Quelles sont les obligations d’un responsable de traitement à l’égard d’un de ses clients lorsqu’il transfère à tort les données à caractère personnel le concernant à une autorité américaine ? A cette question, la Cour d’appel de Grenoble vient de confirmer dans un arrêt du 12 mars 2019 que le client peut obtenir que le responsable du traitement, en l’espèce une banque, mette en œuvre toutes les diligences nécessaires afin que les autorités américaines suppriment l’intégralité des données.
Rappelons que depuis l’entrée en application du Règlement général sur la protection des données (ou RGPD), les droits des personnes concernées ont été étendus et renforcés. Les entités responsables du traitement ou sous-traitants doivent donc s’adapter en conséquence.
Mathias Avocats revient sur cette affaire.
Quels sont les faits ?
En l’espèce, l’affaire concerne l’un des clients de la Banque Rhône Alpes, de nationalité française et canadienne et né à Ottawa (Canada).
A la suite de l’entrée en application du Foreign Account Tax Compliance Act (ou FATCA) en novembre 2014, la Banque a prévenu son client par courrier du 16 décembre 2014 que le FATCA lui était applicable. En effet, la banque a cru, à tort, qu’il était né dans l’une des villes nommées Ottawa se trouvant aux Etats-Unis.
La banque indiquait qu’elle procèderait à la déclaration de son compte aux Etats-Unis, à moins que le client ne le conteste avant le 30 juin 2016. Ce dernier a affirmé avoir contesté par téléphone être né aux Etats-Unis dans le délai prévu.
Toutefois, la Banque Rhône Alpes a procédé à la déclaration de son compte aux autorités fiscales des Etats-Unis. Le client, ayant appris cette situation en novembre 2017, a sollicité une rectification. En février 2018, après que le client a justifié être effectivement né au Canada, la banque a accepté de ne pas procéder à une déclaration pour l’année 2017. Toutefois, le client a demandé à la banque que les déclarations relatives aux années antérieures soient également rectifiées, ce que cette dernière a refusé.
Par acte du 15 mars 2018, le client a assigné la banque devant le Juge des référés du Tribunal de Grande Instance (TGI) de Grenoble, « aux fins d’effacement total de toutes les informations personnelles le concernant dans le cadre du FATCA ».
Par une ordonnance du 4 juillet 2018, le TGI de Grenoble a fait droit aux demandes de Monsieur X. La banque a toutefois relevé appel de cette décision le 23 juillet 2018.
Quelles sont les réglementations applicables ?
Rappelons que le FATCA est entré en application en novembre 2014. Pour qu’il soit effectif, la France et les Etats-Unis ont conclu un accord spécifique. Cet accord impose notamment aux établissements bancaires français de déclarer à la Direction Générale des Finances Publiques (DGFiP) tout client considéré comme contribuable américain, à charge pour celle-ci de transférer les informations aux autorités fiscales des Etats-Unis. Les informations échangées comprennent notamment le numéro de compte, le nom de la personne, le solde ou les valeurs portées sur le compte, etc.
Soulignons que certains renseignements financiers demandés sous l’accord FATCA constituent des données à caractère personnel car elles permettent d’identifier directement ou indirectement une personne physique (article 4, 1° du RGPD).
A ce titre, dans une délibération n°2015-311 du 17 septembre 2015, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé l’échange de données à caractère personnel entre les Etats-Unis et la France dans le cadre de l’accord FATCA. L’autorisation encadre seulement le transfert de ces données par le ministère des finances publiques vers l’Internal Revenue Service (IRS).
Rappelons que depuis le 25 mai 2018, la règlementation applicable à la protection des données à caractère personnel est le RGPD, qui renforce et étend les droits des personnes concernées. Notamment, la personne concernée peut exercer son droit à l’effacement, ou « droit à l’oubli », qui lui permet d’obtenir du responsable du traitement l’effacement des données à caractère personnel la concernant (article 17 du RGPD).
Quelle est la décision de la Cour d’appel ?
Dans son ordonnance du 4 juillet 2018, le TGI de Grenoble faisait droit à la plupart des demandes formulées par le client de la banque. La Cour d’appel de Grenoble confirme l’ordonnance du TGI dans toutes ses dispositions.
La cour d’appel écarte ainsi les arguments de la banque, estimant qu’il est « incontestable » que le client n’aurait pas dû faire l’objet d’une déclaration. Le juge indique que la banque avait l’obligation vis-à-vis de son client de ne faire aucune déclaration tant qu’elle n’avait pas acquis la certitude que celui-ci était né aux Etats-Unis.
De ce fait, le transfert des données auquel la banque a procédé par l’intermédiaire de la DGFiP était sans fondement.
La cour ajoute que la banque ne peut se limiter à rectifier son erreur pour le futur en ne procédant plus à des déclarations. Elle doit également procéder à l’effacement pour les années antérieures. Sur ce point, le juge affirme que le client dispose « d’un droit fondamental à ce que toutes les données le concernant soient définitivement effacées du fichier FATCA ».
La banque doit donc procéder à « l’effacement total de toutes les informations personnelles [du client] du traitement qu’elle opère en France dans le cadre de FATCA antérieurement à 2017 ». Elle doit également justifier de cet effacement auprès du client. En dernier lieu, elle doit « faire toutes diligences, à ses frais, auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total de ses déclarations FATCA impliquant à tort [le client] ».
Que retenir ?
Cette décision appelle deux remarques :
- Le juge n’ordonne pas l’effacement des données se trouvant dans les fichiers détenus par la DGFiP, qui fait pourtant office d’intermédiaire dans les déclarations aux autorités fiscales américaines ;
- Il n’est pas certain que les autorités américaines détenant le fichier FACTA acceptent de faire droit à la demande d’effacement si elles n’y sont pas contraintes par le droit américain.
Enfin, cette décision permet de rappeler l’importance du respect des droits des personnes concernées ainsi que la nécessité d’une vigilance accrue lors d’un transfert de données à caractère personnel.
Mathias Avocats demeure à votre disposition pour toute question portant sur la protection des données à caractère personnel.