Le 22 avril 2021, j’avais adressé un courrier à Marie-Laure DENIS, Présidente de la Commission nationale de l’informatique et des libertés.
J’avais attiré son attention sur un avis officiel du Comité européen de la protection des données (Statement 04/21 on international agreements including transfers, adopted on 13 April 2021), organisme officiel de l’Union européenne. Celui-ci y stipulait clairement que tous les accords internationaux concernant le transfert de données personnelles vers des pays tiers conclus avant le 24 ou le 6 mai 2016 doivent respectivement se conformer aux articles 96 du RGPD et 61 de la Law Enforcement Directive. Le Comité européen de la protection des données incitait donc tous les pays-membres à revoir les textes concernés, dont le FATCA fait partie.
Voici la réponse de Marie-Laure DENIS :
Monsieur le Sénateur,
Votre lettre relative à la mise en œuvre de la loi américaine dite « FATCA » m’est bien parvenue. Je vous en remercie.
Vous attirez très justement mon attention sur la diffusion auprès des autorités compétentes de la récente déclaration du Comité européen de la protection des données (CEPD) du 13 avril 2021.
Au niveau européen, cette déclaration est le produit d’un travail collectif avec nos homologues réunis au sein du CEPD qui ont participé à l’élaboration et l’adoption de ce document. La Commission européenne, qui a un rôle important à jouer dans le dossier, était également présente aux discussions ayant présidé à son adoption et a donc par conséquent une connaissance précieuse de son contenu sur lequel il conviendra de s’appuyer.
S’agissant de ce dossier et, plus généralement, des échanges automatiques de données fiscales, nous avons déjà eu l’occasion d’aborder ces questions avec nos interlocuteurs en France et nous avons également porté à leur connaissance la déclaration précitée.
Au niveau national, ce dossier a fait l’objet d’une décision du 19 juillet 2019 du Conseil d’État qui a rejeté le recours de l’Association des Américains accidentels tendant à obtenir l’abrogation des actes réglementaires transposant, en droit interne, l’accord « FATCA ».
Le Conseil d’État a estimé tout d’abord que l’accord « FATCA » est bien appliqué par les Etats-Unis, de sorte qu’il peut bien produire les effets en droit interne. Il a ainsi jugé que les actes réglementaires pris pour son application ne se trouvaient pas dépourvus de base légale. Le Conseil d’État a considéré ensuite que la collecte et le transfert d’informations autorisés résultant de la mise en œuvre de l’accord « FATCA » ne méconnaissaient ni le droit de la protection des données personnelles ni le droit au respect de la vie privée.
Refusant d’interroger la Cour de justice de l’Union européenne sur la compatibilité d’un tel mécanisme avec le droit européen, la Haute Juridiction a ainsi écarté l’argumentation de l’association dénonçant le caractère massif des échanges autorisés ainsi que l’absence de garanties suffisantes encadrant ces transferts.
Vous pouvez néanmoins compter sur l’implication constante de la CNIL dans ce dossier.
Je vous prie d’agréer, Monsieur le Sénateur, l’expression de ma considération distinguée.
Marie-Laure DENIS