CJUE – Valsts ieņēmumu dienests – C-175/20

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-175/20

Nom:

Valsts ieņēmumu dienests

Date:

24 février 2022

Pays:

Lettonie

Lien:

Cliquer ici

Contexte

SS est un prestataire de services d’annonces publiées sur Internet établi en Lettonie. Le 28 août 2018, l’administration fiscale lettone a adressé à SS une demande de communication fondée sur l’article 15, paragraphe 6, de la loi sur les impôts et les taxes dans laquelle elle invitait cette société à rétablir l’accès dont disposait cette administration fiscale aux numéros de châssis des véhicules faisant l’objet d’une annonce publiée sur le portail Internet de ladite société, et demandait la disponible d'autres informations sur les vendeurs des véhicules.

Estimant que la demande de communication de l’administration fiscale lettone n’était pas conforme aux principes de proportionnalité et de minimisation des données à caractère personnel, consacrés par le règlement 2016/679, SS a introduit une réclamation contre cette demande auprès du directeur général faisant fonction de l’administration fiscale lettone. Par décision du 30 octobre 2018, ce dernier a rejeté cette réclamation en exposant notamment que, dans le cadre du traitement des données à caractère personnel en cause au principal, l’administration fiscale lettone exerçait les pouvoirs qui lui sont conférés par la loi.

SS a formé devant l’administratīvā rajona tiesa (tribunal administratif de district, Lettonie) un recours tendant à l’annulation de cette décision qui l'a rejeté par décision du 21 mai 2019. SS a alors interjeté appel de ce jugement devant la juridiction de renvoi.

Apport(s)
Donnée relative aux infractions de nature pénale soumise à la directive « Police-Justice » - Perception de l’impôt et lutte contre la fraude fiscale par l’administration fiscale - Absence Extrait(s) pertinent(s)45. En outre, même s’il n’est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d’infraction dans le domaine fiscal, contre certaines des personnes concernées, il n’apparaît pas que ces données soient collectées dans l’objectif spécifique d’exercer de telles poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal (voir, en ce sens, arrêt du 27 septembre 2017, Puškár, C-73/16, EU:C:2017:725, point 40). Article(s) du RGPD Article 10 – Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions Fait référence à Autres informations
Minimisation - Application à l'administration fiscale - Admission Extrait(s) pertinent(s)44. Ainsi, lorsqu’elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale, il n’apparaît pas que l’administration fiscale d’un État membre puisse être considérée comme une « autorité compétente », au sens de l’article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d’informations puissent relever de l’exception prévue à l’article 2, paragraphe 2, sous d), du règlement 2016/679. [...] 46. Partant, la collecte, par l’administration fiscale d’un État membre, de données à caractère personnel relatives aux annonces de vente de véhicules publiées sur le site Internet d’un opérateur économique relève du champ d’application matériel du règlement 2016/679 et, par suite, celle-ci doit respecter, notamment, les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 de ce règlement. Article(s) du RGPD Article 5 – Principes relatifs au traitement Fait référence à Autres informations
Mission d'intérêt public - Cas d’une demande de communication qui n’est pas directement fondée sur la disposition légale qui constitue le fondement du traitement mais résulte de l’autorité compétente - Conditions de licéité Extrait(s) pertinent(s)71. Il s’ensuit que, dans un cas où la communication des données à caractère personnel en cause n’est pas directement fondée sur la disposition légale qui en constitue le fondement, mais résulte d’une demande de l’autorité publique compétente, il est nécessaire que cette demande précise quelles sont les finalités spécifiques de cette collecte de données au regard de la mission d’intérêt public ou de l’exercice de l’autorité publique, afin de permettre au destinataire de ladite demande de s’assurer que la transmission des données à caractère personnel en cause est licite et aux juridictions nationales d’opérer un contrôle de la légalité des traitements concernés. Article(s) du RGPD Article 6 – Licéité du traitement Fait référence à Autres informations
Traitement de données à des fins fiscales - Notion de «mesure législative» limitant la portée des obligations et des droits au sens du RGPD - 1) Mesure nécessairement adoptée par un parlement - Absence - 2) Conditions - Clarté, précision et prévisibilité de la limitation pour les justiciables Extrait(s) pertinent(s)52. À cet égard, il ressort du considérant 41 du règlement 2016/679 que la référence, dans ce règlement, à une « mesure législative » n’implique pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée. [...] 56. Par conséquent, toute mesure adoptée en vertu de l’article 23 du RGPD doit, ainsi que le législateur de l’Union l’a, au demeurant, souligné au considérant 41 de ce règlement, être claire et précise et son application être prévisible pour les justiciables. En particulier, ces derniers doivent être en mesure d’identifier les circonstances et les conditions dans lesquelles la portée des droits que leur confère ledit règlement est susceptible de faire l’objet d’une limitation. [...] 58 Partant, il y a lieu de répondre à la deuxième question que les dispositions du règlement 2016/679 doivent être interprétées en ce sens que l’administration fiscale d’un État membre ne peut déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement lorsqu’un tel droit ne lui a pas été octroyé par une mesure législative, au sens de l’article 23, paragraphe 1, de celui-ci. Article(s) du RGPD Article 23 – Limitations Fait référence à Autres informations