1) Les dispositions du RGPD doivent être interprétées en ce sens que l'administration fiscale d'un État membre ne saurait déroger aux dispositions de l'article 5, paragraphe 1, de ce règlement, qui fixe les principes à respecter par tout traitement, alors qu'un tel droit ne lui a pas été octroyé par le droit national, au sens de l'article 23, paragraphe 1, de ce même texte.

2) Les dispositions du RGPD doivent être interprétées en ce sens qu'elles ne s'opposent pas à ce que l'administration fiscale d'un État membre impose à un prestataire de services d'annonces publiées sur internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l'une des rubriques de son portail en ligne, dès lors que cela est nécessaire à la mission d'intérêt public poursuivie par cette administration. Néanmoins, les données demandées doivent être nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et la période sur laquelle porte leur collecte ne saurait excéder la durée strictement nécessaire pour atteindre l'objectif d'intérêt général visé.

1) Le droit au recours garanti par la Charte des droits fondamentaux impose de permettre aux personnes qui sont détentrices d’informations dont l'administration nationale demande la communication, dans le cadre d’une procédure de coopération entre États membres, de former un recours direct contre cette demande d'informations.

2) En revanche, les États membres peuvent priver d'une telle voie de recours direct le contribuable visé par une enquête fiscale et les tiers concernés par les informations en cause, dès lors qu'il existe d'autres voies de recours permettant à ces derniers d'obtenir un contrôle incident de ladite demande.

3) Par ailleurs, une demande d'informations peut valablement porter sur des catégories d’informations plutôt que sur des informations précises, si ces catégories sont délimitées au moyen de critères établissant leur caractère « vraisemblablement pertinent ».

Les articles 6, paragraphes 2 et 5 de la directive 2002/58/CE du 12 juillet 2002 (directive vie privée et communications électroniques) doivent être interprétés en ce sens qu'ils autorisent un fournisseur de réseaux publics de communications et de services de communications électroniques accessibles au public à transmettre des données relatives au trafic au cessionnaire de ses créances portant sur la fourniture de services de télécommunications en vue du recouvrement de celles-ci, et ce cessionnaire à traiter lesdites données à condition que, en premier lieu, celui‑ci agisse sous l'autorité du fournisseur de services pour ce qui concerne le traitement de ces mêmes données et, en second lieu, ledit cessionnaire se limite à traiter les données relatives au trafic qui sont nécessaires aux fins du recouvrement des créances cédées.

Indépendamment de la qualification du contrat de cession, le cessionnaire est censé agir sous l'autorité du fournisseur de services, au sens de l'article 6, paragraphe 5, de la directive 2002/58, lorsque, pour le traitement des données relatives au trafic, il agit sur la seule instruction et sous le contrôle dudit fournisseur. En particulier, le contrat conclu entre eux doit comporter des dispositions de nature à garantir le traitement licite, par le cessionnaire, des données relatives au trafic et à permettre au fournisseur de services de s’assurer, à tout moment, du respect de ces dispositions par ledit cessionnaire.

La mention, dans un registre accessible au public, des noms du constituant, des bénéficiaires et de l’administrateur d’un trust fournit des informations sur la manière dont une personne entend disposer de son patrimoine. Il en résulte une atteinte au droit au respect de la vie privée. Or, le législateur, qui n’a pas précisé la qualité ni les motifs justifiant la consultation du registre, n’a pas limité le cercle des personnes ayant accès aux données de ce registre, placé sous la responsabilité de l’administration fiscale. Dès lors, les dispositions contestées portent au droit au respect de la vie privée une atteinte manifestement disproportionnée au regard de l’objectif poursuivi.

L'article 67 de la loi n°2021-344 du 17 mars 2014 relative à la consommation crée un traitement de données à caractère personnel recensant les crédits à la consommation accordés aux personnes physiques n'agissant pas pour des besoins professionnels, dénommé « registre national des crédits aux particuliers ». Par la création de ce registre, le législateur a poursuivi un motif d'intérêt général de prévention du surendettement. Toutefois, ce registre est destiné à comprendre des données à caractère personnel d'un très grand nombre de personnes (plus de 12 millions), la durée de conservation est de plusieurs années (toute la durée du crédit ou du plan de surendettement), les motifs de consultation sont très nombreux (octroi d'un crédit à la consommation mais également d'un prêt sur gage corporel, reconduction d'un contrat de crédit renouvelable, vérification triennale de solvabilité de l'emprunteur, vérification relative aux personnes se portant caution d'un prêt à la consommation …) et plusieurs dizaines de milliers d'agents des établissements de crédit seront habilités à consulter le registre. Compte tenu de la nature des données enregistrées, de l'ampleur du traitement de données, de la fréquence de son utilisation, du grand nombre de personnes susceptibles d'y avoir accès et de l'insuffisance des garanties relatives à l'accès au registre, la création du registre national des crédits aux particuliers porte une atteinte au droit au respect de la vie privée qui ne peut être regardée comme proportionnée au but poursuivi.

Accord conclu le 14 novembre 2013 entre le Gouvernement de la République française et le Gouvernement des États-Unis d'Amérique en vue d'améliorer le respect des obligations fiscales à l'échelle internationale et de mettre en œuvre la loi relative au respect des obligations fiscales concernant les comptes étrangers (dite « loi FATCA »). Traitement d’échange automatique d’informations organisant notamment la collecte et le transfert de données à caractère personnel aux autorités fiscales américaines créé pour la mise en œuvre de cet accord.

Si le traitement créé par l’arrêté du 5 octobre 2015 a pour finalité de lutter contre la fraude et l'évasion fiscales et relève à ce titre du RGPD et non de la directive n° 2016/680, il doit être regardé comme ayant parmi ses objets la prévention, la recherche, la constatation ou la poursuite des infractions pénales. Il s’ensuit, eu égard à cet objet, qu’il est au nombre des traitements visés à l’article 31 de la loi n° 78-17 du 6 janvier 1978.

Arrêté créant un traitement ayant pour objet de permettre à des tiers à qui un contribuable a communiqué une copie de son avis d'impôt sur le revenu ou de son justificatif d'impôt sur le revenu, de vérifier l'authenticité des données qui y figurent au moyen d'une consultation directe du justificatif d'impôt sur le revenu du contribuable certifié par l'administration fiscale.

Les destinataires du traitement ne sont définis, par les dispositions de l'arrêté attaqué, que comme les personnes ayant besoin, dans le cadre de leurs activités, de connaître et de vérifier l'authenticité des informations contenues dans le justificatif d'impôt sur le revenu d'un contribuable. Une telle définition ne peut être regardée, eu égard à l'importance des données en cause, comme précisant suffisamment les destinataires ou catégories de destinataires habilités à en recevoir communication, comme l'exige l'article 29 de la loi n°78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés. Dès lors que les dispositions en cause ne sont pas divisibles du reste de l'arrêté attaqué, celui‑ci doit être déclaré illégal.

1) Le II de l’article 2 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers (FICP), combiné aux articles L. 751‑2 et L. 312‑16 du code de la consommation, prévoient les cas obligatoires de consultation du FICP par les établissements et organismes dans le cadre de l’octroi d’un crédit. Les traitements de données à caractère personnel mis en œuvre dans le cadre des opérations de consultation obligatoire du FICP, telles que définies par ces dispositions, ne peuvent être fondés que sur la base légale prévue à l’article 6, paragraphe 1, point c) du RGPD, à savoir le respect d’une obligation légale.

2) Le III de l’article 2 de l’arrêté du 26 octobre 2010 relatif au fichier national des incidents de remboursement des crédits aux particuliers (FICP) prévoit les cas de consultation facultative. Les traitements de données à caractère personnel mis en œuvre dans ce cadre peuvent, à certaines conditions, reposer sur la base légale de l’intérêt légitime poursuivi par le responsable de traitement (art. 6, §1, f). Dans ce cas, le responsable de traitement est tenu de réaliser, au cas par cas, une mise en balance entre l’intérêt légitime poursuivi et les intérêts, libertés et droits fondamentaux des personnes concernées afin de s’assurer que la consultation n’est pas de nature à porter une atteinte disproportionnée à leur vie privée.