NB_CE

Strasbourg, 4 juin 2014

                                                                                                                        T-PD(2014)05

                                                          

                       

LE COMITÉ CONSULTATIF DE LA CONVENTION POUR LA PROTECTION DES PERSONNES A L’ÉGARD DU TRAITEMENT AUTOMATISÉ

DES DONNÉES A CARACTÈRE PERSONNEL

(T-PD)

AVIS

sur les implications en matière de protection des données à caractère personnel des mécanismes d’échange interétatique et automatique de données à des fins administratives et fiscales

Direction Générale droits de l'Homme et Etat de droit

Le Comité consultatif de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (T-PD) a examiné les principes inhérents aux mécanismes d’échange interétatique et automatique de données à caractère personnel à des fins administratives et fiscales proposés par l'Organisation de coopération et de développement économiques (OCDE) à la lumière des normes du Conseil de l’Europe en matière de protection des données.

Le T-PD souligne à titre liminaire que si l’échange automatique de renseignements entre Etats peut être légitimement considéré comme un outil essentiel de lutte contre la fraude et l’évasion fiscale, il importe que ces échanges s’effectuent dans le plein respect de l’Etat de droit et des droits de l’homme, notamment du droit au respect à la vie privée et du droit à la protection des données personnelles[1]. L’échange automatique ne devrait en aucune façon emporter un infléchissement des règles qui régissent la protection des données à caractère personnel consacrées par la Convention européenne des droits de l’Homme et par la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. En conséquence, le T-PD estime essentiel que des garanties spécifiques soient adoptées afin de garantir le plein respect des droits fondamentaux des individus à l’occasion de la mise en œuvre des politiques étatiques envisagées.

Les mécanismes d’échange interétatique et automatique de données à caractère personnel à des fins administratives et fiscales peuvent mener à ce que des mesures discriminatoires soient prises à l’encontre des personnes (une personne peut par exemple se voir refuser des services importants par des acteurs privés). Des mesures visant à minimiser, tant que faire se peut, les risques de discrimination des personnes devraient être prises par les autorités au stade de l’organisation de ces mécanismes.  

Le T-PD est d’avis que les traitements automatisés mis en œuvre dans le cadre des échanges interétatiques et automatiques de données à caractère personnel à des fins administratives et fiscales doivent être fondés sur une base légale claire et prévisible et qu’ils soient nécessaires à la poursuite de l’intérêt public visé, tel qu’en dispose l’Article 8 de la Convention européenne des Droits de l’Homme et l’interprétation qui en a été donnée par la Cour européenne des Droits de l’Homme dans sa jurisprudence, à charge pour les autorités compétentes de déterminer l’instrument juridique sur lequel se fondent les traitements y afférents.

A cet égard, les conventions et accords appropriés  conclus aux fins d’organiser ces échanges, devraient être rédigés de manière claire et non équivoque, en définissant avec précision notamment leur champ d’application, les termes utilisés, les finalités précises pour lesquelles  ces données sont collectées et pour lesquelles elles peuvent être valablement traitées, les catégories concrètes de personnes concernées, une liste exhaustive des données traitées et échangées, la désignation de l’autorité nationale habilitée à obtenir et traiter ces données, les règles régissant la conservation des données par l’autorité destinataire, la périodicité des communications d’informations et les modalités pratiques de l’échange automatique, les règles régissant la transmission des données à d’autres instances nationales relevant du pays de l’autorité destinataire ou de pays tiers,  ainsi que les voies de recours dont disposent les personnes concernées.

Par ailleurs, lorsque  le pays destinataire est régi par des règles spécifiques de protection des données à caractère personnel, le T-PD insiste sur l’importance de mentionner de façon explicite ces règles ainsi que l’autorité de contrôle dont dépend le destinataire dans la convention ou l’accord. La référence au respect des engagements internationaux régionaux pertinents et applicables à l’autorité destinataire – qu’ils soient contraignants ou non - pourrait également être envisagée.

                  

-       Sur les finalités des traitements

 

L’article 5 b) de la Convention 108 dispose que les données personnelles doivent être traitées pour une ou des finalité(s) déterminée(s) et légitime(s), et qu’elles ne peuvent être utilisées de manière incompatible avec cette ou ces finalité(s). En vue de satisfaire aux principes généraux de nécessité et de proportionnalité, le T-PD souligne que les données ne doivent être échangées que lorsque cela est nécessaire, en vue de l’accomplissement de la finalité légitime et spécifique concernée. En outre, les données sujettes à l’échange ne doivent pas être utilisées ultérieurement pour des traitements dont les finalités n’étaient pas prévues par l’instrument juridique qui régit l’échange automatique et conformément aux limitations et procédures du droit administratif et pénal applicable à l’autorité émettrice.

-       Sur la définition des personnes concernées

Une définition précise des personnes concernées est particulièrement importante afin d’éviter la collecte et le transfert massifs de données brutes. Le T-PD considère donc nécessaire que les instruments juridiques visent expressément les impôts et taxes compris dans leur champ d’application dans la mesure où, in fine, ceux-ci  déterminent les catégories de personnes concernées.

Le T-PD souligne par ailleurs que les raisons justifiant le traitement de données à caractère personnel de certaines catégories particulières de personnes concernées (par exemple les conventions visant à éviter la double imposition et prévenir l’évasion fiscale) devraient également figurer dans les instruments juridiques.

-       Sur les droits des personnes concernées

Le T-PD rappelle que toute limitation d’un droit fondamental doit être prévue par la loi, dûment justifiée et encadrée par des conditions et garanties strictement contrôlées,  prévoyant notamment la possibilité de disposer de voies de recours administratif ou judiciaire.

Une limitation des droits des personnes concernées garantis par l’Article 8 de la Convention 108 (tel que le droit à l’information et le droit d’accès) ne peut en particulier être admise qu’à titre exceptionnel et à la condition qu’une telle limitation soit nécessaire au vu de l’intérêt public poursuivi (par exemple dans le cas d’une enquête relative à une fraude fiscale ou une infraction pénale liée).

-       Sur la qualité des données

Le T-PD rappelle qu’en application de l’article 5 c) de la Convention 108 sur la qualité des données, il convient de s’assurer que les données qui font l’objet d’un traitement sont «adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées ». Il attire également l’attention sur le fait que les échanges doivent respecter les principes de licéité, loyauté et proportionnalité prévus à l’article 5 de la Convention 108, qui ne vise pas seulement les catégories de personnes concernées mais toute l’étendue des informations visées par l’accord.

Le T-PD souligne par ailleurs l’importance d’établir des modèles standards reposant sur une approche normalisée et des listes exhaustives d’informations échangées entre autorités compétentes, afin de permettre une application effective de la protection des personnes.

-          Sur la durée de conservation des données

Le T-PD rappelle, qu’en application de l’article 5 e) de la Convention 108, les données doivent être « conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées ».

Il convient à cet égard de souligner l’importance que la durée de conservation (période limitée dans le temps, dûment justifiée, pendant laquelle l’autorité destinataire conservera les données) soit clairement indiquée par l’autorité destinataire. Il serait souhaitable que ce délai n’excède pas le délai de conservation prévu par la loi de l’autorité émettrice, qui plus est lorsque cette loi prévoit des délais de prescription en matière fiscale ou pour les infractions liées.

-          Sur les flux transfrontières de données

Le T-PD recommande que les Etats parties à la Convention s’assurent, de façon préalable à leur mise en œuvre, que les échanges interétatiques et automatiques de données à caractère personnel peuvent valablement être effectués conformément à leur législation nationale, en tenant compte des législations du ou des pays destinataires, particulièrement en ce qui concerne la faculté de réutilisation ultérieure des données à des fins autres que celles visées à l’origine.

 Ils devraient aussi veiller à ce que des dispositions spécifiques aux transferts internationaux soient intégrées à l’instrument juridique régissant ledit échange, qui devraient notamment prendre en considération le principe de proportionnalité, aux fins d'éviter des transferts massifs de données personnelles, voire de données sensibles, vers des pays ne disposant pas d’un niveau de protection approprié. Une attention particulière devrait être prêtée dans l’instrument juridique au fait que l’autorité destinataire ne peut transmettre les données à une autre autorité située dans un Etat tiers sans que l’autorité émettrice n’ait autorisé un tel transfert. 

L’instrument juridique devrait également prévoir les garanties et droits des personnes concernées, les voies de recours dont elles disposent ainsi que les informations relatives au contrôle indépendant confié à l’autorité de protection des données.

-          Sur la sécurité

Le T-PD relève que la sécurité des échanges et des systèmes est un élément essentiel qui impose que des mesures techniques et organisationnelles adéquates soient adoptées afin de garantir non seulement la fiabilité et l’intégrité des données et des traitements y afférents mais également leur confidentialité. Il souligne l’importance de répondre aux exigences de l’article 7 de la Convention 108 et d’assurer la sécurité de l’ensemble du dispositif en prévoyant notamment des règles strictes en matière de chiffrement des données, d’accès aux données, d’identification des personnes à qui sont transférées les données et des règles de traçabilité complète des échanges, notamment au moyen de protocoles de conservation des historiques d’accès.



[1] Voir les « Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel » de l’OCDE, actualisées en 2013