Articles

Schrems II : Validation des clauses types (CJUE) (2/2)

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Les clauses types de protection des données adoptées par la Commission européenne sont valides, bien qu’elles ne soient pas opposables aux autorités du pays vers lequel les données sont transférées. Cela étant, le recours aux clauses types ne dispense pas l’exportateur de données d’évaluer les risques dans le cas concret et, le cas échéant, d’établir des garanties supplémentaires. L’exportateur doit en particulier vérifier que le droit du pays de destination permet au destinataire des données de respecter ses engagements et n’autorise pas d’ingérence disproportionnée de la part des autorités.

Faits

Maximilian Schrems, juriste et activiste autrichien, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite

La protection des données de tiers impliqués dans une procédure d’assistance administrative en matière fiscale

TAF, 03.09.2019, A-5715/2018

Les tiers qui ne sont pas formellement visés par la demande d’assistance administrative en matière fiscale doivent néanmoins être informés par l’AFC de l’existence de la procédure aussitôt que celle-ci envisage de transmettre à l’État étranger des données les concernant.

Faits

En matière d’assistance administrative fiscale avec l’Internal Revenue Service (IRS), l’Administration fédérale des contributions (AFC) procède à la transmission de données de personnes non formellement concernées sans les en informer au préalable.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) est avisé de cette pratique. Il adresse à l’AFC une recommandation quant au devoir d’informer les tiers indirectement concernés de l’existence de la procédure (cf. art. 27 al. 4 LPD). L’AFC ne suit pas cette recommandation, soutenant que l’information des tiers serait incompatible avec une procédure d’assistance efficace, et donc avec les obligations internationales de la Suisse. Le PFPDT porte l’affaire au Département fédéral des finances (DFF) (cf. art. 27 al. 5 LPD), lequel confirme la pratique de l’AFC de ne pas informer les tiers avant la transmission des renseignements à l’IRS (Décision du DFF du 20 septembre 2018).… Lire la suite

Les tiers touchés par une procédure d’assistance administrative en matière fiscale

L’arrêt du Tribunal administratif fédéral présenté ci-dessous a été annulé par le Tribunal fédéral son arrêt du 13 juillet 2020, 2C_376/2019*, résumé in : Lawinside.ch/949.

TAF, 08.04.2019, A-6871/2018

En matière d’assistance administrative, la transmission sans caviardage de renseignements relatifs à des tiers est admise lorsqu’elle est vraisemblablement pertinente par rapport à l’objectif fiscal visé par l’État requérant (cf. art. 4 al. 3 LAAF). Ces tiers endossent la qualité de personnes habilitées à recourir (art. 19 al. 2 LAAF et 48 PA). L’AFC est tenue de les informer de l’existence de la procédure (art. 14 al. 2 et 19 al. 2 LAAF). À défaut, le droit d’être entendu des tiers est violé, engendrant en conséquence la nullité de la décision de l’AFC relative à la remise des informations à l’Etat requérant.

Faits

L’Espagne adresse une demande d’assistance administrative à l’Administration fédérale des contributions (AFC). La demande vise à déterminer si un contrat de cession de droits de participation respecte les conditions du marché. Outre le contribuable formellement visé, des informations relatives à des sociétés tierces sont citées dans le contrat.

L’AFC accorde l’assistance administrative et notifie sa décision au contribuable ainsi qu’à la société dont les droits de participation font l’objet de la cession.… Lire la suite

Le programme Helsana+ (2/2)

TAF, 19.03.2019, A-3548/2018

Dans le contexte de l’art. 4 al. 1 LPD, un traitement de données personnelles n’est illicite du fait de sa finalité que si la norme violée vise directement ou indirectement la protection de la personnalité des personnes concernées. 

Faits

Helsana Assurances complémentaires SA exploite le programme de bonus « Helsana+ » par le biais d’une app pour téléphones. L’app permet aux assurés (de l’assurance obligatoire et de l’assurance complémentaire) qui exercent certaines activités de collecter des points, lesquels donnent droit à des versements en espèces et à d’autres avantages. L’app n’enregistre pas d’informations concernant la santé des assurés. Les assurés fournissent en effet les informations nécessaires (p. ex. la preuve d’avoir exercé une certaine activité) en chargeant des photos.

Dans le processus d’enregistrement au programme, l’app requiert l’indication de l’adresse email, du code postal, de la date de naissance et du numéro d’assurance des personnes assurées. En outre, le consentement des participants à ce que des données de l’assurance obligatoire soient collectées auprès de ses sociétés sœurs est également demandé. Helsana vérifie ensuite périodiquement que les informations fournies par l’assuré correspondent à celles de l’assurance obligatoire en possession de sa société sœur.

En avril 2018, le Préposé fédéral à la protection des données et à la transparence (“Préposé”) émet des recommandations à l’attention de Helsana concernant le programme.… Lire la suite