Visites et saisies domiciliaires : les exceptions au RGPD sont limitées
Sur le fondement de l’article L. 16 B du Livre des procédures fiscales, un JLD autorise des agents de l’administration fiscale à effectuer des opérations de visite et saisies dans divers locaux situés à Paris, susceptibles d’être occupés par diverses personnes physiques et morales, dont une société de droit luxembourgeois, en vue de rechercher la preuve de fraudes fiscales commises par cette société.
Selon le paragraphe 1er de l’article 2 du RGPD (règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), ce règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
Selon le paragraphe 2, le RGPD ne s’applique pas au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
La CJUE juge que les exceptions au champ d’application du RGPDdoivent recevoir une interprétation stricte (CJUE, 16 juill. 2020, n° C-311/18, Facebook Ireland et Schrems).
Sous l’empire de la directive abrogée par le RGPD, qui prévoyait que les traitements de données à caractère personnel ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités de l’État relatives à des domaines du droit pénal étaient exclus du champ d’application de la directive, la CJUE a retenu qu’un traitement de données créé par l’administration fiscale pour recenser les dirigeants fictifs de sociétés relevait des règles fixées par cette directive, après avoir souligné que, « même s’il n’apparaît pas exclu que lesdites données puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d’infraction dans le domaine fiscal, contre certaines personnes dont les noms figurent sur la liste litigieuse, les données en cause au principal n’apparaissent pas avoir été collectées dans l’objectif spécifique de l’exercice de telles poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal » (CJUE, 27 sept. 2017, n° C-73/16).
La CJUE a ensuite retenu que, s’agissant de la collecte, par une administration fiscale, auprès d’un opérateur économique, de données à caractère personnel relatives à certains contribuables aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale, « il n’apparaît pas que l’administration fiscale d’un État membre puisse être considérée comme une autorité compétente, ni, partant, que de telles demandes d’informations puissent relever de l’exception prévue par le RGPD et qu’en cas d’infraction dans le domaine fiscal, contre certaines des personnes concernées, il n’apparaît pas que ces données soient collectées dans l’objectif spécifique d’exercer des poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal. (CJUE, 24 févr. 2022, n° C-175/20, Valsts ien mumu dienests).
Il s’en déduit que le traitement de données à caractère personnel mis en œuvre par l’administration fiscale aux fins d’obtenir l’autorisation de procéder à des opérations de visite et saisies sur le fondement de l’article L. 16 B du Livre des procédures fiscales, qui a pour finalité d’obtenir le droit de procéder à une mesure d’enquête pouvant donner lieu à la constatation d’une infraction ou d’un manquement à la législation fiscale, dans le but de percevoir l’impôt et de lutter contre la fraude fiscale, entre dans le champ d’application matériel du RGPD.
Dès lors, le juge doit notamment vérifier si, dans le litige qui lui est soumis, le responsable du traitement est tenu de fournir à la personne concernée les informations prévues à son article 14 ou si sont réunies les conditions des exceptions ou limitations à cette obligation d’information qu’il prévoit.
En effet, si l’article 14 du RGPD soumet le responsable du traitement à l’obligation de fournir un certain nombre d’informations à la personne concernée lorsque les données à caractère personnel n’ont pas été collectées auprès d’elle, il résulte du paragraphe 5 de ce texte que cette obligation ne s’applique pas dans la mesure où elle est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement.
En outre, l’article 23 du RGPD prévoit que le droit de l’État membre auquel le responsable du traitement est soumis peut, par la voie de mesures législatives, limiter la portée de l’obligation d’informer la personne concernée par le traitement de données à caractère personnel lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir la prévention et la détection d’infractions pénales, les enquêtes et les poursuites en la matière et d’autres objectifs importants d’intérêt public général d’un État membre, notamment un intérêt économique ou financier important, y compris dans les domaines monétaire, budgétaire et fiscal.
En application de cet article 23, l’ordonnance n° 2018-1125 du 12 décembre 2018 a modifié l’article 48 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Ainsi, l’administration fiscale n’a pas l’obligation de fournir à la personne concernée les informations prévues à l’article 14 de ce règlement si sont réunies les conditions de l’exception prévue au paragraphe 5 de ce texte ou des limitations prévues à l’article 23.
Viole ces textes le premier président de la cour d’appel de Paris qui, pour rejeter le moyen selon lequel l’administration a collecté des données issues de bases de données ou de sites d’accès public sans en informer les personnes concernées en violation des règles du RGPD, énonce que ce règlement ne s’applique pas au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces, et que le droit de visite de l’article L. 16 B du livre des procédures fiscales vise à lutter contre la fraude fiscale, tout en respectant la liberté individuelle et le droit au recours juridictionnel effectif.
Sources :