20.4.2010   

FR

Journal officiel de l'Union européenne

C 101/1

1.

Le 2 février 2009, la Commission a adopté une proposition de directive du Conseil relative à la coopération administrative dans le domaine fiscal (3). Cette proposition de directive du Conseil est destinée à remplacer la directive 77/799/CEE du Conseil concernant l’assistance mutuelle des autorités compétentes des États membres dans le domaine des impôts directs (4).

2.

Depuis l’entrée en vigueur du traité de Lisbonne, le 1er décembre 2009, les bases juridiques de la proposition sont les articles 113 et 115 du TFUE (5). Les décisions fondées sur lesdites bases juridiques sont adoptées conformément à la procédure législative spéciale. Cela signifie que le Conseil décide à l’unanimité sur proposition de la Commission, après consultation du Parlement européen et du Comité économique et social européen.

3.

Le Contrôleur européen de la protection des données (CEPD) n’a pas été consulté comme le requiert l’article 28, paragraphe 2, du règlement (CE) no 45/2001. Le présent avis se fonde par conséquent sur l’article 41, paragraphe 2, dudit règlement. Le CEPD recommande qu’une référence au présent avis soit incluse dans le préambule de la proposition.

4.

Améliorer l’échange d’informations, qui concerne dans la plupart des cas les informations (également) relatives aux personnes physiques, constitue l’un des principaux objectifs de la proposition. Le CEPD est conscient qu’il importe d’améliorer l’efficacité de la coopération administrative entre les États membres dans le domaine fiscal. Il voit en outre les avantages que comporte l’échange d’informations et sa nécessité, mais souhaite souligner que le traitement de ces données doit être conforme aux règles de l’UE en matière de protection des données.

5.

Les situations qui demandent un échange transfrontalier de données à caractère personnel au sein de l’UE méritent une attention particulière, car elles impliquent une augmentation importante du traitement des données, ce qui entraîne nécessairement des risques accrus pour les droits et les intérêts des personnes physiques concernées, puisque, en tout état de cause, ces mêmes données à caractère personnel sont traitées dans plus d’une juridiction. Cela exige davantage d’efforts pour garantir la conformité aux exigences découlant de la législation communautaire sur la protection des données. Cela conduit en outre à une insécurité juridique pour les personnes concernées: des acteurs de tous les autres États membres peuvent être concernés, les lois nationales de ces autres États membres peuvent être d’application et différer légèrement des lois que connaissent les personnes concernées, ou s’appliquer dans un système juridique inconnu de ces personnes. Dans un contexte transfrontalier, les responsabilités des différents acteurs doivent être clairement abordées, notamment pour faciliter la surveillance par les autorités compétentes, ainsi que le contrôle juridictionnel, dans différents contextes.

6.

Ce n’est, hélas, qu’à une date récente que le CEPD a eu connaissance de ladite proposition. Cela peut s’expliquer par le fait que la sensibilisation aux exigences en matière de protection des données concernant les questions fiscales est encore en phase initiale. Le CEPD constate que cette sensibilisation s’accroît, mais souligne que des progrès nettement plus importants peuvent et doivent être accomplis à cet égard.

7.

La proposition actuelle constitue un bon exemple du manque de sensibilisation à la question de la protection des données, car cette dernière est presque complètement ignorée. La proposition contient en effet plusieurs éléments non conformes aux exigences applicables en matière de protection des données.

8.

Le CEPD est conscient du fait que la procédure au Parlement européen a pratiquement atteint l’étape finale au sein des commissions. Néanmoins, l’impact de la proposition de coopération sur la protection des données n’ayant pas été traité de manière adéquate, le CEPD estime nécessaire de présenter son avis à ce sujet. Il exprime le souhait que les commentaires contenus dans le présent avis seront pris en considération et encourageront le développement du système de coopération administrative dans le respect du droit à la protection des données des citoyens européens (6).

9.

Comme susmentionné, la proposition est destinée à remplacer la directive 77/799/CEE. Ladite directive, adoptée le 19 décembre 1977, concerne l’échange d’informations des impôts sur le revenu et sur la fortune.

10.

À l’origine, la coopération administrative relative à la taxe sur la valeur ajoutée (TVA) et aux droits d’accises relevait du champ d’application de la directive 77/799/CEE. Cependant, depuis le 7 octobre 2003 et le 16 novembre 2004 respectivement, ces sujets sont traités dans des instruments juridiques distincts, à savoir le règlement (CE) no 1798/2003 et le règlement (CE) no 2073/2004 (7). Une proposition de refonte du règlement (CE) no 1798/2003 a été publiée par la Commission le 18 août 2009 (8). Le CEPD a présenté son avis sur ladite proposition le 30 octobre 2009 (9).

11.

La Commission propose d’étendre le champ d’application de la nouvelle directive des impôts sur le revenu et sur la fortune à tous les impôts indirects. La TVA et les droits d’accises restent exclus du champ d’application. La proposition entend cependant aligner la coopération sur la base de la nouvelle directive sur la coopération dans ces deux domaines particuliers. Une partie des commentaires visés dans la partie III du présent avis ressemble donc à ceux émis dans l’avis du 30 octobre 2009.

12.

Après un premier chapitre contenant plusieurs dispositions générales, le chapitre II de la proposition traite de l’échange d’informations entre les États membres. Cet échange est assuré par les bureaux de liaison des autorités compétentes qui sont désignés par chaque État membre pour l’application de la directive. Des informations peuvent être échangées sur demande, d’une manière automatique ou spontanée.

13.

Le chapitre III de la proposition contient des dispositions sur d’autres formes de coopération administrative que l’échange d’informations, comme les contrôles simultanés, la notification administrative et l’échange de bonnes pratiques et d’expériences. Le chapitre IV présente les conditions régissant la coopération administrative. Il contient des dispositions sur la divulgation d’informations et de documents à d’autres autorités, sur les exigences pour la bonne coopération, sur les formulaires types et les formats informatiques standard, ainsi que sur l’utilisation du réseau commun de communication/interface commune des systèmes (réseau CCN).

14.

Le chapitre V contient une disposition sur l’évaluation de la coopération administrative et le chapitre VI porte sur l’échange d’informations avec les pays tiers. Enfin, le chapitre VII, introduit une procédure de comitologie pour l’adoption de règles plus détaillées.

15.

Dans la législation sur la protection des données, on entend par «données à caractère personnel», de manière générale, «toute information concernant une personne physique, identifiée ou identifiable» (10). Il est clair que dans le cadre de la proposition de directive, des données à caractère personnel seront traitées et échangées par les autorités compétentes des différents États membres. Dans une situation de ce type, les règles nationales de mise en œuvre de la directive 95/46/CE s’appliquent et doivent être respectées. Même si cela va sans dire, dans un souci de clarté, le CEPD invite instamment le législateur à inclure une référence à la directive 95/46/CE au moins dans les considérants de la proposition et, de préférence, dans une disposition de fond également, précisant que les dispositions de la directive s’entendent sans préjudice des règles nationales qui mettent en œuvre la directive 95/46/CE.

16.

Même si la Commission n’est pas directement impliquée dans l’échange de données entre les autorités compétentes, la proposition de directive montre que celle-ci traitera, dans certaines circonstances, des données à caractère personnel sur la base de la directive. Conformément à l’article 20, paragraphe 2, de la proposition, la Commission est chargée d’effectuer «toute adaptation du réseau CCN nécessaire pour permettre l’échange entre États membres des informations concernées». Il ressort clairement de l’article 20, paragraphe 3, que cette responsabilité peut, dans certaines conditions, impliquer l’accès aux informations qui sont échangées par le système.

17.

Il n’est pas exclu que d’autres dispositions impliquent le traitement de données à caractère personnel par la Commission également. L’article 22, par exemple, dispose que la Commission recevra «toutes les informations pertinentes» nécessaires à l’évaluation de l’efficacité de la coopération administrative prévue par la directive. Elle recevra en outre des «données statistiques» dont la liste est adoptée selon la procédure de comitologie visée à l’article 24 de la proposition.

18.

Si la Commission traite des données à caractère personnel, elle est liée par les règles en matière de protection des données applicables aux institutions et organes de l’UE visées dans le règlement (CE) no 45/2001 et soumises à la supervision du CEPD (11). Dans un souci de clarté et afin de prévenir tout doute sur l’applicabilité du règlement (CE) no 45/2001, le CEPD invite instamment le législateur à inclure une référence audit règlement au moins dans les considérants de la proposition de directive et, de préférence, dans une disposition de fond également, précisant que, lorsqu’elle traite des données à caractère personnel sur la base de la directive, la Commission est liée aux dispositions du règlement (CE) no 45/2001.

19.

Si des données à caractère personnel sont traitées, les articles 16 et 17 de la directive 95/46/CE et les articles 21 et 22 du règlement (CE) no 45/2001 exigent que la confidentialité et la sécurité des données traitées soient garanties. L’article 20, cité précédemment, n’indique pas explicitement si la Commission est responsable de la maintenance et de la sécurité du réseau CCN (12). Afin de dissiper tout doute quant à la responsabilité de la garantie de la confidentialité et la sécurité, le CEPD invite instamment le législateur à définir plus clairement la responsabilité de la Commission à cet égard, à mettre l’accent sur les obligations des États membres et ce, à la lumière des exigences découlant de la directive 95/46/CE et du règlement (CE) no 45/2001.

20.

Une exigence de base de la législation relative à la protection des données veut que les informations soient traitées pour des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités (13). Les données utilisées pour atteindre les finalités doivent en outre être nécessaires et adéquates, pertinentes et non excessives au regard des finalités (14). Après analyse de la proposition de directive, le CEPD conclut que le système d’échange d’informations visé dans la directive, pris dans son ensemble, ne satisfait pas à ces exigences.

21.

En ce qui concerne la limitation de la finalité, l’article 5, paragraphe 1, de la proposition, qui porte sur l’échange d’informations sur demande, mentionne l’échange d’informations susceptibles d’être utiles à «l’établissement correct des taxes ou impôts visés à l’article 2». L’article 2 présente le champ d’application de la directive en indiquant à quelles taxes et impôts la directive s’applique. Le CEPD est d’avis que l’établissement correct des taxes ou impôts mentionné n’est pas suffisamment précis. En outre, l’article n’indique pas le besoin d’évaluer la nécessité de l’échange d’informations.

22.

De plus, l’article 5, paragraphe 1, ne précise pas ou ne fixe pas de limite au type de données qui peuvent être échangées. Il évoque, comme cité ci-dessus, une «information susceptible d’être utile» à l’établissement correct des taxes ou impôts mentionnés. D’après l’article 5, paragraphe 1, il s’agit de «toute information relative à un ou plusieurs cas spécifiques». L’article 17, paragraphe 1, de la proposition souligne que cette information inclut également celles qui ne sont pas nécessaires à l’État membre requis pour ses propres besoins fiscaux. L’article 5, paragraphe 2, oblige en outre l’autorité requise à communiquer à l’autorité requérante toute information utile dont elle dispose ou qu’elle obtient à la suite d’enquêtes administratives. De même, l’article 9 de la proposition, qui porte sur l’échange spontané d’informations, évoque «les informations visées à l’article 1er». L’article premier ne fournit cependant aucune précision pertinente. L’utilisation de notions larges aux articles 5, 9 et 17 semble encourager un échange de données excessif au regard de la finalité et, dès lors, contraire au principe de la qualité des données.

23.

L’article 8 de la proposition permet de satisfaire aux normes visées au point 20 ci-dessus, mais seulement en ce qui concerne l’échange obligatoire automatique d’informations sans demande préalable. L’article dispose que le type d’informations à échanger sera déterminé par la procédure de comitologie. Cela permet à la Commission de limiter et de préciser les données à échanger, ce qui devrait effectivement être fait conformément aux exigences en matière de protection des données. L’article fait en outre référence à la nécessité de l’échange d’informations pour l’établissement correct des taxes et impôts visés à l’article 2 et énumère plusieurs situations particulières. Cependant, comme susmentionné, l’article 8 ne concerne que l’échange automatique obligatoire d’informations et ne fixe pas de limites à l’échange d’informations sur demande ou spontanément. Les critiques exprimées précédemment sur les articles 5, 9 et 17 de la proposition s’appliquent donc ici également.

24.

Sur la base de ce qui précède, le CEPD invite instamment le législateur, en ce qui concerne l’échange de données entre les autorités compétentes sur demande ou spontanément, à préciser le type d’informations à caractère personnel qui peuvent être échangées, afin de mieux définir la finalité pour laquelle des données à caractère personnel peuvent être échangées et d’évaluer la nécessité du transfert ou, au moins, de garantir le respect du principe de nécessité.

25.

Le principe de limitation de la finalité est en outre mis à mal à l’article 15, paragraphe 1, de la proposition. D’après ledit article, les informations et documents obtenus par une autorité compétente en vertu de la directive peuvent être divulgués à d’autres autorités du même État membre, pour autant que la législation de ce dernier le permette, «même si ces informations ou documents sont susceptibles d’être utilisés à des fins autres que celles visées à l’article 2». Le CEPD souhaite souligner que la dernière partie de cette disposition va totalement à l’encontre du principe de limitation de la finalité. Le traitement d’informations à caractère personnel à d’autres fins que celles initialement prévues n’est autorisé que dans des conditions strictes. Le principe de limitation de la finalité ne peut être mis de côté que lorsque cela est prévu dans la législation et nécessaire pour d’importantes raisons énumérées de manière exhaustive à l’article 13 de la directive 95/46/CE. La référence à la législation de l’État membre concerné, faite à l’article 15, paragraphe 1, pourrait impliquer cette exigence, mais n’est pas suffisamment claire. Le CEPD invite dès lors instamment le législateur à ajouter à l’article 15, paragraphe 1, de la proposition que le traitement d’informations à des fins autres que celles visées à l’article 2 est «subordonné aux conditions visées à l’article 13 de la directive 95/46/CE».

26.

Les articles 10 et 11 de la directive 95/46/CE contiennent l’obligation pour la personne ou l’entité responsable du traitement des données (à savoir, dans la terminologie utilisée dans le domaine de la protection des données, le «responsable du traitement» (15) d’informer la personne concernée avant la collecte des données ou, si les données n’ont pas été collectées auprès de la personne concernée, dès l’enregistrement des données. La personne concernée doit être informée de l’identité du responsable du traitement, des finalités du traitement des données et de toute information supplémentaire telle que les destinataires des données et l’existence d’un droit d’accès aux données la concernant et de rectification de ces données. Les articles 10 et 11 de la directive 95/46/CE peuvent être considérés comme le développement du principe général de transparence qui participe au caractère loyal du traitement, comme exigé à l’article 6, paragraphe 1, point a), de la directive 95/46/CE.

27.

Le CEPD a remarqué que la proposition ne contient aucune disposition sur le principe de transparence, par exemple sur la manière dont l’échange d’informations est communiqué au grand public ou dont les personnes concernées seront informées du traitement des données. Le CEPD invite dès lors instamment le législateur à adopter une disposition concernant la transparence de l’échange d’informations.

28.

L’article 23 prévoit la possibilité d’échange d’informations avec des pays tiers. Il dispose que «les autorités compétentes peuvent transmettre à un pays tiers, conformément à leurs dispositions internes applicables à la communication de données à caractère personnel à des pays tiers, les informations obtenues en application de la présente directive». Le CEPD se réjouit de constater que la Commission est consciente des règles spécifiques en matière de protection des données qui s’appliquent à l’échange de données à caractère personnel avec des pays n’appartenant pas à l’UE. Le CEPD souhaite toutefois souligner que ces informations doivent, en premier lieu, être échangées entre les États membres conformément aux règles en matière de protection des données, avant qu’une analyse de la protection des données ne soit effectuée pour déterminer si ces données peuvent être transférées vers un pays tiers.

29.

Dans un souci de clarté, une référence explicite à la directive 95/46/CE pourrait être incluse dans le texte, précisant qu’un tel transfert doit être conforme aux règles nationales de mise en œuvre des dispositions du chapitre IV de la directive 95/46/CE qui traite du transfert de données à caractère personnel vers des pays tiers.

30.

Plusieurs questions ayant trait à la protection des données seront abordées ultérieurement dans le cadre de règles adoptées selon la procédure de comitologie, comme visé à l’article 24 de la proposition. Même s’il comprend la nécessité pratique de recourir à une telle procédure, le CEPD souhaite souligner que les principales règles et garanties en matière de protection des données devraient être fixées dans la législation de base.

31.

Le CEPD souhaite souligner que, si d’autres règles sont examinées selon la procédure de comitologie, cela doit avoir lieu en gardant à l’esprit les exigences en matière de protection des données découlant de la directive 95/46/CE et du règlement (CE) no 45/2001. Le CEPD invite en outre instamment la Commission à impliquer le CEPD et à demander son avis si d’autres règles ayant trait à la protection des données étaient effectivement examinées.

32.

Afin de garantir son implication lorsque d’autres règles ayant trait à la protection des données seront adoptées sur la base de la procédure de comitologie, le CEPD recommande au législateur d’ajouter à l’article 24 un quatrième paragraphe disposant que «si des mesures de mise en œuvre concernent le traitement de données à caractère personnel, le Contrôleur européen de la protection des données est consulté».

33.

Dans le présent avis, le CEPD conseille au législateur: