swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

L’application du RGPD aux autorités fiscales

Alexandre Barbey, le 28 avril 2022
L’autorité fiscale d’un État membre de l’Union euro­péenne est soumise au RGPD lorsqu’elle traite des données.

CJUE, Arrêt du 24 février 2022 « SS » SIA /​ Valsts ieņē­mumu dienests, C‑175/​20

Si l’on veut vendre sa voiture d’occasion en Lettonie, il est possible de passer par les services d’une entre­prise qui tient un site web permet­tant de publier des annonces en ligne. Il faut alors four­nir des infor­ma­tions telles que son nom, numéro de télé­phone, la marque et le modèle du véhi­cule, le numéro de châs­sis et le prix.

Alors que l’administration fiscale lettonne avait dans un premier temps accès à ces données, l’entreprise a supprimé cet accès puis refusé de répondre favo­ra­ble­ment à la demande de commu­ni­ca­tion non limi­tée dans le temps visant à obte­nir ces infor­ma­tions. La société a motivé son refus en arguant que la demande ne respec­tait pas les prin­cipes de propor­tion­na­lité et de fina­lité (art. 5 par. 1 let. b et c RGPD). Après une récla­ma­tion et un recours n’ayant pas abouti, les auto­ri­tés esti­mant que le RGPD n’est pas appli­cable à l’administration fiscale lettonne, la société fait appel. L’instance d’appel pose des ques­tions préju­di­cielles à la Cour de justice de l’Union euro­péenne (CJUE) sur l’interprétation du RGPD.

Questions préju­di­cielles

Les ques­tions posées à la CJUE consistent à déter­mi­ner si l’administration fiscale d’un État membre est soumise au RGPD et, si tel est le cas, si elle peut se préva­loir de déro­ga­tions non prévues par son droit natio­nal permet­tant de ne pas respec­ter les prin­cipes géné­raux de protec­tion des données. Il est encore demandé s’il y a, en l’espèce, des inté­rêts légi­times au trai­te­ment de données n’ayant pas été communiqués.

En l’espèce, la société traite notam­ment des numé­ros de châs­sis de véhi­cules. Ces numé­ros sont, à l’instar des plaques d’immatriculation, des données à carac­tère person­nel. Le numéro de châs­sis, numéro VIN (Vehicule Identification Number) ou numéro de série est un iden­ti­fiant unique à chaque véhi­cule, consis­tant en une suite de 17 carac­tères alpha­nu­mé­riques rensei­gnant sur le type de véhi­cule en ques­tion. Il figure sur les cartes grises de chaque véhi­cule et peut être lié à l’identité des proprié­taires succes­sifs de chaque véhicule.

La CJUE pour­suit l’analyse sur les excep­tions au champ d’application du RGPD et en parti­cu­lier celle de l’art. 2 par. 2 let. d RGPD qui exclut de son champ d’application maté­riel les trai­te­ments de données effec­tués « par les auto­ri­tés compé­tentes à des fins de préven­tion et de détec­tion des infrac­tions pénales, d’enquêtes et de pour­suites en la matière ou d’exécution de sanc­tions pénales. »

La CJUE rappelle sa juris­pru­dence selon laquelle les excep­tions à l’application du RGPD doivent être inter­pré­tées de manière stricte (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/​18, par. 84). La défi­ni­tion de « l’autorité compé­tente » est donnée par l’art. 3 par. 7 de la direc­tive (UE) 2016/​680, rela­tive aux trai­te­ments de données par ces auto­ri­tés à des fins pénales. La CJUE conclut qu’une admi­nis­tra­tion fiscale n’est pas une « auto­rité compétente ».

Même s’il existe des infrac­tions en matière fiscale, l’état de fait n’indique pas que ces données sont collec­tées à des fins de pour­suite pénale. Il s’agissait de se voir commu­ni­quer et d’avoir accès aux données rela­tives à toutes les annonces publiées sur la plate­forme de la société, sans que cela soit lié à une quel­conque procé­dure pénale. Le seul fait que certaines de ces données auraient pu être utili­sées dans le cadre de pour­suites pénales liées à des infrac­tions fiscales n’est pas suffi­sant pour se préva­loir de l’exception de l’art. 2 par. 2 let. d RGPD. Partant, le RGPD est plei­ne­ment appli­cable au trai­te­ment de données effec­tué par l’administration fiscale lettonne. Les prin­cipes de protec­tion des données s’appliquent donc sans restriction.

Même en étant soumis au RGPD, il existe encore la possi­bi­lité de se préva­loir de l’art. 23 RGPD, qui prévoit que le droit natio­nal d’un État membre peut limi­ter l’application de certaines dispo­si­tions, dont l’art. 5 RGPD, sous certaines condi­tions. Ces limi­ta­tions doivent respec­ter notam­ment l’essence des liber­tés et des droits fonda­men­taux et doivent être néces­saires et propor­tion­nelles afin de garan­tir l’un des éléments listés. En parti­cu­lier, des limi­ta­tions peuvent être prévues pour garan­tir d’autres objec­tifs impor­tants d’intérêt public de l’Union euro­péenne ou d’un État membre, notam­ment un inté­rêt écono­mique ou finan­cier impor­tant, y compris dans les domaines budgé­taire et fiscal (art. 23 par. 1 let. e RGPD).

En l’espèce, la Lettonie n’a pas adopté de base légale permet­tant de limi­ter la portée d’obligations du RGPD à charge du respon­sable du trai­te­ment. La CJUE relève que le consi­dé­rant 41 du RGPD, donnant des préci­sions sur la notion de mesure légis­la­tive, indique qu’elle ne signi­fie pas néces­sai­re­ment que l’adoption d’un acte légis­la­tif par un parle­ment est exigée.

Cependant, la CJUE rappelle que la Charte des droits fonda­men­taux de l’Union euro­péenne (Charte) exige que les limi­ta­tions aux droits fonda­men­taux doivent être prévues dans une loi (art. 52 par. 1 Charte). Or la protec­tion des données à carac­tère person­nel est un droit fonda­men­tal (art. 8 Charte). Ainsi, la règle de prin­cipe est que les mesures légis­la­tives permet­tant de déro­ger à l’art. 5 RGPD doivent être claires et précises. De plus, elles doivent être prévi­sibles pour le justi­ciable, de manière à prévoir les circons­tances et les condi­tions dans lesquelles la portée des obli­ga­tions et des droits prévus à l’art. 5 RGPD peut être limitée.

En l’absence d’une quel­conque mesure légis­la­tive en droit letton, l’administration fiscale ne pouvait donc pas se préva­loir d’une limi­ta­tion aux obli­ga­tions à sa charge en vertu de l’art. 5 RGPD. Les prin­cipes de protec­tion des données doivent être respec­tés lors du traitement.

Reste enfin la ques­tion de savoir si la demande de commu­ni­ca­tion de données portant sur une période indé­ter­mi­née et sans indi­ca­tion de la fina­lité est licite. La CJUE consi­dère que le trai­te­ment est licite, car une dispo­si­tion de droit natio­nal prévoit la commu­ni­ca­tion à l’autorité fiscale et parce que les fina­li­tés du trai­te­ment sont néces­saires à l’exécution de la mission d’intérêt public que sont la percep­tion de l’impôt et la lutte contre la fraude dont est inves­tie l’autorité fiscale (art. 6 par. 2 let. e et par. 3 RGPD).

La CJUE insiste toute­fois sur les quali­tés que doit revê­tir la régle­men­ta­tion interne prévoyant la commu­ni­ca­tion de données : elle « doit se fonder sur des critères objec­tifs pour défi­nir les circons­tances et les condi­tions dans lesquelles un pres­ta­taire de services en ligne est tenu de trans­mettre des données à carac­tère person­nel rela­tives à ses utilisateurs. »

S’agissant du fait que la demande n’a pas de limite tempo­relle, la CJUE rappelle que la durée de la collecte ne doit pas dépas­ser celle qui est stric­te­ment néces­saire pour atteindre le but visé (art. 5 par. 1 let. e RGPD). Elle ajoute que ce n’est pas parce que la demande n’a pas de limite tempo­relle que cela implique auto­ma­ti­que­ment un dépas­se­ment de la durée néces­saire. C’est au respon­sable du trai­te­ment d’apporter la preuve que la durée de la collecte est néces­saire. Pour le surplus, elle laisse la juri­dic­tion lettonne tran­cher la ques­tion sur le fond.



Proposition de citation : Alexandre Barbey, L’application du RGPD aux autorités fiscales, 28 avril 2022 in www.swissprivacy.law/140


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law