Le Tribunal de grande instance (TGI) de Grenoble a rendu une ordonnance de référé le 4 juillet 2018 sanctionnant la Banque Rhône Alpes pour déclaration abusive d’un compte aux Etats-Unis et refus de traiter la demande d’exercice de ses droits par le titulaire du compte et plus particulièrement son droit à l’oubli.

Rappelons que depuis l’entrée en application du Règlement n°2016/679, dit également Règlement général sur la protection des données ou RGPD, les droits des personnes concernées ont été étendus et renforcés. Les entités responsables du traitement ou sous-traitants doivent donc s’adapter en conséquence.

Mathias Avocats revient sur l’affaire.

Quels sont les faits ?

Monsieur X., de nationalité française et canadienne et né à Ottawa (Canada), a ouvert un compte auprès de la Banque Rhône Alpes. A la suite de l’entrée en application du Foreign Account Tax Compliance Act ou FATCA en novembre 2014, la Banque a prévenu par courrier Monsieur X. que le FATCA était applicable en raison de son lieu de naissance et qu’elle procéderait donc à la déclaration de son compte aux Etats-Unis, à moins que Monsieur X. ne le conteste avant le 30 juin 2016.

Monsieur X. affirme qu’il a contesté être né aux Etats-Unis dans le délai prévu. La Banque Rhône Alpes a néanmoins procédé à la déclaration de son compte aux autorités fiscales des Etats-Unis. Monsieur X. a appris cette situation quelques années plus tard en 2017 et a demandé qu’une rectification soit effectuée. Une régularisation est intervenue en 2018. Monsieur X. a par la suite demandé à la Banque de rectifier ses déclarations relatives aux années antérieures. Du fait du refus de la Banque Rhône Alpes de faire droit à sa demande, Monsieur X. l’a assignée devant le Juge des référés du TGI de Grenoble et a demandé l’effacement intégral de ses données à caractère personnel.

Quelles sont les réglementations applicables ?

Le FATCA fait l’objet d’un accord spécifique entre la France et les Etats-Unis concernant l’échange automatique annuel de renseignements financiers (ex : numéro de compte, nom de la personne, solde ou valeur porté sur le compte, etc.) entre les deux parties. En application de cet accord, les institutions financières françaises partagent les informations de personnes de nationalité américaine avec les institutions financières américaines tandis que ces dernières partagent les informations de personnes de nationalité française avec les institutions financières françaises.

Soulignons que les renseignements financiers demandés sous l’accord FATCA constituent des données à caractère personnel car elles permettent d’identifier directement ou indirectement une personne physique (article 4, 1° du RGPD). A ce titre, dans une délibération n°2015-311 du 17 septembre 2015, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé l’échange de données à caractère personnel entre les Etats-Unis et la France dans le cadre de l’accord FATCA. L’autorisation de la CNIL ne permet cependant pas de contourner le droit national de chaque partie concernant la protection des données à caractère personnel. Elle reconnait et autorise seulement le transfert de ces données.

Depuis le 25 mai 2018, la règlementation applicable à la protection des données à caractère personnel est le RGPD. Comme rappelé précédemment, le Règlement renforce et étend les droits des personnes concernées. Elles disposent à présent de nouveaux droits tel que le droit à l’oubli permettant à la personne concernée d’obtenir du responsable du traitement l’effacement des données à caractère personnel la concernant (article 17 du RGPD). C’est l’un des droits exercés dans l’affaire opposant Monsieur X. à la Banque Rhône Alpes.

Quelle est la décision du TGI ?

Le TGI de Grenoble commence par déterminer si la Banque Rhône Alpes pouvait sérieusement contester la probabilité que Monsieur X. soit né dans une ville américaine portant le même nom que la ville d’Ottawa (Canada). Elle estime qu’il existe une sérieuse équivoque sur la potentielle naissance de Monsieur X. et que la Banque a ainsi déclaré abusivement le compte de ce dernier. Ces constatations impliquent un transfert illicite en pratique puisque Monsieur X. ne peut se voir appliquer l’accord bilatéral FATCA entre les Etats-Unis et la France. Sur quelle autre base la Banque Rhône Alpes aurait-elle pu justifier les transferts des données à caractère personnel de Monsieur X. ?

Au regard de cette déclaration manifestation abusive du compte de Monsieur X. aux autorités fiscales des Etats-Unis et des conséquences qui en découlent (ex : problème pour visiter les Etats-Unis, redressement fiscal…), le TGI ordonne à la Banque Rhône Alpes l’effacement total de toutes les données à caractère de Monsieur X. que la Banque traite dans le cadre de FATCA pour toutes les années antérieures à 2017. Elle indique également que la Banque devra être en mesure de justifier de cet effacement à Monsieur X.

Par ailleurs, pour assurer l’exercice effective du droit à l’oubli exercé par Monsieur X., le Tribunal impose à la Banque Rhône Alpes de procéder à ses frais, auprès des autorités fiscales des Etats-Unis, aux démarches nécessaires pour assurer l’effacement total des déclarations FATCA l’impliquant à tort.

Cette décision permet de rappeler l’importance du respect des droits des personnes concernées ainsi que la nécessité d’une vigilance accrue lors d’un transfert de données à caractère personnel. Soulignons qu’elle permet également d’illustrer le principe d’accountability. En effet, le tribunal impose à la Banque Rhône Alpes d’être en mesure d’effacer totalement les données de Monsieur X. – ce qui est un élément de sa conformité à la nouvelle règlementation applicable à la protection des données à caractère personnel – et de démontrer cet effacement total. Ce dernier élément est une manière de documenter sa conformité et, ainsi, de respecter le RGPD.

Mathias Avocats demeure à votre disposition pour toute question portant sur la protection des données à caractère personnel.