Arrêt n°141/23-II-CIV du 6 décembre 2023 de la Cour supé­rieure de Justice du Luxembourg.

Une personne est titu­laire de comptes bancaires auprès de la succur­sale luxem­bour­geoise d’une banque suisse. Il est égale­ment ayant droit écono­mique d’une société qui dispose de deux comptes bancaires auprès de cette succur­sale. Une autre société, dont l’ex-épouse et le fils du client sont ayants droit écono­miques, détient égale­ment un compte auprès de cette succursale.

La banque suisse fait l’objet d’une procé­dure pénale aux États-Unis pour compli­cité de fraude fiscale. Pour cette raison, elle informe son client qu’elle est contrainte de remettre au Department of Justice (DoJ) des infor­ma­tions concer­nant son compte et ceux des deux sociétés.

Le client saisit le tribu­nal luxem­bour­geois compé­tent afin qu’il soit fait inter­dic­tion à la banque suisse de trans­fé­rer au DoJ les données de son compte et de ceux de ses socié­tés en appli­ca­tion du RGPD. Le tribu­nal admet inté­gra­le­ment la demande pour le compte person­nel, mais unique­ment concer­nant sa qualité d’ayant droit écono­mique pour les comptes des socié­tés. En effet, les données bancaires de personnes morales ne béné­fi­cie­raient d’aucune protec­tion selon le RGPD.

Le client attaque la déci­sion devant la Cour supé­rieure de justice (la juri­dic­tion suprême luxem­bour­geoise). Il soutient en parti­cu­lier que le RGPD protège toutes les infor­ma­tions rela­tives aux comptes des socié­tés. La banque rétorque que l’ayant droit écono­mique ne béné­fi­cie d’aucun droit vis-à-vis des comptes ouverts par des socié­tés, puisque le RGPD ne protège que les personnes physiques, et non les personnes morales.

Avant d’examiner la ques­tion de la protec­tion des données des personnes morales, la Cour rappelle que l’art. 4 par. 1 RGPD défi­nit les données person­nelles comme toute infor­ma­tion se rappor­tant à une personne physique iden­ti­fiée ou iden­ti­fiable. Cette notion s’interprète large­ment (cf. CJUE, C‑582/​14) et comprend égale­ment les données pseu­do­ny­mi­sées (cf. consid. 26 RGPD).

En l’espèce, la banque suisse a l’intention de trans­mettre au DoJ des données simi­laires à celles résul­tant des listes II.D.2 établies par le DoJ dans le cadre du Swiss Banks Program. La banque admet qu’il s’agit de données pseu­do­ny­mi­sées qui permettent in fine l’identification de la personne dans le cadre d’une demande d’entraide judi­ciaire. Ce sont donc des données person­nelles proté­gées par le RGPD.

Concernant la protec­tion des données des personnes morales, la Cour rappelle qu’elles ne sont pas proté­gées par le RGPD. Cela étant, les données rela­tives à une personne morale peuvent consti­tuer des données person­nelles d’une personne physique. Il suffit que ces données permettent d’identifier direc­te­ment ou indi­rec­te­ment la personne physique pour qu’elles soient consi­dé­rées comme des données personnelles.

En l’espèce, le client est ayant droit écono­mique de la première société, laquelle est titu­laire de comptes auprès de la banque. Les infor­ma­tions rela­tives à ces comptes sont suscep­tibles d’identifier l’ayant droit écono­mique. Elles consti­tuent donc des données person­nelles de l’ayant droit écono­mique. Il en va de même pour les données de la société dont le fils et l’ex-épouse sont ayants droit écono­miques. En effet, l’identification de ces deux personnes comme ayant droit écono­mique permet d’identifier le client.

Partant, la Cour inter­dit à la banque suisse de trans­fé­rer les données bancaires au DoJ, y compris toutes les données rela­tives aux comptes bancaires des socié­tés. Contrairement à l’instance précé­dente, la Cour n’opère aucune distinc­tion entre le compte person­nel, ceux de la société dont le client est ayant droit écono­mique et celui de la société dont son fils et son ex-épouse sont ayants droit économiques.

Dans un arrêt rendu en 2018, le Tribunal fédé­ral avait égale­ment examiné la problé­ma­tique du trans­fert au DoJ de données bancaires pseu­do­ny­mi­sées. Il avait aussi retenu que les données conte­nues dans la liste II.D.2 consti­tuent des données pseu­do­ny­mi­sées proté­gées par la LPD (cf. Hirsch Célian/Jacot-Guillarmod Emilie. Les données bancaires pseu­do­ny­mi­sées : du secret bancaire à la protec­tion des données, RSDA 2020, p. 151–167).

L’arrêt luxem­bour­geois nous semble impor­tant concer­nant la protec­tion des données des personnes morales. En effet, la LPD et le RGPD ne protègent les données que des personnes physiques (contrai­re­ment à l’aLPD qui proté­geait aussi les données des personnes morales). Cela étant, les données de socié­tés concernent égale­ment des personnes physiques, en parti­cu­lier l’ayant droit écono­mique. Selon l’arrêt commenté ici, l’ayant droit écono­mique peut ainsi invo­quer le RGPD (ou la LPD) afin de proté­ger les données de la personne morale. En effet, les données de la société le concernent lorsqu’il est identifiable.

Une telle protec­tion des données de personnes morales se justi­fie en l’espèce. En effet, le but du trans­fert des données bancaires au DoJ est d’identifier la personne physique, et non unique­ment les socié­tés titu­laires du compte. Il était donc in casu conforme au but de la protec­tion des données d’appliquer le RGPD pour bloquer le trans­fert d’informations rela­tives à des comptes bancaires appar­te­nant à des socié­tés. Cela étant, une telle protec­tion n’est pas forcé­ment géné­ra­li­sable. En premier lieu, l’ayant droit écono­mique n’est pas toujours iden­ti­fiable par le desti­na­taire des données, selon les données trans­mises (les registres des ayants droit écono­miques ne sont plus publics, cf. Hirsch, cdbf​.ch/​1​2​59/). L’ayant droit écono­mique ne pour­rait donc pas invo­quer la protec­tion des données. En second lieu, l’ayant droit écono­mique qui invo­que­rait la LPD en faveur de la société pour­rait commettre un abus de droit (art. 2 al. 2 CC) s’il ne vise pas in fine la protec­tion de ses données, même si les infor­ma­tions rela­tives à la société peuvent consti­tuer des données personnelles.