l’autorité fiscale et parce que les fina­li­tés du trai­te­ment sont néces­saires à l’exécution de la mission d’intérêt public que sont la percep­tion de l’impôt et la lutte contre la fraude dont est inves­tie l’autorité fiscale (art. 6 par. 2 let. e et par. 3 RGPD).

La CJUE insiste toute­fois sur les quali­tés que doit revê­tir la régle­men­ta­tion interne prévoyant la commu­ni­ca­tion de données : elle « doit se fonder sur des critères objec­tifs pour défi­nir les circons­tances et les condi­tions dans lesquelles un pres­ta­taire de services en ligne est tenu de trans­mettre des données à carac­tère person­nel rela­tives à ses utilisateurs. »

S’agissant du fait que la demande n’a pas de limite tempo­relle, la CJUE rappelle que la durée de la collecte ne doit pas dépas­ser celle qui est stric­te­ment néces­saire pour atteindre le but visé (art. 5 par. 1 let. e RGPD). Elle ajoute que ce n’est pas parce que la demande n’a pas de limite tempo­relle que cela implique auto­ma­ti­que­ment un dépas­se­ment de la durée néces­saire. C’est au respon­sable du trai­te­ment d’apporter la preuve que la durée de la collecte est néces­saire. Pour le surplus, elle laisse la juri­dic­tion lettonne tran­cher la ques­tion sur le fond.