La Cour de justice de l’Union européenne, par une décision rendue le seize janvier deux mille dix-neuf, précise les conditions de collecte des données personnelles.
Une société de logistique bénéficiant de simplifications douanières a reçu une demande d’informations précises de la part de l’administration suite à une réforme législative. L’autorité exigeait la transmission des numéros d’identification fiscale de nombreux cadres et salariés afin d’évaluer la fiabilité de cet opérateur économique agréé.
Après une mise en demeure, l’administration a menacé de révoquer les autorisations douanières dont bénéficiait l’entreprise pour ses activités de transport international. La société a saisi le tribunal des finances de Düsseldorf afin de faire annuler l’obligation de communiquer les données fiscales de son personnel dirigeant.
La requérante soutient que la situation fiscale personnelle de ses agents ne permet pas d’apprécier la commission d’infractions liées à son activité économique globale. Elle invoque le caractère disproportionné de cette mesure au regard du droit à la protection des données privées garanti par la charte des droits fondamentaux. L’administration fait valoir que cette communication est indispensable pour identifier clairement les personnes concernées auprès des centres des impôts compétents.
La question posée à la Cour consiste à savoir si l’autorité douanière peut exiger la transmission des numéros d’identification fiscale de l’ensemble des cadres.
Le juge décide que cette demande doit se limiter aux personnes exerçant le contrôle de gestion sous réserve de respecter strictement le principe de proportionnalité. L’analyse de cette solution impose d’examiner le périmètre restreint des personnes visées avant d’étudier l’encadrement du traitement des données personnelles par les autorités.
I. Le périmètre restreint des personnes physiques soumises au contrôle douanier
A. Une liste limitative de responsables au sein de l’entreprise
La Cour souligne d’abord que le règlement d’exécution de deux mille quinze établit un critère de fiabilité fondé sur l’absence d’infractions à la législation fiscale. Elle précise que ce contrôle ne vise que le demandeur, la personne responsable exerçant le contrôle de gestion et l’employé en charge des questions douanières. Selon les juges, « cette liste apparaît comme exhaustive » et ne permet pas d’inclure des catégories de personnels n’ayant pas de fonctions de direction effective. L’interprétation stricte de la norme européenne protège ainsi les agents dont la situation fiscale individuelle reste étrangère à la conformité douanière de leur employeur.
B. L’exclusion de l’encadrement dépourvu de responsabilités opérationnelles
La décision écarte fermement la possibilité de collecter les données des membres du conseil de surveillance ou des simples chefs de département non spécialisés. Le juge rappelle que ces personnes ne sont pas chargées du traitement des questions relatives à la réglementation douanière au sens du droit de l’Union. La portée de l’obligation de collaboration se trouve ainsi réduite aux seuls acteurs capables d’influencer directement la probité de la société dans ses opérations. Cette délimitation organique constitue un rempart contre une collecte massive d’informations privées par l’administration dans le cadre de la vérification des critères d’agrément.
La délimitation des sujets de droit soumis à ce contrôle administratif constitue le préalable nécessaire à l’examen de la licéité du traitement des informations collectées.
II. L’encadrement du traitement des données fiscales par les impératifs de protection
A. La qualification des identifiants fiscaux comme données à caractère personnel
La Cour affirme qu’un numéro d’identification fiscale constitue par nature une donnée se rapportant à une personne physique identifiée ou identifiable au sens du droit. Elle ajoute que les coordonnées des centres d’imposition compétents reçoivent la même qualification juridique en raison du lien établi avec l’identité précise de l’agent. Tout traitement de ces informations doit donc respecter les principes de licéité et de loyauté prévus par le règlement général sur la protection des données. Cette reconnaissance garantit aux salariés le bénéfice des droits fondamentaux même lorsque leurs données sont initialement collectées pour les besoins de la retenue fiscale.
B. La soumission de la collecte administrative au respect du principe de proportionnalité
La collecte ultérieure par les autorités douanières reste licite si elle s’avère nécessaire pour vérifier la fiabilité indispensable à l’octroi d’un statut économique privilégié. Cependant, cette mesure n’est admise que « pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ». Le juge impose de vérifier que les informations transmises ne « révèlent pas aux autorités douanières d’informations sensibles sur la situation personnelle » des personnes physiques concernées. La solution consacre ainsi un équilibre entre la délégation de fonctions régaliennes à l’opérateur privé et la minimisation indispensable des données personnelles traitées.
