ARRÊT DE LA COUR (troisième chambre)
16 janvier 2019 ( *1 )
« Renvoi préjudiciel – Union douanière – Code des douanes de l’Union – Article 39 – Statut d’opérateur économique agréé – Règlement d’exécution (UE) 2015/2447 – Article 24, paragraphe 1, second alinéa – Demandeur autre qu’une personne physique – Questionnaire – Collecte de données à caractère personnel – Directive 95/46/CE – Articles 6 et 7 – Règlement (UE) 2016/679 – Articles 5 et 6 – Traitement des données à caractère personnel »
Dans l’affaire C‑496/17,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Finanzgericht Düsseldorf (tribunal des finances de Düsseldorf, Allemagne), par décision du 9 août 2017, parvenue à la Cour le 17 août 2017, dans la procédure
Deutsche Post AG
contre
Hauptzollamt Köln,
LA COUR (troisième chambre),
composée de M. M. Vilaras (rapporteur), président de la quatrième chambre, faisant fonction de président de la troisième chambre, MM. J. Malenovský, L. Bay Larsen, M. Safjan et D. Šváby, juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : Mme R. Şereş, administratrice,
vu la procédure écrite et à la suite de l’audience du 5 juillet 2018,
considérant les observations présentées :
– pour Deutsche Post AG, par Me U. Möllenhoff, Rechtsanwalt,
– pour le Hauptzollamt Köln, par MM. W. Liebe et M. Greve-Giesow ainsi que par Mme M. Hageroth, en qualité d’agents,
– pour le gouvernement espagnol, par M. S. Jiménez García et Mme V. Ester Casas, en qualité d’agents,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. G. Albenzio, avvocato dello Stato,
– pour le gouvernement hongrois, par MM. M. Z. Fehér et G. Koós ainsi que par Mme R. Kissné Berta, en qualité d’agents,
– pour la Commission européenne, par M. B.-R. Killmann et Mme F. Clotuche-Duvieusart, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 17 octobre 2018,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 24, paragraphe 1, second alinéa, du règlement d’exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d’application de certaines dispositions du règlement (UE) no 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union (JO 2015, L 343, p. 558).
2 Cette demande a été présentée dans le cadre d’un litige opposant Deutsche Post AG au Hauptzollamt Köln (bureau principal des douanes de Cologne, Allemagne) (ci-après le « bureau principal ») au sujet de la nature et de l’étendue des données à caractère personnel de tiers devant être présentées pour qu’une entreprise bénéficie du statut d’opérateur économique agréé, prévu à l’article 39 du règlement (UE) no 952/2013 du Parlement européen et du Conseil, du 9 octobre 2013, établissant le code des
douanes de l’Union (JO 2013, L 269, p. 1, ci-après le « code des douanes »).
Le cadre juridique
Le droit de l’Union
La législation douanière
3 Le titre I du code des douanes comprend un chapitre 2, intitulé « Droits et obligations des personnes au regard de la législation douanière », qui contient une section 4, intitulée « Opérateur économique agréé » (ci-après un « OEA »), dont font partie les articles 38 à 41.
4 L’article 38 de ce code prévoit :
« 1. Un opérateur économique établi sur le territoire douanier de l’Union et satisfaisant aux critères énoncés à l’article 39 peut introduire une demande pour bénéficier du statut d’[OEA].
Ce statut est accordé par les autorités douanières, si nécessaire après consultation d’autres autorités compétentes, et fait l’objet d’un suivi.
2. Le statut d’[OEA] comprend les types d’autorisations suivants :
a) le statut d’[OEA] pour les simplifications douanières, qui permet au titulaire de bénéficier de certaines simplifications conformément à la législation douanière ; ou
b) le statut d’[OEA] pour la sécurité et la sûreté, qui permet au titulaire de bénéficier de certaines facilités en matière de sécurité et de sûreté.
[...]
5. Sur la base de la reconnaissance du statut d’[OEA] pour les simplifications douanières, et à condition que les exigences liées à un type spécifique de simplification prévu dans la législation douanière soient remplies, les autorités douanières autorisent l’opérateur considéré à bénéficier de cette simplification. Les autorités douanières ne réexaminent pas les critères ayant déjà été examinés lors de l’octroi du statut d’[OEA].
6. L’[OEA] visé au paragraphe 2 bénéficie d’un traitement plus favorable que les autres opérateurs économiques en matière de contrôles douaniers, en fonction du type d’autorisation accordée, y compris un allègement des contrôles physiques et documentaires.
[...] »
5 L’article 39 dudit code dispose :
« Les critères d’octroi du statut d’[OEA] sont les suivants :
a) l’absence d’infractions graves ou répétées à la législation douanière et aux dispositions fiscales, y compris l’absence d’infractions pénales graves liées à l’activité économique du demandeur ;
[...] »
6 Aux termes de l’article 41, premier alinéa, du même code :
« La Commission adopte, par voie d’actes d’exécution, les modalités d’application des critères visés à l’article 39. »
7 Le titre I du règlement d’exécution 2015/2447 comporte un chapitre 2, intitulé « Droits et obligations des personnes au regard de la législation douanière », qui contient une section 3, intitulée « Opérateur économique agréé », dont font partie les articles 24 à 35.
8 Selon l’article 24, paragraphe 1, second alinéa, de ce règlement :
« Lorsque le demandeur n’est pas une personne physique, le critère énoncé à l’article 39, [sous] a), du code [des douanes] est considéré comme rempli si, au cours des trois années précédentes, aucune des personnes suivantes n’a commis d’infraction grave ou d’infractions répétées ni à la législation douanière ni aux dispositions fiscales, et ne s’est rendue coupable d’aucune infraction pénale grave liée à son activité économique :
a) le demandeur ;
b) la personne responsable du demandeur ou exerçant le contrôle de sa gestion ;
c) l’employé responsable des questions douanières au nom du demandeur. »
9 Le considérant 9 du règlement délégué (UE) 2016/341 de la Commission, du 17 décembre 2015, complétant le règlement no 952/2013 en ce qui concerne les règles transitoires pour certaines dispositions du code des douanes de l’Union lorsque les systèmes informatiques concernés ne sont pas encore opérationnels et modifiant le règlement délégué (UE) 2015/2446 de la Commission (JO 2016, L 69, p. 1), indique :
« Le système informatique nécessaire à l’application des dispositions du code [des douanes] régissant à la fois les demandes de statut d’[OEA] et les autorisations octroyant ce statut devant encore être mis à niveau, il convient de continuer à utiliser les moyens existants, sur papier et sous forme électronique, jusqu’à ce que le système soit mis à niveau. »
10 L’article 1er de ce règlement dispose :
« 1. Le présent règlement établit des mesures transitoires concernant les moyens d’échange et de stockage des données visées à l’article 278 du code [des douanes] jusqu’à ce que les systèmes informatiques nécessaires à l’application des dispositions [de ce] code soient opérationnels.
2. Les exigences en matière de données, les formats et les codes à appliquer pendant les périodes transitoires prévues dans le présent règlement, dans le règlement délégué (UE) 2015/2446 [de la Commission, du 28 juillet 2015, complétant le règlement no 952/2013 au sujet des modalités de certaines dispositions du code des douanes (JO 2015, L 343, p. 1),] et dans le règlement d’exécution [2015/2447] sont définis dans les annexes du présent règlement. »
11 Le règlement délégué 2016/341 comporte un chapitre 1, intitulé « Dispositions générales », qui contient une section 3, intitulée « Demande d’octroi du statut d’OEA », au sein de laquelle l’article 5 de ce règlement prévoit :
« 1. Jusqu’à la date de mise à niveau du système relatif aux OEA visé à l’annexe de la décision d’exécution 2014/255/UE [de la Commission, du 29 avril 2014, établissant le programme de travail pour le code des douanes (JO 2014, L 134, p. 46)], les autorités douanières peuvent autoriser l’utilisation de moyens autres que des procédés informatiques de traitement des données pour les demandes et décisions relatives aux OEA ou pour tout événement ultérieur susceptible d’avoir une incidence sur la
demande ou décision initiale.
2. Dans les cas visés au paragraphe 1 du présent article, les dispositions suivantes s’appliquent :
a) les demandes d’octroi du statut d’OEA sont introduites au moyen du modèle de formulaire établi à l’annexe 6, et
[...] »
12 L’annexe 6 dudit règlement comprend une partie intitulée « Notes explicatives ». Le point 19 de ces notes, relatif au nom, à la date et à la signature du demandeur, indique notamment ce qui suit :
« [...]
Nombre d’annexes : le demandeur fournit les informations générales suivantes :
1. Aperçu des propriétaires/actionnaires principaux, avec indication de leurs noms et adresses et de leurs parts respectives. Aperçu des membres du conseil d’administration. Les propriétaires ont-ils des antécédents de non-conformité auprès des autorités douanières ?
2. Nom de la personne responsable de la gestion des questions douanières dans l’entreprise du demandeur.
[...]
8. Noms des principaux dirigeants (directeurs généraux, chefs de département, gestionnaires des services de comptabilité, responsable des affaires douanières, etc.). Description des procédures habituellement mises en place lorsque l’employé compétent est absent, à titre temporaire ou permanent.
9. Nom et position des personnes ayant des compétences spécifiques dans le domaine douanier au sein de l’organisation de l’entreprise du demandeur. Évaluation du niveau des connaissances de ces personnes en matière d’utilisation des outils informatiques dans les domaines douanier et commercial et sur les questions générales à caractère commercial.
[...] »
Le droit à la protection des données à caractère personnel
13 L’article 2 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), prévoyait :
« Aux fins de la présente directive, on entend par :
a) “données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;
b) “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le
verrouillage, l’effacement ou la destruction ;
[...] »
14 L’article 6 de cette directive était libellé comme suit :
« 1. Les États membres prévoient que les données à caractère personnel doivent être :
a) traitées loyalement et licitement ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. [...]
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;
[...]
2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1. »
15 Aux termes de l’article 7 de ladite directive :
« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :
[...]
c) il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis
[...] »
16 Le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1), est entré en vigueur le 24 mai 2016. Il abroge la directive 95/46 avec effet au 25 mai 2018.
17 L’article 4 de ce règlement fournit, notamment, les définitions suivantes :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable [...] ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale ;
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...] »
18 L’article 5 dudit règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...]
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
19 L’article 6 du même règlement, intitulé « Licéité du traitement », dispose :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[...]
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
[...]
3. Le fondement du traitement visé au paragraphe 1, [sous] c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique [...] Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour
lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.
[...] »
Le droit allemand
20 L’article 139a, paragraphe 1, de l’Abgabenordnung (code allemand des impôts, ci-après l’« AO »), dans sa version applicable au litige au principal, prévoit :
« L’Office fédéral des impôts attribue à chaque contribuable aux fins d’une identification claire dans des procédures d’imposition un code unique et permanent (identifiant) ; l’identifiant doit être fourni par le contribuable ou par un tiers qui doit transmettre aux autorités fiscales des données appartenant à ce contribuable, lors de demandes, de déclarations ou de communications adressées aux autorités fiscales. Il est composé d’une suite de chiffres qui ne peut pas être formée ou dérivée
d’autres données concernant le contribuable ; le dernier chiffre est un chiffre de contrôle [...] »
21 L’article 139b de l’AO, intitulé « Numéro d’identification », dispose :
« (1) Une personne physique ne peut recevoir plus d’un numéro d’identification [...]
(2) Les autorités fiscales ne peuvent collecter et utiliser le numéro d’identification qu’à la condition que cela soit nécessaire pour l’exécution de leurs attributions légales ou qu’une disposition juridique prescrive ou autorise explicitement la collecte ou l’utilisation du numéro d’identification. D’autres organismes publics ou privés
1. ne peuvent utiliser ou collecter le numéro d’identification qu’à la condition que cela soit nécessaire pour la transmission des données entre ces organismes et les autorités fiscales ou qu’une disposition juridique prescrive ou autorise explicitement la collecte ou l’utilisation du numéro d’identification, [...]
3. peuvent utiliser un numéro d’identification légalement collecté d’un contribuable aux fins de l’exécution de l’ensemble des obligations de déclaration à l’égard des autorités fiscales, à la condition que l’obligation de déclaration concerne ce contribuable et que la collecte et l’utilisation soient licites en vertu du point 1 [...]
[...] »
22 L’article 38, paragraphes 1 et 3, de l’Einkommensteuergesetz (loi relative à l’impôt sur le revenu, ci-après l’« EStG »), dans sa version applicable au litige au principal, est libellé comme suit :
« (1) Pour les revenus du travail salarié, l’impôt sur le revenu est prélevé par voie de retenue à la source (impôt sur les salaires), pour autant que le salaire est payé par un employeur [...]
[...]
(3) L’impôt sur les salaires doit être déduit du salaire par l’employeur, pour le compte du salarié, lors de chaque paiement de salaire. »
23 Selon l’article 39, paragraphe 1, de l’EStG, intitulé « Données individuelles destinées au calcul de la retenue à la source de l’impôt sur les salaires » :
« Aux fins de la mise en œuvre de la retenue à la source de l’impôt sur les salaires, des données individuelles destinées au calcul de la retenue à la source de l’impôt sur les salaires sont établies à la diligence du salarié [...] »
24 Aux termes de l’article 39e de l’EStG, intitulé « Procédure concernant l’établissement et l’application des données individuelles électroniques, destinées au calcul de la retenue à la source de l’impôt sur les salaires » :
« (1) L’Office fédéral des impôts établit, pour chaque salarié, en principe de manière automatisée, la classe d’imposition, ainsi que, pour les enfants à prendre en compte au titre des classes d’imposition I à IV, le nombre d’abattements pour enfant à charge [...] en tant que données individuelles destinées au calcul de la retenue à la source de l’impôt sur les salaires (article 39, paragraphe 4, première phrase, points 1 et 2) [...] Lorsque l’administration fiscale établit, conformément à
l’article 39, les données individuelles destinées au calcul de la retenue à la source de l’impôt sur les salaires, elle transmet ces données à l’Office fédéral des impôts aux fins de leur mise à disposition dans le cadre de la consultation automatisée par l’employeur [...]
(2) Afin de mettre à la disposition de l’employeur des données individuelles destinées au calcul de la retenue à la source de l’impôt sur les salaires, consultables de manière automatisée, l’Office fédéral des impôts stocke les données individuelles destinées au calcul de la retenue à la source de l’impôt sur les salaires, après saisie du numéro d’identification, ainsi que, pour chaque contribuable, les données suivantes, en sus des données mentionnées à l’article 139b, paragraphe 3, de
l’[AO] :
1. appartenance légale à une confession religieuse prélevant l’impôt, ainsi que date d’adhésion et de retrait
2. situation de famille, conformément aux dispositions en matière de déclaration, ainsi que date de création ou de dissolution du statut matrimonial et, pour les personnes mariées, numéro d’identification du conjoint,
3. enfants, avec indication de leur numéro d’identification [...]
[...]
(4) Le salarié doit communiquer à chacun de ses employeurs, à la date de début du contrat de travail, aux fins de la consultation des données individuelles destinées au calcul de la retenue à la source de l’impôt sur les salaires,
1. son numéro d’identification, ainsi que sa date de naissance [...]
[...]
L’employeur doit consulter, au début du contrat de travail, les données électroniques individuelles destinées au calcul de la retenue à la source de l’impôt sur les salaires concernant le salarié, auprès de l’Office fédéral des impôts, par transfert à distance de données, et intégrer ces données dans le compte salaire du salarié. »
Le litige au principal et la question préjudicielle
25 Deutsche Post bénéficiait du statut de destinataire agréé, de celui d’expéditeur agréé et d’une autorisation d’utilisation d’une garantie globale, constitutifs de simplifications dans le cadre du régime douanier de l’Union.
26 Le code des douanes ayant modifié les conditions individuelles d’octroi d’autorisations en matière douanière, le bureau principal a, par courrier du 19 avril 2017, demandé à Deutsche Post de répondre à un questionnaire d’autoévaluation, dans lequel elle devait identifier de manière précise les membres des comités consultatifs et des conseils de surveillance, ses principaux dirigeants (directeurs généraux, chefs de département, gestionnaires des services de comptabilité, responsables des affaires
douanières, etc.) et les personnes responsables de la gestion des questions douanières ou celles chargées de leur traitement, en transmettant, notamment, les numéros d’identification fiscale de chacune de ces personnes physiques et les coordonnées des centres des impôts compétents à leur égard.
27 Le bureau principal a précisé à Deutsche Post que, à défaut de collaboration utile, il ne serait pas possible de déterminer si les conditions d’autorisation prévues dans le code des douanes étaient remplies et que, dans ce cas ou si ces conditions n’étaient plus remplies, il révoquerait les autorisations dont elle bénéficiait.
28 Par le recours qu’elle a introduit devant la juridiction de renvoi, le Finanzgericht Düsseldorf (tribunal des finances de Düsseldorf, Allemagne), Deutsche Post conteste l’obligation de transmettre au bureau principal les numéros d’identification fiscale des personnes concernées et les coordonnées des centres des impôts compétents à leur égard.
29 Elle fait valoir que le cercle des personnes de son entreprise concernées par les questions posées par le bureau principal est très important, qu’une partie de ces personnes n’est pas disposée à consentir à la transmission de données à caractère personnel les concernant et que ce cercle est plus large que celui des personnes mentionnées à l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447. Elle estime que la situation de ses salariés au regard de l’impôt sur le revenu
ne permet pas d’apprécier si des infractions graves ou répétées à la législation douanière ou fiscale ou des infractions pénales graves ont été commises dans le cadre de son activité économique. Selon elle, la collecte des numéros d’identification fiscale n’est ni nécessaire ni appropriée pour déterminer sa fiabilité au regard du droit douanier, la vérification de la situation fiscale personnelle de l’ensemble des personnes concernées étant disproportionnée par rapport à cet objectif.
30 Le bureau principal conclut au rejet de ce recours. Il fait, principalement, valoir que la transmission des numéros d’identification fiscale est nécessaire pour permettre une identification claire des personnes concernées dans le cadre d’une demande de renseignement présentée par lui au centre des impôts compétent, qu’un échange d’informations n’est prévu, au cas par cas, que si ledit centre dispose d’éléments concernant des infractions graves et répétées à la législation fiscale, les procédures
de sanctions pécuniaires administratives ou les poursuites pénales classées sans suite n’étant pas prises en considération, et que les infractions répétées à cette législation ne sont prises en compte qu’en cas de réitération disproportionnée par rapport à la nature et à l’importance de l’activité commerciale du demandeur d’autorisation. Il estime que le cercle des personnes concernées par les questions posées est conforme à la réglementation douanière de l’Union.
31 Selon la juridiction de renvoi, la solution du litige au principal dépend de l’interprétation de l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447, lu à la lumière de l’article 8 de la charte des droits fondamentaux de l’Union européenne et du règlement 2016/679, les numéros d’identification fiscale des personnes concernées et les coordonnées des centres des impôts compétents à leur égard constituant des données à caractère personnel.
32 D’une part, elle s’interroge sur le point de savoir si la transmission de telles données constitue un traitement licite au regard du règlement d’exécution 2015/2447. D’autre part, elle doute de la nécessité d’avoir recours aux données à caractère personnel des salariés et des membres du conseil de surveillance de Deutsche Post, qui ont été collectées aux fins du prélèvement de l’impôt sur le revenu par voie de prélèvement à la source sur les salaires.
33 La juridiction de renvoi considère que les données à caractère personnel de ces salariés ne sont pas en lien direct avec l’appréciation de la fiabilité de Deutsche Post au regard des dispositions du droit douanier et n’ont aucun rapport avec son activité économique.
34 Elle se demande si, eu égard à l’article 8, paragraphe 1, de la charte des droits fondamentaux et au principe de proportionnalité, l’administration douanière peut solliciter des données à caractère personnel, telles que les numéros d’identification fiscale des personnes concernées et les coordonnées des centres des impôts compétents pour l’établissement de l’impôt sur le revenu de ces personnes. Elle relève que les membres du conseil de surveillance ne sont pas mentionnés à l’annexe 6 du
règlement délégué 2016/341 et que, tout comme les chefs de département et les gestionnaires des services de comptabilité, ils ne sont pas chargés du traitement des questions relatives à la réglementation douanière.
35 C’est dans ces conditions que le Finanzgericht Düsseldorf (tribunal des finances de Düsseldorf) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :
« L’article 24, paragraphe 1, second alinéa, du règlement d’exécution [2015/2447] doit-il être interprété en ce sens qu’il autorise les autorités douanières à exiger du demandeur qu’il leur communique, en ce qui concerne les membres de son conseil de surveillance et ses salariés exerçant les fonctions de directeurs généraux, chefs de département, gestionnaire des services de comptabilité, responsable des affaires douanières, ainsi que les personnes responsables de la gestion des questions
douanières et celles chargées de leur traitement, les numéros d’identification fiscale attribués par l’Office fédéral des impôts aux fins du prélèvement de l’impôt sur le revenu, ainsi que les centres des impôts compétents pour l’établissement de l’impôt sur le revenu ? »
Sur la question préjudicielle
Observations liminaires
36 Pour apporter des éléments de réponse à la question posée, les parties intéressées, à l’exception de la Commission, se fondent sur le règlement 2016/679, auquel la juridiction de renvoi se réfère également.
37 La Commission fait valoir, à cet égard, que les faits au principal s’étant déroulés au mois d’avril 2017, la directive 95/46 est applicable pour résoudre le litige au principal.
38 Cela étant, eu égard à la nature déclaratoire du recours devant le juge national (Feststellungsklage), il n’est pas exclu que ce règlement soit applicable ratione temporis pour résoudre le litige au principal, l’audience de plaidoiries n’ayant pas permis de clarifier ce point.
39 Il y a donc lieu de répondre à la question posée tant au regard de la directive 95/46 que du règlement 2016/679.
Sur le fond
40 Par sa question, la juridiction de renvoi demande, en substance, si l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447, lu à la lumière de la directive 95/46 et du règlement 2016/679, doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’OEA qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant les membres de son conseil de surveillance et ses salariés
exerçant les fonctions de directeurs généraux, de chefs de département, de gestionnaires des services de comptabilité, de responsables des affaires douanières, y compris de ceux qui sont responsables de la gestion des questions douanières et de ceux chargés de leur traitement, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes.
41 En premier lieu, il y a lieu de souligner que l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447 prévoit que, lorsque le demandeur du statut d’OEA n’est pas une personne physique, le critère énoncé à l’article 39, sous a), du code des douanes est considéré comme rempli si, au cours des trois années précédentes, aucune des personnes qu’il désigne n’a commis d’infraction grave ou d’infractions répétées ni à la législation douanière ni aux dispositions fiscales et ne s’est
rendue coupable d’une infraction pénale grave liée à son activité économique.
42 Il s’agit uniquement du demandeur, de la personne responsable de celui-ci ou exerçant le contrôle de sa gestion et de l’employé responsable des questions douanières au nom du demandeur. À la lecture de cette disposition, cette liste apparaît comme exhaustive.
43 Il ne saurait dès lors être admis que l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447 puisse être interprété comme visant des personnes physiques autres que celles qui sont responsables du demandeur, qui contrôlent sa gestion ou qui sont responsables en son sein des questions douanières. Ainsi, ne sont pas concernés par cette disposition les membres de comités consultatifs et de conseils de surveillance d’une personne morale, les chefs de département, à l’exception
de ceux qui seraient responsables des questions douanières au sein du demandeur, les gestionnaires des services de comptabilité et les personnes chargées du traitement des questions douanières.
44 Les directeurs généraux, quant à eux, peuvent se voir imposer le respect des exigences énoncées à ladite disposition si, dans une situation telle que celle au principal, ils devaient être considérés comme responsables du demandeur ou comme contrôlant sa gestion.
45 Certes, le règlement délégué 2016/341 prévoit, au point 19 des notes explicatives figurant à son annexe 6, que le demandeur du statut d’OEA fournit, annexés au formulaire de demande de ce statut qu’il établit, les noms et les positions en son sein d’une liste plus large de personnes physiques que celle figurant à l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447.
46 Toutefois, il suffit de constater, à cet égard, que le règlement délégué 2016/341 ne saurait être interprété comme ayant pour objet ou pour effet de déroger à l’article 41, premier alinéa, du code des douanes, selon lequel la Commission adopte, par voie d’actes d’exécution, les modalités d’application des critères visés à l’article 39 de ce code devant être examinés pour déterminer si un demandeur peut se voir octroyer le statut d’OEA.
47 Dès lors, le règlement délégué 2016/341 ne saurait avoir d’incidence sur la portée de l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447.
48 En outre, la circonstance que cette disposition soumet au respect des exigences qu’elle prévoit « la personne » responsable du demandeur ou exerçant le contrôle de sa gestion et « l’employé » responsable des questions douanières au nom de celui-ci ne saurait conduire à considérer que ces exigences ne concernent qu’une seule personne responsable du demandeur ou exerçant le contrôle de sa gestion et un seul employé responsable des questions douanières en son sein.
49 En effet, il ne peut être exclu que, au sein de l’organisation d’une entreprise, plusieurs personnes physiques soient coresponsables de celle-ci ou exercent conjointement le contrôle sur sa gestion et que plusieurs autres personnes physiques soient responsables des questions douanières en son sein, notamment sur une base territoriale.
50 Par conséquent, les personnes physiques visées à l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447 sont toutes celles qui, dans l’organisation du demandeur, sont responsables de celui-ci ou exercent le contrôle sur sa gestion ainsi que celles qui sont responsables des questions douanières en son sein.
51 En second lieu, pour que les autorités douanières puissent répondre à une demande de statut d’OEA, cette disposition implique qu’il leur soit permis d’accéder aux données permettant d’établir qu’aucune des personnes physiques qu’elle désigne n’a commis d’infraction grave ou d’infractions répétées à la législation douanière ou aux dispositions fiscales, ni ne s’est rendue coupable d’une infraction pénale grave liée à son activité économique.
52 En l’occurrence, les autorités douanières allemandes demandent la communication des numéros d’identification fiscale des personnes physiques énoncées au point 50 du présent arrêt et les coordonnées des centres des impôts compétents à l’égard de ces personnes.
53 Dans une telle situation, il importe que, si la pratique de ces autorités implique un traitement de données à caractère personnel, au sens de l’article 2, sous a), de la directive 95/46 ou de l’article 4, point 2, du règlement 2016/679, la réglementation de l’Union relative à la protection de ces données soit respectée.
54 À cet égard, cette réglementation implique que le respect du droit à la vie privée à l’égard du traitement de telles données se rapporte à toute information concernant une personne physique identifiée ou identifiable (voir, en ce sens, arrêts du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, point 52, ainsi que du 17 octobre 2013, Schwarz, C‑291/12, EU:C:2013:670, point 26).
55 Il ressort, également, de la jurisprudence de la Cour que des données fiscales constituent des « données à caractère personnel », au sens de l’article 2, sous a), de la directive 95/46 (voir, en ce sens, arrêts du 1er octobre 2015, Bara e.a., C‑201/14, EU:C:2015:638, point 29, ainsi que du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 41).
56 Un numéro d’identification fiscale constitue, par sa nature même, une donnée fiscale se rapportant à une personne physique identifiée ou identifiable et, partant, une donnée à caractère personnel. En outre, en raison du lien établi entre le numéro d’identification fiscale d’une personne précisément identifiée et l’information relative au centre des impôts compétent à l’égard d’une telle personne, effectué par les autorités douanières, cette information doit également être considérée comme une
donnée à caractère personnel.
57 Or, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs à la qualité des données énoncés à l’article 6 de la directive 95/46 ou à l’article 5 du règlement 2016/679 et, d’autre part, répondre à l’un des principes relatifs à la légitimation des traitements de données énumérés à l’article 7 de cette directive ou à l’article 6 de ce règlement (voir, en ce sens, arrêts du 20 mai 2003, Österreichischer Rundfunk e.a., C‑465/00, C‑138/01 et C‑139/01,
EU:C:2003:294, point 65, ainsi que du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 71).
58 Plus particulièrement, les données à caractère personnel doivent être, en vertu de l’article 6, paragraphe 1, sous b) et c), de la directive 95/46 ou de l’article 5, paragraphe 1, sous b) et c), du règlement 2016/679, collectées pour des finalités déterminées, explicites et légitimes ainsi qu’adéquates, pertinentes et limitées à ce qui est nécessaire au regard desdites finalités, leur traitement étant licite, selon l’article 7, sous c), de cette directive ou l’article 6, paragraphe 1, sous c), de
ce règlement, s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est tenu.
59 En outre, il convient de rappeler que l’exigence de traitement loyal des données à caractère personnel, prévue à l’article 6 de la directive 95/46 ou à l’article 5 du règlement 2016/679, implique une obligation d’informer les personnes concernées de la collecte de ces données par les autorités douanières en vue de leur traitement ultérieur (voir, en ce sens, arrêt du 1er octobre 2015, Bara e.a., C‑201/14, EU:C:2015:638, point 34).
60 En ce qui concerne la situation en cause au principal, il apparaît, d’une part, que les numéros d’identification fiscale des personnes physiques ont été, dans un premier temps, collectés par l’employeur de ces personnes afin d’assurer le respect de la réglementation relative à l’impôt sur le revenu et, plus particulièrement, de l’obligation pour ce dernier de prélever par voie de retenue à la source l’impôt calculé au regard des revenus du travail salarié de chacune de ces personnes physiques.
61 D’autre part, la collecte ultérieure de ces données à caractère personnel par les autorités douanières en vue de décider sur une demande de statut d’OEA apparaît nécessaire au respect d’une obligation légale à laquelle ces autorités sont soumises en vertu de l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447 et des conditions qu’il impose pour l’octroi de ce statut. Dans cette mesure, lesdites données sont collectées, et donc traitées, pour des finalités déterminées,
explicites et légitimes.
62 Il en va de même s’agissant de la collecte, par les autorités douanières, des coordonnées des centres des impôts compétents pour l’établissement de l’impôt sur le revenu desdites personnes physiques, dès lors qu’une telle collecte a également pour finalité de permettre à ces autorités de répondre à une demande de statut d’OEA.
63 Pour autant, il convient que, dans une situation telle que celle au principal, les données collectées par les autorités douanières, à savoir les numéros d’identification fiscale de personnes physiques et les coordonnées des centres des impôts compétents à l’égard de celles-ci pour l’établissement de l’impôt sur le revenu, soient, ainsi qu’il ressort du point 58 du présent arrêt, adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles ces données à
caractère personnel sont collectées.
64 Comme l’a relevé M. l’avocat général au point 66 de ses conclusions, le fait, pour les autorités douanières, d’accorder le statut d’OEA à un opérateur, équivaut, dans les faits, à déléguer à ce dernier une partie des fonctions de contrôle de la réglementation douanière. Dès lors, il importe que, avant d’accorder ce statut, ces autorités puissent bénéficier d’informations sur la fiabilité du demandeur dudit statut en matière de respect de la réglementation douanière et sur celle des personnes
physiques mentionnées à l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447 quant à leur respect de la législation douanière et des dispositions fiscales qui les concernent.
65 Dès lors, la collecte des numéros d’identification fiscale des seules personnes physiques mentionnées à cet article ainsi que des coordonnées des centres des impôts compétents à leur égard constitue une mesure adéquate et pertinente pour permettre aux autorités douanières de vérifier si l’une des infractions énoncées audit article n’a pas été commise par l’une d’elles.
66 En outre, les données à caractère personnel ainsi collectées par ces autorités apparaissent limitées à ce qui est nécessaire pour atteindre la finalité visée à l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447, en ce qu’il s’agit de données restreintes qui, par elles-mêmes, ne révèlent pas aux autorités douanières d’informations sensibles sur la situation personnelle, comme la situation matrimoniale ou l’appartenance religieuse, ou les revenus des personnes physiques
qu’elles concernent.
67 Si, comme le relève la juridiction de renvoi, la collecte des numéros d’identification fiscale des personnes physiques énumérées à cet article et des coordonnées des centres des impôts compétents à leur égard peut, en principe, permettre aux autorités douanières d’accéder à des données à caractère personnel n’ayant aucun rapport avec l’activité économique du demandeur du statut d’OEA, il convient de constater que les infractions aux dispositions fiscales, mentionnées à cet article, ne se limitent
pas à celles qui sont liées à l’activité économique du demandeur du statut d’OEA.
68 À cet égard, il apparaît justifié que, avant d’octroyer un tel statut à un demandeur, ce qui, ainsi qu’il ressort du point 64 du présent arrêt, revient à déléguer à celui-ci l’exercice de fonctions propres aux autorités douanières, il soit nécessaire à ces autorités de vérifier non seulement si celui-ci respecte la législation douanière, mais également si, eu égard à leur niveau de responsabilité au sein de la structure organisationnelle de ce demandeur, les personnes physiques mentionnées à
l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447 n’ont pas, elles-mêmes, commis d’infraction grave ou d’infractions répétées à cette législation ou aux dispositions fiscales, que ces infractions aient ou non eu lieu en relation avec l’activité économique dudit demandeur.
69 Par conséquent, la collecte par les autorités douanières des numéros d’identification fiscale des personnes physiques limitativement énumérées à l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447 et des coordonnées des centres des impôts compétents à l’égard de ces personnes n’est permise que dans la seule mesure où ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux
dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.
70 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447, lu à la lumière de la directive 95/46 et du règlement 2016/679, doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’OEA qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques
qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes
physiques en lien avec leur activité économique.
Sur les dépens
71 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit :
L’article 24, paragraphe 1, second alinéa, du règlement d’exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d’application de certaines dispositions du règlement (UE) no 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union, lu à la lumière de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation de ces données, et du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’opérateur économique agréé qu’il
communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations
relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
