La situation ubuesque des « Américains accidentels » : la FATCA à l’épreuve de la protection des données personnelles (II)
Piégés dans un rapport de force entre les États-Unis et l’Union européenne, plusieurs milliers de citoyens européens ont, sans le savoir, des comptes à rendre au fisc américain, au risque d’être exclus de leurs établissements bancaires pour non-régularisation d’une situation qu’ils ont pu ignorer. En cause : la question de la validité des accords FATCA au regard du Règlement général sur la protection des données (RGPD) à l’égard de laquelle les autorités européennes qui se renvoient la balle face à la puissance américaine extra-territoriale.
La situation des 40 000 Américains accidentels en France – 300 000 estimés dans l’Union européenne – est révélatrice du différend qui oppose les États-Unis et l’UE sur le terrain de la protection des données personnelles, l’e-privacy. Au cœur du problème : le transfert massif d’informations personnelles des établissements bancaires vers l’administration fiscale américaine (IRS).
En vertu de l’article 46 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), le transfert des données à caractère personnel vers un pays tiers ou à une organisation internationale n’est possible que si ont été prises « des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives ».
Pour les Américains accidentels, ces garanties sont inexistantes, en conséquence de quoi, les institutions financières et les autorités fiscales des États membres, qui jouent également un rôle d’intermédiaire entre les banques et l’administration américaine, violent cette législation.
RGPD, pays tiers et intérêt public
Les États-membres invoquent de leur côté la possibilité de procéder à un transfert de données à des pays tiers sur le fondement de l’article 45 du RGPD (décision d’adéquation) ou l’article 46 (garanties appropriées). « Or une telle décision d’adéquation n’existe pas pour les États-Unis », analyse Vincent Wellens, avocat au Luxembourg et à Bruxelles, dans les colonnes de L’AGEFI Luxembourg en février 2021. Quant aux garanties, elles doivent figurer dans l’accord FATCA ou dans un accord bilatéral. Enfin, la dérogation à ces conditions, sur le fondement de l’article 49 du RGPD, lorsque « le transfert est nécessaire pour des motifs importants d’intérêt public », ne semble pas plus applicable. Selon Vincent Wellens, « tout intérêt public fait défaut s’il s’agit d’un intérêt qui sert uniquement une ou plusieurs autorités non-EEE », or la FATCA ne sert que les intérêts américains. Et dans ses guidelines 2/2018 de mai 2018, le Comité européen de la protection des données (CEPD/EDPB, qui réunit les Commission nationales de l’informatique et des libertés européennes) a indiqué que le recours à l’exception de l’intérêt public ne se prête pas à des transferts de données à grande échelle.
Enfin, sur l’article 96 du RGPD qui prévoit que les accords internationaux qui impliquent des transferts de données personnelles conclus avant le 24 mai 2016 peuvent rester en vigueur s’ils « respectent le droit de l’Union tel qu’il est applicable avant cette date » : avant l’adoption du RGPD, la directive (CE) 95/46 du 24 octobre 1995, était applicable et prévoyait des règles quasi-identiques aux dispositions du RGPD sur les transferts de données en dehors de l’UE/EEE. « Par conséquent, les transferts de données sous l’Accord FATCA étaient déjà illicites sous l’ancienne législation de sorte qu’une référence à cet article 96 du RGPD est inopérante », conclut l’avocat.
Le ping-pong des institutions européennes
Dans ce nœud gordien, les institutions européennes se renvoient la balle. En juillet 2018, le Parlement européen avait voté une première résolution appelant l’Union européenne à se mobiliser sur ce sujet (Résolution n° 2020/C 118/23, JO C 118, 8 avril 2020, p. 141), estimant que la FATCA pourrait ne pas être conforme aux exigences en matière de protection des données personnelles. En mai dernier, dans une résolution tirant les conséquences de l’affaire Schrems II c/Facebook qui invalide le Privacy Shield américain (CJUE, 16 juill. 2020, C-311/18), le Parlement a à nouveau enjoint à la Commission européenne d’indiquer quelles sont les actions qu’elle entend prendre pour que les échanges soient conformes à la règlementation européenne avant le 30 septembre 2021. « De son côté, la Commission européenne, qui est la gardienne des traités qui doit s’assurer que le RGPD est respecté par les États membres, renvoie la balle aux autorités nationales de protection des données personnelles, lesquelles se cachent derrière le CEPD/EDPB, lequel invite les États membres à agir sur le terrain des traités d’assistance administrative… ».
Le 18 juin 2021, tirant les conséquences de l’arrêt Shrems II, le CEPD/EDPB a publié la version finale de ses recommandations 01/2020, précisant les mesures complémentaires à mettre en place pour être en conformité avec le RGPD en cas de flux de données hors de l’UE, et assurer ainsi un niveau de protection adéquat. « Entre les lignes sans les citer, les recommandations du Comité pourraient compromettre les accords FATCA, et avec eux, tous les accords Common Reporting Standard (CRS) », indique Fabien Lehagre.
Quelles issues possibles ?
Dans ce combat du pot de terre contre le pot de fer, l’Association multiplie les recours. « En Belgique devant les tribunaux administratifs, au Luxembourg, et surtout, en octobre 2019 auprès de la Commission européenne contre la France pour violation du droit de l’UE et notamment du RGPD », indique Fabien Lehagre. « La Commission a largement dépassé le délai d’un an qui lui est imposé pour examiner cette requête et décider s’il y a lieu d’engager une procédure formelle d’infraction contre la France. Sans compter les actions en justice contre plusieurs banques en ligne par des clients exclus, dans lesquelles l’association se porte partie civile ».
Selon Vincent Van Peteghem, vice Premier ministre et ministre des Finances chargé de la Coordination de la lutte contre la fraude répondant à une question parlementaire le 11 mai, « un dialogue constructif est actuellement en cours entre la présidence de l’Union européenne et l’US Internal Revenue Service (IRS). Des progrès sont attendus dans un avenir relativement proche ».
Dans ce contexte qui dépasse largement les pouvoirs du justiciable, « l’espoir se tourne vers l’administration Biden et sa volonté affirmée au plus haut niveau de lutter contre l’évasion fiscale, en réglant, a minima le sort problématique de ces binationaux, et au sein de l’UE, vers le High Level Working Party on Taxation, l’organe en charge de la préparation des réunions du conseil ECOFIN sur les questions fiscales ».
Référence : AJU001o6