Une banque française condamnée à indemniser ses clients suite à un partage inexact de données personnelles en vertu de la loi sur la conformité fiscale des comptes offshore | Orrick et Herrington & Sutcliffe LLP
L’expérience du service client de Kafkaesque en France a conduit à l’objectif de « Le droit à l’oubli ». Suite à une décision du tribunal judiciaire de Grenoble, France, le 7 février 2022, une banque française a été condamnée à verser des dommages-intérêts et à intenter une action auprès des autorités fiscales américaines pour obtenir l’effacement, par les États-Unis (US). ), des données personnelles inexactes transférées par la Banque en vertu de la Foreign Account Tax Compliance Act (FATCA). Le non-respect de la demande par la banque est passible d’une amende journalière.
La décision est intéressante pour plusieurs raisons, mais surtout parce qu’elle donne une indication de l’étendue des efforts que l’on peut attendre du responsable du traitement pour assurer l’effacement des données à caractère personnel soumises à l’article 17, paragraphe 1, du RGPD, bien que les limitations énoncées à l’article 17, paragraphe 2.
Le plat principal :
- Compte tenu du transfert international des données personnelles du demandeur vers les États-Unis, la banque contrôlante devait être plus vigilante quant à l’exactitude des données qu’elle transfère.
- Étant donné que la banque défenderesse a fait valoir qu’elle n’était pas en mesure de s’assurer que les données personnelles étaient corrigées par les autorités fiscales américaines auxquelles les données personnelles ont été transférées, le tribunal a estimé qu’elle aurait dû être extrêmement prudente en ce qui concerne les termes initiaux de la déclaration .
- Les actions ordonnées par les tribunaux semblent aller au-delà des exigences de l’article 17, paragraphe 2, du RGPD, qui oblige les responsables du traitement, « compte tenu de la technologie disponible et du coût de mise en œuvre », à prendre des mesures raisonnables pour informer les responsables du traitement des données à caractère personnel. données faisant l’objet d’une demande d’effacement. La Cour, sans citer l’article 17, a ordonné à la Banque de prendre toutes les mesures nécessaires, à ses frais et sans réserve, face aux autorités fiscales américaines, afin que ces autorités puissent annuler complètement la déclaration du Foreign Account Tax Compliance Act . Cette ordonnance a été émise alors que la déclaration initiale n’a pas été faite directement par la banque mais par l’administration fiscale française.
les faits:
M. X, un homme de nationalité française mais né à Ottawa, au Canada, a ouvert un compte bancaire auprès de la Banque Rhône-Alpes en 2005. En 2014, la banque a contacté M. X et lui a dit qu’il répondait aux critères d' »américanité » (Américanité) Du fait de sa naissance aux États-Unis, la banque a partagé ses coordonnées bancaires avec les autorités fiscales américaines, dans le cadre de FACTA. Dans le cadre de l’accord FACTA, les banques françaises divulgueront aux autorités fiscales françaises (DG FIP) tous les clients qui sont imposés en vertu du droit américain, et la DG FIP transmettra ensuite les informations aux autorités fiscales américaines.
En 2017, Monsieur X a introduit une demande de correction auprès de la banque française. Il a même assisté à un rendez-vous personnel demandé par la banque et a présenté son passeport et sa carte nationale d’identité (identifiant son lieu de naissance), mais la banque n’a pas réalisé que M. X n’était pas né aux États-Unis. Il a obtenu une ordonnance du tribunal en juillet 2018 en vertu de laquelle la banque était tenue d’effacer toutes les données personnelles de M. X traitées dans le cadre de FACTA avant 2017 sous peine d’une amende de 1 000 € par jour si elle n’est pas respectée dans les 15 jours. . La banque a également été sommée de faire toutes les démarches nécessaires auprès des autorités américaines pour effacer les déclarations de la FACTA sur Monsieur X, qui sont également passibles d’une amende journalière de 1 000 euros.
La banque a fait appel de l’ordonnance, qui a été confirmée par la Cour d’appel de Grenoble pour tous les motifs en mars 2019. La banque n’a pas exécuté l’ordonnance : elle a modifié ses registres internes en 2018 mais n’a pas effacé les données erronées liées à l’inscription FACTA . Jusqu’en 2019, elle n’a soumis une annonce à la direction générale de la police financière demandant une correction, par décision de justice, qu’en 2018.
M. X a déposé une autre plainte en 2019 pour obtenir des dommages-intérêts importants, en vertu du Code civil et de l’article 82 (droit à indemnisation et responsabilité) du RGPD.
résolution:
Le tribunal a statué que la banque ne pouvait prétendre que le lieu de naissance de M. X à Ottawa, la capitale du Canada (population de plus d’un million d’habitants) est une indication sans équivoque du lieu de naissance aux États-Unis, tel que requis dans la région FACTA , tout simplement parce qu’il existe trois villes du même nom aux États-Unis, dont la plus grande compte 19 000 habitants. Selon le tribunal, une telle interprétation de la banque est également « inquiétante » compte tenu du nombre de villes aux États-Unis qui portent le nom de villes d’autres pays.
La banque ne peut prétendre être « obligée » de faire un FACTA étant donné qu’elle reconnaît qu’il existe une incertitude sur le lieu de naissance. De plus, la banque n’a pas montré ni même prétendu que le solde ou la valeur du compte de M. X était supérieur à 50 000 $, même si les comptes dont le solde est inférieur à 50 000 $ en vertu de la Federal Trade Act ne sont pas soumis à déclaration.
Citant la Loi Informatique et Libertés ( Loi Informatique et Libertéésqui s’applique aux faits au moment de la déclaration FTA, qui complète le règlement général sur la protection des données (RGPD), le tribunal a jugé que la banque avait manqué à ses obligations légales à plusieurs égards :
- La Banque, en sa qualité de responsable du traitement, n’a pas pris de précautions pour s’assurer de l’exactitude des données personnelles traitées concernant Monsieur X, étant donné que son lieu de naissance a été déterminé comme étant aux États-Unis et non au Canada.
- La banque a également utilisé des données personnelles à des fins illégales car elles ont été partagées avec un tiers alors qu’elles n’étaient pas censées le faire.
- La banque faisant valoir dans son plaidoyer qu’elle ne pouvait garantir l’effacement d’un enregistrement FACTA, elle aurait dû être plus prudente sur les conditions d’enregistrement initial car, en tant que personne morale tenue par un devoir de vigilance, elle aurait connu le droit du demandeur à la suppression, laquelle est protégée par la loi française et le droit de l’Union européenne.
Le comportement de la Banque, y compris son refus persistant de corriger ses erreurs et d’effacer les données, l’a rendue responsable d’indemniser Monsieur X pour les dommages moraux et matériels qui lui ont été causés, comme le reconnaît l’article 82 du Règlement général sur la protection des données (RGPD).
Le tribunal a également estimé que la déclaration de la banque auprès de la direction générale française du FIP demandant la correction de l’erreur relative au lieu de naissance de Monsieur X n’était pas suffisante. Selon le tribunal, une telle action (déclaration de correction FACTA 3) ne conduit pas à un effacement complet ; Le patch laisse une trace. Rien dans le système FACTA n’empêche la banque de traiter directement avec les autorités fiscales américaines pour s’assurer que la déclaration de M. X en tant qu’Américain est effacée.
En conséquence, la banque a été condamnée à verser à M. X 15 000 euros de dommages et intérêts, 5 000 euros de frais et une amende journalière de 1 500 euros à compter de 60 jours à compter de la décision si la banque n’avait pas pris toutes les mesures nécessaires pour assurer l’effacement complet des déclarations FACTA antérieures à 2017. La banque a été sommée de communiquer également la décision à toutes les entités de son groupe qui auraient également introduit une déclaration FACTA, dans un délai d’un mois, avec une amende journalière de 500 €, pour chaque entité non notifiée.