AU NOM DU PEUPLE FRANCAIS
1°) Sous le n° 424216, par une requête sommaire et deux autres mémoires enregistrés le 17 septembre 2018, le 2 janvier 2019 et le 19 juin 2019 au secrétariat du contentieux du Conseil d’Etat, l’association des Américains accidentels demande au Conseil d’Etat :
1°) d’annuler les deux décisions implicites par lesquelles le ministre de l’action et des comptes publics a rejeté ses demandes tendant à ce qu’il soit procédé à l’abrogation, d’une part, de l’arrêté du 5 octobre 2015 portant création par la direction générale des finances publiques d’un traitement automatisé d’échange automatique des informations dénommé » EAI » et, d’autre part, de l’arrêté du 25 juillet 2017 modifiant l’arrêté précité ;
2°) d’enjoindre au ministre de l’action et des comptes publics de procéder à l’abrogation de ces deux arrêtés dans un délai d’un mois à compter de la décision à intervenir, au besoin sous une astreinte de 500 euros par jour de retard ;
3°) à titre subsidiaire, de surseoir à statuer et de saisir la Cour de justice de l’Union européenne de la question préjudicielle suivante : » Les articles 5, 45 et 46 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données doivent-il être interprétés en ce sens qu’ils s’opposent à une réglementation nationale organisant, de manière répétitive et non circonscrite aux seules hypothèses de lutte contre la criminalité, la collecte, le stockage, l’exploitation et le transfert, vers un Etat tiers, des données fiscales des contribuables résidant sur le territoire de l’Etat membre concerné mais possédant la nationalité de cet Etat tiers ‘ » ;
4°) de mettre à la charge de l’Etat la somme de 4 000 euros au titre de l’article L. 761-1 du code de justice administrative.
2°) Sous le n° 424217, par une requête et deux autres mémoires enregistrés le 17 septembre 2018, le 2 janvier 2019 et le 19 juin 2019 au secrétariat du contentieux du Conseil d’Etat, l’association des Américains accidentels demande au Conseil d’Etat :
1°) d’annuler la décision implicite par laquelle le Premier ministre a rejeté sa demande tendant à ce qu’il soit procédé à l’abrogation du décret n° 2015-907 du 23 juillet 2015 ;
2°) d’enjoindre au Premier ministre de procéder à l’abrogation de ce décret dans un délai d’un mois à compter de la décision à intervenir, au besoin sous une astreinte de 500 euros par jour de retard ;
3°) à titre subsidiaire, de surseoir à statuer et de saisir la Cour de justice de l’Union européenne de la question préjudicielle suivante : » Les articles 5, 45 et 46 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données doivent-il être interprétés en ce sens qu’ils s’opposent à une réglementation nationale organisant, de manière répétitive et non circonscrite aux seules hypothèses de lutte contre la criminalité, la collecte, le stockage, l’exploitation et le transfert, vers un Etat tiers, des données fiscales des contribuables résidant sur le territoire de l’Etat membre concerné mais possédant la nationalité de cet Etat tiers ‘ » ;
4°) de mettre à la charge de l’Etat la somme de 4 000 euros au titre de l’article L. 761-1 du code de justice administrative.
…………………………………………………………………………
Vu les autres pièces des dossiers ;
Vu :
– la Constitution ;
– la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
– la Charte des droits fondamentaux de l’Union européenne ;
– la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 ;
– le règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
– la directive (UE) n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ;
– la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 ;
– la convention fiscale franco-américaine du 31 août 1994 modifiée ;
– l’accord entre le Gouvernement de la République française et le Gouvernement des Etats-Unis d’Amérique du 14 novembre 2013 ;
– le code général des impôts et le livre des procédures discales ;
– la loi n° 78-17 du 6 janvier 1978 ;
– la loi n° 2014-1098 du 29 septembre 2014 ;
– le décret n° 2015-1 du 2 janvier 2015 ;
– le code de justice administrative ;
Après avoir entendu en séance publique :
– le rapport de M. Pierre Ramain, maître des requêtes,
– les conclusions de M. Alexandre Lallet, rapporteur public ;
La parole ayant été donnée, avant et après les conclusions, à la SCP Spinosi, Sureau, avocat de l’association des Américains accidentels ;
Considérant ce qui suit :
1. Les requêtes visées ci-dessus présentent à juger les mêmes questions. Il y a lieu de les joindre pour statuer par une seule décision.
2. Il ressort des pièces du dossier que, par un accord conclu le 14 novembre 2013, le Gouvernement de la République Française et le Gouvernement des Etats-Unis d’Amérique se sont engagés à améliorer le respect des obligations fiscales à l’échelle internationale et à mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite » loi FATCA « ), notamment en renforçant les échanges d’informations entre leurs administrations fiscales. La loi du 29 septembre 2014 a autorisé l’approbation de cet accord. Afin d’assurer la mise en œuvre de cet accord, le décret du 23 juillet 2015 a défini les modalités de collecte et de transmission des informations par les institutions financières. Par une délibération n° 2015-311 du 17 septembre 2015, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé le ministre des finances et des comptes publics à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité le transfert vers l’administration fiscale américaine des données collectées et stockées en application de cet accord. Par un arrêté du 5 octobre 2015 modifié par un arrêté du 25 juillet 2017, le ministre des finances et des comptes publics a créé un traitement d’échange automatique des informations dénommé » EAI » organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines, en application de l’accord du 14 novembre 2013. L’association des Américains accidentels demande l’annulation pour excès de pouvoir des décisions par lesquelles un refus a été opposé à ses demandes d’abrogation du décret du 23 juillet 2015 et de l’arrêté du ministre de l’action et des comptes publics du 5 octobre 2015, modifié par celui du 25 juillet 2017, portant création du traitement » EAI » en tant qu’il organise la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines.
Sur les interventions de M.A… :
3. M. A…ne justifie pas d’un intérêt le rendant recevable à intervenir à l’appui des requêtes. Ses interventions sont, par suite, irrecevables.
Sur l’office du juge de l’excès de pouvoir dans le contentieux du refus d’abroger un acte réglementaire :
4. En raison de la permanence de l’acte réglementaire, la légalité des règles qu’il fixe, la compétence de son auteur et l’existence d’un détournement de pouvoir doivent pouvoir être mises en cause à tout moment, de telle sorte que puissent toujours être sanctionnées les atteintes illégales que cet acte est susceptible de porter à l’ordre juridique. Cette contestation peut prendre la forme d’un recours pour excès de pouvoir dirigé contre la décision refusant d’abroger l’acte réglementaire, comme l’exprime l’article L. 243-2 du code des relations entre le public et l’administration aux termes duquel : » L’administration est tenue d’abroger expressément un acte réglementaire illégal ou dépourvu d’objet, que cette situation existe depuis son édiction ou qu’elle résulte de circonstances de droit ou de faits postérieures, sauf à ce que l’illégalité ait cessé […] « .
5. L’effet utile de l’annulation pour excès de pouvoir du refus d’abroger un acte réglementaire illégal réside dans l’obligation, que le juge peut prescrire d’office en vertu des dispositions de l’article L. 911-1 du code de justice administrative, pour l’autorité compétente, de procéder à l’abrogation de cet acte afin que cessent les atteintes illégales que son maintien en vigueur porte à l’ordre juridique. Il s’ensuit que, dans l’hypothèse où un changement de circonstances a fait cesser l’illégalité de l’acte réglementaire litigieux à la date à laquelle il statue, le juge de l’excès de pouvoir ne saurait annuler le refus de l’abroger. A l’inverse, si, à la date à laquelle il statue, l’acte réglementaire est devenu illégal en raison d’un changement de circonstances, il appartient au juge d’annuler ce refus d’abroger pour contraindre l’autorité compétente de procéder à son abrogation.
6. Il résulte du point 5 que lorsqu’il est saisi de conclusions aux fins d’annulation du refus d’abroger un acte réglementaire, le juge de l’excès de pouvoir est conduit à apprécier la légalité de l’acte réglementaire dont l’abrogation a été demandée au regard des règles applicables à la date de sa décision.
7. S’agissant des règles relatives à la détermination de l’autorité compétente pour édicter un acte réglementaire, leur changement ne saurait avoir pour effet de rendre illégal un acte qui avait été pris par une autorité qui avait compétence pour ce faire à la date de son édiction. Un tel changement a, en revanche, pour effet de faire cesser l’illégalité dont était entaché un règlement édicté par une autorité incompétente dans le cas où ce changement a conduit, à la date à laquelle le juge statue, à investir cette autorité de la compétence pour ce faire.
Sur l’incompétence dont serait entaché l’arrêté du 5 octobre 2015 modifié par celui du 25 juillet 2017 :
8. L’article 31 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose, dans sa version en vigueur depuis le 1er juin 2019, que : » I. Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat et : / […] 2° Ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté. / L’avis de la commission est publié avec l’arrêté autorisant le traitement. / II.-Ceux de ces traitements qui portent sur des données mentionnées au I de l’article 6 sont autorisés par décret en Conseil d’Etat pris après avis motivé et publié de la commission. Cet avis est publié avec le décret autorisant le traitement « . Si le traitement créé par l’arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l’évasion fiscales, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s’ensuit, eu égard à cet objet, qu’il est au nombre des traitements visés à l’article 31 précité qui constitue l’exacte reprise de l’article 26 de cette même loi, dans sa version en vigueur à la date d’édiction des arrêtés du 5 octobre 2015 et du 25 juillet 2017.
9. Aux termes de l’article 68 de la loi du 6 janvier 1978, dans sa version en vigueur à la date d’édiction des arrêtés litigieux : » Le responsable d’un traitement ne peut transférer des données à caractère personnel vers un Etat n’appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données font l’objet ou peuvent faire l’objet. Le caractère suffisant du niveau de protection assuré par un Etat s’apprécie en fonction notamment des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l’origine et de la destination des données traitées « . Aux termes de l’article 69 de cette loi, dans la même version : » Il peut également être fait exception à l’interdiction prévue à l’article 68, […], s’il s’agit d’un traitement mentionné au I ou au II de l’article 26, par décret en Conseil d’Etat pris après avis motivé et publié de la commission, lorsque le traitement garantit un niveau de protection suffisant de la vie privée ainsi que des libertés et droits fondamentaux des personnes, notamment en raison des clauses contractuelles ou règles internes dont il fait l’objet « . S’il résultait de ces dispositions, en vigueur à la date d’édiction des arrêtés litigieux, qu’un traitement ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales et organisant le transfert de données vers un Etat n’appartenant pas à l’Union européenne ne pouvait être créé que par un décret en Conseil d’Etat pris après avis motivé et publié de la CNIL, aucune disposition de la loi du 6 janvier 1978, dans sa version aujourd’hui en vigueur, ni aucune règle n’exige désormais l’intervention d’un décret en Conseil d’Etat dans pareil cas. Il s’ensuit que s’il ne l’était pas, à la date à laquelle ont été pris les arrêtés du 5 octobre 2015 et du 25 juillet 2017, le ministre de l’action et des comptes publics est compétent, à la date de la présente décision, pour créer, par arrêté, pris après avis motivé et publié de la CNIL, le traitement litigieux. Il résulte des motifs énoncés aux points 6 et 7 que le moyen tiré de l’illégalité du refus d’abroger l’arrêté du 5 octobre 2015 modifié par celui du 25 juillet 2017 en raison de l’incompétence dont ces actes étaient initialement entachés doit être écarté.
Sur les moyens de légalité interne des requêtes :
10. Les dispositions contestées du décret et des arrêtés litigieux se bornent à tirer les conséquences nécessaires des stipulations inconditionnelles de l’accord du 14 novembre 2013 pour l’application duquel ces actes réglementaires ont été pris. Il s’ensuit que l’association requérante ne saurait utilement invoquer à leur encontre la méconnaissance de la loi du 6 janvier 1978 modifiée. Il appartient en revanche au Conseil d’Etat d’examiner les moyens tirés de l’inapplicabilité de cet accord et de l’invalidité dont seraient entachées ses stipulations.
En ce qui concerne le défaut allégué de réciprocité dans l’application de l’accord du 14 novembre 2013 :
11. Aux termes du 14ème alinéa du Préambule de la Constitution du 27 octobre 1946 : » La République française, fidèle à ses traditions, se conforme aux règles du droit public international « . Au nombre de ces règles figure la règle » pacta sunt servanda « , qui implique que tout traité en vigueur lie les parties et doit être exécuté par elles de bonne foi. Aux termes de l’article 55 de la Constitution « Les traités ou accords régulièrement ratifiés ou approuvés ont, dès leur publication, une autorité supérieure à celle des lois, sous réserve, pour chaque accord ou traité, de son application par l’autre partie « . Il appartient au juge administratif, lorsqu’est soulevé devant lui un moyen tiré de ce qu’une décision administrative a à tort, sur le fondement de la réserve énoncée à l’article 55, soit écarté l’application de stipulations d’un traité international, soit fait application de ces stipulations, de vérifier si la condition de réciprocité est ou non remplie. A cette fin, il lui revient, dans l’exercice des pouvoirs d’instruction qui sont les siens, après avoir recueilli les observations du ministre des affaires étrangères et, le cas échéant, celles de l’Etat en cause, de soumettre ces observations au débat contradictoire, afin d’apprécier si des éléments de droit et de fait suffisamment probants au vu de l’ensemble des résultats de l’instruction sont de nature à établir que la condition tenant à l’application du traité par l’autre partie est, ou non, remplie.
12. En premier lieu, si, en application de l’article 2 de l’accord entre le Gouvernement de la République française et le Gouvernement des Etats-Unis d’Amérique du 14 novembre 2013, les informations collectées et transmises par l’administration fiscale française à l’administration fiscale américaine et celles collectées et transmises par l’administration fiscale américaine à l’administration française ne sont pas identiques, l’administration américaine n’étant pas tenue de transmettre à l’administration française le solde des comptes bancaires détenus aux Etats-Unis par des contribuables français, ces différences résultent de l’accord lui-même et ne sauraient révéler un défaut d’application de celui-ci par les Etats-Unis.
13. En deuxième lieu, l’article 6 de l’accord du 14 novembre 2013 stipule que : » 1. Réciprocité. Le Gouvernement des Etats-Unis convient de la nécessité de parvenir à des niveaux équivalents d’échanges automatiques de renseignements avec la France. Le Gouvernement des Etats-Unis s’engage à améliorer davantage la transparence et à renforcer la relation d’échange avec la France en continuant à adopter des mesures réglementaires et en défendant et en soutenant l’adoption de lois appropriées afin d’atteindre ces niveaux équivalents d’échanges automatiques réciproques de renseignements […] 4. Données concernant les comptes existants au 30 juin 2014. S’agissant des comptes déclarables ouverts auprès d’une institution financière déclarante au 30 juin 2014 : a) Les Etats-Unis s’engagent à adopter, d’ici au 1er janvier 2017, pour les déclarations qui concernent 2017 et les années suivantes, des règles qui imposent aux institutions financières américaines d’obtenir et de déclarer, s’agissant des entités françaises, le NIF français et, s’agissant des personnes physiques, la date de naissante (ou le NIF français si la France attribue à ces personnes un tel numéro) de chaque titulaire de compte d’un compte déclarable français conformément au point 1 de l’alinéa b du paragraphe 2 de l’article 2 du présent Accord […] « . L’article 10 de cet accord prévoit qu’ » avant le 31 décembre 2016, les Parties engagent de bonne foi des consultations afin d’apporter au présent Accord les modifications nécessaires pour refléter les progrès accomplis concernant les engagements énoncés à l’article 6 du présent Accord « . Il résulte des éléments produits devant le Conseil d’Etat et versés au débat contradictoire, d’une part, que le gouvernement américain a proposé, à plusieurs reprises, conformément à l’engagement pris au paragraphe 1 de l’article 6 précité, des modifications législatives en vue d’atteindre un niveau équivalent d’échanges de renseignements et, d’autre part, que la modification de la réglementation prévue au a) du paragraphe 4 du même article est intervenue à la suite de la publication en 2017 d’une notice de l’administration fiscale américaine (Internal Revenue Service). Dans ces conditions, il ne ressort pas des pièces du dossier qu’à la date de la présente décision, la condition de réciprocité ne serait pas remplie en raison d’un défaut d’application des stipulations des articles 6 et 10 de l’accord précité.
14. En troisième lieu, les erreurs alléguées dans la transmission des données fiscales des Etats-Unis vers la France ne sauraient caractériser, par elles-mêmes, un défaut d’application du traité par la partie américaine.
15. Il s’ensuit que le moyen tiré de ce que le décret et les arrêtés litigieux seraient dépourvus de base légale, faute pour les Etats-Unis d’appliquer de manière réciproque l’accord du 14 novembre 2013, doit être écarté.
En ce qui concerne la prétendue méconnaissance de l’article 2 de la Déclaration des droits de l’homme et du citoyen :
16. Il n’appartient pas au Conseil d’Etat, statuant au contentieux, de se prononcer sur la conformité d’un traité ou d’un accord international à la Constitution.
En ce qui concerne la méconnaissance alléguée de stipulations de droit international :
17. Lorsque, à l’appui de conclusions dirigées contre une décision administrative qui fait application des stipulations inconditionnelles d’un traité ou d’un accord international, est soulevé un moyen tiré de l’incompatibilité des stipulations, dont il a été fait application par la décision en cause, avec celles d’un autre traité ou accord international, réserve faite des cas où serait en cause l’ordre juridique intégré que constitue l’Union européenne, il incombe au juge administratif, après avoir vérifié que les stipulations de cet autre traité ou accord sont entrées en vigueur dans l’ordre juridique interne et sont invocables devant lui, de définir, conformément aux principes du droit coutumier relatifs à la combinaison entre elles des conventions internationales, les modalités d’application respectives des normes internationales en débat conformément à leurs stipulations, de manière à assurer leur conciliation, en les interprétant, le cas échéant, au regard des règles et principes à valeur constitutionnelle et des principes d’ordre public. Dans l’hypothèse où, au terme de cet examen, il n’apparaît possible ni d’assurer la conciliation de ces stipulations entre elles, ni de déterminer lesquelles doivent dans le cas d’espèce être écartées, il appartient au juge administratif de faire application de la norme internationale dans le champ de laquelle la décision administrative contestée a entendu se placer et pour l’application de laquelle cette décision a été prise et d’écarter, en conséquence, le moyen tiré de son incompatibilité avec l’autre norme internationale invoquée, sans préjudice des conséquences qui pourraient en être tirées en matière d’engagement de la responsabilité de l’Etat tant dans l’ordre international que dans l’ordre interne.
S’agissant de la méconnaissance du droit de l’Union européenne :
Quant à la violation du règlement du 27 avril 2016 :
18. Aux termes de l’article 1er de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données : » 1.La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces « . Aux termes de l’article 2 de cette directive : » Champ d’application / 1.La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1 « . L’article 2 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (RGPD), qui est entré en vigueur le 25 mai 2018, dispose que : « 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. / 2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué: / […] d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. […] « . Un traitement de données à caractère personnel relève, selon sa finalité, du champ d’application du règlement du 27 avril 2016 ou de celui de la directive du même jour. Alors même qu’ainsi qu’il a été dit au point 8, le traitement litigieux a plusieurs objets, au nombre desquels figurent la prévention, la détection et la répression des infractions pénales, sa finalité est de permettre, en luttant contre la fraude et l’évasion fiscales, l’amélioration du respect de leurs obligations fiscales par les contribuables français et américains. Il s’ensuit qu’il relève du champ d’application du règlement du 27 avril 2016 et non de celui de la directive du même jour.
19. L’article 96 du règlement du 27 avril 2016 dispose que : » Les accords internationaux impliquant le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales qui ont été conclus par les Etats membres avant le 24 mai 2016 et qui respectent le droit de l’Union tel qu’il est applicable avant cette date restent en vigueur jusqu’à leur modification, leur remplacement ou leur révocation « . Il résulte clairement de ces dispositions que les auteurs du règlement ont entièrement déterminé les conditions de la relation entre le droit de l’Union européenne et les accords conclus antérieurement à sa signature qui impliquent le transfert de données personnelles vers des Etats tiers. Il y a lieu, pour l’application de cet article, de rechercher, dans un premier temps, si l’accord du 14 novembre 2013 respecte les dispositions du règlement du 27 avril 2016, qui sont d’effet direct, et seulement dans l’hypothèse où tel ne serait pas le cas, de vérifier, dans un second temps, si cet accord respecte le droit de l’Union européenne tel qu’il était applicable avant la signature du règlement.
20. L’article 5 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données dispose que : » 1. Les données à caractère personnel doivent être :/ a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);/ b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités); / c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données); / d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude); / e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ; / f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité); / 2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) « .
21. Si l’association requérante soutient, sans autre précision, que l’accord du 14 novembre 2013 méconnaîtrait les exigences de finalité légitime et de modalités appropriées posées par l’article 5 précité, il ressort des pièces du dossier que le traitement litigieux répond à la finalité légitime que constitue l’amélioration du respect des obligations fiscales et prévoit des modalités de choix, de collecte et de traitement des données adéquates et proportionnées à cette finalité. Il s’ensuit que le moyen ne peut qu’être écarté.
22. En l’absence de décision d’adéquation de la Commission constatant l’existence, dans le pays tiers destinataire du transfert des données, d’un niveau de protection adéquat, l’association requérante ne saurait utilement invoquer la méconnaissance de l’article 45 du règlement du 27 avril 2016 qui est relatif aux transferts fondés sur une telle décision d’adéquation.
23. L’article 46 du règlement du 27 avril 2016 dispose qu' »1. En l’absence de décision en vertu de l’article 45, paragraphe 3, le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale que s’il a prévu des garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives./ 2. Les garanties appropriées visées au paragraphe 1 peuvent être fournies, sans que cela ne nécessite une autorisation particulière d’une autorité de contrôle, par: / a) un instrument juridiquement contraignant et exécutoire entre les autorités ou organismes publics ; […] « .
24. D’une part, l’article 3 de l’accord du 14 novembre 2013 stipule que les renseignements collectés dans le cadre de cet accord sont soumis aux mêmes obligations de confidentialité et de protection des données que celles prévues par la convention fiscale franco-américaine du 31 août 1994 et notamment de son article 27. Ainsi d’ailleurs que l’a relevé la commission nationale de l’informatique et des libertés dans l’avis qu’elle a rendu préalablement à l’adoption de l’arrêté du 5 octobre 2015, il résulte de ces stipulations que les informations collectées et transférées dans le cadre du traitement litigieux ne peuvent servir qu’à des fins fiscales, sont strictement limitées et proportionnées et sont soumises au secret fiscal dans les mêmes conditions que des renseignements obtenus en application de la législation française.
25. D’autre part, il ressort des pièces du dossier qu’en application des dispositions de la loi fédérale américaine de 1974 sur la protection des données personnelles, les traitements de données personnelles par les administrations américaines sont soumis au respect du principe de transparence selon lequel ces administrations doivent assurer la transparence de leur action et notamment de leurs systèmes d’enregistrement des données, respecter les principes de conformité et de proportionnalité de la collecte et de l’utilisation des données au regard de la finalité des traitements et garantir le droit de chacun d’accéder aux données collectées qui le concerne et d’en demander la rectification. Cette loi prévoit également des voies de recours en matière civile et pénale devant les juridictions américaines en cas de non-respect de ces dispositions. En outre, s’agissant des données permettant d’établir la situation fiscale des contribuables, il résulte des dispositions de l’article 6103 du code fédéral des impôts que les données collectées par l’administration fiscale américaine sont notamment soumises aux principes de confidentialité et de transparence de l’utilisation des données par l’administration fiscale américaine. L’article 6105 du même code définit en outre une obligation spécifique de confidentialité à l’égard de toute donnée échangée en application d’une convention fiscale internationale, sauf si la divulgation est autorisée par la convention fiscale elle-même, ce qui n’est pas le cas de l’accord du 14 novembre 2013. Enfin, l’article 7431 du même code institue des voies de recours en matière civile et pénale en cas de non-respect de ces obligations.
26. Il s’ensuit qu’au regard des garanties spécifiques dont l’accord du 14 novembre 2013 entoure le traitement litigieux et du niveau de protection assuré par la législation applicable aux Etats-Unis en matière de protection des données personnelles permettant d’établir la situation fiscale des contribuables, le moyen tiré de la méconnaissance de l’article 46 du règlement du 27 avril 2016 doit être écarté.
27. A la différence de l’affaire Maximillian Schrems dans laquelle la Cour de justice de l’Union européenne a, par un arrêt du 6 octobre 2015 (C-362/14), statué sur une contestation d’une décision d’adéquation de la Commission, l’objet du présent litige porte, à titre principal, sur l’interprétation du contenu de l’accord bilatéral du 14 novembre 2013 et sur sa compatibilité avec le règlement du 27 avril 2016. En l’état des moyens invoqués par l’association requérante, l’interprétation des dispositions invoquées du règlement de l’Union européenne s’impose avec une évidence telle qu’elle ne laisse place à aucun doute raisonnable, conformément aux principes dégagés par la Cour de justice des Communautés européenne dans son arrêt Srl Cilfit et Lanificio di Gavardo SpA en date du 6 octobre 1982 (C-283/81, point 16). Enfin, en tant que le litige implique une interprétation du contenu de certaines stipulations de l’accord du 14 novembre 2013 par le Conseil d’Etat, cette interprétation, qui fait l’objet des points 21 à 25 de la présente décision, ne pose pas en elle-même une question ayant trait au droit de l’Union européenne et ne justifie pas le renvoi d’une question préjudicielle à la Cour de justice de l’Union européenne.
Quant à la violation des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne :
28. Il résulte des motifs énoncés aux points précédents que, compte tenu des précautions dont il est assorti, le traitement litigieux ne méconnaît pas le droit à la protection des données à caractère personnel des personnes qu’il concerne ni ne porte au droit de ces dernières au respect de leur vie privée une atteinte disproportionnée aux buts en vue desquels il a été créé. Il s’ensuit que le moyen tiré de la méconnaissance, par l’accord du 14 novembre 2013, des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne ne peut qu’être écarté.
S’agissant de l’incompatibilité avec l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 :
29. Il résulte des motifs exposés aux points précédents que l’accord du 14 novembre 2013 n’est en tout état de cause incompatible ni avec les stipulations de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales qui garantit le droit au respect de la vie privée ni avec celles de la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 qui subordonne l’autorisation d’un traitement de données à caractère personnel à l’existence d’une finalité légitime et à des modalités de collecte licites et loyales.
30. Il résulte de tout ce qui précède que l’association requérante n’est pas fondée à demander l’annulation des décisions qu’elle attaque. Ses conclusions aux fins d’injonction doivent, par voie de conséquence, être rejetées, ainsi que ses conclusions présentées au titre de l’article L. 761-1 du code de justice administrative.
D E C I D E :
————–
Article 1er : Les interventions de M. A…ne sont pas admises.
Article 2 : Les requêtes de l’association des Américains accidentels sont rejetées.
Article 3 : La présente décision sera notifiée à l’association des Américains accidentels, à M. B… A…, au ministre de l’action et des comptes publics, au ministre de l’Europe et des affaires étrangères et à la Commission nationale de l’informatique et des libertés.