La Cour de justice de l’Union européenne, par un arrêt du 27 septembre 2017, précise les conditions d’exercice du recours juridictionnel en matière de protection des données. Une administration fiscale nationale avait établi une liste de personnes suspectées de fraude sans avoir préalablement recueilli le consentement exprès des individus concernés. Le justiciable, figurant sur ce document, a saisi les juridictions compétentes afin d’obtenir la suppression définitive des informations le concernant dans ces fichiers.
Le juge de première instance a rejeté la demande car les voies de recours administratives préalables n’avaient pas été épuisées par le requérant. Saisie en appel, la juridiction de renvoi s’interroge sur la conformité de cette règle procédurale avec le principe fondamental du droit à un recours effectif. Le litige porte également sur la recevabilité d’une preuve obtenue de manière irrégulière pour démontrer l’existence d’une violation des droits de la personne.
La Cour juge que le droit de l’Union ne s’oppose pas à l’épuisement des voies administratives sous réserve du respect strict du principe de proportionnalité. Elle admet la licéité du traitement des données si des garanties substantielles encadrent cette mission d’intérêt public indispensable à la lutte contre la fraude. L’analyse portera sur l’aménagement procédural du droit au recours avant d’étudier les conditions de licéité du traitement des données à caractère personnel.
I. L’aménagement procédural du droit au recours effectif
A. La validité conditionnelle de l’épuisement des voies administratives
L’article 47 de la Charte « ne s’oppose pas à une législation nationale qui subordonne l’exercice d’un recours juridictionnel (…) à l’épuisement préalable des voies de recours ». Cette exigence ne doit cependant pas « affecter de manière disproportionnée le droit à un recours effectif » par des délais déraisonnables ou des frais de procédure excessifs. Le juge européen préserve ainsi l’autonomie procédurale des États membres tout en imposant une protection juridictionnelle équivalente pour chaque justiciable.
B. L’admissibilité nuancée des preuves obtenues irrégulièrement
Le juge rejette l’impossibilité absolue d’utiliser une liste obtenue sans le consentement légalement requis du responsable du traitement des données à caractère personnel. Un tel rejet n’est admis que s’il est « prévu par la législation nationale et qu’il respecte (…) le contenu essentiel du droit à un recours effectif ». La juridiction nationale doit ainsi apprécier si l’exclusion de la preuve compromet irrémédiablement l’équité globale de la procédure engagée par la personne lésée.
II. Les conditions de licéité du traitement des données fiscales
A. La poursuite d’une mission d’intérêt public légitime
Le droit de l’Union autorise le traitement de données personnelles « aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale ». Cette faculté est ouverte dès lors que les autorités ont été « investies par la législation nationale de missions d’intérêt public » conformes à la directive. L’objectif de lutte contre la fraude constitue une finalité légitime justifiant une ingérence proportionnée dans le droit fondamental à la vie privée.
B. L’exigence de proportionnalité et de garanties substantielles
L’inscription sur une telle liste doit demeurer « effectivement apte et nécessaire aux fins de la réalisation des objectifs poursuivis » par l’administration fiscale. Il importe qu’il existe « des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste » pour prévenir l’arbitraire. Le respect de la directive impose enfin que toutes les conditions de licéité du traitement soient satisfaites lors de la mise en œuvre du fichier.
