Les données personnelles sont souvent des outils utiles dans les enquêtes menées par les autorités fiscales. Par conséquent, les entreprises sont régulièrement invitées à fournir des données personnelles, telles que des données sur les clients, les fournisseurs, les personnes de contact ou les employés. Dans un arrêt du 24 février 2022 (C-175/20), la Cour de justice (« CJUE ») a clairement indiqué que les entreprises qui fournissent de telles données aux autorités fiscales sans enquête approfondie risquent de violer leurs propres obligations découlant du « Règlement Général sur la Protection des Données » (« RGPD »).
Contexte
Dans cette affaire, l'autorité fiscale lettone demande à un fournisseur de services de publicité sur Internet de fournir des informations sur les annonces de vente de véhicules sur son site web. La demande concerne les données personnelles liées aux véhicules faisant l’objet de publicités et à leurs vendeurs. Les données personnelles sont toutes les données qui identifient ou rendent identifiable une personne physique. L'autorité fiscale demande à la société de lui accorder un accès aux données illimité dans le temps ou – si cela n'est pas possible – de lui envoyer les données sur une base mensuelle. La demande a également une portée illimitée en ce qui concerne la quantité d'informations, de données à caractère personnel ou de personnes concernées que l'autorité fiscale demande. Le fournisseur de publicité est d'avis que la demande de l'autorité fiscale n'est pas conforme au RGPD, plus précisément aux principes de proportionnalité et de minimisation des données, et l'affaire atterrit finalement devant la CJUE.
Décision de la Cour de Justice
Champ d’application. Une demande d'informations d'une autorité fiscale à une entreprise relève du champ d'application du RGPD. L'autorité fiscale et l'entreprise qui reçoivent la demande sont toutes deux responsables du traitement et doivent toutes deux respecter le RGPD, y compris les principes généraux relatifs au traitement des données personnelles (art. 5 RGPD).
Pas de dérogation sans loi. Une autorité fiscale ne peut pas déroger aux principes relatifs au traitement des données personnelles (art. 5 RGPD), comme le principe de minimisation des données, si cette dérogation n'est pas prévue de manière claire, précise et prévisible dans le droit national. En effet, les exceptions au droit à la protection des données doivent toujours avoir une base explicite en droit national (art. 23 RGPD) sans toutefois que ce soit forcément une loi adoptée par le Parlement.
Les contours d'une demande valide. La question de savoir si une autorité fiscale peut, comme dans le cas présent, obliger une entreprise à fournir un grand nombre de données à caractère personnel pendant une période de temps indéfinie est une question qui relève du juge national. Dans sa décision, la CJUE énonce les lignes directrices d'une demande d'informations valable :
- L'administration fiscale doit toujours informer l'entreprise dans sa demande des finalités du traitement qu'elle entend mettre en œuvre. La perception de l'impôt et la lutte contre la fraude fiscale sont considérées comme des tâches d'intérêt public au sens de l'article 6.1.e RGPD. Si la transmission de données à caractère personnel n'est pas directement fondée sur une disposition légale (c’est-à-dire une disposition claire et précise exigeant la transmission automatique et obligatoire de certaines données à caractère personnel ; l’on peut par exemple penser à l’article 321quater CIR92 concernant les opérateurs de plateforme collaborative numérique), mais résulte d'une demande de l'autorité fiscale (fondée sur une disposition plus générale, telle que, par exemple, l'article 316 ou 322 CIR92), cette demande doit préciser les finalités spécifiques de la collecte de données au regard de la mission d'intérêt public. De cette manière, l'entreprise est en mesure de vérifier que le transfert des données à caractère personnel est légal, et les instances nationales peuvent contrôler la légalité du transfert et de l'utilisation des données. La pratique nous apprend que les autorités fiscales belges sont souvent défaillantes sur ce plan lorsqu'elles envoient des demandes de renseignements à des tiers.
- En outre, les données personnelles demandées par l'autorité fiscale doivent toujours être adéquates, pertinentes et limitées à ce qui est nécessaire (principe de minimisation des données – article 5.1.c RGPD). Par conséquent, l'autorité fiscale ne peut se contenter de demander des données à caractère personnel de manière générale et indifférenciée si les données ne sont pas nécessaires aux fins pour lesquelles elles sont traitées. La CJUE estime qu'il appartient à la juridiction de renvoi de vérifier si toutes les données que l'administration fiscale souhaite collecter sont nécessaires à la réalisation de la finalité du traitement.
- Dans ce cadre, la CJUE a de nouveau souligné qu'il appartient au responsable du traitement de démontrer le respect des principes du RGPD (responsabilité – article 5.2 RGPD). L'autorité fiscale doit être en mesure de démontrer que tant (i) la quantité de données à caractère personnel, que (ii) la période à laquelle la collecte de données à caractère personnel se rapporte sont limitées autant que possible à ce qui est strictement nécessaire pour atteindre l'objectif d'intérêt public visé.
Selon la CJUE, la charge de la preuve du respect de ces principes incombe au responsable du traitement (in casu, l'autorité fiscale qui envoie la demande à l'entreprise).
Les enseignements tirés
L'arrêt nous apprend qu'il est aussi crucial pour les entreprises d’appréhender de manière critique les demandes d'informations des autorités (fiscales) et de ne pas y accéder sans mener leur propre enquête. Selon nous, l'arrêt de la CJUE enseigne qu’il repose sur le destinataire de la demande d'informations l'obligation d'enquêter sur le bien-fondé de celle-ci et de vérifier s'il est (légalement) en mesure d'y répondre. Tout transfert de données personnelles en réponse à une demande d'une autorité fiscale constitue un traitement de données personnelles. Répondre à une demande illégale pourrait donc avoir comme conséquence d’engager la responsabilité de l'entreprise.
Votre entreprise doit donc toujours se demander si répondre à une demande d'une autorité fiscale en fournissant des données personnelles peut être réalisé conformément au RGPD.
Nous sommes bien entendu disposés à mettre notre expertise à votre service lors d’une telle analyse.