Une banque française condamnée à payer des pertes à ses clients après un partage inexact de données personnelles en vertu de FATCA | Orrick, Herrington & Sutcliffe LLP

L’expérience du service client de la banque « kafkaïenne » en France s’est traduite par un objectif propre « droit à l’oubli ». Suite à une décision rendue par le tribunal judiciaire de Grenoble, France, le 7 février 2022, une banque française a été condamnée à payer des dommages et intérêts et à intenter une action contre le fisc américain pour assurer la radiation, par les États-Unis (US). ), à partir de données à caractère personnel inexactes transférées par des banques dans le cadre du régime de la loi FATCA (Foreign Account Tax Compliance Act). Le non-respect par la banque de l’ordre entraînera des amendes journalières.

La décision est intéressante pour plusieurs raisons, mais surtout parce qu’elle donne une indication de l’ampleur des efforts que l’on peut attendre des responsables du traitement pour assurer l’effacement des données à caractère personnel soumises à l’article 17, paragraphe 1, du règlement général sur la protection des données. (RGPD), malgré les limitations prévues à l’article 17. (2).

Principaux plats à emporter :

  • Compte tenu du transfert international des données personnelles du demandeur vers les États-Unis, la banque de contrôle a l’obligation d’être extrêmement vigilante quant à l’exactitude des données qu’elle transfère.
  • Étant donné que la banque du défendeur a fait valoir qu’elle ne pouvait pas assurer la rectification des données personnelles par les autorités fiscales américaines à qui les données personnelles ont été transférées, le tribunal a fait valoir que la banque aurait également dû faire preuve de prudence quant aux conditions initiales de la déclaration.
  • L’action ordonnée par le tribunal semble aller au-delà des exigences de l’article 17, paragraphe 2, du RGPD, qui oblige les responsables du traitement, « compte tenu de la technologie disponible et des coûts de mise en œuvre », à prendre des mesures raisonnables pour informer les responsables du traitement des données à caractère personnel soumises à demandes de suppression. . La Cour, sans citer l’article 17, a ordonné à la banque de faire toutes les démarches nécessaires, à ses frais et sans réserve, auprès des autorités fiscales américaines, afin que ces autorités puissent procéder à la suppression complète de la déclaration FATCA. Cette commande a été effectuée alors que la déclaration initiale n’avait pas été faite directement par la banque mais par l’intermédiaire de l’administration fiscale française.

Fait:

M. X, un homme de nationalité française mais né à Ottawa, au Canada, a ouvert un compte bancaire à la Banque Rhône-Alpes en 2005. En 2014, la banque a contacté M. X et l’a informé que parce qu’il répondait aux critères d' »Américain » (les états-unis d’Amérique) étant née aux États-Unis, la banque partage ses coordonnées bancaires avec les autorités fiscales américaines, dans le cadre de FACTA. Dans le cadre de FACTA, les banques françaises divulgueront aux autorités fiscales françaises (DG FIP) tous les clients réputés imposables en vertu du droit américain, et la DG FIP transférera ensuite ces informations aux autorités fiscales américaines.

En 2017, Monsieur X a introduit une demande de rectification auprès d’une banque française. Il a même assisté à un rendez-vous en face-à-face demandé par la banque et a présenté son passeport et sa carte nationale d’identité (indiquant son lieu de naissance), mais la banque est restée dans l’ignorance que M. X n’était pas né aux États-Unis que M. X recherchait et recherchait. que la banque est tenue de supprimer toutes les données personnelles de M. X traitées dans le cadre de FACTA avant 2017 sous peine d’une amende de 1 000 € par jour en cas de non-respect dans les 15 jours. La banque a également été sommée de faire toutes les démarches nécessaires auprès des autorités américaines pour qu’elles retirent la déclaration FACTA concernant M. X, est également passible d’une amende journalière de 1000 €.

La banque a fait appel de l’ordonnance, qui a été confirmée en tous points par la Cour d’appel de Grenoble en mars 2019. La banque n’a pas exécuté l’ordonnance : la banque a modifié ses enregistrements internes en 2018 mais n’a pas supprimé les données erronées liées à l’inscription FACTA jusqu’à ce que 2019, et n’a déposé une déclaration auprès de la Direction générale de la FIP demandant une rectification, sur la base d’une décision de justice, qu’en 2018.

M. X a déposé une autre demande en 2019 demandant des dommages-intérêts substantiels, en vertu du Code civil et de l’article 82 (Droit à réparation et obligations) RGPD.

Décision:

Le tribunal a estimé que la banque ne pouvait pas prétendre que le lieu de naissance de M. X à Ottawa, la capitale du Canada (avec une population de plus d’un million d’habitants) est une indication sans équivoque du lieu de naissance aux États-Unis, tel qu’il doit être inclus dans FACTA, simplement parce qu’il y a trois villes qui portent le même nom. Aux États-Unis, la plus grande a une population de 19 000 personnes. Selon le tribunal, une telle interprétation de la banque est également « inquiétante » étant donné le nombre de villes aux États-Unis portant le nom de villes d’autres pays.

La banque ne peut pas non plus prétendre qu’il est « obligatoire » de faire une déclaration FACTA car elle admet qu’il existe des doutes sur le lieu de naissance. De plus, la banque n’a pas démontré ni même allégué que le solde ou la valeur du compte de M. X était supérieur à 50 000 $, bien que, selon la FACTA, les comptes dont le solde est inférieur à 50 000 $ ne soient pas soumis à déclaration.

Citant la loi française sur la protection des données (la Droit de l’informatique et libertéIlSqui s’applique aux faits au moment de la déclaration FACTA et qui complète le RGPD), le tribunal a déclaré que la banque avait manqué à ses obligations légales à plusieurs égards :

  • La Banque, en tant que responsable du traitement, ne prend pas les précautions nécessaires pour s’assurer de l’exactitude des données personnelles traitées concernant Monsieur X, étant donné que son lieu de naissance est indiqué comme étant aux États-Unis et non au Canada.
  • Les banques utilisent également les données personnelles à de mauvaises fins, car les données sont partagées avec des tiers alors qu’elles ne le devraient pas.
  • Dans la mesure où la banque affirme dans sa requête qu’elle ne peut assurer la suppression de l’inscription FACTA, la banque devrait être plus prudente quant à l’obligation d’inscription initiale étant donné qu’en tant que personne morale tenue par l’obligation de vigilance, la banque en sera consciente . droit de suppression du demandeur, est protégé par le droit français et celui de l’Union européenne.

Les actions de la banque, y compris son refus persistant de corriger ses erreurs et de supprimer des données, impliquent son obligation d’indemniser Monsieur X pour son préjudice moral et matériel, tel que reconnu par l’article 82 du RGPD.

Le tribunal a également estimé que la déclaration de la banque à la DG française du FIP demandant la correction d’erreurs concernant le lieu de naissance de MX était insuffisante. Selon le tribunal, une telle procédure (déclaration de rectification FACTA 3) n’a pas abouti à une radiation complète; les réparations laissent des traces. Rien dans le régime FACTA n’empêche les banques de s’adresser directement aux autorités fiscales américaines pour assurer l’élimination complète de la déclaration de MX en tant qu’Américain.

En conséquence, la banque a été condamnée à verser à Monsieur X des dommages et intérêts de 15 000 €, une indemnité de 5 000 € et une amende journalière de 1 500 € à compter de 60 jours à compter de la décision si la banque ne prend pas toutes les mesures nécessaires quant à la Le fisc américain veille à la suppression complète de la déclaration FACTA avant 2017. La banque est également sommée de communiquer la décision à toutes les entités de son groupe qui auraient également soumis une déclaration FACTA, dans un délai d’un mois, sous peine d’une amende journalière de € 500, par entité non notifiée.

Lancelot Bonnay

"Érudit primé au bacon. Organisateur. Fanatique dévoué des médias sociaux. Passionné de café hardcore."

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.