Le Conseil d’État a été saisi d’un recours en annulation pour excès de pouvoir de la décision de la CNIL du 23 mai 2022, clôturant la plainte de l'association des Américains accidentels sollicitant la suspension des transferts automatiques de données fiscales opérés entre la France et les États-Unis en application de l'accord international dit FACTA conclu le 14 novembre 2013.
Dans cette affaire, le Conseil d’État rejette l’ensemble des moyens élevés par l’association qui étaient fondés sur des violations du RGPD :
- au principe de minimisation de la collecte des données personnelles ;
- au principe de limitation de la conservation des données personnelles dans le temps ;
- aux règles en matière de transferts de données hors de l’Union européenne.
Principe de minimisation
L’association faisait valoir l’absence d’exploitation des données par les autorités américaines et le manque de réciprocité des transferts entre ces autorités et leurs homologues françaises. Pour considérer que le principe de minimisation est respecté, la Haute juridiction n’entre pas dans les détails de l’accord, elle se contente d’indiquer « qu'il n'est pas sérieusement contesté que le traitement litigieux répond à la finalité légitime que constitue l'amélioration du respect des obligations fiscales et prévoit des modalités de choix, de collecte et de traitement des données adéquates et proportionnées à cette finalité » (point 5).
Limitation de la conservation des données personnelles dans le temps
Le Conseil d’État décide étonnamment qu’il est possible de ne pas fixer de limitation temporelle au traitement des données dès lors qu’il est établi que le responsable de traitement « a cherché à minimiser la quantité de données personnelles à collecter au regard de l'objectif poursuivi par le traitement » (point 5). Il adopte, en outre, une lecture globale de la législation américaine en considérant que, si l’accord FACTA ne comporte pas de stipulations sur la durée de conservation des données transférées, cet accord s’inscrit dans un ensemble législatif qui apporte les garanties nécessaires (point 6).
La légalité des transferts de données personnelles
La légalité des transferts de données n’est pas remise en cause par l’arrêt de la CJUE du 16 juillet 2020 dit Schrems II (CJUE, 16 juill. 2020, C-311/18, Facebook Ireland et Schrems) par lequel la Cour avait considéré que la décision d’adéquation validant les principes du Privacy Shield était contraire au droit de l’Union européenne. Elle n’est pas non plus remise en cause sur la base des lignes directrices édictées par le CEPD, lesquelles ne revêtent pas un caractère contraignant. Enfin, peu importe que l’accord ne comporte aucune clause relative à la prise de décision individuelle automatisée sur la base des données transférées, ni ne prévoit de mécanisme de suspension du transfert des données en cas de différend entre les parties ou de litige devant les instances de l'autre État partie à l'accord.
![Code de la protection des données personnelles 2024, annoté et commenté](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg"/>)