[ 7 avril 2023 ]

Libertés fondamentales - droits de l'homme

Publication de données personnelles par l’administration fiscale et respect de la vie privée

CEDH, gr. ch., 9 mars 2023, L.B. c/ Hongrie, req. n° 36345/16

La loi hongroise relative à l’administration fiscale prévoit la publication, sur le site internet de l’autorité fiscale, d’une liste des principaux contribuables débiteurs et de leurs données personnelles. Ces données incluent, notamment, le nom, l’adresse du domicile, le numéro d’identification fiscale et le montant des impôts impayés. Cette publication est systématique et obligatoire pour tout contribuable redevable de plus de dix millions de forints (environ 28 000 euros) pendant une période de plus de 180 jours.

En l’espèce, les données personnelles du requérant ont été publiées de 2014 à 2019, à la suite d’un contrôle fiscal. Ces données personnelles, bien que ne figurant plus sur la liste, demeurent toutefois accessibles sur le site de l’autorité fiscale à travers une interface de recherche.

Contestant les conclusions de l'administration à l’issue du contrôle fiscal, le requérant a saisi les juridictions nationales, qui ont estimé qu’il « ne pouvait pas étayer par des éléments de preuve ses allégations […] » (pt. 23). Suite à l’épuisement des voies de recours internes, il a saisi la Cour européenne des droits de l’homme, afin de contester la publication de ses données personnelles sur le fondement du droit au respect de la vie privée. La CEDH, examinant l’affaire sous l’angle de l’article 8, a conclu à la non-violation par un arrêt de chambre du 12 janvier 2021 (CEDH, sect. IV, 12 janv. 2021, L.B. c/ Hongrie n° 36345/16). L’affaire a néanmoins été renvoyée et réexaminée par la Grande Chambre, formation la plus solennelle de la Cour. Par le présent arrêt, la Grande Chambre constate la violation de l’article 8 de la Convention EDH.

L’article 8 prévoit la protection du droit à la vie privée et familiale, du domicile et des correspondances. La Cour européenne rappelle que « la notion de « vie privée » est une notion large, non susceptible d’une définition exhaustive » (pt. 102). Bien que la protection des données ne soit pas explicitement mentionnée dans la Convention, selon une jurisprudence constante « la protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8 de la Convention » (v. CEDH, gr. ch., 27 juin 2017, Satakunnan Markkinapörssi Oy et Satamedia Oy c/ Finlande, req. n° 931/13, pt. 137).

Dès lors, la publication des données du requérant constitue une ingérence dans le droit au respect de la vie privée. Une telle ingérence « enfreint l’article 8 de la Convention, sauf si elle peut se justifier sous l’angle du paragraphe 2 de cet article, c’est-à-dire si [elle est], « prévue par la loi », elle poursuit un ou plusieurs des buts légitimes énumérés dans cette disposition et est « nécessaire, dans une société démocratique », pour le ou les atteindre. » (pt. 106). Les trois conditions : la légalité, la poursuite d’un but légitime et la nécessité, sont cumulatives.

Procédant à un examen selon ces trois critères, la Cour constate que l’ingérence est prévue par la loi. Sur la question du but légitime, le gouvernement hongrois affirme que cette mesure vise deux objectifs distincts. Le premier consiste en la protection du « bien-être économique du pays » (pt. 111). La Cour reconnaît l’importance de l’impôt dans la politique économique et sociale du pays, et admet ce but légitime. Le second but invoqué est la « protection des droits et libertés d’autrui » en fournissant des informations aux tiers, potentiels partenaires commerciaux, sur la situation des contribuables débiteurs. La Cour de Strasbourg, affirmant que cette mesure « visait à garantir la transparence et la fiabilité des relations commerciales » (pt. 113), considère ce but légitime. Sur ces points, la Grande Chambre rejoint la position de l’arrêt de chambre.

Le troisième critère, celui de la nécessité, fait l’objet d’un examen approfondi. Une question essentielle, en l’espèce, est celle de l’étendue de la marge d’appréciation étatique qui déterminera l’intensité du contrôle effectué par le juge. La marge d’appréciation est établie selon la jurisprudence de la Cour ainsi que l’existence ou l’absence d’un consensus législatif européen en la matière. La Cour procède donc à un examen de droit comparé sur la question. Vingt-et-un, dont la France, des trente-quatre Etats étudiés autorisent la divulgation, à certaines conditions, des données personnelles des contribuables qui ne se sont pas acquittés de leurs obligations fiscales (pt. 54). Il existe toutefois une grande diversité dans les législations nationales concernant les modalités de cette divulgation, et la nature des données publiées. Par conséquent, la marge d’appréciation est ample. L’arrêt du 12 janvier 2021 avait conclu à la non-violation de l’article 8 en considérant que la publication relevait de la marge d’appréciation étatique (pts. 71 et 54).

Néanmoins la Grande chambre se démarque du précédent arrêt, et rappelle que « la latitude dont jouissent les Etats dans ce domaine n’est toutefois pas illimitée » (pt. 128). Le législateur doit chercher à « ménager un juste équilibre entre les intérêts » contradictoires en cause afin de garantir la proportionnalité de l’ingérence (pt. 138). Ces intérêts contradictoires incluent, entre autres, les buts légitimes invoqués tels que le bien-être économique du pays, mais aussi les droits du requérant tels que la protection de la vie privée et la protection des données.

La Cour soulève que la publication des données personnelles se fait systématiquement par l’autorité fiscale, sans prise en compte des autres intérêts en cause. Elle note en effet que « les considérations relatives à la protection des données semblent n’avoir guère, voire pas du tout, été prises en compte dans la préparation de la réforme » (pt 136). Les risques liés à la divulgation des données sont aussi soulignés : la publication de l’adresse pourrait engendrer un usage impropre de celle-ci (pt. 134) et les données pourraient être réutilisées ultérieurement (pt. 135). Enfin, la Cour européenne, faisant référence au règlement général sur la protection des données (Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016), constate que le principe de la minimisation des données n’a pas fait l’objet de considérations par le législateur (pt. 137).

Malgré l’amplitude de la marge d’appréciation des Etats en la matière, la Cour conclut que l’ingérence n’était pas nécessaire et proportionnée « compte tenu du caractère systématique de la publication des données » (pt. 139). En conséquence, elle constate la violation de l’article 8 de la Convention à quinze voix contre deux.