ECLI:BE:GBAPD:2025:DEC.20250424.4
Détails de la décision
🏛️ Autorité de protection des données
📅 2025-04-24
🌐 FR
Décision
Matière
burgerlijk_recht
Législation citée
Loi du 15 décembre 2016; Loi du 16 décembre 2015; Loi du 16 décembre 2016; Loi du 20 novembre 2022; Loi du 29 juillet 1991; Loi du 3 décembre 2017; Loi du 30 juillet 2018; Loi du 8 décembre 1992; article 13.2 de la Loi du 16 décembre 2015; article 14.1 de la Loi du 16 décembre 2015
Résumé
La Chambre Contentieuse de l'Autorité de protection des données décide, après délibération : - En vertu de l'article 58.2.b) du RGPD et de l'article 5° de la LCA, de formuler une réprimande à l'égard de la défenderesse ° En ce qui concerne la violation des articles 5.1.b) et 5.1.c), et 46.2.a) du...
Texte intégral
Chambre Contentieuse
Décision quant au fond 79/2025 du 24 avril 2025
Numéro de dossier : DOS-2021-00068
Objet : Plainte relative au transfert par le Service Public fédéral (SPF) Finances de données personnelles vers les autorités fiscales américaines (IRS) en exécution de l’accord « FATCA »
La Chambre Contentieuse de l'Autorité de protection des données, constituée de monsieur Yves Poullet, président, et de messieurs Christophe Boeraeve et Jelle Stassijns, membres, reprenant l’affaire en cette composition à la suite de l’arrêt de la Cour des marchés du 20 décembre 2023 (2023/AR/801)1;
Vu l’arrêt de la Cour des marchés du 20 décembre 2023 (2023/AR/801) ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données), ci-après « RGPD » ;
Vu la Loi du 3 décembre 2017 portant création de l'Autorité de protection des données (ci-après « LCA ») ;
Vu le règlement d'ordre intérieur (ci-après « RoI ») de l’Autorité de protection des données tel qu'approuvé par la Chambre des représentants le 20 décembre 2018 et publié au Moniteur belge le 15 janvier 20192 ;
Vu les pièces du dossier ;
A pris la décision suivante concernant :
Les plaignants : Monsieur X, Ci-après « le premier plaignant » ;
L’ASBL Accidental Americans Association of Belgium (AAAB), dont le siège social est établi clos Albert Crommelynck, 4 bte 7 à 1160 Bruxelles, Ci-après « la seconde plaignante » ;
Ci-après désignés ensemble comme « les plaignants » ;
Ayant tous deux pour conseils Maître Vincent Wellens et Maître Maxime Vanderstraeten, avocats, dont le cabinet est établi chaussée de la Hulpe, 120 à 1000 Bruxelles.
La défenderesse : Le Service Public fédéral Finances (SPF Finances) dont le siège est établi boulevard du Roi Albert II, 33 à 1030 Bruxelles, Ci-après « la défenderesse » ;
Ayant pour conseil Maître Jean-Marc Van Gyseghem, avocat, dont le cabinet est établi boulevard de Waterloo, 34 à 1000 Bruxelles.
Table des matières
I. Faits et rétroactes de la procédure ......................................................................................... 5
I.1. Les faits pertinents ................................................................................................................ 5
I.2. Rétroactes de la procédure ayant abouti à la décision annulée 61/2023 ......................... 11
I.2.1. Recevabilité de la plainte ......................................................................................................11
I.2.2. L’objet de la plainte ............................................................................................................. .12
I.2.3. L’enquête du Service d’Inspection (SI) ............................................................................... 13
I.2.4. L’enquête complémentaire du Service d’Inspection (SI) .................................................. 15
I.2.5. L’examen quant au fond par la Chambre Contentieuse .................................................... 16
I.2.6. L’audition des parties du 10 janvier 2023 ........................................................................... 19
I.3. La décision 61/2023 ................................................................................................................. 19
I.4. Le recours contre la décision 61/2023 devant la Cour des marchés ....................................20
I.5. Les arrêts de la Cour des marchés des 28 juin et 20 décembre 2023 .................................21
I.6. Rétroactes de la procédure de reprise aboutissant à la présente décision ..........................23
I.6.1. La décision du 20 mars 2024 sur la composition ................................................................. 23
I.6.2. La reprise de l’examen quant au fond .................................................................................... 24
I.6.3. L’invitation à l’audition et l’audition des parties ..................................................................... 27
II. Motivation ...................................................................................................................................... 29
II.1. Quant à la compétence de la Chambre Contentieuse de l’APD ............................................. 29
II.2. Quant à la composition de la Chambre Contentieuse ............................................................ 31
II.3. Quant à l’absence des institutions financières à la procédure .............................................. 36
II.4. Quant à la qualité de responsable de traitement de la défenderesse .................................. 40
II.5. Quant à l’article 96 du RGPD ..................................................................................................... 43
II.6. Quant aux griefs invoqués ................................................................. ....................................... 54
II.6.1. La défenderesse peut-elle s’appuyer sur l’article 96 du RGPD ?.......................................... 55
II.6.1.1. Introduction ............................................................................................................................. 55
II.6.1.2. Quant au principe de finalité ................................................................................................. 57
II.6.1.3. Quant au principe de proportionnalité .................................................................................. 61
II.6.1.4. Les autres garanties au bénéfice des personnes concernées .......................................... 68
II.6.1.5. Conclusion sur la conformité au droit de l’UE applicable au 24 mai 2016 ....................... 69
II.6.2. Les transferts vers l’IRS et le respect du RGPD .................................................................... 69
II.6.2.1. Principes ................................................................................................................................. 69
II.6.2.2. Application des articles 46.1 et 46.2. a) du RGPD ..............................................................70
II.6.2.3. Conclusion ............................................................................................................................. 75
II.6.2.4. Quant à l’article 49 du RGPD ............................................................................................... 77
II.6.3. Quant au respect de l’obligation d’information ...................................................................... 78
II.6.4. Quant au manquement à l’obligation de réaliser une AIPD .................................................. 84
II.6.5. Quant au manquement à l’article 20 de la LTD ...................................................................... 89
II.6.6. Quant au manquement à l’accountability ............................................................................... 90
III. Mesures correctrices et sanctions ............................................................................ .................. 91
IV. Publication de la décision ............................................................................................................. 93
I. Faits et rétroactes de la procédure
1. Le 22 décembre 2020, les plaignants introduisent une plainte auprès de l’Autorité de protection des données (APD) contre la défenderesse. La plainte dénonce l’illicéité du transfert de données personnelles relatives au premier plaignant ainsi que relatives aux Américains accidentels belges (dont la seconde plaignante défend les intérêts) par la défenderesse vers les autorités fiscales américaines dans le contexte de l’application de l’accord intergouvernemental « FATCA » conclu entre l’Etat belge et les Etats-Unis ainsi que d’autres manquements au RGPD imputables à la défenderesse dans ce contexte.
2. Les faits à l’origine de la plainte sont détaillés ci-dessous aux points 3 à 19 (titre I.1.) . Ils sont suivis des rétroactes de la procédure ayant abouti à la décision 61/2023 de la Chambre Contentieuse annulée par la Cour des marchés le 20 décembre 2023 aux points 20 à 59 (titre I.2.) ainsi qu’ensuite, des rétroactes relatifs à la reprise de l’affaire aboutissant à la présente décision aux points 60 à 94 (titres I.3 à I.6).
I.1. Les faits pertinents
3. Le premier plaignant réside en Belgique et possède la double nationalité belge et américaine.
Pour ce qui concerne cette dernière nationalité, le premier plaignant se décrit comme un ce qu’il est convenu d’appeler un « Américain accidentel » car il n’a la nationalité américaine que du fait de sa naissance à Stanford sur le territoire des Etats-Unis sans avoir conservé aucun lien significatif avec ce pays. La Chambre Contentieuse précise ici d’emblée que la notion « d’Américain accidentel » n'est pas définie en droit comme l’a souligné la Cour des marchés dans son arrêt interlocutoire du 28 juin 2023 3. Les plaignants exposent quant à eux que pour les besoins de la procédure, cette notion recouvre les membres de l’AAAB.
4. La seconde plaignante est une association sans but lucratif de droit belge (ASBL) composée d’Américains accidentels qui a pour objet de défendre et de représenter les intérêts des personnes de nationalité belgo-américaine - tel le premier plaignant - qui résident en-dehors des Etats-Unis et ne gardent aucun lien significatif avec ce pays. L’objet de l’association est décrit à l’article 4 de son acte constitutif du 28 septembre 2019:
« L’association a pour objet la défense des intérêts des personnes physiques de nationalité américaine résidant hors des Etats-Unis, contre les effets néfastes du caractère extraterritorial de la législation américaine.
L’association poursuit la réalisation de son objet par tous les moyens d’action et notamment par :
- des actions de représentation d’intérêt auprès des pouvoirs publics belge et américain et auprès des institutions européennes
- la réalisation de supports de communication
- l’organisation d’événements
- la collaboration avec des professeurs de droit en vue de la mise à disposition d’informations juridiques à l’usage des adhérents
- l’action en justice pour la défense des intérêts des personnes de nationalité belgo-américaine
Les moyens énumérés ci-dessus sont indicatifs et non limitatifs ».
5. Du fait de sa nationalité américaine, le premier plaignant est soumis au contrôle des autorités fiscales américaines eu égard au régime juridique fiscal américain. Ce système est en effet fondé sur le principe de la taxation basée sur la nationalité et vise l’Américain accidentel comme tout autre contribuable installé sur le sol américain ou ayant des activités en relation avec ce pays, la circonstance que sa résidence ne soit pas établie aux Etats-Unis étant indifférente.
Seules certaines exceptions valent pour les non-résidents sur le sol américain.
6. Afin de faciliter la collecte des informations pertinentes par le fisc américain (Internal Revenue Service – ci-après IRS) en vue d’une éventuelle taxation des Américains résidant à l’étranger (en ce compris les Américains accidentels tels le premier plaignant) ainsi que pour parer au risque d’évasion fiscale, le gouvernement américain a conclu des accords intergouvernementaux avec différents états du monde. Ces accords prévoient la communication de données relatives à ces Américains résidant à l’étranger par les institutions financières nationales (ci-après « les institutions financières » ou « les banques ») à l’administration fiscale nationale (telle la défenderesse), cette dernière étant ensuite tenue de transférer ces données à l’IRS.
7. C’est dans ce contexte qu’intervient l’ « Agreement between the Government of the Kingdom of Belgium and the Government of the United States of America to improve International tax compliance and to implement Fatca », signé par les représentants des gouvernements du Royaume de Belgique et des Etats-Unis d’Amérique le 23 avril 2014. Cet accord est communément et ci-après appelé l’Accord « FATCA »4. Il donne en effet exécution au Foreign Account Tax Compliance Act américain dont l’acronyme « FATCA » est tiré. Un accord intergouvernemental (CIG) bilatéral comparable a également été signé avec différents états du monde, dont les états membres de l’Union européenne (ci-après UE).
8. La Loi belge du 16 décembre 2015 réglant la communication des renseignements relatifs aux comptes financiers par les institutions financières belges et le SPF Finances, dans le cadre d’un échange automatique de renseignements au niveau international et à des fins fiscales (ci-après « la Loi du 16 décembre 2015 ») invoquée par la défenderesses sous plusieurs aspects, s’inscrit quant à elle dans le contexte plus général de l’échange de données fiscales entre états, en ce compris mais aussi au – delà, des seuls échanges avec l’IRS américain en exécution de l’accord «FATCA» précité.
9. L’objet de cette législation défini en son article 1 er est ainsi de régler les obligations des institutions financières belges et de la défenderesse en ce qui concerne les renseignements qui doivent être communiqués à une autorité compétente d’une autre juridiction dans le cadre d’un échange automatique de renseignements relatifs aux comptes financiers, échange organisé conformément aux engagements pris par l’Etat belge et résultant des textes ci-après:
- La directive 2014/107/UE du Conseil du 9 décembre 2014 modifiant la directive 2011/16/UE en ce qui concerne l’échange automatique et obligatoire d’informations dans le domaine fiscal5;
- La Convention conjointe OCDE/Conseil de l’Europe du 25 janvier 1988 concernant l’assistance mutuelle en matière fiscale (la Convention multilatérale ou « la Convention de l’OCDE ») ;
- Une convention bilatérale préventive de la double imposition en matière d’impôts sur les revenus ;
- Un traité bilatéral en matière d’échange de renseignements fiscaux (tel l’accord « FATCA »).
10. La Loi du 16 décembre 2015 est entrée en vigueur le 10 janvier 2016 en ce qui concerne les renseignements destinés aux Etats-Unis (article 20)6.
11. Le 22 avril 2020, le premier plaignant reçoit un courrier de la banque Z auprès de laquelle il dispose de comptes bancaires. Ce courrier mentionne en objet : « Confirmation de votre statut de personne US dans le cadre de l’accord Fatca et à d’autres fins règlementaires ». Il y est demandé au plaignant de confirmer qu’il n’a ni la nationalité américaine, ni n’est résident aux Etats-Unis pour les besoins de l’application des obligations qui incombe à Z en exécution de la règlementation applicable en matière d’échange automatique de données. Le plaignant est invité à compléter un formulaire spécifique émanant des autorités américaines à cet effet. La lettre expose que les objectifs poursuivis par la législation américaine sont d’une part d’identifier tous les comptes détenus par les citoyens et/ou résidents américains auprès d’institutions financières non américaines ainsi que d’autre part, d’exercer un meilleur contrôle sur les revenus et les produits de valeurs détenus par des Américains. Le courrier précise qu’à défaut de renvoi du document signé et complété, la loi contraint la banque à considérer le premier plaignant comme une « US Person » par défaut : en conséquence, ses coordonnées ainsi que les informations sur ses avoirs, revenus et produits bruts continueront à être communiquées aux autorités fiscales concernées. Enfin, ledit courrier précise que si le premier plaignant possède la nationalité américaine ou s’il réside aux Etats-Unis, il devra se rendre en agence aux fins d’effectuer les formalités nécessaires.
12. Le 12 mai 2020, le premier plaignant est informé par sa banque Z que dès lors qu’il possédait plusieurs comptes bancaires en Belgique en 2019, ceux-ci sont soumis à l’obligation de déclaration à la défenderesse en exécution des obligations légales qui incombent aux institutions bancaires auprès desquelles les résidents fiscaux d’un autre pays que la Belgique possèdent, comme c’est son cas, un ou plusieurs comptes bancaires. Z indique ainsi au premier plaignant être tenue de déclarer à la défenderesse les données suivantes : le nom, l’adresse, la juridiction dont la personne est un résident, le numéro d’identification fiscale (NIF) ou la date de naissance de chaque personne devant faire l’objet d’une déclaration, le ou les numéros de compte, le solde du compte ou sa valeur au 31 décembre (cas particulier : si le compte est clôturé, un montant nul est communiqué), les intérêts, les dividendes, les produits de vente, de rachats ou de remboursement d’audits financiers et les autres revenus produits par les actifs financiers détenus sur le compte. Outre la liste des données citées ci-dessus et des informations sur le principe de l’échange automatique de renseignements financiers auquel Z expose être soumise, le premier plaignant est, pour toute question, renvoyé à la défenderesse en ces termes : « Pour de plus amples informations sur l’échange automatique de renseignements financiers, vous pouvez consulter le site Internet du SPF Finances ou de l’OCDE. Vous pouvez également nous appeler au numéro XXX ». la banque Z joint en annexe de ce courrier les données du premier plaignant qui seront concrètement communiquées à la défenderesse en exécution de cette obligation de déclaration.
13. Dans un troisième courrier du 18 mai 2020, la banque Z contacte une nouvelle fois le premier plaignant et (a) explicite cette fois en des termes généraux le principe de l’accord « FATCA », (b) liste les données à communiquer dans ce cadre et (c) indique que dès lors que le plaignant possédait un ou plusieurs comptes soumis à l’obligation de déclaration en 2019, elle est tenue de les communiquer à l’administration fiscale compétente. La banque Z mentionne que pour de plus amples informations sur l’accord « FATCA », le premier plaignant peut appeler sa banque au numéro de téléphone indiqué.
14. Le 22 décembre 2020, soit le jour même où il dépose plainte à l’APD avec la seconde plaignante (plainte n°1 - point 1), le premier plaignant sollicite de la défenderesse qu’elle efface les données à caractère personnel qu’elle a obtenues des banques en application de l’accord « FATCA » et ce, en application de l’article 17.1.d) du RGPD. Le premier plaignant sollicite également que la défenderesse prenne les mesures nécessaires pour obtenir cet effacement de la part de l’IRS ou à défaut, la limitation de leur traitement en exécution de l’article 18.1.b) du RGPD. En tout état de cause, le premier plaignant réclame l’arrêt immédiat des échanges d’informations entre la défenderesse et l’IRS ayant lieu chaque année sur la base de l’accord « FATCA ». Ce transfert impliquant des données personnelles le concernant méconnaît en effet selon lui plusieurs principes clés du droit à la protection des données personnelles tel qu’applicable en Belgique et plus généralement au sein de l’UE. La seconde plaignante formule la même demande en son nom au bénéfice, conformément à son objet statutaire, des Américains accidentels belges.
15. Plus spécifiquement, les plaignants appuient leur demande sur les motifs suivants : l’illicéité du transfert des données à caractère personnel vers l’IRS en vertu de l’accord « FATCA » (en violation des articles 45, 46 et 49 du RGPD) ; le non-respect des principes de limitation des finalités (article 5.1.b) du RGPD), de proportionnalité ou de minimisation des données (article 5.1.c) du RGPD) et de conservation limitée (article 5.1.e) du RGPD) ; le non-respect du principe de transparence (articles 12 à 14 du RGPD) et un manquement à l’obligation d’effectuer une analyse d’impact relative à la protection des données (ci-après AIPD - article 35 du RGPD). Ledit courrier détaille chacun des griefs allégués. Ceux-ci étant également à la base de la plainte déposée à l’APD, ils seront explicités ci-dessous lorsque la Chambre Contentieuse débattra du point de vue respectif des parties, dont celui des plaignants (point 82)
16. Dans sa lettre de réponse du 30 mars 2021, la défenderesse refuse de faire droit à la demande des plaignants argumentant que l’illicéité alléguée ne repose sur aucun fondement. La défenderesse expose ainsi que la base légale du transfert qu’elle opère réside dans l’accord «FATCA» ainsi que dans la Loi du 16 décembre 2015. La défenderesse invoque par ailleurs l’article 96 du RGPD7 et conclut à son appui qu’à défaut pour les plaignants de démontrer en quoi l’accord « FATCA » transgresserait le droit de l’UE avant le 24 mai 2016, soit la Directive 95/46/CE , leurs demandes ne reposent sur aucun fondement. La défenderesse réfute également tous les autres griefs qui lui sont opposés.
17. A la suite de cette réponse de la défenderesse, seul le premier plaignant renouvelle sa demande le 9 juillet 2021, soulignant que lesdits transferts de données de la défenderesse vers l’IRS sont également illégaux en vertu de la Directive 95/46/CE.8
18. Par une décision du 4 octobre 2021, la défenderesse refuse de faire droit aux demandes du premier plaignant rejetant les arguments développés par ce dernier au regard des manquements dénoncés tant au RGPD qu’à la Directive 95/46/CE. Dans cette décision, la défenderesse, s’appuyant sur la lecture de l’article 96 du RGPD par le Conseil d’Etat français dans un arrêt du 19 juillet 2019 (sur lequel la Chambre Contentieuse reviendra au point 165), indique que pour l’application de cet article 96, il convient de d’abord vérifier la conformité de l’accord « FATCA » au regard du RGPD et, en l’absence de conformité, d’examiner si cet accord respecte le droit de l’UE à la date du 24 mai 2016. Cette lecture rompt avec le contenu de sa lettre du 30 mars 2021 précitée (point 17). Pour la bonne compréhension de la suite de la décision, la Chambre Contentieuse précise que la défenderesse estime par ailleurs aux termes de sa décision « qu’en l’espèce, la condition d’un fondement reposant sur un motif important d’intérêt public - au sens de l’article 49.1.d) du RGPD 9 ou de l’article 26.1.d)10 de la Directive 95/46/CE] - est bien remplie dès lors que la base de licéité du traitement litigieux repose sur un accord international [soit l’accord «FATCA»] et la loi du 16 décembre 2015 ».
19. Un recours en annulation devant le Conseil d’Etat (ci-après « CE ») a été introduit contre cette décision administrative de la défenderesse. A la demande de la Chambre Contentieuse, les parties ont indiqué aux termes de leurs conclusions et au cours de l’audition du 10 janvier 2023 que ce recours était toujours pendant. Elles ont précisé que la défenderesse avait notamment plaidé que le CE attend l’issue de la procédure devant l’APD pour se prononcer. Le plaignant a quant à lui réclamé que des questions préjudicielles soient posées par le CE à la Cour de Justice de l’Union européenne (ci-après « CJUE ») quant au fondement légal des transferts opérés en exécution de l’accord « FATCA », quant à l’admissibilité de la mobilisation de l’article 49.1. d) du RGPD ou le cas échéant de son équivalent dans la Directive 95/46/CE en cas d’application de l’article 96 du RGPD ainsi que quant au respect des principes de transparence, de finalité, de minimisation et de conservation limitée tels que consacrés par les articles pertinents du RGPD ou leurs équivalents dans la Directive 95/46/CE si l’application de l’article 96 du RGPD devait être retenue.
I.2. Rétroactes de la procédure ayant abouti à la décision annulée 61/2023
20. Ainsi qu’il a été mentionné au point 1 ci-dessus, les plaignants déposent plainte à l’APD le 22 décembre 2020 (plainte n°1).
I.2.1. Recevabilité de la plainte
21. Le 22 mars 2021, la plainte n°1 en ce qu’elle est introduite par le premier plaignant est déclarée recevable par le Service de Première Ligne (ci-après SPL) de l’APD sur la base des articles 58 et 60 de la Loi du 3 décembre 2017 portant création de l’Autorité de protection des données (ci-après LCA) et la plainte est transmise à la Chambre Contentieuse en vertu de l'article 62.1 de la LCA.
22. La plainte n° 1 en ce qu’elle est introduite par la seconde plaignante est quant à elle déclarée irrecevable le 12 février 2021 par le SPL de l’APD au motif que la seconde plaignante ne rencontre pas les conditions prévues à l’article 220.2. 3° et 4° de la Loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (ci-après « LTD »)11.
23. La Chambre Contentieuse précise ici d’emblée que le 9 juillet 2021, la seconde plaignante déposera une nouvelle plainte (plainte n°2). Celle-ci consiste en une reformulation de sa plainte n°1 du 22 décembre 2020. La seconde plaignante y explicite davantage son intérêt à agir. Elle expose ainsi qu’elle intervient en son nom, conformément à son objet statutaire, et non pas au nom et pour le compte d’un ou plusieurs Américains accidentels belges. La seconde plaignante indique donc ne pas intervenir en représentation au sens de l’article 80.1. du RGPD12.
Les conditions d’application de cet article telles qu’exécutées par l’article 220.2. 3° et 4° de la LTD ne doivent dès lors, de son point de vue, pas être réunies. La seconde plaignante s’appuie en revanche sur l’article 58 de la LCA qui stipule que « toute personne peut déposer une plainte ou une requête écrite, datée et signée auprès de l’Autorité de protection des données ». La seconde défenderesse s’estime habilitée à introduire une plainte auprès de l’APD sur cette base d’autant plus que le but poursuivi par sa plainte est en phase avec son objet statutaire. Elle invoque également que dans sa pratique décisionnelle, l’APD a, à l’appui de la décision 30/2020 de la Chambre Contentieuse par exemple, reconnu que l’intérêt à agir est large et que la possibilité de déposer une plainte n’est pas réservée aux personnes physiques concernées et qu’une plainte peut être introduite par des associations en vertu de leur objet social spécifique13.
24. Le 5 octobre 2021, cette plainte n°2 sera déclarée recevable par le SPL de l’APD sur la base des articles 58 et 60 de la LCA. Cette plainte sera transmise à la Chambre Contentieuse en vertu de l'article 62.1 de la LCA.
25. Eu égard à ce qui précède, la Chambre Contentieuse précise qu’aux termes de la présente décision, l’emploi des termes « la plainte » se réfère aux deux plaintes déposées (n°1 et n°2) lesquelles seront par ailleurs jointes par la Chambre Contentieuse (point 43).
I.2.2. L’objet de la plainte
26. La plainte adressée par les plaignants vise, à titre principal, à obtenir en exécution de l’article 58.2.f) et j) du RGPD l’interdiction, voire la suspension du transfert de données (celles relatives au premier plaignant et au-delà, celles de tous les Américains accidentels belges dont la seconde plaignante défend les intérêts) par la défenderesse à l’IRS en application de l’accord « FATCA » et de la Loi du 16 décembre 2015.
27. Aux termes de leurs conclusions en réplique, les plaignants ajouteront qu’ils sollicitent à titre subsidiaire que la Chambre Contentieuse ordonne en application de l’article 58.2. f) et j) du RGPD que le transfert de données relatives aux soldes de compte par la défenderesse à l’IRS dans le cadre de l’application de l’accord « FATCA » soit interdit, voire suspendu, en ce qui concerne tant le premier plaignant que les Américains accidentels belges dont la seconde plaignante défend les intérêts.
28. Au cours de l’audition qui s’est tenue devant la Chambre Contentieuse 14, les plaignants clarifieront que l’utilisation des termes « interdiction, voire suspension » s’appuie sur la formulation exacte de l’article 58.2. f) et j) du RGPD et n’implique pas une demande de suspension temporaire des transferts mais bien leur arrêt pur et simple pour l’avenir.
I.2.3. L’enquête du Service d’Inspection (SI)
29. Le 20 avril 2021, la Chambre Contentieuse décide de demander une enquête au Service d'Inspection (ci-après SI), en vertu des articles 63, 2° et 94, 1° de la LCA. A la même date, conformément à l'article 96.1 de LCA, la demande de la Chambre Contentieuse de procéder à une enquête est transmise au SI.
30. Le 26 mai 2021, l'enquête du SI est clôturée, le rapport est joint au dossier et celui-ci est transmis par l'Inspecteur général au Président de la Chambre Contentieuse (art. 91.1-2 de la LCA).
31. Aux termes de son rapport, le SI conclut qu’il n’y a, selon ses termes, « pas de violation apparente du RGPD » (page 5 du rapport).
32. A l’appui de l’article 96 du RGPD (point 20 du rapport ), le SI relève au terme de son examen de la conformité de l’accord «FATCA» et de la Loi du 16 décembre 2015 au cadre réglementaire en matière de protection des données tel qu’applicable avant le 24 mai 2016, soit suivant ses termes, à la Directive 95/46/CE telle que transposée aux termes de la Loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (ci-après LVP), les éléments suivants :
- Le 17 décembre 2014, la Commission de la protection de la vie privée 15 (ci-après » CPVP ») a rendu un avis favorable 61/2014 sous réserve de conditions suspensives strictes sur le premier projet de la future Loi du 16 décembre 2015. La CPVP s’est ensuite prononcée favorablement dans son avis 28/2015 du 1 er juillet 2015 sur le second projet de loi lequel implémentait les remarques et conditions émises dans son avis 61/2014.
- Aux termes de sa délibération AF 52/2016 du 15 décembre 2016, le Comité sectoriel pour l’Autorité fédérale16 (ci-après « CSAF ») de la CPVP a autorisé la défenderesse à transmettre à l’IRS les renseignements financiers des comptes déclarables de contribuables américains qui lui sont transmis par les institutions financières dans le cadre de l’accord « FATCA ». Le SI souligne que le CSAF a, à cette occasion, apprécié l’admissibilité des finalités fiscales du traitement ainsi que la proportionnalité des données et la sécurité du traitement. Le CSAF avait par ailleurs enjoint, en exécution du principe de transparence, la défenderesse à informer le citoyen au moyen d’un texte accessible et compréhensible sur son site Internet quant aux circonstances dans lesquelles ses données personnelles (en ce compris financières) peuvent être transmises à l’IRS. Le SI constate à cet égard qu’une page web dédiée à « FATCA » est disponible sur le site de la défenderesse. Le SI rappelle enfin qu’en application de l’article 111 de la LCA17, les autorisations accordées par les comités sectoriels de la CPVP (tels le CSAF) avant l’entrée en vigueur de cette loi gardent en principe leur validité juridique18.
33. Enfin, le SI écarte l’applicabilité de l’arrêt Schrems II19 de la CJUE. Il relève que cet arrêt invalide le Privacy Shield qui portait sur le transfert de données personnelles vers les Etats-Unis à des fins commerciales (et non à des fins fiscales comme en l’espèce). Le SI renvoie également à l’article 1720 de la Loi du 16 décembre 2015 qui consacre notamment l’obligation de confidentialité au regard des renseignements échangés ainsi que leur utilisation limitée. Cet article se réfère tant à l’accord « FATCA » qu’aux accords auxquels ce dernier renvoie lui-même, soit à la Convention de l’OCDE déjà citée.
34. A l’issue de son enquête, le SI conclut qu’au vu des considérations qui précèdent et conformément à l’article 64.2 de la LCA21, il n’est pas opportun de poursuivre son enquête plus avant et qu’il ne constate pas, ainsi qu’il a déjà été mentionné (point 32), de « violation apparente du RGPD ».
I.2.4. L’enquête complémentaire du Service d’Inspection (SI)
35. Le 24 juin 2021, la Chambre Contentieuse sollicite en application de l’article 96.2. de la LCA qu’une enquête complémentaire soit menée par le SI.
36. A l’examen du rapport du 26 mai 2021 (points 32 et s.), la Chambre Contentieuse constate en effet un manque d’informations quant à certains éléments soulevés par les plaignants à l’appui de leur plainte parmi lesquels :
- L’existence ou non de garanties appropriées mises en place au regard des transferts vers les Etats-Unis ;
- L’existence ou non de traitement(s) ultérieur(s) pour d’autres finalités et l’existence ou non de garanties le cas échéant ;
- La durée de conservation des données tenant compte de tout traitement ultérieur existant le cas échéant ;
- Les données précisément communiquées et le volume de ces données par personne concernée ainsi que le nombre de personnes concernées en Belgique ;
- L’existence ou non d’une clause de réciprocité et le cas échéant, sa mise en œuvre concrète en pratique ;
- La question de savoir si une AIPD au sens de l’article 35 du RGPD a été réalisée (ou sera réalisée), sous quelle forme et à quelle date ;
- La question de savoir si le premier plaignant a introduit d’autres recours ayant le même objet ou un objet similaire devant d’autres instances (judiciaires, administratives) depuis l’introduction de sa plainte et, le cas échéant, quelle en a été l’issue.
37. Le 9 juillet 2021, en cours d’enquête, les plaignants demandent au SI de suspendre temporairement le transfert des données issues du reporting « FATCA » pour l’année 2020 à l’IRS en tant que mesure provisoire prise sur la base de la LCA et ce, jusqu’à ce que la Chambre Contentieuse ait pris une décision définitive et au moins jusqu’au 30 septembre 2021. Les plaignants argumentent que les transferts dénoncés, dès l’instant où ils ont lieu, risquent de leur causer un préjudice grave, immédiat et difficilement réparable.
38. Le 10 août 2021, le SI répond aux plaignants que la prise de mesures provisoires est un des pouvoirs d’enquête qui lui est conféré par la LCA et qu’il ne s’agit pas d’une obligation mais bien d’une possibilité laissée à son appréciation en toute autonomie. Le SI rappelle également qu’en application de l’article 64.2 de la LCA, il veille à ce que les moyens utiles et appropriés soient utilisés aux fins de l’enquête. Il ajoute qu’il n’a d’instruction à recevoir de quiconque sur les mesures d’enquête à mettre en œuvre, rejetant par là-même la demande des plaignants.
39. Le 14 septembre 2021, l'enquête complémentaire du SI est clôturée, le rapport est joint au dossier et celui-ci est transmis par l'Inspecteur général au Président de la Chambre Contentieuse (art. 91.1 et 91.2 de la LCA).
40. Aux termes de son rapport complémentaire, le SI constate qu’il n’y a pas d’éléments indiquant un manque de garanties concernant la protection des données transférées ou une non-réciprocité des échanges. Le SI indique ne pouvoir que constater le cadre juridique assez robuste (ces ternes étant ceux du rapport) qui encadre le transfert des données fiscales des ressortissants américains par la défenderesse vers l’IRS. Il se réfère à cet égard à la description des garanties entourant lesdits transferts, description réalisée par le délégué à la protection des données (ci-après « DPO ») de la défenderesse, aux travaux parlementaires de la loi d’assentiment à l’accord «FATCA» ainsi qu’aux articles 3.7 22 et 3.823 de l’accord proprement dit.
Le SI se réfère également à l’arrêt du 19 juillet 2019 du Conseil d’Etat français déjà cité saisi par l’association française sœur de la seconde plaignante, arrêt aux termes duquel le moyen tiré de la méconnaissance de l’article 46 du RGPD a notamment été rejeté 24. Le rapport du SI reproduit par ailleurs les éléments apportés par la défenderesse pour justifier l’absence d’AIPD.
I.2.5. L’examen quant au fond par la Chambre Contentieuse
41. Le 20 janvier 2022, la Chambre Contentieuse décide, en vertu de l’article 95.1 1° et de l’article 98 de la LCA, que les plaintes n°1 et n°2 peuvent être traitées sur le fond.
42. A la même date, les parties sont informées par envoi recommandé des dispositions telles que reprises à l'article 95.2 ainsi qu'à l'article 98 de la LCA. La Chambre Contentieuse décide aux termes de cette lettre de joindre les plaintes n°1 et n°2 qui portent sur les mêmes traitements de données à caractère personnel (données liées aux mêmes faits), sont toutes les deux introduites à l’encontre de la défenderesse et opposent à cette dernière les mêmes griefs. La Chambre Contentieuse les considère dès lors comme liées par un rapport si étroit qu’il y a intérêt à les instruire et à prendre une décision à leur égard en même temps afin de garantir la cohérence de ses décisions.
43. Dans ce même courrier, la Chambre Contentieuse accorde aux parties les délais suivants pour conclure: les 17 mars et 16 mai 2022 pour la défenderesse et le 15 avril 2022 pour les plaignants.
44. A l’appui de la plainte et des rapports du SI, la Chambre Contentieuse y identifie également les griefs sur lesquels elle invite les parties à exposer leurs arguments :
- L’illicéité des transferts de données vers l’IRS par la défenderesse au regard des articles 45 et 49 du RGPD et l’absence de base légale ;
- Le non-respect des principes de limitation des finalités, de proportionnalité et de minimisation de données (article 5. 1 b) et c) du RGPD) ainsi qu’un manquement au principe de limitation de la conservation des données (article 5.1. e) du RGPD) ;
- Le non-respect du principe de transparence et de l’obligation d’information (articles 5.1.a), 12 et 14 du RGPD) ;
- Le manquement à l’article 16 du RGPD (droit de rectification) en ce que les procédures de la défenderesse ne prévoiraient pas de possibilité pour les personnes concernées d’obtenir une correction de leur statut au regard de la législation « FATCA » ;
- Le manquement à l'obligation d’effectuer une AIPD au sens de l’article 35 du RGPD ;
- Le manquement aux articles 5.2. et 24 du RGPD couplé aux manquements invoqués ci-dessus ;
- Le non-respect de l’article 20 de la Loi du 30 juillet 2018 (LTD).
45. La Chambre Contentieuse invite également les parties à conclure sur l’article 96 du RGPD invoqué par la défenderesse dans son courrier du 4 octobre 2021 (point 19).
46. Les 31 janvier et 8 février 2022, la défenderesse demande une copie du dossier (art. 95.2, 3° LCA), laquelle lui est transmise le 9 février 2022.
47. Le 16 mars 2022, la Chambre Contentieuse reçoit les conclusions en réponse de la défenderesse.
48. Le 30 mars 2022, la Chambre Contentieuse adresse une demande complémentaire aux parties au regard du recours introduit par la seconde plaignante auprès du CE (belge) au sujet de la problématique des transferts de données des Américains accidentels vers les Etats-Unis. (point 19) Sans préjudice des compétences respectives du CE et de l’APD, la Chambre Contentieuse demande à la seconde plaignante de bien vouloir l’éclairer dans ses futures conclusions en réplique ou dans un document séparé au choix de cette dernière, sur l’objet de ce recours au CE et si possible, quant au calendrier relatif à celui-ci. La Chambre Contentieuse précise que cette information vise à lui permettre d’évaluer si (l’issue de) ce recours est susceptible d’avoir un impact sur la procédure en cours devant l’APD et/ou sur sa décision future25.
49. Le 15 avril 2022, la Chambre Contentieuse reçoit les conclusions en réplique des plaignants.
50. Le 16 mai 2022, la Chambre Contentieuse reçoit les conclusions de synthèse de la défenderesse.
51. Le 17 août 2022, à titre exceptionnel, la Chambre Contentieuse autorise les parties à conclure additionnellement sur la référence à l’arrêt du 9 mars 2017 de la Cour constitutionnelle que fait la défenderesse dans ses conclusions de synthèse précitées.
52. Le 17 août 2022, les parties sont informées que l'audition aura lieu le 13 septembre suivant.
Cette audition a ensuite été reportée au 7 novembre 2022 puis au 10 janvier 2023.
53. Le 31 août 2022, la Chambre Contentieuse reçoit les conclusions additionnelles des plaignants quant à l’arrêt de la Cour constitutionnelle du 9 mars 2017 précité.
54. Le 21 septembre 2022, la Chambre Contentieuse reçoit les conclusions additionnelles de la défenderesse sur ce même arrêt.
55. Le 23 septembre 2022, les plaignants transmettent à la Chambre Contentieuse 2 documents qu’ils qualifient de « nouvelles pièces » du dossier. Il s’agit plus particulièrement d’un avis du 23 août 2022 de l’autorité slovaque de protection des données (et de sa traduction non officielle en français) relatif à l’accord «FATCA» concluant à la non-conformité au RGPD de l’accord « FATCA » d’une part ainsi que du rapport actualisé « FATCA législation ans its application at international and EU level – an update » de septembre 2022 commissionné par le Parlement européen d’autre part.
56. Il s’en suit un échange de courriers entre les parties quant à la recevabilité de ces documents transmis hors des délais fixés pour le dépôt de leurs conclusions et pièces respectives.
57. Le 3 octobre 2022, la Chambre Contentieuse indique aux parties qu’elle leur donnera la possibilité de s’exprimer sur ces documents en début d’audition.
I.2.6. L’audition des parties du 10 janvier 2023
58. Le 10 janvier 2023, les parties sont entendues par la Chambre Contentieuse. Lors de l’audition, et comme répercuté dans le procès-verbal, la Chambre Contentieuse indique qu’elle est autorisée à prendre connaissance de toutes les pièces pertinentes. Aucune pièce n’est écartée de la procédure pour autant que l’exercice des droits de la défense à leur égard soit rendu possible, que ce soit lors de l’audition ou si nécessaire après celle-ci. Les parties ne reviendront plus sur ce point.
59. Le 27 janvier 2023, le procès-verbal de l'audition est soumis aux parties. La Chambre Contentieuse ne reçoit aucune remarque de ces dernières sur ce procès-verbal, les parties indiquant - respectivement le 29 janvier 2023 ( pour les plaignants) et le 3 février 2023 (pour la défenderesse) - expressément à la Chambre Contentieuse que ce procès-verbal reflète les discussions intervenues lors de l’audition.
I.3. La décision 61/2023
60. Le 24 mai 2023, la Chambre Contentieuse, composée de Monsieur Hielke Hijmans, président, de Monsieur Yves Poullet et de Monsieur Christophe Boeraeve, membres, adopte la décision 61/2023.
61. Aux termes de cette décision, la Chambre Contentieuse décide :
- En vertu de l’article 100.1, 8 de la LCA, d’interdire le traitement par la défenderesse des données personnelles du premier plaignante et des Américains accidentels belges en application de l’accord « FATCA » et de la Loi du 16 décembre 2015 réglant la communication des renseignements relatifs aux comptes financiers par les institutions financières belges et le SPF Finances dans le cadre d’un échange automatique de renseignements au niveau international et à des fins fiscales.
- En vertu de l’article 100.1, 5° de la LCA, de formuler une réprimande à l’égard de la défenderesse en ce qui concerne l’article 14.1-2 combiné à l’article 12.1 du RGPD assortie d’un ordre de mise en conformité sur la base de l’article 100.1, 9° de la LCA consistant à prévoir une information conforme au RGPD sur son site Internet ;
- En vertu de l’article 100.1, 5° de la LCA, de formuler une réprimande à l’égard de la défenderesse en ce qui concerne la violation de l’article 35.1 du RGPD assortie d’un ordre de mise en conformité sur la base de l’article 100.1, 9° de la LCA consistant à réaliser une AIPD au sens de l’article 35 du RGPD ;
- Les documents probants attestant des mises en conformité ordonnées sont à communiquer à la Chambre Contentieuse dans un délai de 3 mois à dater de la décision notifiée ;
- En vertu de l’article 100.1, 5° de la LCA, de formuler une réprimande à l’égard de la défenderesse pour la violation des articles 5.2 et 24 du RGPD.
I.4. Le recours contre la décision 61/2023 devant la Cour des marchés
62. Par requête du 14 juin 2023, la défenderesse introduit un recours en suspension et en annulation de la décision 61/2023 auprès de la Cour des marchés. L’APD est la partie défenderesse dans le cadre de ce recours.
63. Le 27 juin 2023, les plaignants déposent une requête en intervention volontaire.
64. Dans le cadre de sa défense devant la Cour des marchés, l’APD développe différents moyens à l’appui desquels elle demande à la Cour de déclarer l’appel de la défenderesse recevable mais non-fondé.
65. Elle invite également la Cour, pour autant que celle-ci ait un doute sur l’un ou l’autre des points soulevés, à poser les questions préjudicielles ci-dessous à la CJUE :
- 1°) « Est-ce qu’une législation nationale approuvant un accord international entre un Etat membre et un état tiers peut fonder un « intérêt public » au sens de l’article 26, §1, d) de la Directive 95/46/CE si cet état tiers ne garantit pas de réciprocité effective ? » ;
- 2°) « Est-ce que le transfert de données à caractère personnel à l’autorité fiscale d’un état tiers en vertu d’une législation nationale approuvant un accord international entre l’Etat membre en question et cet état tiers viole l'article 6, §1, b) de la Directive 95/46/CE dans la mesure où les finalités des traitements de données à caractère personnel, telle qu’elles ressortent de l’accord en question, sont exprimées dans des termes vagues, tels que « l'observation des règles fiscales internationales » ou encore « la mise en œuvre des obligations issues de la loi américaine « FATCA » visant à lutter contre l'évasion fiscale des ressortissants américains ? » ;
- 3°) « Est-ce que le transfert de données à caractère personnel à l’autorité fiscale d’un état tiers en vertu d’une législation nationale approuvant un accord international entre l’Etat membre en question et cet état tiers viole l'article 6, §1, b) de la Directive 95/46/CE dans la mesure où l’état tiers n’a pas mis en place des garanties adéquates pour éviter que les données en question soient utilisées à d’autres fins que les fins prévues dans l’accord ? » ;
- 4°) « Est-ce que le transfert de données à caractère personnel à l’autorité fiscale d’un état tiers en vertu d’une législation nationale approuvant un accord international entre l’Etat membre en question et cet état tiers viole l'article 6, §1, c) de la Directive 95/46/CE dans la mesure où la législation nationale et l’accord international en question ne comportent pas de dispositions et de critères qui établissent un lien explicite entre la communication de données personnelles concernant des comptes financiers et une éventuelle fraude ou évasion fiscale ? » ;
- 5°) « Est-ce que le transfert de données à caractère personnel à l’autorité fiscale d’un état tiers en vertu d’une législation nationale approuvant un accord international entre l’Etat membre en question et cet état tiers viole l'article 6, §1, e) de la Directive 95/46/CE dans la mesure où il n’y a pas de garanties adéquates en place pour éviter que les données en question ne soient pas conservées plus longtemps que nécessaire pour accomplir les finalités poursuivies une fois que les données sont transférées à l’autorité fiscale de cet état tiers ? »
- 6°) « Dans l’hypothèse d’un accord international entre un Etat membre et un état tiers concernant le transfert de données à caractère personnel à l’autorité fiscale de cet état tiers, est-ce que les « garanties suffisantes » au sens de l’article 26, §2 de la Directive 95/46/CE doivent être reprises dans l’accord international lui-même ? » ;
- 7°) « Est-ce que l’article 96 du Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (règlement général sur la protection des données), pris isolément ou lu en combinaison avec l’article 4, alinéa 3 du Traité sur l’Union européenne et/ou l’article 351 du Traité sur le fonctionnement de l’Union européenne, être interprété en ce sens que les Etat membres ont l’obligation de déployer leurs meilleurs efforts afin de modifier, remplacer ou révoquer les traités internationaux auxquels ils sont parties qui ne respectent pas les dispositions de ce règlement ?
- Dans l’affirmative, est-ce qu’un Etat membre qui en 2023 n’aurait pas déployé ses meilleurs efforts afin de modifier, remplacer ou révoquer un traité international, auquel il est partie, qui ne respecte pas les dispositions du Règlement (UE) 2016/679, peut invoquer l’article 96 de ce règlement pour justifier un comportement incompatible avec ce règlement ? »
I.5. Les arrêts de la Cour des marchés des 28 juin et 20 décembre 2023
66. Le 28 juin 2023, la Cour des marchés prononce un arrêt interlocutoire (2023/AR/801) aux termes duquel elle suspend l’exécution26 de la décision 61/2023 de la Chambre Contentieuse avec effet immédiat, jusqu’à ce qu’elle statue au fond sur le recours en annulation introduit.
67. Le 20 décembre 2023, la Cour des marchés prononce un arrêt (2023/AR/801) aux termes duquel elle annule la décision 63/2021 de la Chambre Contentieuse et dit pour droit que la cause est renvoyée à la Chambre Contentieuse « autrement composée », pour qu’elle statue à nouveau, de manière motivée, sur le fond, en tenant compte des considérations développées dans son arrêt.
68. S’agissant de ces considérations, la Cour des marchés reproche à la Chambre Contentieuse de ne pas avoir suffisamment motivé sa décision en violation des articles 2 et 3 de la Loi du 29 juillet 1991 relative à la motivation formelle des actes administratifs. Plus précisément, la Cour des marchés indique que cette exigence de motivation n’a pas été rencontrée dès lors que « rien n’indique que ladite décision aurait eu égard aux rapports de l’inspection générale et à l’analyse concrète effectuée par ce service ; elle ne motive pas les raisons pour lesquelles elle s’écarte des constats qui y étaient faits par rapport à la légalité du traitement des données par le SPF Finances » (point 35 de l’arrêt). La Cour expose en ce sens que l’appréciation souveraine de la Chambre Contentieuse doit s’accompagner d’un devoir de motivation renforcée lorsqu’elle s’écarte des constats du SI. Dès lors que la Chambre Contentieuse a sollicité un rapport d’enquête, les parties en cause peuvent légitimement s’attendre à ce que ce rapport soit pris en compte par la Chambre Contentieuse dans son appréciation. En conséquence, la Chambre Contentieuse doit motiver les raisons pour lesquelles elle ne suit pas les constats ou conclusions du SI (point 30 de l’arrêt).
69. La Cour des marchés pointe précisément ce qui suit :
- Quant au respect du principe de finalité, la décision se fonde uniquement (§ 164) sur un passage du rapport WP 234 du Groupe de l’Article 29 et sur un article de doctrine rédigé par le président de la Chambre Contentieuse lui-même au sujet d’une analyse de la CJUE, soit à des références générales et théoriques. Ce faisant, la décision 61/2023 n’a pas égard à l’analyse concrète effectuée par le SI qui relevait (1) que la CPVP avait dans ses deux avis pu apprécier la légitimité des finalités fiscales et le caractère nécessaire du transfert de données à des pays tiers en raison d’un intérêt public important de la Belgique et au vu de la réciprocité des échanges ; (2) que le CSAF avait de même, autorisé la défenderesse à transmettre à l’IRS les données demandées et avait à cette occasion pu apprécier l’admissibilité des finalités fiscales du traitement, la proportionnalité des données traitées et la sécurité du traitement et (3) qu’en application de l’article 111 alinéa 1 de la LCA, les autorisations accordées par les comités sectoriels de la CPVP conservent en principe leur validité juridique.
- Dans son examen des principes de nécessité et de minimisation, la Cour pointe également le caractère trop général des sources européennes (avis du Groupe 29, étude du Parlement européen) utilisées par la Chambre Contentieuse. Elle conclut que cette dernière n’a pas égard à l’analyse effectuée par le SI laquelle relevait que tant la CPVP que le CSAF avaient apprécié favorablement la nécessité et la proportionnalité des transferts de données. La Cour est également d’avis que la décision n’a pas non plus eu égard aux réponses concrètes apportées par le DPO de la défenderesse aux questions 6, 7 et 8 reprises au rapport complémentaire du SI précisément relatives à l’appréciation concrète du principe de minimisation des données.
- Enfin, s’agissant des règles relatives à l’encadrement du transfert des données vers l’IRS, la Cour des marchés relève que s’agissant des « garanties appropriées » prévues à l’article 46.2 a) du RGPD, la décision 61/2023 considère que celles-ci doivent figurer dans l’accord international proprement dit et examine celles-ci au regard des Lignes directrices 02/2020 du CEPD. Ce faisant, la Cour relève que la Chambre Contentieuse n’a pas égard aux garanties relevées par le SI, en particulier dans son rapport complémentaire, découlant de ce que :
o L’article 3.7 de l’accord « FATCA » renvoie aux « obligations de confidentialité et autres garanties prévues par la Convention multilatérale de l’OCDE (articles 21 et 22 – page 3/22 du rapport complémentaire du SI ;
o L’article 3.8 de l’accord « FATCA » prévoit que chaque autorité compétente avise par écrit l’autre lorsqu’elle est convaincue que celle-ci a mis en place les garanties appropriées (page 3/22 du rapport complémentaire du SI) ;
o Les réponses apportées par le DPO du SPF Finances aux questions 1 à 4 posées par le SI en lien avec les garanties mises en place et notamment la notification faite par l’administration fiscale belge au fisc américain par rapport à la mise en place des garanties (réponse à la question 2).
70. Quant aux éventuelles questions préjudicielles, la Cour indique au dispositif de son arrêt , « qu’à ce stade, il n’y a pas lieu de poser des questions préjudicielles à la Cour de Justice » (page 52 de l’arrêt).
I.6. Rétroactes de la procédure de reprise aboutissant à la présente décision
I.6.1. La décision du 20 mars 2024 sur la composition
71. A la suite de l’arrêt de Cour des marchés du 20 décembre 2023, le président de la Chambre Contentieuse H. Hijmans 27 décide, le 20 mars 2024, de confier la reprise de la procédure dans ce dossier à un siège composé des trois membres suivants: Yves Poullet en qualité de président du siège, Christophe Boeraeve et Jelle Stassijns.
72. Cette décision s’appuie sur l’article 43 du RoI de l’APD 28 qui donne compétence au président de la Chambre Contentieuse de répartir les affaires entre ses membres et de décider si dans un dossier donné, la Chambre Contentieuse siège à 3 membres.
73. Cette décision est motivée comme suit :
- « des principes fondamentaux de la protection des données à caractère personnel sont en jeu de sorte que l’affaire doit être traitée par un siège composé de 3 membres » : à noter que les termes « principes fondamentaux de la protection des données à caractère personnel » renvoient précisément à l’article 43 du RoI ;
- la langue de la procédure dans ce dossier est le français : en conformité avec les principes de bonne administration et dans l’esprit de la législation relative à l’emploi des langues, il est à préférer que la majorité du siège, en ce compris son président, fasse partie du rôle linguistique francophone de la Chambre Contentieuse ;
- un des membres francophones a – ou peut être perçu comme ayant – un conflit d’intérêt au sens de l’article 58 du RoI de l’APD »29.
74. A l’appui de ces éléments, le président H. Hijmans conclut que le renouvellement de la composition du siège de la Chambre Contentieuse ne peut, nécessairement, qu’être partiel.
I.6.2. La reprise de l’examen quant au fond
75. Le 30 mai 2024, la Chambre Contentieuse notifie la reprise ab ovo de l’examen quant au fond de la plainte aux parties et leur adresse à cet effet une invitation à conclure au regard des griefs listés ci-dessous. Elle y rappelle la jonction des plaintes n°1 et n°2 qu’elle a opérée par son courrier du 20 janvier 2022. Le calendrier final d’échange des arguments des parties est fixé, après modification par courriel du 11 juin 202430, comme suit : les 7 août et 4 octobre 2024 pour la défenderesse et le 5 septembre 2024 pour les plaignants.
76. Les griefs sur lesquels les parties sont invitées à se défendre sont identique à ceux formulés par la Chambre Contentieuse dans sa lettre du 20 janvier 2022 (points 41 et s.), à l’exception du grief tiré du non-respect de l’article 20 de la LTD au regard duquel la Chambre Contentieuse invite les parties à se défendre « pour autant que ce grief soit maintenu par les plaignants, ces derniers l’ayant abandonné lors de l’échange de conclusions ayant abouti à la décision 61/2023 de la Chambre Contentieuse annulée par la Cour des marchés ».
77. La Chambre Contentieuse invite par ailleurs les parties à l’éclairer sur l’applicabilité de l’article 96 du RGPD ainsi que sur l’existence de garanties appropriées mises en place au regard des transferts de données vers l’IRS en indiquant les dispositions précises sur lesquelles elles se fondent et ce, qu’elles s’appuient sur des dispositions de la Directive 95/46/CE, du RGPD ou d’autres textes applicables à l’époque des faits dénoncés ainsi qu’à l’heure actuelle.
78. Enfin, la Chambre Contentieuse invite tout particulièrement les parties à tenir compte dans leur argumentation respective, des considérations émises par la Cour des marchés dans son arrêt d’annulation du 20 décembre 2023 au regard des constats opérés par le SI, notamment ceux épinglés par la Cour au point 34 de son arrêt.
79. Le 30 mai 2024, les plaignants notifient à la Chambre Contentieuse qu’ils souhaitent être entendus au terme de l’échange des conclusions en application de l’article 98 de la LCA juncto les articles 48 à 54 du RoI de l’APD.
80. Le 5 août 2024, la Chambre Contentieuse reçoit les conclusions principales de la défenderesse.
81. Le 3 septembre 2024, la Chambre Contentieuse communique aux parties la décision prise le 20 mars 2024 par Monsieur Hielke Hijmans quant à la composition renouvelée de la Chambre Contentieuse dont question au point 72.
82. Le 5 septembre 2024, la Chambre Contentieuse reçoit les conclusions des plaignants.
- Les plaignants y constatent que la Chambre Contentieuse est autrement composée comme demandé par la Cour des marchés dans son arrêt du 20 décembre 2023.
- Les plaignants énoncent que les banques ne sont pas parties à la cause (voy. la critique de la défenderesse à cet égard ci-dessous) non « pour cause de conflit d’intérêt avec le conseil du plaignant » mais parce que ce ne sont pas les institutions financières qui sont responsables de traitement au regard du traitement qui consiste à transférer les données personnelles à l’IRS.
- Quant à l’article 96 du RGPD, les plaignants considèrent que les conditions de son application ne sont pas réunies et qu’aucun des textes avancés par la défenderesse pour tenter de démontrer que l’accord « FATCA » serait conforme au droit de l’Union applicable au 24 mai 2016 ne résiste à l’analyse ni, en particulier à la primauté qu’il convient de donner à la jurisprudence de la CJUE dans son arrêt C-175/22.
- Les plaignants considèrent que l’accord « FATCA » ne contient pas les garanties minimales requises par l’article 46.2. a) du RGPD. Ils soulignent également qu’eu égard à l’article 49.1 d) initialement invoqué par la défenderesse, celui-ci ne peut être appliqué en l’espèce.
- Les plaignants soutiennent également que la défenderesse ne remplit pas son obligation d’information en violation de l’article 14 du RGPD et du principe de transparence.
- Les plaignants considèrent que la défenderesse s’est rendue coupable d’une violation de l’article 35 du RGPD en ne réalisant pas d’AIPD.
- Les plaignants considèrent également que les articles 5.2 et 24 du RGPD ont été violés en l’espèce.
83. Le 4 octobre 2024, la Chambre Contentieuse reçoit les conclusions additionnelles valant conclusions de synthèse de la défenderesse. La défenderesse ayant déposé de secondes conclusions additionnelles valant conclusions de synthèse, le résumé de son argumentation figure ci-dessous au point 86.
84. Le 18 octobre 2024, la Chambre Contentieuse s’adresse aux parties, relevant que les conclusions additionnelles et de synthèse de la défenderesse contiennent un certain nombre de demandes directement adressées aux plaignants et à leurs conseils 31. Afin de disposer d’un dossier en état, la Chambre Contentieuse décide d’accorder aux plaignants un dernier délai jusqu’au 4 novembre 2024 pour y répondre. Elle ajoute que si les plaignants devaient réagir, un délai égal sera accordé à la défenderesse pour une dernière réplique.
85. Le 4 novembre 2024, les plaignants déposent des conclusions additionnelles.
86. Le 19 novembre 2024, la Chambre Contentieuse reçoit les secondes conclusions additionnelles valant conclusions de synthèse de la défenderesse.
- La défenderesse conteste que la Chambre Contentieuse soit « autrement composée » comme demandé par la Cour des marchés dans son arrêt du 20 décembre 2023.
- La défenderesse demande que l’affaire soit suspendue dans l’attente de l’intervention des institutions financières à la procédure. Leur absence traduit selon elle une violation du principe d’égalité consacré aux articles 10 et 11 de la Constitution dès lors que ni la défenderesse ni l’APD ne sont autorisées à les contraindre à intervenir à la cause alors même qu’elles jouent un rôle essentiel dans la chaîne des traitements aboutissant aux transferts litigieux vers l’IRS.
- La défenderesse demande la production par les plaignants de la décision de la CNIL du 23 mai 2022 par laquelle cette dernière clôture une plainte similaire à celle aboutissant à la présente décision. Ainsi qu’il sera exposé au point 91, cette pièce a été produite le 29 novembre 2024 par les plaignants.
- La défenderesse considère que les conditions de l’article 96 du RGPD sont réunies et que l’accord « FATCA » lu en combinaison avec la Loi du 16 décembre 2015 dont il est indissociable, respecte le droit de l’UE applicable au 24 mai 2016. Les transferts litigieux vers l’IRS dont elle ne nie pas qu’elle est responsable de traitement ne sont donc entachés d’aucune illicéité et peuvent être opérés.
- La défenderesse argumente que sans préjudice de l’application de l’article 96 du RGPD, l’accord « FATCA » est conforme au RGPD et que sur sa base et celle de la Loi du 16 décembre 2015 les transferts vers l’IRS sont licites.
- La défenderesse se défend de tout manquement à l’obligation d’information qui pèse selon elle sur les banques. Elle n’en informe pas moins les personnes concernées adéquatement via son site Internet
- La défenderesse est d’avis qu’elle n’était pas tenue de réaliser une AIPD compte tenu de la pré-analyse qu’elle avait effectuée.
- La défenderesse considère qu’elle n’a pas violé le principe d’accountability consacré aux articles 5.2 et 24 du RGPD.
I.6.3. L’invitation à l’audition et l’audition des parties
87. Le 28 novembre 2024, les parties sont informées que l'audition est fixée au 11 décembre 2024.
88. La Chambre Contentieuse précise dans son courrier d’invitation qu’elle accède ainsi à la demande d’audition des plaignants et convoque dès lors les parties. La Chambre Contentieuse ne fait donc pas droit à la demande formulée par la défenderesse au point 75 de ses secondes conclusions additionnelles valant conclusions de synthèse de rejeter la demande des plaignants d’être entendus au motif que cette audition serait inutile dès lors que la Chambre Contentieuse reste composée de deux membres, dont le président faisant fonction, ayant assisté à l’audition du 10 janvier 2023 dans le cadre de la phase de la procédure ayant abouti à la décision 61/2023.
89. La Chambre Contentieuse ajoute qu’elle ne fait, au jour de l’envoi et en l’état du dossier, par ailleurs pas droit à la demande de suspension de l’affaire dans l’attente de l’intervention des institutions financières également formulée par la défenderesse au dispositif de ses secondes conclusions additionnelles valant conclusions de synthèse. La Chambre Contentieuse relève qu’à la date de l’invitation, les institutions financières ne sont ni parties, ni intervenues à la procédure.
90. S’agissant enfin de la demande de la défenderesse de suspendre l’affaire dans l’attente de la production par les plaignants de la décision rendue par la présidente de la CNIL le 23 mai 2022, la Chambre Contentieuse constate qu’en réponse à la demande qui leur a été faite en ce sens par la défenderesse dès ses conclusions additionnelles et de synthèse du 2 octobre 2024, les plaignants indiquent qu’ils ne détiennent pas cette décision ni n’en sont les destinataires. La Chambre Contentieuse constate plus largement que les pièces demandées par la défenderesse par la voie de ses conclusions n’ont pas été produites par les plaignants à l’issue du calendrier complémentaire d’échange de conclusions notamment prévu à cet effet. Sans faire droit, à la date de son envoi et en l’état du dossier, à la demande de suspension de la défenderesse pour ce motif, la Chambre Contentieuse accorde aux plaignants un dernier délai pour la production des documents jusqu’au 5 décembre 2024, estimant qu’elle doit disposer de l’ensemble des pièces possiblement pertinentes pour la solution du litige (ou ne peut à tout le moins en être privée).
91. Le 29 novembre 2024, les plaignants produisent la décision de la présidente de la CNIL du 23 mai 2022. 32
92. Le 11 décembre 2024, les parties sont entendues par la Chambre Contentieuse. A l’issue de l’audition, la Chambre Contentieuse décide de la mise en continuation de l’affaire dans l’attente de la production par la défenderesse de la pièce « Notification of adequacy of data safeguards and infrastructure » signée tant par la défenderesse que par l’IRS. En effet, ladite pièce produite au dossier de la défenderesse ne revêtait que la signature des autorités belges en date du 10 janvier 2017. La Chambre Contentieuse indique que l’affaire sera prise en délibéré une fois la pièce reçue.
93. Le 17 décembre 2024, la défenderesse produit la copie signée par les deux parties (l’IRS d’une part et la défenderesse d’autre part) de la « Notification of adequacy of data safeguards and infrastructure » dont question ci-dessus.
94. Le 24 décembre 2024, le procès-verbal de l'audition est soumis aux parties. Les parties indiquent toutes deux à la Chambre Contentieuse (respectivement le 20 janvier 2025 pour la défenderesse et le 23 janvier 2025 pour les plaignants) que ce procès-verbal d’audition n’appelle aucune remarque de leur part.
II. Motivation
II.1. Quant à la compétence de la Chambre Contentieuse de l’APD
95. Le RGPD a notamment confié aux autorités de protection des données (« autorités de contrôle ») de l’UE la mission de traiter les plaintes qui leur sont soumises (article 57.1.f) du RGPD).
96. Lorsqu’elles traitent les plaintes, les autorités de protection des données doivent contribuer à l’application cohérente du RGPD dans l’ensemble de l’UE.
97. En l’espèce, le mécanisme du guichet unique prévu à l’article 56 du RGPD ne trouve pas à s’appliquer compte tenu de l’article 55.2. du RGPD qui prévoit que « lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l'article 6, paragraphe 1, point c) ou e) , l'autorité de contrôle de l'État membre concerné est compétente. Dans ce cas, l'article 56 n'est pas applicable ».
98. La plainte soumise à l’examen de la Chambre Contentieuse porte en effet sur la communication (transfert) (soit un traitement au sens de l’article 4.2 du RGPD) de données personnelles (au sens de l’article 4.1. du RGPD) par une autorité publique belge (la défenderesse) à une autorité publique étrangère (l’IRS) en exécution de l’accord « FATCA » et de la Loi belge du 16 décembre 2015.
99. Ainsi, dès lors qu’il s’agit d’apprécier la conformité d’un accord intergouvernemental bilatéral aux règles de protection des données, et ce même si cet accord est similaire dans son contenu à d’autres accords bilatéraux « FATCA » signés par les Etats-Unis avec d’autres Etats membres de l’UE, l’APD est seule compétente en application de l’article 55 du RGPD et de l’article 4 de la LCA. Il en est de même pour toute autre autorité de protection de données de l’UE saisie de la même question.
100. Contrairement à ce qui est prévu lorsque le mécanisme du guichet unique s’applique, les autorités de protection des données de l’UE n’ont dans ce cas pas de droit de regard sur le projet de décision de l’APD (article 60.1-3 du RGPD). En cas de divergences de vues quant à l’application du RGPD, aucune objection pertinente et motivée au sens de l’article 60.4 du RGPD ne peut être formulée par une autre autorité de protection des données à l’encontre du projet de décision de l’APD et aucune décision contraignante33 prise en application de l’article 65 du RGPD par le Comité européen de la protection des données (ci-après « CEPD ») ne verra le jour en cas de désaccord entre les autorités de protection des données quant à l’application du RGPD au cas d’espèce. Ce constat vaut pour la décision de l’APD mais également pour les décisions qui ont été prises ou qui seront prises à l’avenir par d’autres autorités de protection des données de l’UE sur cette même problématique.
101. Parmi les compétences du CEPD figure également celle de rendre des avis sur la base de l’article 64-2 du RGPD34,. Cependant, la demande de tel avis doit porter sur une question d’application générale et non sur un dossier/un traitement particulier.
102. La non-applicabilité du mécanisme du guichet unique et l’absence de compétence du CEPD pour trancher la question de la conformité de l’accord « FATCA » à la réglementation applicable en matière de protection des données dans l’UE ne dispense pour autant pas l’APD, bien au contraire, d’appliquer le RGPD de la manière la plus cohérente possible.
103. A cet effet, la Chambre Contentieuse aura le plus grand égard aux arrêts pertinents de la CJUE.
104. La Chambre Contentieuse tiendra également le plus grand compte des Lignes directrices et avis pertinents adoptés et rendus publics tant par le Groupe 29 que par le CEPD dont elle était/est un membre et à l’adoption desquels elle a participé en tant qu’autorité (administrative) de protection ces données. S’agissant du CEPD, Il ressort des missions qui lui sont confiées aux termes de l’article 70 du RGPD qu’il a un rôle essentiel à jouer au regard de l’application cohérente des règles que le RGPD édicte au regard des flux transfrontières de données, par l’adoption de Lignes directrices notamment (voy. également le considérant 139).35. Certes, les Lignes directrices du CEPD ne revêtent pas de caractère juridiquement contraignant, à tout le moins pour leurs destinataires. En revanche, elles lient les autorités de protection des données qui les ont adoptées, lesquelles ne peuvent s’en départir sans motif clair sous peine de créer une insécurité juridique pour leurs destinataires, soit tant pour les personnes concernées que pour les responsables de traitement qui s’y seraient conformés (suivant en cela la position des autorités de protection des données au contrôle desquelles, sans préjudice de la compétence des juridictions de l’ordre judiciaire, ces responsables de traitement sont soumis). La Chambre Contentieuse se doit donc de les invoquer lorsqu’elle les estime pertinentes au regard de la plainte dont elle est ici saisie. Il en va de même pour les avis du Groupe 29.36
105. La Chambre Contentieuse ajoute qu’elle n’ignore pas que d’autres autorités de protection des données ainsi que d’autres juridictions administratives, instances de recours des dites autorités de protection des données le cas échéant, se sont déjà prononcées, en sens variés, sur la même problématique du transfert de données à caractère personnel vers l’IRS en exécution d’accords « FATCA ». Dès l’instant où chaque autorité de protection des données demeure exclusivement compétente, elle apprécie, en toute indépendance, le bien-fondé de la plainte qui lui est soumise et n’est pas liée par les positions prises par ses homologues européens au seul motif que ces dernières auraient préalablement été saisies de plaintes similaires. Ainsi qu’il a déjà été mentionné, une cohérence n’en doit pas moins être recherchée.
106. A cet égard, et même si elle aura recours aux arrêts de la CJUE et aux Lignes directrices adoptées par les autorités européenne de protection des données sous l’égide du Groupe 29 et du CEPD, la Chambre Contentieuse ajoute, pour autant que de besoin, qu’elle n’est pas autorisée à saisir la CJUE de questions préjudicielles (article 267 TFUE) même si elle devait estimer, comme elle l’a fait dans sa première décision, qu’une interprétation consacrée par la CJUE d’une disposition du RGPD s’avère nécessaire à la solution du litige dont elle est saisie ainsi que pour éviter des applications divergentes du RGPD au regard de plaintes similaires.
II.2. Quant à la composition de la Chambre Contentieuse
107. Ainsi qu’elle l’a exposé au point 71, le président de la Chambre Contentieuse H. Hijmans adopte le 20 mars 2024 une décision relative à la composition de la Chambre Contentieuse pour la reprise de l’affaire, ce sur la base de l’article 43 du RoI37.
108. Cette décision a été prise par le président H. Hijmans dans le respect de l’article 43 du RoI, la LCA renvoyant en son article 33.238 au RoI pour tout ce qui concerne la composition de la Chambre Contentieuse.
109. Quant à cette composition, La Chambre Contentieuse relève que la défenderesse est d’avis que les 2 membres ayant déjà siégé lors de l’adoption de la décision 61/2023 sont en conflit d’intérêt, qu’ils composent la majorité du siège renouvelé et que l’un d’eux (Monsieur Y. Poullet) le préside de surcroît désormais, ce qui est d’autant plus critiquable. La défenderesse ajoute que la nomination du président est par ailleurs un privilège de la Chambre des représentants. En synthèse, la défenderesse estime que cette composition qui ne compte qu’un seul membre nouveau ne remplit pas la condition de « Chambre Contentieuse autrement composée » énoncée par la Cour des marchés dans son arrêt du 20 décembre 2023 et est également contraire au principe d’impartialité.
110. Au dispositif de ses secondes conclusions additionnelles valant conclusions de synthèse, la défenderesse demande ainsi à la Chambre Contentieuse de « dire pour droit que Monsieur Yves Poullet ne démontre pas les pouvoirs dont il se prévaut, que la Chambre Contentieuse ne respecte pas l’arrêt de la Cour des marchés du 20 décembre 2023 en ce qu’elle n’est pas autrement composée et que Monsieur Yves Poullet doit se déporter ». Elle demande de « fixer à nouveau la cause avec une Chambre Contentieuse autrement constituée ».
111. Quant au plaignant, il conclut que la Chambre Contentieuse est effectivement « autrement composée » conformément à la demande de la Cour des marchés et s’en remet à la compétence de la Chambre Contentieuse quant à ce.
112. Ainsi qu’il a été précisé dans la décision du 20 mars 2024 (points 71 et s.), la composition de la Chambre Contentieuse pour la reprise de ce dossier est basée sur un certain nombre de considérations lesquelles sont explicitées ci-dessous.
113. Quant à la décision de siéger à 3 membres : la conformité au RGPD de transferts de données personnelles opérés par une administration publique en exécution d’un accord intergouvernemental encadrant un échange automatique de renseignements en matière fiscale conclu avec les Etats-Unis relève d’un enjeu important s’ agissant d’une question de protection des données personnelles transférées vers un pays tiers à l’Union européenne et qui s’inscrit dans un contexte lié à un intérêt public de l’Etat par ailleurs ainsi que la Cour des marchés l’a souligné dans son arrêt du 28 juin 2023 notamment. Cet enjeu a, comme prévu à l’article 43 du RoI déjà cité, justifié le premier siège à 3 membres. La première décision ayant été adoptée avec un tel siège, il n’est pas apparu pertinent au président (H. Hijmans) de la Chambre Contentieuse de réduire son siège à un membre unique. Cette composition à 3 membres s’inscrit dans la pratique39 de la Chambre Contentieuse (basée sur son RoI comme il vient d’être rappelé) qui est, sauf rares exceptions, de traiter les affaires quant au fond, soit celles qui présentent un enjeu important et requièrent l’échange conclusions, avec un siège de 3 membres.40
114. A supposer même que la Chambre Contentieuse ait dérogé à sa pratique et opté pour un siège à membre unique, ce membre aurait nécessairement dû appartenir au rôle linguistique francophone de la Chambre Contentieuse, la langue de la procédure étant en l’espèce le français (voy. infra). Deux cas de figure se seraient alors présentés : (1) dès lors que le seul membre francophone n’ayant pas siégé lors de l’adoption de la décision 61/2023 avait un conflit d’intérêt ou pouvait être perçu comme tel (voy. infra), un des deux membres francophones ayant déjà siégé aurait siégé seul ; ou (2) le président H. Hijmans étant le seul membre de la Chambre Contentieuse considéré comme étant bilingue41 ou n’appartenant pas exclusivement à l’un ou l’autre rôle linguistique, la seule alternative eut été le maintien du président H. Hijmans siégeant seul. Ces options n’auraient donc pas été conformes à la condition posée par la Cour des marchés d’une « Chambre Contentieuse autrement composée » puisque dans un cas comme dans l’autre, le membre siégeant seul aurait déjà siégé lors de l’adoption de la décision 61/2023.
115. Quant à la langue de la présente procédure, il n’est pas contesté que celle-ci est le français.
La plainte a été déposée en français ( les pièces déposées à l’appui de celle-ci, en ce compris la correspondance échangée avec la défenderesse, étaient également en français) et il s’en est suivi une correspondance de la Chambre Contentieuse en français, une enquête du SI en français et des conclusions déposées par chacune des parties en français. Les parties se sont également exprimées dans cette langue lors des auditions et la décision 61/2023 a été adoptée en français également.
116. S’agissant de la décision de maintenir un siège majoritairement composé de membres francophones42 (soit 2 sur 3), la Chambre Contentieuse a, dans le respect du principe de sécurité juridique, suivi la pratique à laquelle elle s’était tenue jusque-là et à laquelle elle s’était publiquement engagée aux termes de sa Note relative à la politique linguistique43.
Cette pratique consiste à confier l’affaire à un siège majoritairement composé de membres appartenant au rôle linguistique de la langue de l’affaire en cas de siège à 3 membres, le président étant considéré - ainsi qu’il a déjà été mentionné - comme n’appartenant spécifiquement à aucun de ces rôles ou aux deux. La Chambre Contentieuse a rendu cette Note publique sur son site Internet du 1er janvier 2021 au 17 décembre 2024.44. Au moment de la prise de décision du 20 mars 2024 relative à la composition renouvelée de la Chambre Contentieuse dans ce dossier, cette note était donc publiquement disponible depuis plus de 3 ans déjà. Le président de la Chambre Contentieuse (H. Hijmans) a fait application de son contenu reproduit ci-dessous, estimant qu’il n’existait pas d’éléments justifiant d’y déroger45.
117. L’application du RoI sur ce point offre ainsi dans l’hypothèse d’une procédure en langue française comme en l’espèce, les possibilités suivantes:
- soit la Chambre Contentieuse est constituée du président H. Hijmans (bilingue), d’un membre francophone et d’un 3ème membre soit francophone soit néerlandophone (option 1) ;
- soit la Chambre Contentieuse est constituée, en l’absence du président H. Hijmans, de deux membres francophones et d’un 3ème membre soit francophone, soit néerlandophone (option 2).
118. L’application de ces deux scénarios conduisait en l’espèce, compte tenu du conflit d’intérêts (ou de la perception d’un tel conflit) dans le chef du 3ème membre francophone de la Chambre Contentieuse seul à n’avoir pas siégé lors de l’adoption de la décision 61/2023 (points 73 et 122), aux options suivantes :
- une Chambre Contentieuse composée du président H. Hijmans ayant déjà siégé dans la décision 61/2023, d’un membre francophone ayant déjà siégé dans la décision 61/2023 et d’un 3ème membre nouveau : soit à un siège composé de deux membres ayant déjà siégé dont le président H. Hijmans (option 1) ;
- une Chambre Contentieuse composée de deux membres francophones ayant déjà siégé dans la décision 61/2023 et d’un troisième membre nouveau nécessairement néerlandophone, tout 3ème membre francophone étant exclu pour motif de conflit d’intérêt : soit comme dans l’option 1, à un siège composé de deux membres ayant déjà siégé mais sans le président H. Hijmans (option 2).
119. En l’absence de disposition spécifique quant à ce, le président H. Hijmans a choisi de se déporter. Cette décision, outre qu’elle relève de son pouvoir discrétionnaire, n’est pas plus critiquable que celle qui aurait consisté à continuer à siéger. C’est donc l’option 2 qui a été consacrée, laquelle a conduit, comme cela aurait été le cas dans l’option 1, à un renouvellement nécessairement partiel de la composition du siège de la Chambre Contentieuse.
120. S’agissant de la qualité de président que revêt Monsieur Y. Poullet dans la composition renouvelée, la Chambre Contentieuse est d’avis qu’à suivre la critique de la défenderesse selon laquelle la fonction de président est le privilège de la Chambre des représentants, la composition de la Chambre devrait toujours inclure le président H. Hijmans. Cette position n’est pas tenable, le président pouvant être empêché ou absent, ces situations étant par ailleurs prévues tant par le RoI46 que par la Note de politique linguistique déjà citées 47.
121. Quant au fait que c’est effectivement un membre ayant précédemment siégé qui préside désormais le siège (Monsieur Y. Poullet), la Chambre Contentieuse a également ici suivi sa Note relative à la politique linguistique. Il en découle en effet que la présidence du siège revient soit au président H. Hijmans bilingue, soit en son absence, à un membre appartenant au rôle linguistique dans lequel le dossier est traité . La langue de la procédure étant en 48 l’espèce le français, la présidence du siège renouvelé revient donc à un membre francophone – ayant déjà siégé pour les raisons qui viennent d’être exposées sur cet aspect.
122. Quant au conflit d’intérêt dans le chef du seul membre francophone n’ayant pas siégé pour l’adoption de la décision 61/2023, la Chambre Contentieuse précise que cette prérogative d’écarter un des membres de la Chambre Contentieuse pour un motif de conflit d’intérêt relève du président de la Chambre Contentieuse. (article 58 du RoI déjà cité).
123. En conclusion, la Chambre Contentieuse ne comptant que 2 membres francophones pouvant potentiellement siéger - étant ceux ayant déjà siégé pour l’adoption de la décision 61/2023 -, le président H. Hijmans n’avait, dans le respect des dispositions de la LCA, du RoI et de la Note de politique linguistique de la Chambre Contentieuse, d’autre choix que de les désigner, ces derniers étant indispensables à une composition de la Chambre Contentieuse « autrement composée » à trois membres dont deux membres francophones, la langue de la procédure étant le français. Un 3ème membre nécessairement néerlandophone est venu compléter le siège.
124. Comme indiqué dans la décision du 20 mars 2024, il en résulte que la modification du siège de la Chambre Contentieuse adoptant la présente décision est nécessairement partielle 49 et qu’il ne peut lui être fait grief de ne pas avoir respecté la demande de la Cour des marchés d’une « Chambre Contentieuse autrement composée ».
125. La Chambre Contentieuse ajoute qu’en toute hypothèse, et sans préjudice de ce qui précède, lorsqu’ils siègent à 3, les membres - à qui en l’espèce aucun grief concret tiré d’un manque d’impartialité n’est opposé - adoptent une décision collégiale. Cette collégialité répond à l’exigence de la Cour des marchés d’asseoir la décision sur une forte motivation et il n’est nulle part prévu que la voix du président du siège est prépondérante.
126. Partant, il n’y a, à l’appui de ce qui précède, pas lieu de faire droit à la demande de la défenderesse de fixer à nouveau la cause avec une Chambre Contentieuse autrement constituée, ni à celle que Monsieur Yves Poullet se déporte.
II.3. Quant à l’absence des institutions financières à la procédure
127. La défenderesse critique « l’absence de parties intervenantes à la cause » (titre 6.2 de ses secondes conclusions additionnelles valant conclusions de synthèse), visant par-là les institutions financières. Ainsi qu’il a déjà été mentionné (point 86), la défenderesse sollicite même que la Chambre Contentieuse suspende l’examen de la plainte dans l’attente de la mise à la cause de ces dernières.
128. Compte tenu de leur rôle dans la chaîne de traitements aboutissant au transfert des données à l’IRS, la défenderesse estime qu’ « il appartenait aux plaignants d’orienter leurs plaintes à l’encontre des institutions financières » (point 12 des secondes conclusions additionnelles valant conclusions de synthèse) tout en reconnaissant que la procédure devant l’APD ne prévoit pas d’intervention forcée « de sorte que seules les parties plaignantes peuvent orienter leur plainte vers les parties qu’elles choisissent de manière arbitraire ». La défenderesse ajoute que cette situation la prive de pouvoir exercer ses droits de la défense de la même manière que les plaignants qui, quant à eux, peuvent choisir leur cible en la privant de la possibilité d’appeler à la cause d’autres parties. Il y a donc selon la défenderesse une violation des articles 10 et 11 de la Constitution.
129. Quant aux plaignants, ils concluent que les institutions financières ne sont pas parties à la cause non « pour cause de conflit d’intérêt avec le conseil des plaignants » comme le prétend la défenderesse (points 136-137) mais parce que ce ne sont pas les institutions financières qui sont responsables du traitement dénoncé consistant à transférer les données à l’IRS.
130. Comme exposé aux points 87 et s., la Chambre Contentieuse n’a, dans sa lettre d’invitation à l’audition du 28 novembre 2024, en l’état du dossier à cette date, pas fait droit à la demande de suspension de la défenderesse. Constatant que les institutions financières n’étaient ni parties ni intervenues à la cause, la Chambre Contentieuse a convoqué les parties, les a auditionnées et a pris l’affaire en délibéré.
131. La Chambre Contentieuse ne peut en effet exiger que l’une ou l’autre partie intervienne à la procédure. En l’état actuel de la législation, aucun mécanisme d’intervention forcée comparable à celui que connaissent les juridictions de l’ordre judiciaire n’est prévu par sa procédure (laquelle n’est, sauf exceptions qui ne trouvent pas à s’appliquer ici tenant par exemple au calcul de certains délais, pas soumise au Code judiciaire). La Chambre Contentieuse constate aussi que le SI à qui elle a demandé une enquête n’a pas étendu le périmètre de son investigation en mettant à la cause les institutions financières comme il est, en exécution de son pouvoir d’appréciation propre, autorisé quant à lui à le faire en exécution de l’article 72 de la LCA. L’absence de mise en cause des institutions financières relève dès lors d’un choix autonome du SI, qui ne saurait être imputé à la Chambre Contentieuse50. La Chambre Contentieuse n’est par ailleurs pas compétente pour connaître de griefs tirés d’une violation des articles 10 et 11 de la Constitution invoqués par la défenderesse et ainsi exercer un contrôle de constitutionnalité de sa procédure telle que prévue par le législateur au regard de ces dispositions. Ce contrôle sort de sa compétence matérielle délimitée par la LCA et le RGPD.
132. La Chambre Contentieuse est d’avis que la mise à la cause de la seule défenderesse, à l’exclusions de celle des institutions financières, n’exclut en toute hypothèse pas la pertinence de l’examen de la plainte et une prise de décision à l’encontre de cette dernière à l’issue de la présente procédure qui a été menée conformément aux principes d’impartialité, d’indépendance et de contradictoire et qui n’est pas entachée par l’absence des banques à la cause.
133. Dans la section qui suit consacrée à la qualité de responsable de traitement de la défenderesse (titre II.4), la Chambre Contentieuse démontre que la défenderesse est tenue à des obligations propres en sa qualité de responsable de traitement au regard du traitement qu’elle opère, soit le transfert des données personnelles à l’IRS (qualité de responsable de traitement que la défenderesse reconnait explicitement par ailleurs). Le fait que les banques soient elles aussi tenues à un certain nombre d’obligations découlant à leur tour de leur qualité de responsable de traitement au regard de la collecte des données et de leur transmission à la défenderesse, ne dispense ni ne diminue ipso facto pour autant les responsabilités propres de la défenderesse. Si cela devait légitimement être le cas, la Chambre Contentieuse en tient compte dans sa décision51.
134. De manière plus générale, il n’incombe pas à l’APD de mettre à la cause toutes les acteurs liés à une problématique. La Chambre Contentieuse rappelle que la Cour des marchés qui connait des appels de ses décisions, ne sanctionne pas le choix procédural du plaignant ou de l’autorité de ne pas impliquer toutes les parties liées et de ne pas solliciter une investigation du SI pour toutes les parties. En revanche, la Cour des marchés estime que les poursuites et sanctions doivent être dirigées contre une partie qui est reconnue comme responsable de traitement ce qui est le cas de la défenderesse en l’espèce.
135. Dans un arrêt du 13 décembre 2024, la Cour administrative du Grand-Duché du Luxembourg saisie d’un recours contre une décision adoptée par l’Administration des Contributions Directes (ACD) ayant également trait à l’envoi de données à caractère personnel à l’IRS en l’application de l’accord « FATCA » et de la législation luxembourgeoise pertinente. indique dans le même sens ce qui suit52 :
« En l’espèce, les appelants contestent en substance la légalité du transfert des données aux Etats-Unis d’Amérique (cf. « ce transfert de données méconnait plusieurs principes clés du droit à la protection des données personnelles » dans la demande des appelants adressée à l’ACD), mais non pas la communication des mêmes données par les institutions financières luxembourgeoises à l’ACD. Or, eu égard à l’article 3, paragraphe (3), de la loi du 24 juillet 2015 cité ci-avant, c’est l’ACD, en tant qu’auteur dudit transfert des données collectées vers les Etats-Unis, qui est à considérer comme responsable de ce traitement.
Il y a donc lieu d’écarter comme non fondé le reproche de l’Etat relatif à l’absence de mise en intervention des institutions financières luxembourgeoises impliquées dans la collecte des données faisant l’objet du transfert, étant donné que les traitements de données personnelles effectués par elles ne font pas l’objet des critiques des appelants. Il y a lieu d’ajouter que l’Etat ne s’est pas prononcé sur les conséquences juridiques qu’il entendait attacher à ce reproche et qu’en l’espèce, il n’existe de toute manière pas d’obligation à charge des administrés de poursuivre tous les responsables potentiels de la violation qu’ils allèguent ».
136. Parce que la défenderesse l’a soulevé dans ses conclusions, la Chambre Contentieuse ajoute encore ce qui suit. La défenderesse souligne que lors de l’audition devant la Chambre Contentieuse du 10 janvier 2023 (étant celle ayant précédé l’adoption de la décision 61/2023), le conseil des plaignants a précisé que les plaignants n’avaient pas porté plainte contre les institutions financières en raison d’un conflit d’intérêt, son cabinet ou lui-même étant par ailleurs le conseil de plusieurs de ces institutions financières. En conséquence, la défenderesse en conclut qu’il y a lieu, dans le chef des conseils des plaignants, de mettre fin à leur intervention dans ce dossier, ce, dans le respect du principe d’indépendance et de loyauté.
137. La Chambre Contentieuse relève que cette demande est directement adressée aux conseils des plaignants, lesquels ont maintenu leur intervention dans ce dossier nonobstant cette demande. Pour autant que de besoin la Chambre Contentieuse indique qu’elle n’est pas compétente pour conclure à l’existence ou non d’un conflit d’intérêts dans le chef des avocats des plaignants ce, indépendamment du désaccord entre les parties sur les propos tenus lors de l’audition du 10 janvier 2023 quant à ce53. La question de savoir si les avocats des plaignants doivent se déporter dans cette affaire ne ressort pas de sa compétence, pas plus que ne l’est celle de donner injonction aux conseils des plaignants de se retirer. Il n’apparait en toute hypothèse pas à la Chambre Contentieuse que l’existence d’un conflit d’intérêts dans le chef des conseils des plaignants entacherait la présente décision d’illégalité, la question de l’absence des institutions financières ne l’entachant pas ainsi qu’il a été exposé ci-dessus.
138. En conclusion quant à ce, la Chambre Contentieuse considère que c’est à bon droit qu’elle ne suspend pas l’examen de la plainte compte tenu de l’absence des institutions financières à la cause et qu’elle adopte la présente décision à l’égard de la seule défenderesse.
II.4. Quant à la qualité de responsable de traitement de la défenderesse
139. La Chambre Contentieuse relève que tout au long de la procédure, la défenderesse indique qu’elle revêt la qualité de responsable de traitement pour ce qui est du transfert des données personnelles à l’IRS à l’appui de l’article 13.2 de la Loi du 16 décembre de 2015 qui la qualifie explicitement comme tel (voy. en particulier le point 17 de ses secondes conclusions additionnelles et de synthèse).
140. S’agissant d’une qualification déterminante au regard du RGPD et pour les obligations qui en découlent, la Chambre Contentieuse s’emploiera ci-dessous à vérifier la qualité de responsable de traitement de la défenderesse, nonobstant la reconnaissance de cette dernière quant à ce au regard du transfert à l’IRS.54.
141. La Chambre Contentieuse constate ainsi que l’article 13.2. de la Loi du 16 décembre 2015 prévoit que :
« § 2. Pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE, et de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, chaque Institution financière déclarante et le SPF Finances sont considérés comme étant "responsable du traitement" de "données à caractère personnel" pour ce qui concerne les renseignements visés par la présente loi qui sont relatifs à des personnes physiques. 55».
142. La défenderesse est donc expressément qualifiée de responsable de traitement aux termes de la Loi du 16 décembre 2015. Depuis la modification intervenue par la Loi du 20 novembre 2022, il y est expressément fait référence au RGPD.
143. L’article 4.7. du RGPD énonce ainsi qu’est responsable de traitement « la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement ». L’article 4.7. ajoute que « lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre »56. C’est le cas de la défenderesse aux termes de l’article 13.2 de la Loi du 16 décembre 2015 précité.
144. Ainsi que le CEPD le souligne dans ses Lignes directrices relatives aux notions de responsable de traitement et de sous -traitant dans le RGPD57, la Chambre Contentieuse considère que lorsque le responsable du traitement est spécifiquement identifié par la loi, cette désignation est déterminante pour définir qui agit en tant que responsable du traitement. Cela présuppose en effet que le législateur a désigné comme responsable du traitement l’entité qui est véritablement en mesure d’exercer le contrôle. En revanche, la Chambre Contentieuse ne peut souscrire à l’argument des plaignants selon lequel dès lors que l’Etat belge aurait négocié l’accord « FATCA », il est responsable des traitements qui en résulte. Comme c’est le cas pour la Loi belge du 16 décembre 2015, la qualité de responsable de traitement de la défenderesse découle de ce que l’accord « FATCA » lui confie (en qualité de « Competent Authority ») le traitement qui consiste à opérer le transfert de données à l’IRS.
145. Dans sa défense, la défenderesse met en évidence qu’elle n’a pas accès au contenu du « ballot » de données qu’elle reçoit des institutions financières (ici de la banque Z du plaignant) en vue du transfert de ces données vers l’IRS et ce, au titre de mesure organisationnelle visant à garantir la sécurité et l’intégrité des données 58, limitant son intervention à un rôle logistique de « préparation » de l’envoi. Ainsi qu’il a déjà été mentionné, la défenderesse n’en reconnait pas moins sa qualité de responsable de traitement (point 139). Elle ne peut se soustraire à ses obligations de responsable de traitement du fait de l’absence d’accès aux dites données.
146. Pour autant que de besoin, la Chambre Contentieuse rappelle que la circonstance que la défenderesse n’a pas accès aux données communiquées est sans incidence sur sa qualité de responsable de traitement ainsi que la CJUE l’a précisé dans son arrêt Google Spain et Google du 13 mai 2014 ainsi que dans son arrêt IAB du 7 mars 2024.59
147. En conclusion, et à l’appui de la lecture combinée de l’article 4.7 du RGPD et de l’article 13.2. de la Loi du 16 décembre 2015, la Chambre Contentieuse retient la qualification de responsable de traitement dans le chef de la défenderesse au regard du traitement de données mis en cause par les plaignants, soit la communication (transfert) de données personnelles à l’IRS.
148. Quant aux institutions financières (comme en l’espèce la banque Z du plaignant), elles ne sont pas, comme déjà mentionné, parties à la procédure (titre II.3). Elles n’en jouent pas moins un rôle important dans la chaîne des traitements de données qui s’opèrent dans le cadre de l’exécution de l’accord « FATCA » et de la Loi du 16 décembre 2015. Comme le souligne la défenderesse (voy. le point 17 de ses secondes conclusions additionnelles valant conclusions de synthèse), ce sont elles qui dans un premier temps, s’assurent du statut des titulaires de comptes concernés par l’obligation de communication de données à la défenderesse. Ce sont elles qui collectent les données requises en application de l’article 2.2. de l’accord « FATCA » et de l’article 5 de la Loi du 16 décembre 2015 et les transmettent ensuite à la défenderesse qui, à son tour, opère le transfert vers l’IRS. A ce titre, les institutions financières sont également qualifiées de responsable de traitement par le législateur belge pour les besoins de la Loi du 16 décembre 2015. Comme elle l’expose au point 133, la Chambre Contentieuse tient compte dans le respect du RGPD, de l’éventuelle répartition des obligations prévue par la loi entre les institutions financières d’une part et la défenderesse d’autre part et des conséquences de celle-ci. En d’autres termes, s’il devait y avoir pour la défenderesse des conséquences en termes d’obligation résultant d’obligations propres aux institutions financières, la Chambre Contentieuse en tient compte dans la présente décision.
II.5. Quant à l’article 96 du RGPD
149. L’article 96 du RGPD est incontestablement au cœur de la discussion sur la légalité des transferts de données personnelles vers l’IRS dénoncés par les plaignants.
150. Ainsi, le SI soulève l’applicabilité de l’article 96 du RGPD et décide de ne pas poursuivre plus avant son enquête, faute de violation apparente du RGPD, constatant, ainsi qu’il a déjà été exposé aux points 31 et s., que la CPVP et le CSAF avaient favorablement apprécié la Loi du 16 décembre 2015 et autorisé le flux.
151. Quant à la défenderesse, elle soutient sur la base de l’article 96 du RGPD, et dans la lignée des constats du SI rappelés ci-dessus, que l’accord « FATCA », indissociable de la Loi du 16 décembre 2015, respecte le droit de l’UE applicable au 24 mai 2016. La défenderesse s’estime donc, en exécution de l’article 96 du RGPD, autorisée à fonder le transfert à l’IRS des données du premier plaignant et celles des Américains accidentels que représente la seconde plaignante, sur la base de ces textes (point 86).
152. Au vu des constats du SI, des arguments de la défenderesse pris à l’appui de cet article et de leur contestation par les plaignants, la Chambre Contentieuse estime nécessaire d’examiner l’objectif, la portée et les conditions d’application de l’article 96 du RGPD. Elle s’y emploie dans les paragraphes qui suivent.
153. L’article 96 du RGPD se lit comme suit :
« Les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales qui ont été conclus par les États membres avant le 24 mai 2016 et qui respectent le droit de l'Union tel qu'il est applicable avant cette date restent en vigueur jusqu'à leur modification, leur remplacement ou leur révocation »60.
154. La Chambre Contentieuse rappelle qu’en optant pour un règlement (le RGPD) appelé à se substituer à une directive (la Directive 95/46/CE), les co-législateurs européens ont choisi de renforcer l’harmonisation des règles de protection des données à caractère personnel dans l’UE. Contrairement à la directive, le règlement est en effet directement applicable dans l’ordre juridique interne de chaque Etat membre. Le RGPD poursuit également l’objectif de renforcer l’effectivité du droit à la protection des données, consacré au rang de droit fondamental entre-temps par la Charte des droits fondamentaux de l’UE du 7 décembre 2000 (article 8).
155. En prévoyant l’entrée en application du RGPD le 25 mai 2018, soit deux ans après son entrée en vigueur le 24 mai 2016 (article 99 du RGPD), et une abrogation de la Directive 95/46/CE à cette même date (article 94 du RGPD), les co-législateurs européens ont non seulement accordé un délai de mise en conformité de deux ans pour les nouvelles obligations du RGPD mais également clairement signifié qu’au 25 mai 2018, les traitements de données en cours devraient respecter l’ensemble des dispositions du RGPD. Le considérant 171 du RGPD illustre cet objectif et prévoit à cet égard que « les traitements déjà en cours à la date d’application du règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après son entrée en vigueur »61.
156. Cette mise en conformité est indispensable à la réalisation de l’objectif d’harmonisation forte poursuivi par le RGPD et au renforcement de la protection du droit fondamental qu’il met en œuvre. A défaut de mise en conformité des traitements en cours avant l’entrée en application du RGPD avec celui-ci, deux régimes de protection coexisteraient. Ceci serait, par essence, contraire à la nature même du règlement et a fortiori, à celle d’un droit fondamental.
157. Le régime prévu par l’article 96 du RGPD fait à cet égard figure d’exception puisqu’il autorise le maintien d’accords internationaux conclus avant le 24 mai 2016 (à la condition certes que ceux-ci respectent le droit de l’UE applicable à cette date) jusqu’à leur possible modification, remplacement ou révocation, ce même s’ils ne sont pas conformes au RGPD,
158. La Chambre Contentieuse est d’avis que c’est à la lumière de la ratio legis du RGPD dans son ensemble, et en particulier des dispositions transitoires relevées ci-dessus (articles 94 et 99), qu’il faut appréhender le régime prévu par l’article 96 du RGPD, tant dans son champ d’application matériel (rationae materiae) que dans son application dans le temps ainsi qu’in fine, dans l’appréciation de la satisfaction de la condition essentielle qu’il pose, soit « la conformité au droit de l’Union à la date du 24 mai 2016 ».
159. Quant au champ d’application matériel, seul le contenu de l’accord international conclu par l’Etat membre est visé par l’article 96 du RGPD dont le libellé cible sans équivoque « les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ».
160. Sans préjudice de toute conclusion qu’il y en aurait à tirer en termes de conformité, l’accord « FATCA » ne prévoyant pas de disposition spécifique concernant l’obligation d’information par exemple, celle-ci est nécessairement exclue du champ d’application de l’article 96 du RGPD. La défenderesse est donc tenue des articles 12 et 14 du RGPD (s’agissant d’une collecte indirecte – voy. infra titre II.6.3). Quant aux obligations découlant de l’article 35 du RGPD (AIPD) ainsi que des articles 5.2 et 24 (accountability), il s’agit d’obligations nouvelles qui trouveront pleinement à s’appliquer. Elles sont en effet inexistantes dans l’accord
« FATCA » de 2014 et découlent des obligations mises à charge de la défenderesse en sa qualité de responsable de traitement depuis le 24 mai 2018.
161. En d’autres termes, l’application de l’article 96 du RGPD est circonscrite au contenu de l’accord seul. La lettre de l’article 96 est claire sur ce point et cette lecture est par ailleurs conforme à la ratio legis de l’article 96 qui, ainsi que la Chambre Contentieuse l’exposera ci-dessous, vise à préserver les droits acquis par les pays tiers aux termes des dits accords, non à dispenser la défenderesse de ses obligations autonomes découlant du RGPD.
162. La Chambre Contentieuse précise ici d’emblée que le principe d’accountability (qui consiste pour le responsable de traitement à mettre en place les mesures techniques et organisationnelles destinées à satisfaire les exigences du RGPD ainsi qu’à en rendre compte) inclut pour la défenderesse l’obligation de démontrer qu’elle était dans les conditions pour invoquer l’application de l’article 96 du RGPD, le principe d’accountability portant sur l’ensemble du texte du RGPD.
163. La Chambre Contentieuse vérifiera ainsi si la défenderesse est effectivement fondée à conclure que l’accord « FATCA » respecte le droit de l’UE applicable à la date du 24 mai 2016 et le démontre. La Chambre Contentieuse estime en effet qu’elle est d’abord tenue de vérifier si l’accord « FATCA » est conforme droit de l’UE applicable à la date du 24 mai 2016.
Ce n’est que si elle conclut que ce n’est pas le cas qu’elle examinera la conformité des transferts opérés par la défenderesse au RGPD, et partant le droit pour la défenderesse de poursuivre ces transferts en exécution de l’accord. La Chambre Contentieuse estime que cette lecture est la seule qui respecte la volonté des co-législateurs européens d’accorder un temps plus long aux Etats membres pour se mettre en conformité au regard de leurs engagements internationaux ainsi qu’il résulte des travaux préparatoires du RGPD (voy. infra).
164. Ainsi, la Chambre Contentieuse ne souscrit pas à l’analyse du Conseil d’Etat français qui, saisi d’un recours contre une décision de la CNIL consécutive à une plainte ayant également trait à l’accord « FATCA », a, dans un arrêt du 19 juillet 2019, pour sa part une autre lecture de l’article 96 du RGPD62 :
« Il résulte clairement de ces dispositions que les auteurs du règlement ont entièrement déterminé les conditions de la relation entre le droit de l'Union européenne et les accords conclus antérieurement à sa signature qui impliquent le transfert de données personnelles vers des Etats tiers. Il y a lieu, pour l'application de cet article (soit l’article 96 du RGPD, de rechercher, dans un premier temps, si l'accord du 14 novembre 2013 respecte les dispositions du règlement du 27 avril 2016, qui sont d'effet direct, et seulement dans l'hypothèse où tel ne serait pas le cas, de vérifier, dans un second temps, si cet accord respecte le droit de l'Union européenne tel qu'il était applicable avant la signature du règlement ».
165. La Chambre Contentieuse ne souscrit dès lors pas davantage à la lecture qu’en faisait la défenderesse elle-même dans sa décision du 4 octobre 2021. Ainsi, après avoir indiqué au plaignant le 30 mars 2021 qu’il lui incombait de démontrer que l’accord « FATCA » violait la Directive 95/46/CE » (point 16), la défenderesse reprend dans sa décision du 4 octobre 2021 les termes de l’arrêt du Conseil d’Etat français du 19 juillet 2019 précité selon lesquels il y a lieu de d’abord vérifier la conformité de l’accord « FATCA » au RGPD (point 18). La Chambre Contentieuse constate que la défenderesse a toutefois remodifié sa lecture aux termes des conclusions déposées dans le cadre de la présente procédure et partage désormais celle que la Chambre Contentieuse expose au point 163 ci-dessus.
166. Ces divergences montrent qu’alors qu’il peut sembler clair dans sa formulation et qu’il prévoit un régime tout à fait spécifique, l’article 96 du RGPD n’est ni uniformément compris ni uniformément appliqué. Cette différence n’est pas anodine dès lors que selon l’une ou l’autre lecture, le texte de référence est soit la Directive 95/46/CE (abrogée depuis 7 ans) soit le RGPD (un règlement offrant une protection renforcée) dont la Directive 95/46/CE viendrait combler les trous s’il ne devait pas être totalement respecté.
167. Pour autant qu’ils respectent le droit de l’UE applicable au 24 mai 2016, les accords internationaux impliquant des transferts de données personnelles vers des pays tiers restent en vigueur « jusqu’à leur modification, leur remplacement ou leur abrogation », même, ainsi qu’il déjà été souligné, s’ils ne respectent pas le RGPD.
168. Pour autant, la Chambre Contentieuse considère pour les motifs développés ci-après, qu’il serait contraire au droit de l’Union de considérer que ce régime de l’article 96 a vocation à s’appliquer de manière indéfinie dans le temps.
169. L’article 96 du RGPD vise à préserver les droits des pays tiers : iI est certain que négocier un accord international prend du temps et que les droits acquis par un pays tiers partie à un accord international ne peuvent être purement et simplement immédiatement supprimés du fait de l’entrée en application d’une nouvelle législation alors que cet accord était conforme au droit de l’UE au moment de sa conclusion. Les travaux préparatoires du Conseil, cités par la défenderesse par ailleurs, exposent ainsi que l’article 96 « garantit la sécurité juridique aux responsables de traitement et évite une charge administrative inutile pour les Etats membres. Elle tient également compte du fait que les Etats membres sont tributaires de la coopération du pays tiers ou de l’organisation i internationale concerné pour modifier les accords existants ».
170. Sans préjudice de ce qui vient d’être exposé, les États membres de l’UE n’en sont pas moins tenus de se mettre en conformité avec le droit de l’UE. Cette obligation résulte de l’art 4.3 du Traité de l’Union européenne (TUE) qui consacre notamment le principe de la coopération loyale des Etats membres63. L’article 4.3 du TUE s’impose à ces derniers, y compris à leurs autorités de protection des données indépendantes chargées de missions fondées sur le droit européen applicable (article 8.3 de la Charte des droits fondamentaux de l’Union et articles 51 et s. du RGPD).64
171. L’article 96 du RGPD s’inscrit à cet égard dans la lignée de l’article 351 du Traité sur le Fonctionnement de l’UE (TFUE)65 au regard duquel la CJUE a déjà tranché que :
- D’une part, « les droits et les obligations résultant d’une convention conclue antérieurement à la date d’adhésion d’un État membre entre ce dernier et un État tiers ne sont pas affectés par les dispositions du traité. Cette disposition [lisez l’article 351 du TFUE] a pour objet de préciser, conformément aux principes du droit international, que l’application du traité n’affecte pas l’engagement de l’État membre concerné de respecter les droits des États tiers résultant d’une convention antérieure et d’observer ses obligations »66 .
- D’autre part, les pratiques doivent être mises en conformité avec le droit européen, l’Etat membre en cause étant tenu de recourir à tous les moyens appropriés pour éliminer les incompatibilités constatées « sauf si cette pratique est nécessaire pour assurer l'exécution par l'État membre concerné d'obligations envers des États tiers résultant d'une convention conclue antérieurement 67».
172. Il résulte de cette position de la CJUE que “the meaning of the two paragraphs [lisez de l’article 351 TFUE] have been reconciled, and it is now safe to affirm that art. 351(1) TFEU provides temporary protection to allow the Member States not to incur international responsibility while the ultimate goal established by art. 351(2) TFEU (that is, the removal of all incompatibilities) is achieved in a sustainable (for the Member State involved) and lawful (from an international law perspective) manner 68”.
173. La Chambre Contentieuse ne peut dès lors souscrire à une interprétation selon laquelle l’article 96 du RGPD autoriserait, sans limite aucune dans le temps, le maintien en application d’accords internationaux conclus avant le 24 mai 2016 - fussent ceux-ci respectueux du droit de l’UE à cette même date - sans autre mise en conformité avec le RGPD. A suivre une telle interprétation, les co-législateurs auraient permis, au mépris de la jurisprudence de la CJUE citée ci-dessus, que coexistent, sans limite dans le temps, des accords internationaux conformes à l’état du droit de l’Union figé au 24 mai 2016 (en ce compris à la Directive 95/46/CE par ailleurs abrogée à la date du 24 mai 2018) d’une part et des accords internationaux conclus après cette date, obligatoirement conformes au RGPD d’autre part.
174. La Chambre Contentieuse relève encore que l’article 49.5 du RGPD contient les mêmes termes de « jusqu'à leur modification, leur remplacement ou leur abrogation ». L’article 45.9 prévoit ainsi que « les décisions adoptées par la Commission sur la base de l'article 25, paragraphe 6, de la Directive 95/46/CE [soit les décisions d’adéquation] demeurent en vigueur jusqu'à leur modification, leur remplacement ou leur abrogation par une décision de la Commission adoptée conformément au paragraphe 3 ou 5 du présent article »69.
175. La Commission européenne - à qui il revient exclusivement d’adopter une décision d’adéquation - n’en a pas moins réexaminé les 11 décisions d'adéquation existantes à l’aune du RGPD. Aux termes de son rapport du 15 janvier 202470, la Commission décide de maintenir les décisions d'adéquation adoptées pour les 11 pays et territoires concernés, constatant que son réexamen a démontré que les cadres de protection des données en vigueur dans ces pays et territoires ont continué de converger vers le cadre de l'UE et ont renforcé la protection des données à caractère personnel auxquelles ils s'appliquent. Elle note que le RGPD a inspiré des changements positifs tels que l'introduction de nouveaux droits pour les personnes concernées ainsi que le renforcement de l'indépendance et des pouvoirs des autorités de protection des données.
176. La Commission européenne souligne également que, « les décisions d’adéquation [dont certaines datent, à la date de l’entrée en application du RGPD, de plus de 20 ans (Canada, Suisse)] ont posé les bases d’une coopération plus étroite et d’une convergence réglementaire plus poussée entre l’UE et des partenaires animés du même esprit. En permettant la libre circulation des données à caractère personnel, ces décisions ont ouvert des canaux commerciaux pour les opérateurs de l’UE, notamment en complétant et en amplifiant les avantages des accords commerciaux, ainsi qu’en facilitant la coopération avec des partenaires étrangers dans un grand nombre de domaines réglementaires ».
177. L’analogie avec l’article 96 du RGPD n’est pas parfaite. Cependant, le contenu de l’article 45.9 du RGPD d’une part et ce réexamen des décisions d’adéquation auquel a procédé la Commission européenne - alors même que ces décisions d’adéquation créent aussi d’une certaine façon, un cadre en place depuis des années qui facilite la communication de données personnelles depuis l’Union vers des Etats tiers – d’autre part sont des indicateurs.
Ils témoignent de ce que l’objectif à terme - nonobstant la période de tolérance accordée tant aux termes de l’article 45.9 ou 96 du RGPD - est la suppression de la coexistence de deux régimes de protection distincts. A cet effet, il incombait à la Commission européenne (compétente pour les décisions d’adéquation) d’y contribuer, ce qu’elle n’a pas tardé à faire en engageant un réexamen au regard des exigences du RGPD des décisions d’adéquation qu’elle avait précédemment adoptées. Il incombe aux Etats membres d’en faire diligemment de même au regard des accords internationaux qu’ils ont conclu.
178. La Chambre Contentieuse n’ignore pas que l’Etat belge avec sa casquette de négociateur n’est pas partie à cette procédure. Elle n’en fait pas moins remarquer que plus le temps passe, moins acceptable est à cet égard l’inertie des Etats. En 2021 déjà, les autorités de protection des données - dont l’APD - ont ainsi invité les Etats membres de l’UE à revoir leurs accords internationaux à l’aune du RGPD.71 A la date de l’adoption de la présente décision, près de 9 années se sont écoulées depuis l’entrée en vigueur du RGPD, 7 depuis son entrée en application. La Chambre Contentieuse relève à cet égard qu’aucun signe de la volonté du gouvernement belge de demander la révision de l’accord « FATCA » n’a été porté à sa connaissance par la défenderesse dans le contexte de cette affaire ni que la défenderesse, interlocuteur privilégié de l’IRS, aurait à aucun moment procédé à cette évaluation afin d’aider le gouvernement belge à pouvoir initier une demande de révision.
179. S’agissant des autorités de protection des données telle l’APD, une lecture de l’article 96 du RGPD qui en autoriserait l’application sans limite dans le temps, combinée à l’absence de toute renégociation de l’accord, impliquerait également que l’APD apprécie la conformité de ces accords internationaux au droit de l’UE applicable au 24 mai 2016 de nombreuses années après cette date, à l’aune notamment d’une Directive 95/46/CE abrogée depuis un nombre d’années qui ne fera qu’augmenter avec le temps. La Chambre Contentieuse est à cet égard d’avis que plus le temps passe, moins est acceptable que les autorités de protection des données soient limitées dans l’exercice de la mission qui leur est confiée par le RGPD depuis le 25 mai 2018, mission qui consiste précisément ainsi qu’il a été précédemment souligné à contribuer à l’application effective et uniforme du RGPD. Dans l’arrêt Schrems II72 déjà cité, la CJUE souligne à cet égard ce qui suit au regard de la compétence des autorités de contrôle telle que consacrée par les articles 8.3. de la Charte et 57.1. a) du RGPD :
« (…) Dès lors, chacune d’entre elles [lisez les autorités de contrôle] est investie de la compétence de vérifier si un transfert de données à caractère personnel depuis l’Etat membre dont elle relève vers un pays tiers respecte les exigences posées par ce règlement. (…) L’exercice de cette mission revêt une importance particulière dans le contexte d’un transfert de données à caractère personnel vers un pays tiers, dès lors que, ainsi qu’il ressort des termes mêmes du considérant 116 de ce règlement, « lorsque de données à caractère personnel franchissent les frontières extérieures de l’Union, cela peut accroitre le risque que les personnes physiques ne puissent exercer leurs droits liés à la protection des données, notamment pour se protéger de l’utilisation ou de la divulgation illicite de ces informations » » (points 107 et 108 de l’arrêt).
180. Ainsi le défaut de mise en œuvre par les Etats membres de leur obligation de coopération, nuit, par répercussion, à l’effectivité du droit à la protection des données (via son contrôle par une autorité de protection des données indépendante garanti par la Charte des droits fondamentaux de l’UE en son article 8.373) alors même que la CJUE est particulièrement exigeante quant à la protection que doivent garantir les accords internationaux d’une part et au rôle des autorités de protection des données d’autre part.
- La CJUE impose des conditions très strictes aux accords internationaux ayant un impact sur l’exercice des droits à la vie privée et à la protection des données à caractère personnel consacrés par les articles 7 et 8 de la Charte. Plus particulièrement, il découle de l’avis 1/15 de la CJUE rendu sur le projet d’accord PNR entre le Canada et l’UE 74 (ainsi que de l’arrêt C-817/19 du 21 juin 202275) et de l’arrêt Schrems II que « la communication de données à caractère personnel à un tiers, telle qu’une autorité publique76, constitue une ingérence dans les droits fondamentaux consacrés par les articles 7 et 8 de la Charte, quelle que soit l’utilisation ultérieure des informations communiquées. Il en va de même de la conservation des données à caractère personnel ainsi que de l’accès auxdites données en vue de leur utilisation par les autorités publiques. À cet égard, il importe peu que les informations relatives à la vie privée concernées présentent ou non un caractère sensible ou que les intéressés aient ou non subi d’éventuels inconvénients en raison de cette ingérence » 77.
- Toute limitation aux droits fondamentaux consacrés par la Charte (dont le droit fondamental à la protection des données de l’article 8) doit satisfaire aux conditions de l’article 52.1. de la Charte déjà cité qui énonce que « Toute limitation de l'exercice des droits et libertés reconnus par la présente Charte doit être prévue par la loi et respecter le contenu essentiel desdits droits et libertés. Dans le respect du principe de proportionnalité, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d'intérêt général reconnus par l'Union ou au besoin de protection des droits et libertés d'autrui ».
181. Ainsi, il serait réducteur de considérer que la question de l’application dans le temps de l’article 96 du RGPD ne se poserait que si l’APD (via sa Chambre Contentieuse) ou d’autres autorités de protection des données devaient conclure que l’accord « FATCA » était conforme au droit de l’Union tel qu’applicable à la date du 24 mai 2016. En tant que tel, l’article 96 limite l’exercice effectif par les autorités de protection des données, ici l’APD, des missions qui leur/lui ont été confiées par le RGPD.
182. Dans sa décision du 13 décembre 2024 déjà évoquée au regard de la qualification de responsable de traitement, la Cour administrative du Grand-Duché du Luxembourg applique l’article 96 du RGPD en le qualifiant explicitement de disposition transitoire.
« La disposition de l’article 96 du RGPD constitue en substance une disposition transitoire qui permet aux Etats membres de continuer à appliquer des accords internationaux qui prévoient des transferts de données personnelles protégées vers des Etats tiers et qu’ils avaient conclu avant le 24 mai 2016, date d’entrée en vigueur du RGPD, même si les modalités convenues dans ces accords ne correspondent pas aux standards édictés par le RGPD et ce, afin d’éviter que la continuation de l’exécution desdits accords ne se heurte à des exigences nouvelles ou plus sévères du nouveau règlement communautaire. L’exemption du respect du RGPD admise par cette disposition se trouve néanmoins conditionnée par le respect du « droit de l’Union tel qu’il [était] applicable avant [le 24 mai 2016] », soit des standards applicables avant le 24 mai 2016. En outre, cette exemption n’est appelée à perdurer que jusqu’à la modification, le remplacement ou la révocation de ces accords internationaux antérieurs ».
183. Ce passage de l’arrêt et en particulier la qualification de l’article 96 comme disposition transitoire amène la Chambre Contentieuse à l’interrogation suivante : si l’article 96 du RGPD est effectivement une disposition transitoire, est-il admis(sible) que cette période transitoire dure potentiellement indéfiniment et prive de facto les personnes concernées de la protection renforcée qu’offre le RGPD ? Cette absence de limite dans le temps pour un régime transitoire n’est-elle pas contraire aux principes généraux du droit transitoire caractérisé, certes par la non-rétroactivité de la norme mais sans pour autant avoir pour effet (et donc autoriser) que le bénéfice d’une protection renforcée soit indéfiniment dénié aux personnes concernées ? S’il est potentiellement indéfiniment transitoire, l’article 96 du RGPD ne consacre-t-il pas un régime dérogatoire pur et simple et permanent au RGPD dont il convient de s’interroger sur la compatibilité avec la Charte des droits fondamentaux de l’Union ? Toute disposition d’un règlement de l’Union, soit l’article 96 du RGPD dont il est ici question, doit lui-même être compatible avec ladite Charte.
184. Indépendamment de la question de l’application de l’article 96 dans le temps, le rôle et la responsabilité de l’Etat belge (comme celui de tout autre Etat membre signataire d’un accord « FATCA » comparable à celui signé par l’Etat belge) ne dispense en toute hypothèse pas pour autant le responsable de traitement qui, telle la défenderesse, entend s’appuyer sur l’article 96 du RGPD, d’examiner, si les conditions du recours à l’article 96 sont réunies et de démontrer à l’autorité de contrôle compétente (ici l’APD) que c’est le cas. En effet, le recours à l’article 96 du RGPD implique intrinsèquement, par la condition qu’il impose (respecter le droit de l’UE tel qu’applicable à la date du 24 mai 2016), que le responsable de traitement effectue cette évaluation.
185. « Le droit de l’Union tel qu’applicable au 25 mai 2016 » inclut le droit primaire tel que l’article 16 du TFUE et les articles 778, 8 et 4779 de la Charte des droits fondamentaux de l’UE ainsi que la Directive 95/46/CE. Pour autant que de besoin, la Chambre Contentieuse précise que l’utilisation des termes “ tel qu’applicable au 25 mai 2016” ne signifie pas que ce droit est figé dans son interprétation à la date du 25 mai 2016. L’article 96 dispense du respect du RGPD (sous condition) en n’ajoutant pas de nouveau texte de réglementation en matière de protection des données à ceux applicables au 24 mai 2016 dans le but de préserver, ainsi qu’il a été rappelé, les droits que tire de l’accord l’état tiers avec lequel l’accord est conclu. Il ne dispense en revanche pas d’inclure dans l’examen de la condition du respect du droit de l’UE au 24 mai 2016 l’interprétation le cas échéant évolutive que reçoivent par la CJUE les notions clés de la protection des données – en ce compris au regard du RGPD lorsqu’ils s’agit de concepts communs aux deux textes.
186. En conclusion, clarifier la portée de l'article 96 du RGPD s’inscrit directement dans l’exigence d’uniformité et de sécurité juridique, dans un contexte où cette disposition fait l’objet d’interprétations divergentes au sein de l'Union alors même que le RGPD entend garantir une application harmonisée du droit à la protection des données et que la CJUE a clairement énoncé que les transferts de données vers des pays tiers doivent respecter les articles 7,8 et 47 de la Charte des droits fondamentaux de l’UE. L’article 96 ne soustrait les responsables de traitement qui opèrent des transferts de données vers des pays tiers en exécution d’accords internationaux conclus avant le 24 mai 2016 ni totalement ni indéfiniment au RGPD. L’’article 96 RGPD ne constitue qu’une dérogation par essence temporaire et strictement conditionnée au respect du droit de l’Union applicable avant le 24 mai 2016. D’interprétation dès lors nécessairement restrictive, il prévoit un régime transitoire sous conditions, l’objectif qu’il poursuit étant « d'assurer une protection exhaustive et cohérente des données à caractère personnel dans l'Union » d’une part et d’éviter tout vide juridique d’autre part 80. Eviter ce vide juridique n’équivaut pas pour les raisons que la Chambre Contentieuse a exposées ci-dessus, à apprécier le respect du droit de l’UE tel qu’interprété à la date figée du 24 mai 2016. Ainsi, le responsable de traitement qui telle la défenderesse entend s’appuyer sur l’article 96 du RGPD devra inclure les évolutions pertinentes de la jurisprudence de la CJUE dans son évaluation de la condition du respect du droit de l’UE au 24 mai 2016. Il devra être en mesure de démontrer qu’au terme de cette évaluation rigoureuse, documentée et actualisée, il est fondé à se fonder sur l’article 96 du RGPD. Cette évaluation ne le dispensera par ailleurs, comme la Chambre Contentieuse le développera plus avant encore dans la décision, ni de réaliser une AIPD ni de son devoir continu d’accountability. Ce faisant, le responsable de traitement pourrait contribuer par ailleurs au processus de renégociation de l’accord. Les Etats membres, dont l’Etat belge, y sont tenus en exécution de leur devoir de coopération loyale en exécution de l’article 4.3 TUE, appliqué à la lumière de l’article 351 TFUE et de l’article 8 de la Charte des droits fondamentaux de l’UE.
II.6. Quant aux griefs invoqués
187. Ainsi qu’il a été exposé dans les rétroactes de la procédure, la Cour des marchés souligne que la Chambre Contentieuse n’a pas eu suffisamment d’égard aux constats du SI dans sa décision 63/2021,
188. Comme la Cour des marchés le souligne dans son arrêt du 20 décembre 2023, la Chambre Contentieuse, dès lors qu’elle a fait le choix de saisir le SI en l’espèce, se doit d’avoir égard aux constats de ce dernier et de motiver les raisons pour lesquelles elle s’en écarte le cas échéant. La Chambre Contentieuse est d’avis qu’elle ne pourrait en effet se départir de constats matériels du SI qu’à l’appui de preuves contraires. Elle demeure en revanche libre de substituer son appréciation motivée en droit à celle du SI et ce, sur les constats matériels que ce dernier a opérés dans l’exercice de ses pouvoirs d’enquête.
189. Ainsi, qu’elle l’exposera ci-dessous, la Chambre Contentieuse n’ignore ni les avis de la CPVP 61/2014 et 28/2015, ni l’autorisation du CSAF 52/2016, ni les autres éléments recueillis par le Si aux termes de son enquête. Dans l’exercice de la compétence qu’il lui revient de trancher la conformité au RGPD en sa qualité d’organe du contentieux administratif de l’APD, la Chambre Contentieuse en a sa propre lecture et en tirera selon le cas, de façon motivée, d’autres conséquences en droit.
190. La Chambre Contentieuse relève que le premier rapport du SI ne conclut pas à la conformité de l’accord « FATCA» au droit de l’Union avant le 24 mai 2016. Le SI estime, sur la base des textes précités, qu’il n’est pas opportun qu’il poursuive davantage ses investigations, invoquant explicitement l’article 64.2 de la LCA en ce sens et concluant qu’il n’y a pas de « violation apparente du RGPD ».
191. Aux termes de son rapport d’enquête complémentaire, le Si conclut qu’il n’y a selon lui pas d’éléments indiquant un manque de garanties concernant la protection des données transférées ou une non-réciprocité des échanges.
II.6.1. La défenderesse peut-elle s’appuyer sur l’article 96 du RGPD ?
II.6.1.1. Introduction
192. La Chambre Contentieuse examine la conformité des transferts dénoncés par les plaignants en tenant compte de l’article 96 du RGPD. Elle vérifie dès lors si, comme la défenderesse le soutient, l’accord « FATCA » respecte le droit de l’Union à la date du 24 mai 2016 et autorisait la défenderesse à transférer les données du premier plaignant à l’IRS et l’autorise à poursuivre ces transferts à l’égard des données personnelles des Américains accidentels que défend la seconde plaignante.
193. Ainsi que la Chambre Contentieuse vient de l’exposer, la condition de l’article 96 n’implique pas uniquement le respect de la Directive 95/46/CE mais plus généralement le respect du droit de l’UE, en ce compris de l’article 8 de la Charte des droits fondamentaux.
194. S’agissant du respect de la Directive 95/46/CE, la Chambre Contentieuse souligne d’emblée que l’exportateur de données qui, telle la défenderesse, transfère des données à caractère personnel vers un pays tiers doit, en plus de respecter les règles relatives à l’encadrement spécifique des flux transfrontières de données également respecter l’ensemble des obligations et principes de protection applicables. Ainsi, la défenderesse ne peut transférer des données pour une finalité qui ne répondrait pas aux exigences de l’article 6.1.
b) de la Directive 95/46/CE ni transférer des données personnelles qui ne seraient ni adéquates, ni pertinentes et non excessives au regard de cette finalité sans violer l’article 6.1. c) de ladite Directive.
195. Le considérant 102 du RGPD précise au regard de l’article 96 que l’accord doit contenir les garanties appropriées au bénéfice des personnes concernées. 81
196. La défenderesse ne conteste pas que l’article 96 du RGPD ne s’applique qu’à l’accord « FATCA ». Elle ajoute cependant que la Loi du 16 décembre 2015 en est indissociable et que dès lors, « analyser l’accord « FATCA » dans le cadre de l’article 96 du RGPD impose une analyse de ladite loi » (point 24 de ses secondes conclusions additionnelles et de synthèse).
Elle plaide que l’accord « FATCA » est conforme au droit de l’Union applicable au 24 mai 2016 et que partant, tant l’accord que la Loi du 16 décembre 2015 restent valables en application de l’article 96. Selon la défenderesse, ce respect découle, comme le constate le SI, des analyses effectuées par la CPVP dans ses avis 61/2014 et 28/2015 ainsi que de la délibération du 52/2016 du CSAF. La défenderesse invoque également l’arrêt du CE français du 19 juillet 2019 duquel il ressort que l’accord « FATCA » n’est pas contraire au RGPD ainsi qu’une délibération du 17 septembre 2015 de la CNIL ayant autorisé la mise en œuvre d’un traitement de données consistant en un transfert vers l’IRS de données collectées en exécution de l’accord « FATCA » français dont le contenu est similaire à celui signé par l’Etat belge. Elle s’appuie également sur la décision de la CNIL du 23 mai 2022 déjà citée qui clôture une plainte déposée par l’AAA française tendant à la suspension des transferts de données vers l’IRS en exécution de l’accord « FATCA » français. Enfin, la défenderesse s’appuie sur l’arrêt de la Cour Constitutionnelle du 9 mars 2017 qui rejette le recours en annulation dirigé contre la Loi du 16 décembre 2015. Tous ces textes attesteraient selon la défenderesse de la conformité de l’accord « FATCA », lu en combinaison avec la Loi du 16 décembre 2015, au droit de l’Union applicable au 24 mai 2016.
197. La Chambre Contentieuse considère pour les motifs qu’elle développe ci-après, que l’accord « FATCA », même lu et appliqué en combinaison avec la Loi du 16 décembre 2015, n’est pas conforme au droit de l’UE applicable au 24 mai 2016. Il n’est pas conforme aux principes de finalité et de proportionnalité nonobstant les constats du SI et les arguments de la défenderesse. L’accord ne contient pas non plus, outre les garanties du respect des principes de finalité et de proportionnalité, les autres garanties requises par la Directive 95/46/CE telles qu’explicitées, spécifiquement au regard des transferts de données vers un pays tiers s’inscrivant dans l’échange automatique de données par le Groupe 29 dès 201582.
Partant, elle conclut que l’accord « FATCA » n’est pas conforme au droit de l’Union tel qu’applicable au 24 mai 2016 au sens de l’article 96 du RGPD.
198. La Chambre Contentieuse relève qu’il n’est pas contesté que les avis 61/2014 et 28/2015 de la CPVP portent sur le projet de loi qui aboutira à la future Loi du 16 décembre 2015. Il ne s’agit donc pas d’avis sur l’accord « FATCA » en tant que tel ce que regrette par ailleurs explicitement la CPVP dans son avis 61/2024 (point 8 de l’avis)83. Quant à la délibération 56/2015 du CSAF, elle autorise, sous conditions, les transferts vers l’IRS en exécution de la Loi du 16 décembre 2015 mais ne se prononce pas sur l’accord « FATCA » lui-même.
199. La défenderesse reproche à l’APD de scinder artificiellement l’accord « FATCA » de la Loi de 2015. Il n’en est rien. L’APD doit examiner si la condition prévue à l’article 96 du RGPD, à savoir la conformité de l’accord « FATCA » au droit de l’Union au 24 mai 2016, est établie et démontrée. Toute la ratio legis de l’article 96 est liée au fait qu’un accord international est complexe à modifier et que les Etats sont dépendants de la bonne volonté de l’état tiers.
C’est donc bien de l’accord « FATCA » dont il s’agit, pas de la loi du 16 décembre 2015 qui ne lie pas l’Etat tiers, ici les Etats-Unis. Les engagements doivent être pris par les Parties à l’accord et si certaines garanties de protection des données figurent dans la Loi du 16 décembre 2015, elles n’engagent selon le cas, a priori que la défenderesse et pas nécessairement l’état tiers à qui les données sont transférées - dont les engagements doivent quant à eux figurer dans l’accord. La Chambre Contentieuse examinera donc la conformité du transfert opéré par la défenderesse au regard des dispositions pertinentes de l’accord « FATCA » et de la Loi du 16 décembre 2015 lorsque celles-ci sont pertinentes.
II.6.1.2. Quant au principe de finalité
200. Le principe de finalité tel qu’il était consacré par l’article 6.1.b) de la Directive 95/46/CE exige que les données soient collectées pour des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement (en ce compris lorsqu’elles sont transférées vers un Etat tiers) d’une manière incompatible avec celles-ci. Ce principe est également consacré à l’article 8.2 de la Charte des droits fondamentaux 84 et doit être appliqué dans le respect des exigences de l’article 52 de la Charte.
201. La « finalité » est la raison suffisamment déterminée, spécifique et bien sûr légitime pour laquelle les données sont traitées : c’est l'objectif ou l'intention du traitement des données.
Un intérêt, en revanche, est l'intérêt plus large qu'un responsable du traitement peut avoir dans le traitement, ou le bénéfice que le responsable du traitement tire - ou que la société pourrait tirer - du traitement tel l’amélioration de l’application de la législation fiscale ou la lutte contre l’évasion fiscale 85.
202. Du caractère suffisamment déterminé de la finalité dépend la possibilité d’analyser si et de conclure que le traitement des données traitées est effectivement nécessaire à la réalisation de la finalité comme l’exige le principe de proportionnalité consacré quant à lui à l’article 6.1.c) de la Directive 95/46/CE. Ainsi, sous couvert de « finalité », un objectif général ou largement défini, même si sa légitimité n’est pas contestable, laisse une trop grande latitude au responsable de traitement et ne permet une application effective ni du principe de finalité ni du principe de proportionnalité.
203. Dès 2015, le Groupe de l’Article 29 dont la CPVP était membre, précisait en ce sens dans son document WP 234 spécifiquement consacré aux exigences en matière de protection des données dans le contexte de l’échange automatique de données que « tout accord international devrait clairement identifier les finalités pour lesquelles les données sont collectées et valablement utilisées. La formulation de la finalité (« fraude fiscale / amélioration du respect des obligations fiscales ») par exemple, peut sembler vague et insuffisamment claire, laissant une trop grande marge de manœuvre à l’autorité compétente ».
➢ La finalité dans l’Accord FATCA
204. S’agissant de l’accord « FATCA », la Chambre Contentieuse constate que les « finalités » de l’échange automatique des données précisées en introduction de l’accord sont libellées comme suit (a) l’amélioration des règles fiscales internationales – soit une formulation pointée comme trop large aux termes de l’avis ci-dessus- et (b) la mise en œuvre des obligations issues de la loi américaine «FATCA» 86
205. De telles formulations sont tout au plus l’expression d’un objectif général, certes légitime. En revanche, il ne s’agit pas d’une/de finalité(s) spécifique(s) et déterminée(s) - au sens de l’article 6.1.b) de la Directive 95/46/CE- des traitements de données à caractère personnel destinés à permettre la réalisation de cet objectif.
206. A cet égard, la Chambre Contentieuse n’ignore pas que l’accord « FATCA » s’inscrit, comme elle l’a mentionné dans l’exposé des faits, aux côtés d’autres engagements internationaux de l’Etat belge en ce compris la lutte contre la fraude et l’évasion fiscales pour lesquelles l’échange automatique de données est mis sur pied et auquel l’accord « FATCA » renvoie par ailleurs (voy. infra). Ce contexte, et plus généralement ces autres engagements n’ont cependant pas pour conséquence que l’accord « FATCA » serait nécessairement conforme au droit de l’UE applicable au 24 mai 2016.
207. L’article 3.7 de l’accord “FATCA” prévoit que « All information exchanged shall be subject to the confidentiality and other protections provided for in the Convention, including the provisions limiting the use of the information exchanged”. “Convention” se réfère à la Convention de l’OCDE concernant l’assistance mutuelle en matière fiscale déjà citée. La Chambre Contentieuse constate qu’en tant que tel, cet article de l’Accord FATCA ne précise pas quelle serait la finalité spécifique et déterminée des traitements de données concernés, ici le transfert vers l’IRS. Il procède par renvoi à la Convention de l’OCDE dont les finalités ont été jugées imprécises par l’APD . Ce renvoi indirect manque de clarté et de prévisibilité pour 87 les personnes concernées.
208. Quant à l’article 3.8. de l’accord “FATCA”, il énonce que « Following the entry into force of this Agreement, each Competent Authority shall provide written notification to the other Competent Authority when it is satisfied that the jurisdiction of the other Competent Authority has in place (i) appropriate safeguards to ensure that the information received pursuant to this Agreement shall remain confidential and be used solely for tax purposes, and (ii) the infrastructure for an effective exchange relationship (including established processes for ensuring timely, accurate, and confidential information exchanges, effective and reliable communications and demonstrated capabilities to promptly resolve questions and concerns about exchanges or requests for exchanges and to administer the provisions of Article 5 of this Agreement). The Competent Authority shall endeavor in good faith to meet, prior to September 2015, to establish that each jurisdiction has such safeguards and infrastructure in place”.
209. A la lecture de cette disposition, on comprend que les Parties à l’Accord « FATCA » devront se confirmer mutuellement qu’elles ont mis en place des garanties destinées à ce que les informations reçues demeurent confidentielles et de ne seront traitées que pour des « tax purposes ». La Chambre Contentieuse ne peut que constater le caractère vague de cette « finalité » comme la CPVP l’avait fait dans son avis 61/2024 précisément, lorsqu’elle avait indiqué au regard de la première version du projet de loi qui aboutira à la Loi du 16 décembre 2015, que la seule mention dans le projet de loi de l’échange automatique de renseignements « à des fins fiscales », ne satisfaisait pas aux exigences du principe de finalité (points 11 et suivants de l’avis, point 9 de l’avis 28/2015). La défenderesse ne peut donc, pas plus que le SI ne le peut, affirmer que la CPVP aurait considéré que les finalités de l’accord FATCA en tant que telles seraient conformes aux exigences de l’article 6.1.b) de la Directive 95/46/CE et de l’article 8.2. de la Charte des droits fondamentaux.
➢ La finalité dans la Loi du 16 décembre 2015
210. Dans son avis 61/2014 sur le projet de loi qui aboutira à la Loi du 16 décembre 2015, la CPVP met donc clairement en évidence que la seule mention d’un échange « à des fins fiscales » ne satisfait pas aux exigences du principe de finalité. La CPVP y demande que les finalités d’enquête et poursuite pénales en matière de taxation soient spécifiquement exclues (point 11 et s. de l’avis point 12 en particulier).
211. De l’avis de la CPVP, la Convention de l’OCDE à laquelle renvoient les articles 3.7 et 3.8 de l’accord « FATCA », n’exclut en effet pas l’utilisation des données transférées à des fins d’enquête et de poursuite pénale mais conditionne cette utilisation à l’accord de la Partie qui communique les données. L’article 17.2 de la Loi du 16 décembre 2015 en projet a, à la demande de la CPVP, ainsi été modifié et prévoit dans sa version finale que « l’autorité compétente belge ne peut autoriser une juridiction à laquelle les renseignements sont transférés à les utiliser à d’autres fins que l’établissement ou le recouvrement des impôts mentionnés dans le traité, les procédures ou poursuites concernant ces impôts, les décisions sur les recours relatifs à ces impôts ou le contrôle de ce qui précède » (points 9 et suivants de l’avis 28/2015 ). Via ce §, qui on y voit un peu plus clair quant aux finalités des transferts à l’IRS. Toutefois, la question de savoir ce qu’il faut entendre par « poursuite » aux Etats-Unis où les données sont transférées reste aux yeux de la Chambre Contentieuse peu déterminé.
212. La Chambre Contentieuse en veut pour preuve que dans sa délibération 52/2016, le CSAF indique qu’il « estime dès lors que l’article 17 de la loi du 16 décembre 2015 doit être interprété en ce sens que (l’autorisation) de la réutilisation (par les juridictions des Etats-Unis autres que fiscales) des données obtenues pour des affaires autres que fiscales (par exemple l’entraide judiciaire en matière pénale, le blanchiment d’argent, la corruption ou la lutte contre le terrorisme), ou pour le transfert vers des pays sans niveau de protection adéquat de protection des données est a priori exclue » (point 30 de la délibération).
➢ Conclusion
213. En conclusion, la Chambre Contentieuse constate que la «finalité » des traitements de données consécutifs à l’accord « FATCA », n’est ni spécifique ni suffisamment déterminée dans l’accord « FATCA » lui-même (point 209). Aux termes de la Loi du 16 décembre 2016, elle n’est « précisée » que par le renvoi que fait l’article 3.7 de l’accord à la Convention de l’OCDE - dont les finalités de traitement ne sont pas jugées suffisamment spécifiques et déterminées aux termes de l’avis 51/2024 de l’APD – ainsi que par l’article 17.2 de la loi dont les contours exacts demeurent imprécis.
214. La Chambre Contentieuse considère, contrairement aux conclusions de la CPVP dans son avis 28/2015 et à l’autorisation 52/2016 du CSAF, que dans de telles circonstances où la finalité des transferts de données personnelles à l’IRS n’est ni spécifique ni déterminée dans l’accord « FATCA » d’une part et où cette finalité est très indirectement mentionnée et demeure imprécise aux termes de la Loi du 16 décembre 2015 d’autre part, le transfert à l’IRS par la défenderesse ne répond pas aux exigences du principe de finalité spécifique et déterminée au sens de l’article 6.1.b) de la Directive 95/46/CE. Ni la Chambre Contentieuse ni la personne concernée dont les données sont envoyées à l’IRS ne sont en mesure d’identifier la finalité/les finalités pour laquelle/lesquelles les données sont envoyées à l’IRS et pour lesquelles elles pourraient être traitées une fois entre ses mains88.
215. Ainsi, pour répondre à l’observation de la Cour des marchés quant à ce, la Chambre Contentieuse constate que ni les avis de la CPVP ni l’autorisation du CSAF ne se sont prononcés sur la finalité de l’accord FATCA en tant que tel. Au contraire, la CPVP et le CSAF ont souligné que l’accord ne leur avait pas été soumis. Quant à l’appréciation favorable rendue par ses prédécesseurs au regard de la Loi du 16 décembre 2015, la Chambre Contentieuse estime, à l’aune notamment d’un examen approfondi des finalités de la Convention de l’OCDE auxquelles il est renvoyé, qu’elles ne sont pas suffisamment déterminées, en ce compris au regard des traitements ultérieurs une fois les données transférées.
216. S’agissant de l’autorisation 52/2016 du CSAF plus particulièrement, la Chambre Contentieuse n’ignore pas que l’article 111 de la LCA mentionne, comme le souligne la Cour, que « les autorisations accordées par les comités sectoriels de la Commission de la protection de la vie privée (CPVP) avant l'entrée en vigueur de cette loi gardent leur validité juridique ». Cet article 111 ajoute toutefois que ce maintien est « sans préjudice des pouvoirs de contrôle de l'Autorité de protection des données ». Dès lors, la Chambre Contentieuse est autorisée dans le cadre de l’examen de la plainte aboutissant à la présente décision, à réexaminer cette autorisation et à s’en détacher le cas échéant. En toute hypothèse cette autorisation a été rendue sous conditions dont la Chambre Contentieuse constatera plus loin dans la décision qu’elles n’ont pas été rencontrées depuis 2016 (voy. points é et 300).
217. Sans préjudice de ce qui précède, la Chambre Contentieuse juge par ailleurs que cette « détermination » très indirecte est en toute hypothèse fragile car elle est tributaire de textes distincts de l’accord « FATCA » en tant que tel – texte qui est le seul à lier les Paries l’une à l’autre - et donc que cette détermination est conditionnée par le maintien en l’état de l’applicabilité de ces textes et de leur contenu.
II.6.1.3. Quant au principe de proportionnalité
218. La Chambre Contentieuse rappelle qu’en application du principe de proportionnalité consacré à l’article 6.1. c) de la Directive 95/46/CE seules les données adéquates, pertinentes et non excessives à la réalisation de la finalité peuvent être traitées. Il ne suffit pas qu’elles soient simplement utiles et il convient de tenir compte d’alternatives moins intrusives pour satisfaire à ce principe.
219. Comme le soulignent les plaignants, le transfert de données vers l’IRS dans le contexte de l’exécution de l’accord «FATCA» est un système de transfert automatique et annuel de données sur la base du critère de nationalité américaine et de comptes bancaires déclarables (article 2 de l’accord «FATCA» et article 5 de la Loi du 16 décembre 2015) sans indication qu’une quelconque loi fiscale aurait été violée. Il ne s’agit pas d’un système de transfert de données sur une base ad hoc opéré à la demande des autorités américaines et fondé sur la présence d’indices nécessitant ledit transfert de données compte tenu des finalités poursuivies.
220. La Chambre Contentieuse est d’avis que ce système tel qu’il est prévu dans l’accord « FATCA » ne satisfait pas au principe de proportionnalité à l’appui notamment de la jurisprudence de la CJUE qui, à quelques reprises déjà, a eu l’occasion d’indiquer, en ce compris sur questions préjudicielles, la manière dont il convenait d’appliquer ce principe au regard de traitements comparables à ceux dénoncés par les plaignants.
221. Ainsi, aux termes d’un arrêt du 8 avril 2014, la CJUE a jugé disproportionnée la conservation de données générées ou traitées dans le cadre de la fourniture de services de communication accessibles au public ou de réseaux publics de communication en ce que cette obligation s’appliquait « même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves »89. Elle a conclu que le législateur de l’UE avait excédé les limites qu’impose le respect du principe de proportionnalité au regard des articles 7, 8 et 52,1 de la Charte des droits fondamentaux de l’UE et invalidé la directive 2006/24/CE sur cette base.
222. Dans la foulée de cet arrêt, les autorités de protection des données, dont la CPVP à l’époque, réunies au sein du Groupe 29 ont, fin 2015, adopté l’avis WP 234 déjà cité aux termes duquel le Groupe motive qu’il n’y a aucune raison de limiter les considérations de la CJUE aux seules mesures adoptées dans le cadre de la lutte contre le terrorisme. D’autres mesures de politique publique destinées à poursuivre des objectifs distincts notamment par le biais de collecte de données personnelles sont également soumises au même respect du principe de proportionnalité de l’article 6.1.c) de la Directive 95/46/CE alors d’application.
223. Les autorités de protection des données y insistent sur le nécessaire respect de ce principe en ce compris dans le contexte de «FATCA» dans les termes suivants : « tandis que cette affaire portait sur la nécessité et la proportionnalité de certaines mesures de lutte contre le terrorisme, le groupe « Article 29 » est d’avis que l’exercice de mise en balance prescrit par la Cour de Justice s’applique à toute politique publique mise en œuvre (notamment les politiques de coopération en matière fiscale) ayant une incidence sur les droits à la protection des données à caractère personnel. Aussi est-il impératif, dans les accords de coopération en matière fiscale, de faire la démonstration que l’échange de données prévu est nécessaire et qu’il porte sur la quantité minimale de données requise pour atteindre l’objectif visé »90.
224. Le Groupe 29 précise encore que « en conséquence, les accords de coopération en matière fiscale devraient comporter des dispositions et des critères qui lient explicitement l’échange d’informations et, en particulier, la communication de données à caractère personnel concernant des comptes financiers à une possible évasion fiscale et qui dispense les comptes à faible risque des obligations déclaratives. A cet égard, ces critères devraient être applicables ex ante pour déterminer les comptes (et les informations) qu’il conviendrait de déclarer ».
225. En 2017, le Contrôleur européen de la protection des données (EDPS)91 ne dit pas autre chose lorsqu’il insiste dans son Guide pour l’évaluation de la nécessité des mesures limitant le droit fondamental à la protection des données 92 sur le fait que « des mesures qui pourraient s’avérer utiles aux fins de l’objectif donné ne sont pas toutes souhaitables ou ne sauraient toutes être considérées comme une mesure nécessaire dans une société démocratique. Il ne suffit pas que la mesure soit simplement commode ou rentable ». L’EDPS indiquait également que le caractère annuel de la communication en exécution de l’accord « FATCA » démontre en tant que tel que la communication n’est pas fondée sur des indices d’ évasion ou de fraude mais s’opère de manière systématique. 93.
226. Le 24 février 2022, la CJUE a rendu un arrêt 94 dans lequel elle énonce expressément qu’une collecte généralisée et indifférenciée de données à caractère personnel à des fins de lutte contre la fraude fiscale par une administration fiscale n’est pas autorisée. L’administration concernée doit s’abstenir de collecter des données qui ne sont pas strictement nécessaires au regard des finalités du traitement (point 74 de l’arrêt). L’administration doit également examiner si ses demandes ne peuvent pas être plus ciblées sur la base de critères plus spécifiques.95 Ainsi, même dans l’exercice de la mission d’intérêt public dont le responsable de traitement a été investi, la CJUE précise donc qu’il ne peut procéder de manière généralisée et indifférenciée à la collecte de données et doit s’interroger sur la possibilité de cibler davantage ses demandes au moyen de critères spécifiques (points 74-76 de l’arrêt).
227. Il ressort par ailleurs de cet arrêt que le destinataire de la demande de données a l’obligation d’examiner le bien-fondé de celle-ci et de vérifier s’il est légalement autorisé à y répondre. A défaut, le destinataire de la demande risque de violer ses propres obligations découlant du droit à la protection des données.
228. La défenderesse estime que cette jurisprudence n’est pas pertinente car il ne serait question en l’espèce ni de collecte généralisée et indifférenciée ni de transferts subséquents également qualifiables comme tels. En exécution de l’accord « FATCA », les traitements de données portent selon la défenderesse sur une catégorie de personnes précise, à savoir celles de nationalité américaine, et parmi elles, certaines ne seraient pas concernées si le montant de leur compte bancaire n’atteint pas le seuil déclarable. Or, souligne la défenderesse, la Cour constitutionnelle a précisément considéré dans son arrêt du 9 mars 2017 (voy. infra) que « la récolte des renseignements en exécution de l’accord « FATCA » est proportionnée dans la mesure où la loi définit dans ses annexes les critères pris en compte pour déterminer quelles données doivent être communiquées (…) ». L’arrêt de la Cour constitutionnelle serait, toujours selon la défenderesse, donc d’autant plus conforme à l‘arrêt de la CJUE de 2022 qui utilise les mêmes termes de « proportionnalité » et de « critères ».
229. La Chambre Contentieuse considère que dans la lignée de la jurisprudence de la CJUE de 2014 citée ci-dessus, les enseignements de cet arrêt C-175/2020 sont, au contraire, tout à fait pertinents. Appliqué au cas d’espèce, il en découle pour la Chambre Contentieuse que, comme les autorités de protection des données l’ont souligné dès après l’arrêt du 8 juin 2014, pour respecter le principe de proportionnalité dans le contexte d’un échange de données - automatique de surcroît - et sans lien avec un indice d’évasion tangible, il convient, au titre de critère, au minimum d’exclure les catégories de personnes ou de comptes qui peuvent être exemptés de l’obligation de déclaration sous « FATCA » ainsi que celles qui
présentent un très faible risque d’évasion. Ainsi, si les personnes ciblées ne sont en réalité pas taxables aux Etats-Unis selon le régime fiscal applicable aux non-résidents pour autant que leurs revenus à l’étranger ne dépassent pas le seuil fixé, le transfert de leurs données personnelles ne sera pas proportionné. Cette situation est susceptible de s’appliquer aux Américains accidents puisque précisément, ils sont non-résidents.
230. Le transfert de données vers l’IRS, par opposition à un traitement particulier sur demande adhoc, concerne a priori toutes les personnes de nationalité américaine. Le caractère généralisé du traitement doit s’apprécier au regard des destinataires de la norme elle-même, lesquels peuvent former un groupe identifié. Si la finalité déclarée est de lutter contre l’évasion fiscale (à tout le moins, l’appréciation de la proportionnalité étant en toute hypothèse rendue difficile compte tenu de l’absence de finalité suffisamment précise (voy. supra) sur la base de la nationalité américaine et que le traitement porte sur les données - même listées - de tous les Américains résidant à l’étranger (en l’espèce en Belgique), le traitement est généralisé. De la même manière que la CJUE a considéré que la communication de données relatives aux annonces de tous les vendeurs de véhicules d’occasion ou la disponibilité permanente de ces données via Internet consistait en une collecte généralisée, de la même manière, le transfert de données personnelles de tous les Américains vivant en Belgique est généralisé.
231. Le transfert à l’IRS apparait par ailleurs très peu différencié à la Chambre Contentieuse dès lors qu’il vise tous les Américains indépendamment de tout indice en lien avec la finalité pour laquelle le transfert à l’IRS intervient soit l’évasion fiscale, sauf « exception » liée aux comptes déclarables. La Chambre Contentieuse souligne que de son point de vue, la circonstance que les données personnelles à collecter et à transférer ensuite sont listées n’est pas un « critère » de ciblage pertinent et suffisant qui différencie les Américains concernés entre-eux au regard de cette finalité.
232. La seule exception liée aux comptes déclarables visée au point A de la partie I de l’annexe II de l’accord « FATCA » n’est en réalité pas véritablement une exception puisque les banques peuvent s’en exempter. Il y est en effet précisé que « les comptes de faible valeur, en l’occurrence inférieurs à 50.000 dollars US ne sont pas soumis aux procédures de déclaration, sauf si l’institution financière déclarante en décide autrement ».
é. Si cette faculté existe c’est que l’envoi des données relatives à ces comptes n’est pas véritablement nécessaire au sens de l’article 6.1.b) de la Directive 95/46/CE. La délibération 52/2025 du CSAF indiquait déjà à cet égard « le Comité relève donc le caractère optionnel de ce seuil. Le demandeur a toutefois pu indiquer que des institutions financières avaient confirmé y recourir. En vue d’éviter qu’un nombre d’excessif de comptes ne soit communiqué aux Etats-Unis, le Comité invite les institutions financières à appliquer le seuil de 50.000 dollars US(…) pour garantir la proportionnalité du traitement » (point 16 de la délibération). Si le CSAF vise certes les banques, sa délibération ne s’adresse pas moins à la défenderesse qui était prévenue. A cet égard, la défenderesse ne peut, a fortiori compte tenu de la délibération 52/2016, se retrancher comme elle le fait en conclusions derrière le comportement des banques qui n’useraient pas de la faculté qui leur est donnée. Il lui incombe en effet en sa qualité de responsable de traitement, de ne transférer que les données pertinentes et non excessives (donc nécessaires) à l’IRS et de rappeler ce devoir aux institutions financières.
234. Dans le contexte de l’échange automatique, il a d’emblée été identifié, dès la Convention de l’OCDE, qu’il existait un risque de recevoir des données non pertinentes et que ce risque devait être évité96. Dans l’accord « FATCA », l’annexe II pose ainsi le principe d’une révision régulière des catégories de personnes et/ou des comptes déclarables (eu égard au montant plafond) qui présenteraient un faible risque d’évasion fiscale, lesquels devraient être exclus de l’échange de données automatiques les concernant 97. Compte tenu de cette exigence, il est d’autant plus critiquable que la défenderesse transfère des données personnelles de titulaires de comptes non déclarables au motif que les banques les récolteraient et/ou qu’elle n’aurait pas accès au contenu des données. Comment la défenderesse peut-elle alors, comme elle s’en défend auprès du SI notamment, s’assurer du respect du principe de minimisation?
235. Pour autant que de besoin, la Chambre Contentieuse mentionne que cet arrêt est certes postérieur au 24 mai 2016 comme le sont certains documents que la Chambre Contentieuse a mentionnés ci-dessus. Pour les motifs qu’elle a exposé au titre II.5, dont l’effet ex tunc des arrêts rendus sur question préjudicielle, la Chambre Contentieuse tient compte de la manière dont les concepts clés de la protection des données sont interprétés par la CJUE, en ce compris l’interprétation que reçoivent les concepts du RGPD qui sont communs à la Directive 95/46/CE et d’autant plus encore quand, comme en l’espèce, il ne s’agit que d’une confirmation, dans un contexte cette fois fiscal, d’une jurisprudence existante depuis 2014 .
236. A l’appui de la jurisprudence de la CJUE qu’elle vient d’exposer appliquée au cas d’espèce, la Chambre Contentieuse constate que le principe de proportionnalité consacré à l’article 6.1b) de la Directive 95/46/CE n’est pas respecté. La défenderesse ne démontre pas que seules des données personnelles adéquates, pertinentes et non excessives, même si ces données sont listées (que ce soit dans l’accord « FATCA » (article 2.2) ou dans la Loi du 16 décembre 2015 (article 5)), sont transférées à l’IRS, leur transfert n’étant dans certaines circonstances pas de nature à réaliser la finalité poursuivie (sans préjudice des considérations émise par la Chambre Contentieuse au regard de la finalité).
237. Compte tenu de la primauté en droit de cette jurisprudence de la CJUE 98 au regard du principe de proportionnalité, la Chambre Contentieuse ne peut que constater que les avis de la CPVP, la délibération du CSAF, les délibérations de la CNIL ou encore l’arrêt du Conseil d’état français du 19 juillet 2019, ne pouvaient fonder la conviction de la défenderesse que l’accord « FATCA » était effectivement conforme au droit de l’UE applicable au 24 mai 2016.
La défenderesse ne peut les invoquer dès lors que leurs conclusions, sur la proportionnalité en particulier, sont contraires à ce que la CJUE attend en termes de respect de ce principe.
Ceci vaut également pour l’arrêt de la Cour Constitutionnelle du 9 mars 2017 sur lequel la défenderesse s’appuie tout particulièrement. A cet égard, la Chambre Contentieuse relève qu’en toute hypothèse cet arrêt ne pouvait fonder la conviction de la défenderesse que l’accord « FATCA » et la Loi du 16 décembre 2015 respectent le droit de l’UE applicable au 24 mai 2016. Compte tenu du moyen dont la Cour avait à connaître 99, la Chambre Contentieuse considère qu’il ne peut être déduit qu’en concluant comme elle l’a fait que l’ingérence satisfaisait aux conditions de l’article 8 § 2 de la CEDH - sans se prononcer sur l’article 8 de la Charte des droits fondamentaux alors qu’il était visé au moyen 100 - la Cour Constitutionnelle aurait également conclu à la conformité et non seulement de la Loi du 15 décembre 2016 mais aussi de l’accord « FATCA» tant à la Directive 95/46/CE de manière exhaustive qu’à la Charte des droits fondamentaux de l’UE.
238. La Chambre Contentieuse relève également que la Cour Constitutionnelle conclut que ce moyen est non-fondé à l’appui notamment de la considération selon laquelle « la récolte des renseignements permet d’atteindre l’objectif de la loi et est proportionnée dans la mesure où la loi définit dans ses annexes les critères pris en considération pour déterminer quelles données doivent être communiquées (point A de la partie I de l’annexe II) ». Pour la Chambre Contentieuse, l’objectif de la loi n’équivaut pas à une finalité de traitement et les données listées ne sont pas un critère (point 236). S’agissant de la référence à l’annexe II déjà citée, il ne s’agit comme déjà mentionné que d’une faculté (points 232-é). La Chambre Contentieuse n’ignore pas que les arrêts en annulation de la Cour constitutionnelle portant rejet de recours en annulation sont obligatoires pour les juridictions en ce qui concerne les questions de droit tranchées par ces arrêts. Ainsi qu’elle l’a déjà mentionné, ceci doit cependant céder devant la primauté du droit de l’UE (en ce compris la jurisprudence de la CJUE).
II.6.1.4. Les autres garanties au bénéfice des personnes concernées
239. Outre le fait que les traitements de données qu’il prévoit doivent respecter les principes de finalités et de proportionnalité déjà discutés, l’accord FATCA doit, pour répondre à la condition de l’article 96 du RGPD et comme le prévoit le considérant 102, contenir un certain nombre d’autres garanties au bénéfice des personnes concernées. A eux seuls, les manquements aux principes de finalité et de proportionnalité emportent l’illicéité du transfert en exécution de l’accord FATCA et de la Loi du 16 décembre 2015. Pour autant, la Chambre Contentieuse constate, sans être exhaustive à cet égard, que d’autres garanties requises dans l’accord font défaut.
240. Dans son avis WP 234 déjà cité, le Groupe 29 a ainsi identifié ces garanties résultant de l’application de la Directive 95/46/CE au regard des transferts automatiques de données à des fins fiscales.
241. Ainsi, outre les principes de finalité et de proportionnalité, le WP 34 retient l’exigence de proportionnalité dans les délais de conservation (article 6.1 de l’avis). La Chambre Contentieuse examinera le respect de ce principe également sous l’angle du RGPD et les considérations qu’elle émet au point 259 valent également au regard de la Directive 95/46/CE, le RGPD n’ayant pas modifié les exigences de ce principe. Un délai de conservation n’est pas prévu, même par référence à des paramètres pertinents, dans l’accord FATCA. On n’y trouve pas d’engagement de l’IRS quant à ce.
242. Le WP 234 retient également une exigence de transparence. Une information conforme aux articles 10 et 11 de la Directive 95/46/CE doit être prévue dans l’accord 101. Ici aussi, la Chambre Contentieuse renvoie à l’examen qu’elle opère sur ce point au regard du RGPD (points 262 et s.). Même si les éléments d’information requis par la Directive 95/46/CE sont plus limités que ceux qu’exige l’article 14 du RGPD, l’accord « FATCA » ne contient aucune garantie en termes d’information, en particulier de la part de l’IRS.
II.6.1.5. Conclusion sur la conformité au droit de l’UE applicable au 24 mai 2016
243. A l’appui de ce qui précède, la Chambre Contentieuse est d’avis que les éléments invoqués par la défenderesse à l’appui de la conformité de l’accord « FATCA » avec le droit de l’UE à la date du 24 mai 2016 ne l’autorisaient pas à conclure qu’elle pouvait continuer à transférer les données vers l’IRS en prenant appui sur l’article 96 du RGPD. La défenderesse ne démontre pas que les conditions d’application de l’article 96 étaient et sont réunies soit que l’accord « FATCA » seul, et même avec la Loi du 16 décembre 2015, respecte le droit de l’Union applicable au 24 mai 2016.
II.6.2. Les transferts vers l’IRS et le respect du RGPD
II.6.2.1. Principes
244. Il résulte des développements ci-dessus, que l’accord « FATCA » n’est à ce jour pas plus conforme au RGPD qu’il ne l’était au droit de l’UE avant le 24 mai 2016 au regard des principes de finalité et de minimisation consacrés aux articles 5.1.b) et 5.1 c) du RGPD lesquels traduisent dans le RGPD les principes de finalité et de proportionnalité des articles 6.1.b) et 6.1.c) du RGPD. Or la Chambre Contentieuse vient de conclure que les transferts de données opérés en exécution de l’accord « FATCA » n’étaient ni conforme à l’article 6.1.b) ni à l’article 6.1.c) de la Directive 95/46/CE ni aux articles 8 et 52 de la Charte des droits fondamentaux de l’UE (titres II.6.1.3 et II.6.1.4).
245. Le transfert des données vers l’IRS ne satisfait pas non plus aux exigences de l’encadrement des flux transfrontières de données vers des pays tiers 102 tels les Etats-Unis tel que requises par le Chapitre V du RGPD.
246. Comme le soulignent les parties dans leurs conclusions respectives, le Chapitre V du RGPD organise un système de cascade entre différents instruments pouvant être mobilisés par un responsable de traitement ou un sous-traitant pour transférer des données personnelles vers un pays tiers.103 Ce système s’inscrit dans la lignée du régime des transferts de données prévu par la Directive 95/46/CE.104 Ainsi, à défaut de décision d’adéquation au sens de l’article 45 du RGPD, le responsable de traitement ne pourra transférer des données personnelles vers un pays tiers que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives au sens de l’article 46.1 du RGPD. Ces garanties appropriées peuvent prendre différentes formes dont celle d’un instrument juridiquement contraignant (article 46.2. a) du RGPD).
Enfin, en l’absence de décision d’adéquation et de garanties appropriées, un transfert de données vers un pays tiers ne pourra avoir lieu que si l’une des dérogations listées à l’article 49 du RGPD est d’application. A défaut de rencontrer les exigences des articles 45 à 49 du RGPD, le transfert de données personnelles vers un pays tiers à l’EEE est interdit.
247. Il n’est pas contesté qu’il n’existe pas de décision d’adéquation couvrant le transfert des données du premier plaignant (et plus largement des Américains accidentels belges (dont la seconde plaignante défend les intérêts) vers l’IRS aux Etats-Unis, dès lors que la décision « Privacy Shield »105 – par ailleurs invalidée par la CJUE dans l’arrêt « Schrems II » déjà cité – ne s’applique pas à ce type de transferts pas plus que ce n’est le cas de la décision d’adéquation du 10 juillet 2023106, ce que les parties ne contestent pas.
II.6.2.2. Application des articles 46.1 et 46.2. a) du RGPD
248. Il a déjà été mentionné que, sans préjudice de l’article 96 du RGPD qu’elle invoque à titre principal, la défenderesse s’appuie en l’espèce sur l’article 46.2. a) du RGPD dès lors que le transfert des données de la défenderesse vers l’IRS qu’elle opère est fondé sur un instrument juridiquement contraignant et exécutoire entre elle et l’IRS ne nécessitant aucune autorisation de l’APD, soit l’accord « FATCA » d’une part et la Loi du 16 décembre 2015 d’autre part.
249. Il ressort de l’article 46.2. a) du RGPD que les garanties appropriées doivent figurer dans l’instrument juridiquement contraignant.107 L’article 46.2. a) est en effet libellé comme suit :
« les garanties appropriées (…) peuvent être fournies (…) par un instrument juridiquement contraignant et exécutoire entre les autorités ou organisme publics »108. Elles peuvent se fonder sur une norme de droit national contraignante mais la référence à celle-ci doit être expresse109.
250. Bien que ces garanties appropriées ne soient pas mentionnées en tant que telles à l’article 46 du RGPD ni à son considérant 108, elles doivent être de nature à assurer que les personnes dont les données à caractère personnel sont transférées vers un pays tiers bénéficient d’un niveau de protection substantiellement équivalent à celui garanti au sein de l’UE par le RGPD et que ce niveau de protection ne soit pas compromis110.
251. Dans ses Lignes directrices 02/2020111, le CEPD liste à l’appui de l’article 44 du RGPD et de la jurisprudence de la CJUE, en particulier de l’arrêt Schrems II déjà cité, les garanties minimales qui doivent se retrouver dans l’instrument juridique contraignant (article 46.2.a) du RGPD) .
252. Celles-ci renforcent celles que le Groupe 29 avait explicitées dans son document WP 234 en 2015 déjà. Plus que des recommandations, il s’agit de garanties minimales qui doivent se retrouver dans l’accord international en exécution de l’article 42.a) et dont il incombe à la défenderesse de démontrer qu’elles sont effectivement en place et effectives en continu. Le CEPD y inclus les droits opposables et les voies de recours effectives requis quant à eux par l’article 46.1. du RGPD déjà cité.
253. Ces exigences minimales concernent en particulier (1) les définitions des notions élémentaires, (2), les principes élémentaires en matière de protection des données, (3) les droits des personnes concernées, (4) de la limitation du transfert ultérieur et du partage des données, (5) des voies de recours effectives, (6) de mécanismes de contrôle et (7) de la responsabilité ou « accountability ».
254. La Chambre Contentieuse n’examinera pas exhaustivement chacune des garanties minimales devant être fournies par l’accord « FATCA ». En effet, l’absence d’un certain nombre d’entre-elles suffit à conclure à l’illicéité des transferts opérés sur la base de celui-ci.
255. Définition des notions élémentaires (point 2.2. des Lignes directrices du CEPD) : il est essentiel que les parties s’entendent sur la définition des concepts clés des traitements de données prévus par l’accord qui les lie et que ces notions y soient définies. A défaut, l’effectivité de toute autre garantie pourrait être compromise. Le CEPD liste ainsi les définitions des notions importantes suivantes : « donnée à caractère personnel », « traitement de données à caractère personnel », « responsable de traitement », « sous-traitant », « destinataire » et « données sensibles » 112.
256. La Chambre Contentieuse constate que l’accord « FATCA » n’en contient aucune. Si l’article 1er de l’accord est exclusivement dédié aux définitions (1 litera a) à z) + litera aa) à mm), aucune n’a trait aux notions de protection des données alors que le principe même de l’accord repose sur un enchaînement de traitements de données à caractère personnel. L’accord parle de « renseignements » ce qui démontre l’importance de se mettre d’accord sur ce qui constitue une donnée à caractère personnel parmi ceux-ci le cas échéant. Ainsi si bien sûr, la défenderesse est tenue des définitions que contient le RGPD (et de la Loi du 16 décembre 2015), ce n’est pas le cas de l’IRS qui recevra les données. L’accord ne fait pas non plus état de législation(s) américaine(s) qui définirai(en)t ces concepts.
257. Principe de limitation des finalités (point 2.3.1 des Lignes directrices du CEPD)113 : sur ce point, la Chambre Contentieuse renvoie aux conclusions qu’elle a émises au titre II.6.1.3 ci-dessus. En outre, l’accord « FATCA » ne contient pas le type de traitements des données qui sont transférées et traitées au titre de l’accord 114.
258. Principe de minimisation et d’exactitude (point 2.3.2 des Lignes directrices du CEPD)115 116 : s’agissant du respect du principe de minimisation, la Chambre Contentieuse renvoie à ses conclusions ci-dessus (titre II.6.1.4).
259. Principe de limitation de la conservation (point 2.3.3 des Lignes directrices du CEPD)117 118 : la Chambre Contentieuse relève que l’accord «FATCA» ne contient aucun engagement quant à la conservation limitée des données traitées et transférées en exécution de l’accord ni délai maximal de conservation. Certes, ainsi que la défenderesse le souligne dans ses conclusions, la Loi du 16 décembre 2015 prévoit une durée de conservation de 7 années dans son chef (article 15.3 de ladite loi). Ce délai prévu par la législation belge n’engage que la défenderesse. Ceci ne démontre pas que l’IRS serait tenu à un délai de conservation proportionné des données transférées également. Or, les données doivent demeurer protégées une fois aux Etats-Unis ce dont la défenderesse doit, ainsi qu’il a été mentionné, s’assurer. Dans ses conclusions, la défenderesse produit un tableau reprenant un certain nombre de délais de conservation applicables à l’IRS qu’elle qualifie elle-même de « lignes directrices », dont un délai au regard duquel elle indique qu’il est « généralement » de 5 ans (point 66 des secondes conclusions additionnelles et de synthèse de la défenderesse).
Outre que rien ne figure dans l’accord même, la Chambre Contentieuse n’est pas en mesure d’apprécier la proportionnalité de ces délais au regard des finalités des traitements.
260. Droits des personnes concernées119 : conformément à l’article 46.1 du RGPD et au considérant 108, l’accord international doit garantir des droits opposables et effectifs pour la personne concernée. Ce qui implique que l’accord devrait reprendre tous les droits dont bénéficient les personnes concernées, y compris les engagements particuliers pris par les Parties à garantir ceux-ci. Pour que ces droits soient effectifs, l’accord international doit prévoir des mécanismes qui garantissent leur application en pratique. En outre, toute violation des droits de la personne concernée doit être assortie d’un recours approprié.120
261. La Chambre Contentieuse constate que l’accord «FATCA» ne contient pas de mention des droits de la personne concernée, que ce soit le droit à l’information, le droit d’accès, le droit de rectification, le droit à l’effacement, le droit à la limitation ou le droit d’opposition. Il ne contient pas plus d’indication de quand ils peuvent être invoqués et les modalités d’exercice de ceux-ci.
262. Quant au droit à l’information, absent de l’accord FATCA, la défenderesse ne peut plaider que cette obligation d’information résulterait dans son chef de la Loi du 16 décembre 2015 ou du RGPD puisque précisément, sa position consiste à dire qu’elle est dispensée de cette information dès lors que celle-ci reviendrait exclusivement aux banques (voy. le titre II.6.3).
Or, la garantie minimale requise par l’article 46.2.a) du RGPD est formulée comme suit « l’organisme public qui transfère (soit ici la défenderesse) les données devrait informer les personnes concernées individuellement conformément aux exigences en matière de notification prévues aux articles 13 et 14 du RGPD » en précisant à cet égard « qu’une note d’information générale sur le site internet de l’organisme public en question ne sera pas suffisante ».
263. Une obligation d’information devrait également peser sur l’IRS à qui les données sont transférées en exécution de l’accord. A cet égard, la défenderesse ne démontre pas que cette exigence est rencontrée et comme indiqué, ce devoir d’information ne ressort pas de l’accord.
264. Quant aux autres droits, la Chambre Contentieuse ne peut que constater qu’ils ne figurent pas dans l’accord ni ne ressortent des textes auxquels l’accord renverrait. La Chambre Contentieuse relève que les plaignants soulignent que le site de l’IRS, qui traite pourtant de l’accord « FATCA », ne contient pas d’information au sujet des dits droits. S’agissant du droit d’accès (pilier du droit de la protection des données), l’accord international devrait préciser que les personnes ont le droit de demander à l’organisme public destinataire de confirmer si des données personnelles le concernant sont traitées et, si tel est le cas, d’avoir accès à ces données ainsi qu’à des informations particulières concernant le traitement, y compris la finalité, les catégories de données, les destinataires des données, les délais de conservation et les voies de recours. Ce n’est pas le cas.
265. S’agissant plus particulièrement de la référence requise à l’article 22 du RGPD, la défenderesse plaide qu’elle n’opère pas de traitements qui tombent sous cette disposition.
Cette circonstance, même si elle était vérifiée, est indifférente. En effet, ce qui est demandé au titre de garantie dans l’accord, c’est l’engagement des Parties, en ce compris du destinataire des données (soit l’IRS) de ne pas procéder notamment à ce type de traitements (d’où l’importance ainsi qu’il a été mentionné, d’identifier les types de traitements comme indiqué au point 257). Cette garantie n’est pas fournie par l’accord.
266. Les droits des personnesncernées n’étant ni consacrés ni ne ressortissent de l’accord «FATCA» - il n’est pas satisfait à l’article 46.1. a) du RGPD qui pour rappel exige « que les personnes concernées disposent de droits opposables et de voies de droit effectives ». La défenderesse reste en défaut de démontrer que ces droits sont effectivement opposables et effectifs.
267. Quant aux voies de recours121 : afin de garantir ces droits opposables et effectifs, l’accord doit prévoir un système qui permet aux personnes concernées de continuer à bénéficier de mécanismes de recours après que leurs données ont été transférées vers un pays hors de l’EEE. Ces mécanismes de recours doivent permettre aux personnes concernées dont les droits ont été violés d’introduire une plainte et de voir celle-ci tranchée.
268. La Chambre Contentieuse ne peut que constater sur ce point que la défenderesse ne démontre pas que de tels mécanismes de recours existeraient au bénéfice des personnes concernées par les traitements dénoncés une fois les données transférées, dont aux Américains accidentels belges.
269. Mécanisme de contrôle 122 : afin de garantir que toutes les obligations créées en vertu de l’accord international sont respectées, l’accord doit prévoir un contrôle indépendant afin de vérifier qu’il est appliqué correctement et de surveiller les atteintes aux droits prévus dans cet accord. La Chambre Contentieuse constate qu’aucun élément n’est fourni par la défenderesse sur ce point hormis la référence à un système de Peer Review (réponse à la question 2 du SI – rapport d’enquête complémentaire) qui ne présente pas les garanties requises. Un tel mécanisme ne ressort pas de l’accord.
II.6.2.3. Conclusion
270. Au titre de « Garanties suffisantes » selon ses termes, la défenderesse s’appuie sur les avis de la CPVP, l’autorisation du CSAF et l’arrêt de la Cour constitutionnelle du 9 mars 2017 que la Chambre Contentieuse a déjà écartés lors de la discussion portant sur les principes de finalité et de proportionnalité. Ces moyens de défense ne sont donc pas de nature à remettre en cause le constat de la Chambre Contentieuse que nombre de garanties requises par l’article 46.2. a) du RGPD font défaut puisque ces garanties incluent précisément le respect du principe de proportionnalité d’une part et qu’il n’est pas démontré que la condition de l’article 46.1 du RGPD (droits effectifs et opposables assortis de voies de recours) est satisfaite.
271. Comme le souligne le SI (page 3/22 de son rapport complémentaire), l’article 3.7 de l’accord « FATCA » renvoie aux obligations de confidentialité et autres garanties prévues par la Convention de l’OCDE (articles 21 et 22). Le SI relève encore que l’’article 3.8 de l’accord « FATCA » prévoit que chaque autorité compétente avise par écrit l’autre lorsqu’elle est convaincue que celle-ci a mis en place les garanties appropriées (page 3/22 du rapport d’enquête complémentaire du SI).
272. La défenderesse a effectivement produit cette pièce dénommée « Notification of adequacy of Datasafeguards and infrastructure » signée tant par elle-même que par l’IRS, respectivement le 10 janvier 2017 pour la défenderesse et le 24 janvier 2017 pour l’IRS.
Ladite notification se lit comme suit :
« La présente constitue la notification requise par l’article 3.8 de l’accord entre le Gouvernement des Etats-Unis d’Amérique et le Royaume de Belgique en vue de d’améliorer le respect des obligations fiscales internationales et de mettre en œuvre la Fatca ( « l’Accord ») et une fois signée, servira à informer l’autre partie que nos juridictions respectives ont mis en place (i) des garanties appropriées pour s’assurer que les renseignements reçus en vertu de l’Accord resteront confidentiels et ne seront utilisés qu’à des fins fiscales et (ii) l’infrastructure nécessaire à une relation d’échange efficace y compris des processus établis pour assurer des échanges de renseignements opportuns, précis et confidentiels, des communications efficaces fiables et des capacités démontrées pour résoudre rapidement les questions et les préoccupations concernant les échanges ou les demandes d’échanges et pour administrer les dispositions de l’article 5 de l’Accord » (Traduction libre).
273. La Chambre Contentieuse constate que cette notification est signée de 2017 et qu’aucune indication n’a été donnée à la Chambre Contentieuse que les engagements pris aux termes de cette notification qui date de plus de 8 ans sont maintenus et mis à jour. Mais surtout, le contenu de cette notification n’atteste pas de garanties équivalentes à celles requises par l’article 46.1 et l’article 46.2. a) du RGPD. Ainsi, s’agissant du respect de la finalité, la Chambre Contentieuse a en toute hypothèse contesté le caractère suffisamment spécifique et déterminé des « finalités fiscales » auxquelles le texte renvoie et pour lesquelles les données pourraient être traitées une fois transférées (ce même spécifié par l’article 17 de la Loi du 16 décembre 2015). La « confidentialité » (outre qu’elle n’est pas davantage précisée dans ce qu’elle recouvre), les engagements pris au regard d’une « infrastructure » ainsi que la référence à l’article 5 de l’accord, s’ils renvoient à des engagements en matière de sécurité123, ne concernent pas les garanties dont la Chambre Contentieuse a constaté qu’elles faisaient défaut dans l’accord « FATCA », tels que la limitation de la conservation, la reconnaissance de droits, les voies de recours ou encore un mécanisme de contrôle. Le « Competent Authority Arrangement » mentionné au SI ainsi que le Data Safeguard Workbook (également mentionné au SI au regard de la pré-analyse évoquée au titre II.6.4 et dont elle indique elle-même qu’il a trait à la sécurité) qui sont liés à cet article 3.8. ne sont pas de nature à modifier le point de vue de la Chambre Contentieuse. Ils implémentent en effet précisément - sans que leur statut contraignant ne soit attesté - l’article 3.8 dont le contenu est jugé insuffisamment aligné avec les garanties requises par les articles 46.1 et 46.2. a) du RGPD.
274. En conclusion, la Chambre Contentieuse constate à l’appui de ce qui précède, comme l’autorité slovaque de protection des données l’avait similairement fait avant elle124, que la défenderesse ne démontre pas que les garanties appropriées requises par l’article 46.2. a) du RGPD (ainsi que par l’article 46.1) qu’elle mobilise, sont fournies par l’accord «FATCA». En conséquence, la Chambre Contentieuse constate une violation des articles 46.1 et 46.2. a) dans le chef de la défenderesse.
II.6.2.4. Quant à l’article 49 du RGPD
275. La Chambre Contentieuse relève que dans sa décision du 4 octobre 2021, la défenderesse prenait appui sur l’article 49.1. d) du RGPD (point 18). Dans le cadre de la présente procédure, elle mobilise en revanche l’article 46.2.a) du RGPD. Ainsi, alors que dans un premier temps, elle a invoqué l’exception de l’article 49.1. d) du RGPD qui présuppose l’absence de garanties comme exposé ci-dessus au regard du système en cascade du RGPD, la défenderesse mobilise ensuite l’article 46.2 a) du RGPD et plaide que les garanties appropriées requises sont toutes en place. Elle conclut in fine qu’en réalité, l’article 49.1.d) du RGPD ne peut pas trouver à s’appliquer en l’espèce (point 50 des secondes conclusions de synthèse de la défenderesse).
276. Pour autant que de besoin, la Chambre Contentieuse écarte l’application de l’article 49.1 d) du RGPD en l’espèce. Elle rappelle que cette dérogation - nécessairement d’interprétation restrictive - s’applique uniquement lorsque les transferts sont autorisés pour des motifs d’intérêt public important dans un esprit de réciprocité, lesquels transferts ne peuvent toutefois avoir lieu à grande échelle et de façon systématique comme c’est le cas en l’espèce. Il convient en effet de respecter le principe général selon lesquelles dérogations de l’article 49.1 d) ne peuvent devenir « la règle » en pratique mais doivent être limitées à des situations particulières 125ar ailleurs veiller à ce que le transfert remplisse le strict test de nécessité/minimisation. La Chambre Contentieuse a conclu au titre II.6.1.3 que le transfert vers l’IRS par la défenderesse ne passait pas ce test. Chaque exportateur de données doit par ailleurs veiller à ce que le transfert remplisse le strict test de nécessité/minimisation. La Chambre Contentieuse a conclu au titre II.6.1.3 que le transfert vers l’IRS par la défenderesse ne passait pas ce test.
II.6.3. Quant au respect de l’obligation d’information
277. Pour les motifs exposés au point 160 ci-dessus et résultant par ailleurs du constat opéré au point 242, la Chambre Contentieuse considère que l’article 14 du RGPD s’applique à la défenderesse indépendamment de l’article 96 du RGPD.
278. S’agissant en l’espèce de données à caractère personnel qu’elle n’a pas obtenues directement auprès du premier plaignant - puisqu’elle les obtient des institutions financières (on parle alors de collecte indirecte) - , la défenderesse doit en sa qualité de responsable de traitement, sauf à pouvoir se prévaloir d’une exception, se conformer à l’article 14 du RGPD, combiné aux exigences de l’article 12 du RGPD au regard du transfert des données personnelles à l’IRS.
279. Les informations à fournir en application de l’article 14 du RGPD sont les suivantes 126: l’identité et les coordonnées du responsable de traitement et, le cas échéant, de son représentant (article 14.1. a)); le cas échéant les coordonnées du délégué à la protection des données (DPO) (article 14.1.b)); les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement (article 14.1.c)); les catégories de données à caractère personnel concernées (article 14.1.d)); le cas échéant, les destinataires ou les catégories de destinataires de données à caractère personnel (article 14.1.e)); le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission [européenne] ou dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition (article 14.1.f)); la durée pendant laquelle les données à caractère personnel seront conservées ou lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée (article 14.2.a)); lorsque le traitement est fondé sur l’article 6.1.f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (article 14.2.b)); l’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données (article 14.2.c)); lorsque le traitement est fondé sur l’article 6.1.a) ou sur l’article 9.2.a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci (article 14.2.d)); le droit d’introduire une réclamation (lisez plainte) auprès d’une autorité de contrôle (article 14.2.e)); la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public (article 14.2.f)) et l’existence d’une prise de décision automatisée y compris un profilage, visée à l’article 22.1 et 22.4 et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée (article 14.2.g)).
280. A l’appui de l’article 14.1 de la Loi du 16 décembre 2015 127, la défenderesse conclut que c’est aux banques qu’il revenait légalement d’informer le premier plaignant et non à elle-même.
Elle indique qu’en l’espèce, la banque Z a par ailleurs informé ce dernier. La défenderesse ajoute que nonobstant l’absence d’obligation dans son chef, elle n’en informe pas moins les personnes concernées des transferts vers l’IRS au travers de son site Internet.
281. La Chambre Contentieuse est d’avis que l’obligation d’information dans le chef des banques ne dispense pas ipso facto la défenderesse de son obligation au regard du traitement qu’elle opère à son tour en sa qualité de responsable de traitement, en particulier le transfert des données vers l’IRS. En effet, même si la banque Z est légalement tenue d’informer le premier plaignant conformément à l’article 14.1 de la Loi du 16 décembre 2015, Z ne devait pas pour autant fournir tous les éléments que la défenderesse doit pour sa part communiquer au regard de son traitement propre.
282. La dispense d’information prévue à l’article 14.5. a) du RGPD selon laquelle le responsable doit informer la personne concernée « sauf lorsque et dans la mesure où » elle dispose déjà de ces informations, doit par ailleurs s’appliquer dans les limites strictes du texte.128 Il va de soi que l’article 14.5.a) du RGPD ne peut être invoqué que si l’information a déjà été fournie relativement au même traitement concerné.
283. Pour pouvoir s’appuyer sur l’article 14.5. a) du RGPD, la défenderesse doit donc démontrer que les banques informent sur les éléments de son traitement propre, à savoir le transfert à l’IRS ET que tous les éléments pertinents de l’article 14 du RGPD au regard de ce dernier traitement sont couverts (a priori seuls les éléments de l’article 14.2 b) et 14.2. d) sont d’office exclus).
284. A cet égard, la Chambre Contentieuse constate que l’article 14.1 de la Loi du 16 décembre 2015 ne prévoit pas tous les éléments requis par l’article 14.1-2 du RGPD. Les éléments listés audit article 14.1 de la Loi du 16 décembre 2015 sont relativement limités: a) les finalités des communications de données à caractère personnel, b) le destinataire ou les destinataires ultime(s) des données à caractère personnel, c) les comptes déclarables pour lesquels les données à caractère personnel sont communiquées, d) l'existence d'un droit d'obtenir, sur demande, communication des données spécifiques qui seront ou qui ont été communiquées concernant un compte déclarable et les modalités d'exercice de ce droit et (e) l'existence d'un droit de rectification des données à caractère personnel la concernant et les modalités d'exercice de ce droit.
285. L’argument de la défenderesse selon lequel c’est aux banques seules qu’il incombe d’informer (même si leur obligation résulte de la Loi du 16 décembre 2015) ne peut donc être retenu.
286. S’agissant de l’information donnée in casu au plaignant, la Chambre Contentieuse constate à l’appui des pièces communiquées que certaines informations ont effectivement été fournies au plaignant (points 11-13) mais ne couvrent pas tout ce qui est requis par l’article 14.1-2 du RGPD au regard du transfert à l’IRS. Ainsi, les garanties d’encadrement du transfert vers l’IRS ne sont pas mentionnées par la banque Z (article 14.1.f) du RGPD), pas plus que les coordonnées du DPO de la défenderesse (article 14.1.b)), le droit de porter plainte auprès de l’APD (article 14.2.e), ou les modalités d’exercice ou les limites du droit d’accès (article 14.2.c)). La Chambre Contentieuse relève également que l’un des courriers renvoie pour plus d’informations au SPF Finances ce qui est en totale contradiction avec la position de la défenderesse selon laquelle il incomberait aux banques seules d’informer (point 11) et témoigne du rôle certes limité mais certain de la défenderesse et, en tout cas, sur base de plaintes des personnes concernées, celui de veiller au respect par les banques de leur devoir d’information.
287. L’article 14.5.c) du RGPD (dont les plaignants rejettent l’applicabilité sans que celle-ci ne soit invoquée par la défenderesse) prévoit également que les éléments d’information listés aux paragraphes 1 et 2 ne doivent pas être fournis à la personne concernée lorsque « l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’Etat membre auquel le responsable de traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ».
288. Dans un arrêt « Mäsdi » C-169/23 du 28 novembre 2024, la CJUE a clarifié et tranché que c’est bien l’obtention et la communication des données qui doivent être prévues par le droit national (et non celle des informations listées à l’article 14.1-2), ce nonobstant les termes de la version française de l’article 14.5.c) du RGPD.129
289. La Chambre Contentieuse est d’avis que l’article 14.5. c) du RGPD ne trouve pas à s’appliquer en l’espèce, les conditions de son application n’étant pas réunies, même si le traitement est prévu par l’accord « FATCA » et la Loi du 16 décembre 2015. Cette exception de l’article 14.5.c) du RGPD ne peut en effet être invoquée que si des mesures appropriées visant à protéger les intérêts légitimes des personnes concernées sont prévues par ladite règlementation ce qui n’est pas démontré par la défenderesse. Si cette dernière n’invoque certes pas cette disposition, elle ne réagit pas non plus à l’argument des plaignants selon lequel cette exception ne trouverait en aucun cas à s’appliquer.
290. Aucune dispense d’information n’étant d’application, la Chambre Contentieuse examinera dans quelle mesure la défenderesse s’acquitte pleinement de son obligation d’information comme elle prétend le faire via son site Internet sans même y être obligée via « des explications plus théoriques, des actualités, des liens vers des documents pertinents et une FAQ » (point 68 de ses secondes conclusions additionnelles et de synthèse). La Chambre Contentieuse ajoute que conformément à l’article 12.1. du RGPD, cette information doit être concise, transparente, compréhensible et aisément accessible, formulée en des termes clairs et simples. Sans préjudice de l’observation qu’elle formulera à cet égard, la Chambre Contentieuse souligne que c’est d’autant plus le cas si, comme elle l’expose, la défenderesse ne dispose pas de l’identité des Américains concernés pour leur fournir une information individuelle. La Chambre Contentieuse rappelle que le CEPD demande une information individualisée (voy. supra)130.
291. La Chambre Contentieuse a ainsi pu constater ce qui suit:
292. https://finances.belgium.be/fr/E-services/fatca131 : il s’agit d’une page générale qui décrit le principe de l’accord « FATCA » en termes généraux comme ci-dessous et qui comprend également un certain nombre d’actualités de nature technique:
VOIR PDF P. 82/96
293. https://financien.belgium.be/fr/E-services/fatca/creation de fichiers xml fatca 132: il s’agit de la page « création de fichiers XML Fatca » qui détaille la manière dont les fichiers XML FATCA doivent être formatés conformément au schéma XSD défini par l'administration fiscale américaine (IRS). La page s’adresse donc aux institutions financières (banques) et renvoie aux différents guides d’utilisation et aux pages de l’IRS exclusivement en anglais.
Seule la note relative au processus de correction et la note d’utilisation existent en français par exemple.
VOIR PDF P. 82/96
294. https://financien.belgium.be/fr/E-services/fatca/envoi de fichiers fatca xml 133: il s’agit de la page qui décrit le processus d’envoi des fichiers à la défenderesse et qui s’adresse donc ici également aux institutions financières.
VOIR PDF P. 82/96
295. https://financien.belgium.be/fr/E-services/fatca/faq et documentation135: cette rubrique « FAQ et documentation » contient une liste de nombreux liens renvoyant vers différents documents pertinents dans le contexte du transfert ou de la taxation par des autorités fiscales étrangères (non exclusivement « FATCA »), pour une grande partie en anglais.
VOIR PDF P. 83/96
296. https://financien.belgium.be/fr/E-services/fatca/faq et documentation/faq/generalites 136:
A titre d’exemple, la FAQ Généralités renvoie vers un certain nombre de questions (citées en conclusions par la défenderesse, comme participant à la matérialisation de son obligation d’information).
VOIR PDF P. 83/96
297. La Chambre Contentieuse constate que les éléments du site Internet de la défenderesse fournissent certes de l’information sur l’accord « FATCA » notamment, sur les obligations qui pèsent sur les banques belges et sur la manière dont il convient que ces dernières fournissent les données à la défenderesse qui, à son tour, les transmettra à l’IRS. Cette information est à la fois générale et technique et s’adresse pour une partie substantielle aux institutions financières et non pas directement au citoyen potentiellement concerné.
Nombre de documents ne sont par ailleurs disponibles qu’en anglais.
298. A l’appui des paragraphes qui précèdent, la Chambre Contentieuse fait le constat que cette information ne répond pas à celle qui doit être activement fournie aux personnes concernées au sens de l’article 14.1-2 du RGPD. La Chambre Contentieuse estime qu’il s’agit là d’un manquement particulièrement grave dès lors que le droit à l’information est une pierre angulaire du droit de la protection des données. Sans information, la personne concernée n’est pas en mesure d’avoir conscience du traitement de ses données. Elle est par ailleurs privée de la possibilité de pouvoir effectuer le contrôle sur celles-ci que lui permet le RGPD au travers de l’exercice de droits dont elle n’est informée ni de l’existence ni des modalités d’exercice ( voy. article 14.2 e) et 14.2.c) du RGPD).
299. Par ailleurs, les différents éléments d’information, fussent-ils contenus dans l’un ou l’autre document, quod non, ne sont ni aisément accessibles et encore moins compréhensibles pour les personnes concernées comme requis par l’article 12.1. du RGPD.
300. Ces constats de la Chambre Contentieuse rejoignent ceux, ainsi que le souligne le SI, formulés dès 2016 par le CSAF dans sa délibération 52/2016:
301. En conclusion de ce qui précède, la Chambre Contentieuse conclut à un manquement à l’article 14.1. et 14.2., combiné à l’article 12.1. du RGPD dans le chef de la défenderesse tant parce qu’elle n’a pas informé le premier plaignant au regard du transfert de ses données personnelles à l’IRS qu’au regard de l’information insuffisante qu’elle met à la disposition des personnes concernées, dont les Américains accidentels belges que représente la défenderesse.
II.6.4. Quant au manquement à l’obligation de réaliser une AIPD
302. Pour les motifs exposés au point 160 ci-dessus, la Chambre Contentieuse considère que l’article 35 du RGPD s’applique à la défenderesse indépendamment de l’article 96 du RGPD, ceci sans préjudice de ce que dès 2015, le Groupe 29 préconisait la réalisation d’une AIPD au regard des traitements de données intervenant dans le cadre de l’échange automatique de données à des fins fiscales 137.
303. Lorsque le responsable de traitement opère un des traitements listés à l’article 35.3. du RGPD138, il est tenu de réaliser une AIPD. Il en est de même lorsque le traitement envisagé est repris dans la liste des traitements nécessitant une AIPD adoptée par l’APD en exécution de l’article 35.4 du RGPD139. Les traitements visés par la plainte ne sont pas couverts par ces deux paragraphes de l’article 35.
304. Cette exclusion ne dispense pas le responsable de traitement de vérifier s’il ne se trouve pas dans les conditions d’application de l’article 35.1. du RGPD qui prévoit que « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires ».
305. Cette obligation doit être comprise dans le contexte de l’obligation générale du responsable de traitement de gérer de manière appropriée les risques que présentent les traitements de données personnelles qu’il opère. Elle s’inscrit ainsi dans son obligation d’accountability (articles 5.2 et 24 du RGPD).
306. La défenderesse devait donc examiner si le transfert vers l’IRS nécessitait qu’elle effectue ou non une AIPD et ce, dès le 25 mai 2016 pour être en conformité au plus tard au 25 mai 2018 et ensuite demeurer vigilante à tout changement - factuel ou du cadre juridique - qui nécessiterait une réévaluation des risques.
307. A cet égard, la défenderesse précise pour sa défense qu’interrogée quant à ce par le SI le 30 juin 2021, son DPO a répondu que sur la base d’une pré-analyse d’impact, il avait été conclu qu’une AIPD n’était pas nécessaire compte tenu du fait :
- Que la loi avait intégré les remarques émises par la CPVP dans les deux avis rendus sur le projet de loi;
- Que le CSAF avait émis une délibération autorisant la transmission de données vers l’administration fiscale américaine et que les conditions de cette délibération ont été mises en œuvre;
- Que le traitement respecte les exigences de la norme AEOI en matière de confidentialité et de protection des données, ainsi que les politiques de sécurité de l’information de la défenderesse basées sur la norme ISO27001: la transmission des renseignements est doublement protégée, au niveau des fichiers cryptés et signés et au niveau du canal par lequel les informations sont communiquées (plateforme sécurisée MyMinfin pour la transmission des données par les banques belges et plateforme sécurisée IDES pour la transmission vers l'IRS);
- Que les autorités américaines sont également tenues de fournir les mesures de sécurité nécessaires afin que les informations restent confidentielles et soient stockées dans un environnement sécurisé, comme prévu par le «FATCA» Data Safeguard Workbook.
308. Le SI n’a émis aucune considération au regard de cette réponse, se limitant dans son rapport d’enquête complémentaire à reproduire la réponse du DPO de la défenderesse. Dans sa conclusion, le SI n’évoque pas spécifiquement l’AIPD prévue par le RGPD, concluant généralement sur la présence de garanties concernant la protection des données transférées et sur la réciprocité des échanges.
309. Quant aux plaignants, ils sont d’avis qu’une AIPD aurait dû être effectuée.
310. La Chambre Contentieuse constate d’emblée que le DPO de la défenderesse ne précise pas la date à laquelle cette pré-analyse a été effectuée. Alors que le SI demandait explicitement que cette analyse lui soit communiquée en cours d’enquête , la défenderesse s’est abstenue jusqu’ici de le faire. Cette pré-analyse ne figure pas dans le dossier et la défenderesse demeure donc en défaut d’apporter la preuve qu’elle a été menée à la période invoquée.
311. La Chambre Contentieuse considère en toute hypothèse que l’argumentation de la défenderesse basée sur cette pré-analyse ne peut être suivie pour les motifs qui suivent.
312. La Chambre Contentieuse rappelle l’article 35.10 du RGPD qui prévoit que « lorsque le traitement effectué en application de l'article, paragraphe 1, point c) ou e), a une base juridique dans le droit de l'Union ou dans le droit de l'État membre auquel le responsable du traitement est soumis, que ce droit règlemente l'opération de traitement spécifique ou l'ensemble des opérations de traitement en question et qu'une analyse d'impact relative à la protection des données a déjà été effectuée dans le cadre d'une analyse d'impact générale réalisée dans le cadre de l'adoption de la base juridique en question, les paragraphes 1 à 7 ne s'appliquent pas, à moins que les États membres n'estiment qu'il est nécessaire d'effectuer une telle analyse avant les activités de traitement »140.
313. Le législateur belge a en ce sens prévu aux termes de l’article 23 de la LTD que même si une analyse d’impact a été faite dans le cadre de l’adoption de la base juridique qui fonde la licéité du traitement (article 6.1. c) ou article 6.1. e) du RGPD), le responsable de traitement n’est pas dispensé de réaliser une AIPD au sens de l’article 35.1. du RGPD lorsque ses conditions d’application sont réunies.
314. Le législateur belge a ainsi expressément prévu que l’AIPD réalisée dans le cadre du travail parlementaire ne dispense pas le responsable de traitement de réaliser une AIPD au sens de l’article 35 du RGPD avant l’opérationnalisation des traitements concernés141. Les avis rendus par la CPVP et l’autorisation du CSAF au regard du respect de la Directive 95/46/CE ne sont pas pertinents au titre d’AIPD au sens de l’article 35.10 du RGPD. Il serait en toute hypothèse contraire à l’article 23 de la LTD, lu à la lumière de l’article 35.10 du RGPD, d’admettre qu’une pré-analyse qui s’appuierait sur ces textes pour conclure que le responsable de traitement n’est pas tenu de réaliser une AIPD, soit admise au titre de dispense. La Chambre Contentieuse renvoie enfin à ses conclusions au regard de ces avis et délibérations (titre II.6).
315. Le fait que la pré-analyse s’appuie également sur l’existence d’autres normes n’est pas plus pertinent. A elles seules, ces normes garantissant principalement un certain niveau de sécurité, ne suffisent pas, ainsi qu’il sera démontré ci-dessous, à dispenser la défenderesse.
316. La Chambre Contentieuse est en effet d’avis que le transfert des données vers l’IRS est un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées au sens de l’article 35.1. du RGPD pour lequel une AIPD était nécessaire.
317. Plusieurs critères cités aux termes du considérant 75 du RGPD ainsi que dans les Lignes directrices du CEPD relatives à l’AIPD 142 attestent d’un risque élevé potentiel en l’espèce.
318. Ainsi, la Chambre Contentieuse retient:
- La «surveillance systématique »143 en ce que les données concernées sont, sauf « l’exception » liée au seuil « déclarable » des comptes bancaires systématiquement annuellement transférées à l’IRS qu’il y ait ou non indice d’évasion fiscale notamment (titre II.6.1.3) ;
- Les données transférées à l’IRS sont des données financières qui entrent dans la catégorie des « données à caractère hautement personnel »144 au sens des Lignes directrices précitées;
- Les données sont traitées « à grande échelle »145 en ce qu’elles concernent, a priori, sauf exception limitée, les données de toutes les personnes de nationalité américaine disposant de comptes bancaires en Belgique. La portée de l’obligation et sa récurrence, même annuelle, jouent ici un rôle dans l’appréciation du caractère « à grande échelle » du traitement, aux côtés du nombre de personnes concernées et du volume de données transférées (voy. également le titre II.6.1.3);
- Les personnes concernées peuvent être qualifiées de « personnes vulnérables » (considérant 75) dès lors qu’un déséquilibre dans leur relation avec la défenderesse peut être identifié et plus encore avec l’IRS, destinataire des données. Ce déséquilibre ne résulte pas uniquement du fait que ce transfert s’impose aux personnes concernées sans qu’elles puissent s’y opposer mais surtout de la complexité de l’encadrement juridique, en ce compris l’existence d’éventuelles voies de recours pour l’exercice de leurs droits;
- La finalité poursuivie (lutte contre l’évasion fiscale à tout le moins) et les traitements subséquents susceptibles d’être opérés aux Etats-Unis emporte selon la Chambre Contentieuse un potentiel « croisement ou combinaison d’ensembles de données », autre critère des lignes directrices déjà citées.
319. Enfin, sans que cela ne constitue un des 9 critères listés par le CEPD, le transfert a lieu vers un pays tiers à l’EEE dont le niveau de protection des données n’est pas considéré comme adéquat à tout le moins en ce qui concerne le traitement litigieux. La défenderesse ne peut l’ignorer et cette situation, requiert selon la Chambre Contentieuse, une attention et une évaluation des risques particulièrement rigoureuses.
320. La Chambre Contentieuse précise que le CEPD est d’avis que dans la plupart des cas, le responsable de traitement peut considérer qu’un traitement qui rencontre 2 des 9 critères listés dans ses Lignes directrices nécessite une AIPD. De manière générale, le CEPD estime que plus le traitement « remplit de critères », plus il est susceptible de présenter un risque élevé pour les droits et libertés des personnes concernées et par conséquent de nécessiter une AIPD, quelles que soient les mesures que le responsable du traitement envisage d’adopter.
321. Combinés les uns aux autres, la présence des 5 critères identifiés au point 318 traduit un niveau de risque élevé du transfert dénoncé vers l’IRS. Ce niveau de risque élevé justifiait selon la Chambre Contentieuse qu’une AIPD au sens de l’article 35.1. soit réalisée par la défenderesse, comme par ailleurs ainsi qu’il a été mentionné, préconisé depuis 2015 déjà (point 302). Par ailleurs, une évaluation par la défenderesse de la conformité de l’accord « FATCA » au regard du RGPD eût permis, le cas échéant, d’alerter les autorités publiques belges et d’initier une révision de l’accord. Cette analyse n’a, de l’aveu même de la défenderesse, pas été réalisée pour des motifs que la Chambre Contentieuse a rejeté aux termes des paragraphes qui précèdent.
322. Partant, la Chambre Contentieuse conclut à un manquement à l’article 35.1. du RGPD dans le chef de la défenderesse au regard des traitements dénoncés par les plaignants.
II.6.5. Quant au manquement à l’article 20 de la LTD
323. La Chambre Contentieuse rappelle ici que dès lors que la plainte visait le non-respect de l’article 20 de la LTD, elle a invité les parties à se défendre au regard de ce grief dans sa lettre du 30 mai 2024 « pour autant que ce grief soit maintenu par les plaignants, ces derniers l’ayant abandonné lors de l’échange de conclusions ayant abouti à la décision 61/2023 de la Chambre Contentieuse annulée par la Cour des marchés »(point 76).
324. La Chambre Contentieuse acte que les parties n’ont plus conclu sur ce grief dans le cadre de la reprise de l’affaire aboutissant à la présente décision. Elle constate que l’objet de la plainte ne l’inclut plus et ne se prononce pas à son égard.
II.6.6. Quant au manquement à l’accountability
325. En exécution du principe de responsabilité ou « accountability », la défenderesse était tenue, tenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, de mettre en œuvre des mesures techniques et organisationnelles appropriées pour à la fois s'assurer que le traitement est effectué conformément au RGPD ainsi qu’être en mesure de le démontrer (article 24 du RGPD.
326. En l’espèce, la nature du traitement, sa portée et sa finalité, présentaient assurément des risques pour les droits et libertés des personnes concernées (ainsi que la Chambre Contentieuse l’a démontré au titre II.6.4 ci-avant consacré à l’obligation d’effectuer une AIPD).
327. La Chambre Contentieuse juge que la défenderesse n’a pas pris la mesure exacte des risques pour les droits et libertés du premier plaignant et des Américains accidentels belges dont les intérêts sont défendus par la seconde plaignante, ni adopté les mesures appropriées à ces risques.
328. La défenderesse ne pouvait totalement ignorer les appels répétés (et pour certains postérieurs aux avis et autorisations qu’elle invoque) notamment des autorités de protection des données dont l’APD réunies au sein du Groupe 29 puis du CEPD à évaluer un accord international tel que l’accord « FATCA » à l’aune du RGPD. Si certains de ces appels politiques visaient directement l’Etat belge « négociateur » qui n’est pas à la cause avec cette casquette, d’autres plus techniques sous la forme des Lignes directrices citées dans la présente décision par exemple, s’adressaient directement aux responsables de traitement comme la défenderesse.
329. En application de son obligation d’accountability, la défenderesse, seule responsable du flux vers l’IRS devait veiller en continu au respect des différentes garanties qui devaient encadrer le transfert à l’IRS dont la proportionnalité et l’information des personnes concernées tout particulièrement - deux aspects sur lesquels l’autorisation 52/2016 sous conditions du CSAF insistait - sans tenter de se dédouaner de ces/ses obligations en se retranchant derrière le fait qu’elle ne serait qu’un intermédiaire logistique (même si celui-ci résulte d’un consensus international sur la manière de transférer les données comme la défenderesse l’a précisé en audition du 11 décembre 2024) - alors même qu’elle est responsable de traitement. Sa responsabilité ne peut en effet se limiter à garantir un transfert sécurisé des données vers l’IRS.
330. Au regard des différents manquements constatés aux titres II.6.2, II.6.3 et II.6.4, la Chambre Contentieuse constate que la défenderesse a manqué à son obligation d’accountability.
Elle conclut à l’appui de ce qui précède que la défenderesse a violé les articles 5.2. et 24 du RGPD (accountability) au regard des traitements dénoncés par les plaignants.
III. Mesures correctrices et sanctions
331. Aux termes de l’article 100.1 de la LCA, la Chambre Contentieuse a le pouvoir de:
1° classer la plainte sans suite;
2° ordonner le non-lieu;
3° prononcer une suspension du prononcé;
4° proposer une transaction;
5° formuler des avertissements ou des réprimandes;
6° ordonner de se conformer aux demandes de la personne concernée d'exercer ses droits;
7° ordonner que l'intéressé soit informé du problème de sécurité;
8° ordonner le gel, la limitation ou l'interdiction temporaire ou définitive du traitement;
9° ordonner une mise en conformité du traitement;
10° ordonner la rectification, la restriction ou l'effacement des données et la notification de celles-ci aux récipiendaires des données;
11° ordonner le retrait de l'agréation des organismes de certification;
12° donner des astreintes;
13° donner des amendes administratives;
14° ordonner la suspension des flux transfrontières de données vers un autre Etat ou un organisme international;
15° transmettre le dossier au parquet du Procureur du Roi de Bruxelles, qui l'informe des suites données au dossier;
16° décider au cas par cas de publier ses décisions sur le site internet de l'Autorité de protection des données.
332. Sur la base des pièces du dossier et à l’issue de son analyse, la Chambre Contentieuse conclut à l’illicéité du transfert de données personnelles du premier plaignant par la défenderesse vers l’IRS, dès lors que ce transfert est intervenu en violation des principes de finalité, de minimisation et des règles du Chapitre V du RGPD, en particulier de l’article 46.2.
a) du RGPD. La Chambre Contentieuse a également démontré que cette illicéité touche plus généralement également, le transfert des données à caractère personnel des Américains accidentels belges que défend la seconde plaignante.
333. Dans son arrêt Schrems II déjà cité, la CJUE énonce que « l’article 58, paragraphe 2, sous f) et j), du règlement 2016/679 doit être interprété en ce sens que, à moins qu’il existe une décision d’adéquation valablement adoptée par la Commission européenne, l’autorité de contrôle compétente est tenue de suspendre ou d’interdire un transfert de données vers un pays tiers fondé sur des clauses types de protection des données adoptées par la Commission, lorsque cette autorité de contrôle considère, à la lumière de l’ensemble des circonstances propres à ce transfert, que ces clauses ne sont pas ou ne peuvent pas être respectées dans ce pays tiers et que la protection des données transférées requise par le droit de l’Union, en particulier par les articles 45 et 46 de ce règlement et par la charte des droits fondamentaux, ne peut pas être assurée par d’autres moyens, à défaut pour le responsable du traitement ou son sous-traitant établis dans l’Union d’avoir lui-même suspendu le transfert ou d’avoir mis fin à celui-ci » (point 121 de l’arrêt).120
334. Compte tenu de ce que ces traitements s’inscrivent dans le cadre d’un engagement international de l’Etat belge, la Chambre Contentieuse n’énonce pas d’interdiction mais privilégie, à l’appui des articles 58.2. d) et 100.1.9° de la LCA, une mise en conformité à terme, dans un délai d’ un an à dater de la présente décision, par la défenderesse du transfert des données qu’elle opère vers l’IRS, tenant compte de l’ensemble des considérations émises par la Chambre Contentieuse au regard des principes de finalité, de proportionnalité et de l’ensemble des garanties appropriées devant encadrer ledit transfert.
335. La Chambre Contentieuse constate que la défenderesse s’est rendue coupable d’une violation de l’article 14.1-2 combiné à l’article 12.1 du RGPD en ce que la défenderesse n’a pas informé de manière suffisante le premier plaignant et n’informe pas de manière suffisante les Américains accidentels belges et plus généralement les personnes concernées par les traitements de données opérés en exécution de l’accord « FATCA » (titre II.6.3).
336. La Chambre Contentieuse constate que la défenderesse s’est également rendue coupable d’une violation de l’article 35.1. du RGPD en ce que la défenderesse n’a pas réalisé d’AIPD au regard des traitements dénoncés par les plaignants (titre II.6.4).
337. La Chambre Contentieuse constate enfin que la défenderesse s’est également rendue coupable d’une violation des articles 5.2. et 24 du RGPD en ce que la défenderesse a manqué à son obligation de responsabilité au regard des traitements dénoncés (accountability) (titre II.6.6).
338. Pour ces manquements, la Chambre Contentieuse adresse à la défenderesse une réprimande sur la base des articles 58.2.b) du RGPD et 100.1, 5° de la LCA. Cette réprimande est assortie d’un ordre de mise en conformité sur la base des articles 58.2. d) et 100.1 9° de la LCA visant :
- à mettre les transferts de données personnelles opérés en exécution de l’accord FATCA en conformité avec le RGPD dans un délai d’un an à dater de la notification de la présente décision, tenant compte des considérations émises par la Chambre Contentieuse dans la présente décision au regard du principe de proportionnalité eu égard à la finalité ainsi qu’au regard des exigences du Chapitre V du RGPD (articles 5.1.
b) et 5.1.c) du RGPD ; article articles 46.1 et 46.2. a) du RGPD) ;
- à prévoir, dans un délai d’un an à dater de la notification de la présente décision, une information complète, claire et accessible quant au transfert des données personnelles vers l’IRS dans le cadre de l’accord « FATCA » sur son site Internet (articles 12.1 et 14 du RGPD) ;
- à réaliser, dans un délai d’un an à dater de la notification de la présente décision, une AIPD conformément à l’article 35 du RGPD. A cet égard, la Chambre Contentieuse n’ignore pas que le RGPD ne fait pas obligation de publier l’AIPD et qu’ il relève de la discrétion du responsable du traitement de la publier ou non. Cependant, une publication au moins partielle, sous la forme d’un résumé ou d’une conclusion de son AIPD, pourrait être envisagé par la défenderesse. Une telle pratique serait utile pour susciter la confiance dans les transferts qu’elle opère en qualité d’autorité publique et pour donner des gages de responsabilité et de transparence aux personnes concernées146.
IV. Publication de la décision
339. Compte tenu de l'importance de la transparence en ce qui concerne le processus décisionnel et les décisions de la Chambre Contentieuse, cette décision sera publiée sur le site Internet de l'APD. La Chambre Contentieuse a jusqu’ici généralement décidé de publier ses décisions moyennant la suppression des données d’identification directe du ou des plaignant(s) et des personnes citées, qu’elles soient physiques ou morales, ainsi que de celles de la ou des défenderesses.
340. En l’espèce, la Chambre Contentieuse décide de publier la présente décision avec identification des parties à l’exclusion du premier plaignant.
341. La Chambre Contentieuse précise que cette publication avec identification tant de la seconde plaignante que de la défenderesse poursuit plusieurs objectifs.
342. Elle vise en ce qui concerne la défenderesse un objectif d’intérêt général parce que la présente décision aborde la question de la responsabilité d’un service public fédéral (la défenderesse) soumis à des obligations découlant d’un accord international («FATCA») conclu avec un pays tiers à l’UE/EEE. L’identification de la défenderesse est par ailleurs nécessaire à la bonne compréhension de la décision et donc à la matérialisation de l’objectif de transparence poursuivi par la politique de publication des décisions de la Chambre Contentieuse147.
343. S’agissant de la seconde plaignante, la lecture utile de la décision nécessite également que son identité soit dévoilée dès lors qu’elle défend une catégorie de personnes concernées spécifique et identifiée. Par ailleurs, sans que cela ne soit un argument prépondérant, la Chambre Contentieuse n’ignore pas que la plainte déposée par la seconde plaignante contre la défenderesse a été relayée par la presse à l’initiative d’un de ses conseils et donc rendue publique.
344. Enfin, la publication de l’identité de la seconde plaignante et de la défenderesse participe aussi à la recherche d’une cohérence et d’une application harmonisée du RGPD. Ainsi qu’il a été exposé au titre II.2, la plainte ne devait pas être traitée dans le cadre du mécanisme du guichet unique prévu par le RGPD. La problématique « FATCA » n’en est pas moins d’actualité et préoccupe bien au-delà des frontières belges. Il n’est ainsi pas exclu que, comme cela a été le cas déjà, d’autres autorités de protection des données de l’UE/EEE aient à connaitre de plaintes similaires à l’avenir; plaintes pour l’examen desquelles la prise de connaissance de la présente décision peut être utile, chaque autorité de contrôle exerçant au demeurant ses compétences en toute indépendance ainsi qu’il a déjà été exposé.
PAR CES MOTIFS,
la Chambre Contentieuse de l’Autorité de protection des données décide, après délibération :
- En vertu de l’article 58.2.b) du RGPD et de l’article 100.1. 5° de la LCA, de formuler une réprimande à l’égard de la défenderesse
° En ce qui concerne la violation des articles 5.1.b) et 5.1.c), 46.1 et 46.2.a) du RGPD, assortie d’un ordre de mise en conformité au RGPD des transferts de données personnelles à l’IRS en exécution de l’accord « FATCA » dans un délai d’un an à dater de la notification de la présente décision ;
° en ce qui concerne la violation de l’article 14.1-2 combiné à l’article 12.1 du RGPD, assortie d’un ordre de mise en conformité sur la base des articles 58.2.d) et 100.1.9° de la LCA consistant à prévoir une information conforme au RGPD quant aux transferts de données opérés en exécution de l’accord « FATCA » sur son site internet dans un délai d’un an à dater de la notification de la présente décision ;
° en ce qui concerne la violation de l’article 35.1 du RGPD, assortie d’un ordre de mise en sur la base des articles 58.2.d) du RGPD et 100.1.9° de la LCA consistant en la réalisation d’une AIPD au sens de l’article 35 du RGPD dans un délai d’un an à dater de la notification de la présente décision au regard des transferts de données opérés en exécution de l’accord « FATCA » ;
° en ce qui concerne la violation des articles 5.2 et 24 du RGPD.
Les documents probants attestant des mises en conformité ordonnées sont à communiquer à Chambre Contentieuse à l’adresse ligitationchamber@apd-gba.be dans un délai d’un an à dater de la notification de la présente décision.
Conformément à l'article 108, § 1 de la LCA, un recours contre cette décision peut être introduit, dans un délai de trente jours à compter de sa notification, auprès de la Cour des Marchés (cour d'appel de Bruxelles), avec l'Autorité de protection des données comme partie défenderesse.
Un tel recours peut être introduit au moyen d'une requête interlocutoire qui doit contenir les Informations énumérées à l'article 1034ter du Code judiciaire148. La requête interlocutoire doit être déposée au greffe de la Cour des Marchés conformément à l'article 1034quinquies du C. jud.149, ou via le système d'information e-Deposit du ministère de la Justice (article 32ter du C. jud.).
(Sé).Yves Poullet
Président de la Chambre Contentieuse
Document PDF ECLI:BE:GBAPD:2025:DEC.20250424.4
Publication(s) liée(s)
suivi par:
ECLI:BE:GBAPD:2025:AVIS.20250911.1
ECLI:BE:GBAPD:2025:AVIS.20250911.2