Les enseignements français

160 C. pén., art. 226-13

161 La nouvelle coopération fiscale internationale, Droit fiscal n°42, 21 octobre 2010, p. 531

162 CE, 8e et 9e ss.-sect., 13 oct. 1999, n° 191191, Diebold Courtage : JurisData n° 1999-051277 ; Dr. fisc. 1999, n° 52, comm. 948, concl. G. Bachelier, note C. Acard ; RJF 12/1999, n° 1492. - V. également, CE, 8e et 3e ss.-sect., 4 juin 2008, n° 301776, Sté Sparflex n° 301777, M. Soutiran, n° 304523, M. et Mme Chaudron : JurisData n° 2008-0811346 ; Dr. fisc. 2008, n° 29, comm. 418, concl. N. Escaut ; JCP E 2008, n° 36, comm. 2078, note F. Dieu ; RJF 2008, n° 1055 ; BDCF 2008, n° 119, concl. N. Escaut. - CE, 8e et 3e ss.-sect., 24 juill. 2009, n° 309278, Sté Fis-Vopart

163 Mémento, Impôt sur les sociétés, éd. Francis Lefebvre, 2013-2014, n°4365

La promulgation de la loi FATCA et l’adoption de la norme commune d’échange automatique d’informations l’ayant suivi ont conduit à l’ouverture du débat sur la compatibilité des procédures d'échanges d'informations avec les règles applicables en matière de protection des données164_{. Les interrogations soulevées dans le cadre de l’assistance}

mutuelle simple conservent toute leur pertinence en matière d’échange informatique : « la

constitution de bases de données, contenant des informations qui ont vocation à être échangées entre administrations fiscales, est-elle en accord avec les principes régissant la protection des données personnelles ? De manière plus large, les procédures d'échange d'informations internationales respectent-elles ces principes ? »165_.

Un avis très intéressant a été rendu par la Commission Nationale de l’Informatique et des Libertés (CNIL) le 12 novembre 2009 concernant la création de la base française EVAFISC166_.

À titre de rappel, a été créée en France, par la Direction générale des finances publiques, la base dénommée EVAFISC, dont les conditions de mise en œuvre ont été précisées par un arrêté du 25 novembre 2009167_{. Cette base a pour objet de recenser les informations laissant}

présumer la détention de comptes bancaires hors de France par des personnes physiques ou morales. Cet avis s'apparente à un rappel à l'ordre à l'intention des autorités fiscales ne veillant pas forcément à se conformer aux règles de protection des données personnelles168_.

Les avancées récentes en matière d’échange automatique d’informations peuvent tout à fait être analysées à la lumière de cet avis. En effet, la CNIL s’est prononcée sur un dispositif s’inscrivant dans le cadre de la politique de lutte contre la fraude fiscale conduite par les pouvoirs publics169_{. L’avis rappelle que « [le dispositif] permet de recenser et de traiter les} informations laissant présumer la détention de comptes bancaires hors de France par des personnes physiques ou morales et sur cette base de mener des actions de prévention, de recherche, de constatation ou de poursuite de manquements fiscaux et d'infractions pénales »170_{. Il poursuit donc la même finalité que l’échange automatique d’informations}

164 Ibidem

165 La nouvelle coopération fiscale internationale, Droit fiscal n°42, 21 octobre 2010, p. 531

166 Délibération n° 2009-588 du 12 novembre 2009, portant avis sur un projet d'arrêté du ministère du Budget, des Comptes publics, de la Fonction publique et de la Réforme de l'Etat portant création par la direction générale des finances publiques d'un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales

167 A. 25 nov. 2009 : JO n° 0282 5 déc. 2009, texte n° 21

168 La nouvelle coopération fiscale internationale, Droit fiscal n°42, 21 octobre 2010, p. 531

169 Délibération n° 2009-588 du 12 novembre 2009, portant avis sur un projet d'arrêté du ministère du Budget, des Comptes publics, de la Fonction publique et de la Réforme de l'Etat portant création par la direction générale des finances publiques d'un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales

introduit en droit américain par FATCA et généralisé à l’échelle mondiale par l’OCDE. Or l’échange de renseignements concernant des comptes déclarables tel que présenté à la section 2 du traité modèle de l’OCDE171 _{devrait s’accompagner de la création d’une base de données}

dédiée. Les renseignements échangés dans le cadre de la norme commune de déclaration sont du même type que celles étudiées dans l’avis de la CNIL :

(i) L’identité de la personne : nom, prénoms, date et lieu de naissance, numéro fiscal (SPI) pour une personne physique et raison sociale, catégorie juridique, SIREN/SIRET, activité pour une personne morale ;

(ii) l'adresse ;

(iii) l'établissement de crédit ; (iv) le numéro du ou des comptes ; (v) la date d'ouverture de ceux-ci ; (vi) le montant des soldes et virements172_.

A l’égard de ces informations, la CNIL a relevé que le dispositif prévoyait une durée de conservation des données de dix ans ; « [elle] a [pris] acte du fait que les données relatives

aux comptes bancaires détenus qui seraient inexactes à l'issue de travaux de validation seront supprimées. Elle observe toutefois qu'aucune purge automatique n'est prévue à l'issue du délai de conservation de dix ans et demande qu'un tel dispositif soit mis en place par la DGFiP. De même, la commission considère que des vérifications régulières sur la base du nom, du lieu et de la date de naissance, ainsi que du numéro fiscal (SI), devraient être opérées systématiquement pour éviter notamment des erreurs d'homonymie »173.

Aucune durée de conservation n’est mentionnée dans le dernier rapport de l’OCDE présentant la NCD ; son modèle américain est également silencieux sur ce point. La mise en place de la NCD devra pourtant vraisemblablement s’accompagner de règles précises de traitement et de conservation des informations échangées de manière automatique. A l’image des recommandations de la CNIL examinant le droit français, une durée de conservation maximale de dix ans et des vérifications régulières devraient vraisemblablement être établies.

Enfin, il peut encore être relevé que la CNIL est vigilante s’agissant du degré de confidentialité à atteindre lors du transfert de données. Cette préoccupation veille à protéger les droits des contribuables et devrait également se retrouver en matière d’échange 171 OCDE,Norme d’échange automatique de renseignements relatifs aux comptes financiers, 2014, p. 16

172 Délibération n° 2009-588 du 12 novembre 2009, portant avis sur un projet d'arrêté du ministère du Budget, des Comptes publics, de la Fonction publique et de la Réforme de l'Etat portant création par la direction générale des finances publiques d'un fichier de comptes bancaires détenus hors de France par des personnes physiques ou morales

173 Ibidem

automatique d’informations. Ainsi la CNIL indique que : « si le principe de ces transferts est

prévu par différents traités bilatéraux conclus et ratifiés par la France avec les pays concernés, aucune disposition spécifique relative à la protection des données à caractère personnel n'est prévue dans ces conventions »174_{. Il y a lieu dès lors de s'assurer que les}

transferts de données s'effectueront conformément aux dispositions du deuxième alinéa de l'article 68 de la loi du 6 janvier 1978 modifiée, qui dispose que « le caractère suffisant du

niveau de protection assuré par un État s'apprécie en fonction notamment des dispositions en vigueur dans cet État, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées »175_{. L’actuelle pratique européenne fournit également des}

indices utiles en la matière.