Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
Transfert illicite hors UE : confirmation du droit à l’effacement
2 avril 2019

Quelles sont les obligations d’un responsable de traitement à l’égard d’un de ses clients lorsqu’il transfère à tort les données à caractère personnel le concernant à une autorité américaine ? A cette question, la Cour d’appel de Grenoble vient de confirmer dans un arrêt du 12 mars 2019 que le client peut obtenir que le responsable du traitement, en l’espèce une banque, mette en œuvre toutes les diligences nécessaires afin que les autorités américaines suppriment l’intégralité des données.

Rappelons que depuis l’entrée en application du Règlement général sur la protection des données (ou RGPD), les droits des personnes concernées ont été étendus et renforcés. Les entités responsables du traitement ou sous-traitants doivent donc s’adapter en conséquence.

Mathias Avocats revient sur cette affaire.

Quels sont les faits ?

En l’espèce, l’affaire concerne l’un des clients de la Banque Rhône Alpes, de nationalité française et canadienne et né à Ottawa (Canada).

A la suite de l’entrée en application du Foreign Account Tax Compliance Act (ou FATCA) en novembre 2014, la Banque a prévenu son client par courrier du 16 décembre 2014 que le FATCA lui était applicable. En effet, la banque a cru, à tort, qu’il était né dans l’une des villes nommées Ottawa se trouvant aux Etats-Unis.

La banque indiquait qu’elle procèderait à la déclaration de son compte aux Etats-Unis, à moins que le client ne le conteste avant le 30 juin 2016. Ce dernier a affirmé avoir contesté par téléphone être né aux Etats-Unis dans le délai prévu.

Toutefois, la Banque Rhône Alpes a procédé à la déclaration de son compte aux autorités fiscales des Etats-Unis. Le client, ayant appris cette situation en novembre 2017, a sollicité une rectification. En février 2018, après que le client a justifié être effectivement né au Canada, la banque a accepté de ne pas procéder à une déclaration pour l’année 2017. Toutefois, le client a demandé à la banque que les déclarations relatives aux années antérieures soient également rectifiées, ce que cette dernière a refusé.

Par acte du 15 mars 2018, le client a assigné la banque devant le Juge des référés du Tribunal de Grande Instance (TGI) de Grenoble, « aux fins d’effacement total de toutes les informations personnelles le concernant dans le cadre du FATCA ».

Par une ordonnance du 4 juillet 2018, le TGI de Grenoble a fait droit aux demandes de Monsieur X. La banque a toutefois relevé appel de cette décision le 23 juillet 2018.

Quelles sont les réglementations applicables ?

Rappelons que le FATCA est entré en application en novembre 2014. Pour qu’il soit effectif, la France et les Etats-Unis ont conclu un accord spécifique. Cet accord impose notamment aux établissements bancaires français de déclarer à la Direction Générale des Finances Publiques (DGFiP) tout client considéré comme contribuable américain, à charge pour celle-ci de transférer les informations aux autorités fiscales des Etats-Unis. Les informations échangées comprennent notamment le numéro de compte, le nom de la personne, le solde ou les valeurs portées sur le compte, etc.

Soulignons que certains renseignements financiers demandés sous l’accord FATCA constituent des données à caractère personnel car elles permettent d’identifier directement ou indirectement une personne physique (article 4, 1° du RGPD).

A ce titre, dans une délibération n°2015-311 du 17 septembre 2015, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé l’échange de données à caractère personnel entre les Etats-Unis et la France dans le cadre de l’accord FATCA. L’autorisation encadre seulement le transfert de ces données par le ministère des finances publiques vers l’Internal Revenue Service (IRS).

Rappelons que depuis le 25 mai 2018, la règlementation applicable à la protection des données à caractère personnel est le RGPD, qui renforce et étend les droits des personnes concernées. Notamment, la personne concernée peut exercer son droit à l’effacement, ou « droit à l’oubli », qui lui permet d’obtenir du responsable du traitement l’effacement des données à caractère personnel la concernant (article 17 du RGPD).

Quelle est la décision de la Cour d’appel ?

Dans son ordonnance du 4 juillet 2018, le TGI de Grenoble faisait droit à la plu