Délibération n° 2013-116 du 16 septembre 2013 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les traitements automatisés d’informations nominatives ayant pour finalité « la gestion des obligations issues de la règlementation dite « FATCA »
Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.693 du 23 mars 2010 relative à la coopération internationale en matière fiscale ;
Vu l’ordonnance souveraine n° 2.692 du 23 mars 2010 rendant exécutoire l’Accord entre le Gouvernement de la Principauté de Monaco et le Gouvernement des Etats-Unis d’Amérique en vue de l’échange de renseignements en matière fiscale, signé à Washington le 8 septembre 2009 ;
Vu l’article 308 du Code pénal ;
Vu l’article L511-33 du Code monétaire et financier français ;
Vu les obligations mises à la charge des établissements financiers américains et non américains par la réglementation dite « FATCA » et issue du Foreign Account Tax Compliance Act du 18 mars 2010.
La Commission de Contrôle des Informations Nominatives
Préambule
Conformément à l’article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, Autorité Administrative Indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente recommandation, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux traitements automatisés d’informations nominatives ayant pour finalité « la gestion des obligations issues de la règlementation dite « FATCA »» mis en œuvre par les établissements financiers, et aux fins de se conformer aux obligations fiscales mises à leur charge par la législation américaine auprès de l’autorité fiscale américaine (Internal Revenue Service ou IRS).
Cette recommandation a ainsi vocation à orienter les responsables de traitement dans leurs démarches auprès de la Commission.
I. Remarques liminaires
Le Foreign Account Tax Compliance Act du 18 mars 2010 (FATCA) permet aux Etats-Unis d’imposer selon leur droit fiscal tous les comptes détenus à l’étranger par des personnes soumises à l’impôt aux Etats-Unis (ou US persons). A cette fin, les établissements financiers étrangers (Foreign Financial Institutions ou FFI) doivent s’enregistrer auprès des autorités fiscales américaines et conclure un contrat FFI. A cette occasion, un numéro (GIIN - Global Intermediary Identification Number) est attribué à l’établissement qui permet tant à l’administration fiscale américaine qu’aux autres intermédiaires financiers en relation avec l’établissement considéré de s’assurer qu’il effectue les diligences issues de la règlementation dite « FATCA ».
A travers ce contrat FFI, l’établissement financier s’engage à identifier, parmi les comptes qu’il gère, ceux qui sont détenus par des « personnes américaines » et à communiquer périodiquement des renseignements sur ces clients à l’autorité fiscale américaine. A cet égard, le terme « personne américaine » désigne un ressortissant américain ou une personne physique résidant aux Etats-Unis, une société de personnes ou une société constituée aux Etats-Unis ou selon le droit américain ou le droit d’un des Etats américains, un trust, ou plus généralement toute entité désignée dans le Code des impôts américain (« Internal Revenue Code »).
A défaut, les établissements ne satisfaisant pas à ces exigences seront soumis à une taxe prélevée à la source de 30% sur les revenus de source américaine, notamment sur les dividendes et les intérêts versés par des débiteurs américains. Cette imposition à la source sera appliquée aux titulaires de comptes « récalcitrants » et aux institutions financières refusant de se conformer à la règlementation dite « FATCA » et entrera également en vigueur en 2014.
Afin de faciliter la mise en œuvre de la règlementation dite « FATCA », les Etats Unis proposent deux modèles d’accords bilatéraux dénommés « Intergovernmental Agreement – IGA ». Le modèle d’IGA 1 prévoit l’échange automatique de renseignements entre les autorités des parties à l’accord, tandis que selon le modèle d’IGA 2, il incombe aux établissements financiers étrangers de communiquer les données des comptes directement à l’IRS, sur la base d’une déclaration de consentement des titulaires des comptes. Suivant ce modèle, les établissements financiers étrangers sont également tenus de communiquer séparément, sous forme agrégée et sans indication de noms, le nombre de comptes dont les titulaires n’ont pas fourni de déclaration de consentement, ainsi que le total des avoirs de ces comptes. Ce système de communication est complété par un échange de renseignements sur demande conforme au droit en vigueur, qui permet à l’IRS de déposer des demandes groupées afin d’exiger des renseignements détaillés sur les comptes de personnes américaines non consentantes communiqués sous forme agrégée.
La Principauté de Monaco n’ayant à ce jour pas adopté un tel accord bilatéral, il appartient aux établissements financiers de s’enregistrer auprès de l’IRS et d’accepter de remplir les obligations figurant dans un contrat FFI, y compris en ce qui concerne les obligations de diligence, les communications et la retenue d’impôt à la source.
Par ailleurs, la Commission de Contrôle des Informations Nominatives a été consultée par un grand nombre d’établissements financiers de la Principauté de Monaco soucieux de se conformer aux standards internationaux sans méconnaître le droit monégasque de la protection des informations nominatives et les obligations issues du secret professionnel visées à l’article 308 du Code pénal, notamment s’agissant de communication d’informations à l’autorité fiscale compétente aux Etats-Unis d’Amérique, pays ne disposant pas d’une législation adéquate au sens des articles 20 et 20-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Eu égard à l’urgence invoquée par les établissements financiers désireux de se mettre en conformité avec la règlementation dite « FATCA », la Commission estime nécessaire, en se bornant à de seules considérations inhérentes à la protection des informations nominatives, de retenir les principes fondamentaux ci-après exposés.
II. Champ d’application et formalités légales applicables
Les principes consacrés par la présente délibération s’appliquent à tout traitement automatisé d’informations nominatives ayant pour finalité « la gestion des obligations issues de la règlementation dite « FATCA » », mis en œuvre par les établissements financiers concernés par ladite règlementation.
• Régime applicable aux traitements portant sur des soupçons d’activités illicites, des infractions, des mesures de sûreté, et mis en œuvre à des fins de surveillance
Au niveau des établissements financiers, un traitement automatisé d’informations nominatives mis en œuvre aux fins de gestion des obligations issues de la réglementation dite « FATCA » a pour objectif principal de se conformer à ladite réglementation afin d’éviter d’abord la sanction que représente une retenue de 30 % sur les sources de revenus américains versés à des institutions étrangères, et par voie de conséquence de prévenir leur éviction des circuits financiers par les établissements financiers participants. En effet, cette règlementation s’appliquant à l’ensemble des acteurs du secteur financier, quel que soit leur statut, dépositaires, dépositaires centraux, teneurs de comptes, sociétés de gestion ou tous autres intermédiaires financiers intervenant dans la chaîne de paiement ou de détention d’un actif financier, l’impossibilité, pour un établissement financier quelconque de justifier auprès de ses correspondants, qu’il se conforme à la règlementation dite « FATCA », notamment par la communication du numéro GIIN sus-évoqué, l’expose au risque de rupture immédiate des relations avec lesdits intermédiaires financiers.
Au niveau des personnes concernées, ce traitement permet d’identifier les comptes présumés être « américains » au sens de la règlementation dite « FATCA », pour leur éviter une retenue punitive de 30% sur les paiements dont ils sont destinataires. En effet, chaque compte est frappé d’une présomption d’américanité jusqu’à preuve du contraire.
Par ailleurs, les comptes de la clientèle sont soumis à une surveillance continue (ou « monitoring ») afin de pouvoir déterminer en tout temps leur statut de compte américain ou non.
A cet égard, un compte américain peut être décrit comme un compte ouvert auprès d’un établissement financier et détenu par une ou plusieurs personnes américaines spécifiées, ou par une entreprise non américaine sur laquelle une ou plusieurs personnes américaines spécifiées exercent le contrôle.
Ainsi, la Commission estime que ces traitements sont soumis à une demande d’autorisation préalable, conformément à l’article 11-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
• Les personnes concernées
Les personnes concernées par ce type de traitement sont l’ensemble des clients, des mandataires, des dirigeants, des bénéficiaires économiques effectifs, des personnes morales et autres entités.
• Les indices d’américanité
Un certain nombre de critères permettent de présumer le statut de « personne américaine ».
A cet effet, la vérification porte notamment sur les éléments suivants :
- la nationalité (passeport, carte verte, etc.) ;
- le lieu de naissance ;
- la résidence (adresse poste, p/o. box aux Etats-Unis) ;
- le numéro de téléphone (notamment le préfixe) ;
- les ordres de virement permanents en faveur de personnes physiques ou morales aux Etats-Unis ;
- les procurations établies au profit d’un mandataire américain ou résident aux Etats Unis ;
- la structure de l’actionnariat (entité étrangère ayant des actionnaires américains).
Par ailleurs, elle peut être complétée :
- par des recherches par mots-clés dans le traitement ayant pour finalité « la gestion de la relation client » (par exemple : Trust, USA, fondation…) ;
- par l’analyse des transactions effectuées en provenance et en destination des Etats Unis ou territoire assimilé (SWIFT, paiements carte bleue) ;
- par des informations communiquées par le client (par courrier, téléphone, télécopie, email).
Ces critères sont susceptibles d’évoluer d’un établissement à l’autre. En conséquence, la Commission recommande aux établissements concernés, suivant les vérifications qui seront retenues et leurs modes opératoires, de s’assurer de la conformité à la loi n° 1.165 du 23 décembre 1993, modifiée, des éventuels rapprochements et interconnexions qui pourraient être mis en œuvre.
Par ailleurs, elle rappelle que s’agissant d’un traitement automatisé destiné à définir un profil ou à évaluer certains aspects de la personnalité, il ne saurait méconnaître les dispositions de l’article 14-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
• Les vérifications complémentaires et les obligations de documentation subséquentes
Les comptes bancaires présentant des indices d’américanité nécessitent une seconde analyse aux fins de déterminer s’ils sont effectivement des « comptes américains » au sens de la réglementation dite « FATCA ». Si tel est le cas, ils doivent être documentés au moyen de formulaires dédiés imposés par l’autorité fiscale américaine.
Les autres comptes qui se révèlent être des « faux-positifs » doivent néanmoins faire l’objet d’un renversement de la présomption pesant sur eux. Par exemple, un résident aux Etats-Unis ou un citoyen américain, devra apporter la preuve de son absence de citoyenneté américaine, une personne née sur le sol américain devra apporter la preuve de sa non citoyenneté et un certificat de perte de la nationalité américaine, ou un certificat de non citoyenneté américaine et une preuve de renonciation à la citoyenneté américaine.
III. Licéité du traitement
Conformément à l’article 11-1 de la loi n° 1.165, modifiée, les traitements ayant pour finalité « la gestion des obligations issues de la législation dite « FATCA » » doivent, pour être licites, être « nécessaires à la poursuite d’un objectif légitime essentiel et [respecter] les droits et libertés mentionnés à l’article premier des personnes concernées (…) ».
A ce titre, la Commission observe qu’interdire ce type de traitements automatisés reviendrait à interdire aux établissements financiers concernés d’appliquer la réglementation dite « FATCA » et de les soumettre implicitement mais automatiquement aux pénalités susvisées outre le risque de rupture des relations avec les autres intermédiaires financiers sus-évoqués.
Par ailleurs, elle retient que la classification d’une institution financière comme non participative entraîne le prélèvement en amont d’une taxe punitive de 30 % sur tous les paiements reçus de source américaine (directe ou indirecte) versés pour compte propre ou compte de tiers, ce qui implique indistinctement une pénalisation de l’ensemble de la clientèle et sans même que les personnes concernées n’aient pu manifester leur consentement au traitement de leurs informations ni à leur éventuelle communication à l’autorité fiscale américaine.
Enfin, la Commission rappelle qu’en l’absence de dispositions à Monaco encadrant la réglementation dite « FATCA », il incombe aux professionnels visés de respecter le secret professionnel auquel ils sont liés aux termes de l’article 308 du Code pénal, et le secret bancaire, qui est régi à Monaco par l’article L511-33 du Code monétaire et financier français, ainsi que l’a rappelé la Cour d’appel dans un arrêt de renvoi du 4 février 2010.
A cet égard, elle observe que l’article L511-33 précité dispose notamment que « les établissements de crédit peuvent communiquer des informations couvertes par le secret professionnel au cas par cas et uniquement lorsque les personnes concernées leur ont expressément permis de le faire ».
En conséquence, elle estime que le traitement est licite s’il permet aux personnes concernées de manifester, en toute connaissance de cause, leur consentement ou leur refus au traitement de leurs informations et à leurs communications, et d’être informées des conséquences y attachées.
IV. Justification du traitement
En application de l’article 10-2 de la loi n° 1.165, modifiée, la Commission considère qu’un traitement automatisé d’informations nominatives ayant pour finalité « la gestion des obligations issues de la législation dite « FATCA » » peut être justifié, cumulativement, par :
• La réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant
La Commission considère qu’un traitement ayant pour finalité « la gestion des obligations issues de la réglementation dite « FATCA » » peut être justifié par un intérêt légitime du responsable de traitement ou de son représentant, tel que :
- le respect de standards internationaux ;
- la préservation des intérêts économiques, commerciaux ou financiers du responsable de traitement ou de son représentant ;
- la préservation des intérêts de la clientèle du responsable de traitement ou de son représentant.
Cependant, la Commission estime que cette justification ne vaut que pour la première phase du traitement qui tend à identifier les « comptes américains » au moyen des indices d’américanité précités.
Ainsi, le traitement de « gestion des obligations issues de la règlementation dite « FATCA » » ne saurait en aucune manière permettre des communications d’informations nominatives à l’autorité fiscale américaine en l’absence du consentement de la ou des personnes concernées.
• Le consentement de la ou des personnes concernées
La Commission estime que le consentement de la personne concernée est un élément justificatif essentiel du présent traitement, au sens de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée.
A cet égard, ce consentement présente, un double aspect. Tout d’abord, les personnes concernées donnent leur consentement au traitement de leurs informations nominatives afin de déterminer si elles sont qualifiables de « personnes américaines ».
Ensuite si tel est le cas, le consentement porte sur la fourniture de documentation aux fins d’apporter le cas échéant la preuve contraire et sur le fait de permettre à l’institution financière de communiquer ces informations à l’autorité fiscale américaine.
En effet, le client qualifié de « récalcitrant » s’entend tant de celui qui est susceptible d’être une « personne américaine » et qui n’a pas apporté la justification du contraire que de celui qui a reconnu son statut de « personne américaine » mais qui a refusé la communication de ses informations.
Par ailleurs, la Commission estime que ce consentement doit être libre et éclairé c’est-à-dire permettre à la personne concernée de mesurer les conséquences tant de son consentement que de son refus.
A cet égard, la Commission demande qu’il soit joint, dans les demandes d’autorisation qui lui seront soumises, un modèle du consentement demandé aux personnes concernées.
V. Fonctionnalités du traitement
La Commission considère que compte tenu du caractère particulièrement intrusif de ce type de traitement, la mise en œuvre de traitements automatisés y afférents ne peut avoir d’autres fonctionnalités que de :
- répondre aux obligations de l’accord « FATCA » signé par l’institution financière ;
- effectuer un monitoring des comptes et des opérations de la clientèle ;
- déterminer et documenter les comptes soumis aux obligations « FATCA » ;
- calculer et effectuer les retenues sur les opérations soumises à la ladite réglementation ;
- fermer les comptes des clients dits « récalcitrants » dans un délai raisonnable ;
- accomplir les formalités y afférentes auprès de l’IRS ;
- effectuer et transmettre les rapports périodiques à l’IRS ;
- communiquer, le cas échéant, les informations à la société mère.
Suivant l’accord signé avec l’IRS, la Commission estime que certaines fonctionnalités supplémentaires pourraient s’adjoindre à celles-ci.
En conséquence, et afin de l’éclairer sur l’étendue de ses obligations, elle demande qu’une copie de la demande d’accord à l’IRS soit jointe au dossier par le responsable de traitement ou son représentant et que l’accord formalisé lui soit communiqué à première réquisition.
VI. Information de la personne concernée
La Commission rappelle que conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée, les personnes concernées par l’exploitation de leurs informations nominatives doivent être informées de :
- l’identité du responsable de traitement ;
- la finalité du traitement ;
- l’identité des destinataires ou des catégories de destinataires des informations ;
- l’existence d’un droit d’accès et de rectification aux informations les concernant.
En outre, elle appelle l’attention des responsables de traitement ou de leur représentant sur le fait que l’information délivrée au titre de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, ne saurait se confondre avec le consentement des personnes concernées exigé conformément à l’article 10-2 de ladite loi.
VII. Catégories d’informations traitées
La Commission observe qu’en l’absence d’accord généralisé sur la réglementation dite « FATCA », les informations collectées sont susceptibles de varier d’une institution financière à l’autre suivant la nature des services financiers offerts et les procédures internes propres à chaque groupe.
A cet égard, la Commission préconise, par souci de lisibilité que, dans les dossiers qui lui seront soumis, les établissements financiers mettent en évidence les informations collectées en établissant une typologie des personnes concernées, une ventilation des informations collectées par catégorie de personnes concernées et la liste des documents collectés aux fins de documenter les comptes concernés.
VIII. Personnes ayant accès aux informations et les destinataires
• Les personnes ayant accès aux informations
La Commission considère que l’accès aux informations objets du traitement doit être limité aux seules personnes qui, dans le cadre de leurs attributions, peuvent légitimement en avoir connaissance au regard de la finalité du traitement ou du but recherché.
En ce qui concerne les traitements visés à l’article 11-1 de la loi n° 1.165, modifiée, elle rappelle que conformément aux dispositions de l’article 17-1 de ladite loi, le responsable de traitement ou son représentant doit « déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les strictes besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées ».
• Les destinataires
La Commission estime que, dans le cadre d’un groupe, la société-mère ou toute autre entité membre du même groupe placée sous un contrôle commun peut être destinataire des informations du traitement aux fins de s’assurer des diligences accomplies au regard de la réglementation dite « FATCA » et d’établir ses propres états réglementaires.
Par ailleurs, elle considère que l’autorité fiscale américaine ne peut être destinataire des informations nominatives issues de ce traitement que dans l’hypothèse où la personne concernée y a expressément consenti, conformément à l’article 20-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Enfin, la Commission rappelle que les autorités judiciaires et administratives peuvent, dans le cadre exclusif des missions qui leur sont légalement conférées, être rendues destinataires de données objets du traitement, notamment pour la recherche de preuves ou la constatation d’infractions.
Dans ce cas, des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point IX de la présente délibération.
IX. Confidentialité et mesures de sécurité
La Commission rappelle qu’en application des articles 17 et 17-1 de la loi n° 1.165, modifiée, le responsable de traitement ou son représentant doit prendre toutes mesures utiles pour préserver la sécurité des informations objets du traitement, telles que l’authentification par un identifiant et un mot de passe individuel (réputé fort), régulièrement renouvelés.
La Commission demande en outre à ce que les personnes habilitées à avoir accès au traitement soient astreintes à une obligation de confidentialité particulièrement stricte.
X. Durée de conservation
La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations nominatives objets du traitement ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont exploitées.
Ainsi, au regard des fonctionnalités énumérées au point V de la présente délibération, la Commission considère :
- que la liste des personnes concernées dont les comptes ont été identifiés et la documentation y afférente sont conservées jusqu’à la fin de la sixième année civile suivant celle ayant donné lieu aux obligations déclaratives ;
- que la liste des personnes non concernées par la réglementation dite « FATCA », à l’issue des opérations de monitoring, ne pourra être conservée chaque année, que pour la durée nécessaire aux fins d’effectuer les diligences issues de la réglementation dite « FATCA » et sans jamais excéder la période d’établissement des déclarations prescrites par l’accord signé avec l’autorité fiscale, de sorte à ce que les établissements ne conservent ni ne transmettent aucune « liste négative » des personnes non assujetties à l’impôt américain ;
- que la durée de conservation des informations pourra être étendue dans les conditions de l’article 9 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Après en avoir délibéré
Rappelle que :
- la gestion des obligations issues de la réglementation dite « FATCA » implique la mise en œuvre du traitement automatisé d’informations nominatives, au sens de l’article 1er de la loi n° 1.165, modifiée ;
- tous les traitements ainsi exploités devront remplir les conditions fixées par la loi n° 1.165 du 23 décembre 1993, modifiée, telles que précisées dans le cadre de la présente délibération.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981, et son protocole additionnel ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu l’ordonnance souveraine n° 2.693 du 23 mars 2010 relative à la coopération internationale en matière fiscale ;
Vu l’ordonnance souveraine n° 2.692 du 23 mars 2010 rendant exécutoire l’Accord entre le Gouvernement de la Principauté de Monaco et le Gouvernement des Etats-Unis d’Amérique en vue de l’échange de renseignements en matière fiscale, signé à Washington le 8 septembre 2009 ;
Vu l’article 308 du Code pénal ;
Vu l’article L511-33 du Code monétaire et financier français ;
Vu les obligations mises à la charge des établissements financiers américains et non américains par la réglementation dite « FATCA » et issue du Foreign Account Tax Compliance Act du 18 mars 2010.
La Commission de Contrôle des Informations Nominatives
Préambule
Conformément à l’article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, Autorité Administrative Indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente recommandation, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux traitements automatisés d’informations nominatives ayant pour finalité « la gestion des obligations issues de la règlementation dite « FATCA »» mis en œuvre par les établissements financiers, et aux fins de se conformer aux obligations fiscales mises à leur charge par la législation américaine auprès de l’autorité fiscale américaine (Internal Revenue Service ou IRS).
Cette recommandation a ainsi vocation à orienter les responsables de traitement dans leurs démarches auprès de la Commission.
I. Remarques liminaires
Le Foreign Account Tax Compliance Act du 18 mars 2010 (FATCA) permet aux Etats-Unis d’imposer selon leur droit fiscal tous les comptes détenus à l’étranger par des personnes soumises à l’impôt aux Etats-Unis (ou US persons). A cette fin, les établissements financiers étrangers (Foreign Financial Institutions ou FFI) doivent s’enregistrer auprès des autorités fiscales américaines et conclure un contrat FFI. A cette occasion, un numéro (GIIN - Global Intermediary Identification Number) est attribué à l’établissement qui permet tant à l’administration fiscale américaine qu’aux autres intermédiaires financiers en relation avec l’établissement considéré de s’assurer qu’il effectue les diligences issues de la règlementation dite « FATCA ».
A travers ce contrat FFI, l’établissement financier s’engage à identifier, parmi les comptes qu’il gère, ceux qui sont détenus par des « personnes américaines » et à communiquer périodiquement des renseignements sur ces clients à l’autorité fiscale américaine. A cet égard, le terme « personne américaine » désigne un ressortissant américain ou une personne physique résidant aux Etats-Unis, une société de personnes ou une société constituée aux Etats-Unis ou selon le droit américain ou le droit d’un des Etats américains, un trust, ou plus généralement toute entité désignée dans le Code des impôts américain (« Internal Revenue Code »).
A défaut, les établissements ne satisfaisant pas à ces exigences seront soumis à une taxe prélevée à la source de 30% sur les revenus de source américaine, notamment sur les dividendes et les intérêts versés par des débiteurs américains. Cette imposition à la source sera appliquée aux titulaires de comptes « récalcitrants » et aux institutions financières refusant de se conformer à la règlementation dite « FATCA » et entrera également en vigueur en 2014.
Afin de faciliter la mise en œuvre de la règlementation dite « FATCA », les Etats Unis proposent deux modèles d’accords bilatéraux dénommés « Intergovernmental Agreement – IGA ». Le modèle d’IGA 1 prévoit l’échange automatique de renseignements entre les autorités des parties à l’accord, tandis que selon le modèle d’IGA 2, il incombe aux établissements financiers étrangers de communiquer les données des comptes directement à l’IRS, sur la base d’une déclaration de consentement des titulaires des comptes. Suivant ce modèle, les établissements financiers étrangers sont également tenus de communiquer séparément, sous forme agrégée et sans indication de noms, le nombre de comptes dont les titulaires n’ont pas fourni de déclaration de consentement, ainsi que le total des avoirs de ces comptes. Ce système de communication est complété par un échange de renseignements sur demande conforme au droit en vigueur, qui permet à l’IRS de déposer des demandes groupées afin d’exiger des renseignements détaillés sur les comptes de personnes américaines non consentantes communiqués sous forme agrégée.
La Principauté de Monaco n’ayant à ce jour pas adopté un tel accord bilatéral, il appartient aux établissements financiers de s’enregistrer auprès de l’IRS et d’accepter de remplir les obligations figurant dans un contrat FFI, y compris en ce qui concerne les obligations de diligence, les communications et la retenue d’impôt à la source.
Par ailleurs, la Commission de Contrôle des Informations Nominatives a été consultée par un grand nombre d’établissements financiers de la Principauté de Monaco soucieux de se conformer aux standards internationaux sans méconnaître le droit monégasque de la protection des informations nominatives et les obligations issues du secret professionnel visées à l’article 308 du Code pénal, notamment s’agissant de communication d’informations à l’autorité fiscale compétente aux Etats-Unis d’Amérique, pays ne disposant pas d’une législation adéquate au sens des articles 20 et 20-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Eu égard à l’urgence invoquée par les établissements financiers désireux de se mettre en conformité avec la règlementation dite « FATCA », la Commission estime nécessaire, en se bornant à de seules considérations inhérentes à la protection des informations nominatives, de retenir les principes fondamentaux ci-après exposés.
II. Champ d’application et formalités légales applicables
Les principes consacrés par la présente délibération s’appliquent à tout traitement automatisé d’informations nominatives ayant pour finalité « la gestion des obligations issues de la règlementation dite « FATCA » », mis en œuvre par les établissements financiers concernés par ladite règlementation.
• Régime applicable aux traitements portant sur des soupçons d’activités illicites, des infractions, des mesures de sûreté, et mis en œuvre à des fins de surveillance
Au niveau des établissements financiers, un traitement automatisé d’informations nominatives mis en œuvre aux fins de gestion des obligations issues de la réglementation dite « FATCA » a pour objectif principal de se conformer à ladite réglementation afin d’éviter d’abord la sanction que représente une retenue de 30 % sur les sources de revenus américains versés à des institutions étrangères, et par voie de conséquence de prévenir leur éviction des circuits financiers par les établissements financiers participants. En effet, cette règlementation s’appliquant à l’ensemble des acteurs du secteur financier, quel que soit leur statut, dépositaires, dépositaires centraux, teneurs de comptes, sociétés de gestion ou tous autres intermédiaires financiers intervenant dans la chaîne de paiement ou de détention d’un actif financier, l’impossibilité, pour un établissement financier quelconque de justifier auprès de ses correspondants, qu’il se conforme à la règlementation dite « FATCA », notamment par la communication du numéro GIIN sus-évoqué, l’expose au risque de rupture immédiate des relations avec lesdits intermédiaires financiers.
Au niveau des personnes concernées, ce traitement permet d’identifier les comptes présumés être « américains » au sens de la règlementation dite « FATCA », pour leur éviter une retenue punitive de 30% sur les paiements dont ils sont destinataires. En effet, chaque compte est frappé d’une présomption d’américanité jusqu’à preuve du contraire.
Par ailleurs, les comptes de la clientèle sont soumis à une surveillance continue (ou « monitoring ») afin de pouvoir déterminer en tout temps leur statut de compte américain ou non.
A cet égard, un compte américain peut être décrit comme un compte ouvert auprès d’un établissement financier et détenu par une ou plusieurs personnes américaines spécifiées, ou par une entreprise non américaine sur laquelle une ou plusieurs personnes américaines spécifiées exercent le contrôle.
Ainsi, la Commission estime que ces traitements sont soumis à une demande d’autorisation préalable, conformément à l’article 11-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
• Les personnes concernées
Les personnes concernées par ce type de traitement sont l’ensemble des clients, des mandataires, des dirigeants, des bénéficiaires économiques effectifs, des personnes morales et autres entités.
• Les indices d’américanité
Un certain nombre de critères permettent de présumer le statut de « personne américaine ».
A cet effet, la vérification porte notamment sur les éléments suivants :
- la nationalité (passeport, carte verte, etc.) ;
- le lieu de naissance ;
- la résidence (adresse poste, p/o. box aux Etats-Unis) ;
- le numéro de téléphone (notamment le préfixe) ;
- les ordres de virement permanents en faveur de personnes physiques ou morales aux Etats-Unis ;
- les procurations établies au profit d’un mandataire américain ou résident aux Etats Unis ;
- la structure de l’actionnariat (entité étrangère ayant des actionnaires américains).
Par ailleurs, elle peut être complétée :
- par des recherches par mots-clés dans le traitement ayant pour finalité « la gestion de la relation client » (par exemple : Trust, USA, fondation…) ;
- par l’analyse des transactions effectuées en provenance et en destination des Etats Unis ou territoire assimilé (SWIFT, paiements carte bleue) ;
- par des informations communiquées par le client (par courrier, téléphone, télécopie, email).
Ces critères sont susceptibles d’évoluer d’un établissement à l’autre. En conséquence, la Commission recommande aux établissements concernés, suivant les vérifications qui seront retenues et leurs modes opératoires, de s’assurer de la conformité à la loi n° 1.165 du 23 décembre 1993, modifiée, des éventuels rapprochements et interconnexions qui pourraient être mis en œuvre.
Par ailleurs, elle rappelle que s’agissant d’un traitement automatisé destiné à définir un profil ou à évaluer certains aspects de la personnalité, il ne saurait méconnaître les dispositions de l’article 14-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
• Les vérifications complémentaires et les obligations de documentation subséquentes
Les comptes bancaires présentant des indices d’américanité nécessitent une seconde analyse aux fins de déterminer s’ils sont effectivement des « comptes américains » au sens de la réglementation dite « FATCA ». Si tel est le cas, ils doivent être documentés au moyen de formulaires dédiés imposés par l’autorité fiscale américaine.
Les autres comptes qui se révèlent être des « faux-positifs » doivent néanmoins faire l’objet d’un renversement de la présomption pesant sur eux. Par exemple, un résident aux Etats-Unis ou un citoyen américain, devra apporter la preuve de son absence de citoyenneté américaine, une personne née sur le sol américain devra apporter la preuve de sa non citoyenneté et un certificat de perte de la nationalité américaine, ou un certificat de non citoyenneté américaine et une preuve de renonciation à la citoyenneté américaine.
III. Licéité du traitement
Conformément à l’article 11-1 de la loi n° 1.165, modifiée, les traitements ayant pour finalité « la gestion des obligations issues de la législation dite « FATCA » » doivent, pour être licites, être « nécessaires à la poursuite d’un objectif légitime essentiel et [respecter] les droits et libertés mentionnés à l’article premier des personnes concernées (…) ».
A ce titre, la Commission observe qu’interdire ce type de traitements automatisés reviendrait à interdire aux établissements financiers concernés d’appliquer la réglementation dite « FATCA » et de les soumettre implicitement mais automatiquement aux pénalités susvisées outre le risque de rupture des relations avec les autres intermédiaires financiers sus-évoqués.
Par ailleurs, elle retient que la classification d’une institution financière comme non participative entraîne le prélèvement en amont d’une taxe punitive de 30 % sur tous les paiements reçus de source américaine (directe ou indirecte) versés pour compte propre ou compte de tiers, ce qui implique indistinctement une pénalisation de l’ensemble de la clientèle et sans même que les personnes concernées n’aient pu manifester leur consentement au traitement de leurs informations ni à leur éventuelle communication à l’autorité fiscale américaine.
Enfin, la Commission rappelle qu’en l’absence de dispositions à Monaco encadrant la réglementation dite « FATCA », il incombe aux professionnels visés de respecter le secret professionnel auquel ils sont liés aux termes de l’article 308 du Code pénal, et le secret bancaire, qui est régi à Monaco par l’article L511-33 du Code monétaire et financier français, ainsi que l’a rappelé la Cour d’appel dans un arrêt de renvoi du 4 février 2010.
A cet égard, elle observe que l’article L511-33 précité dispose notamment que « les établissements de crédit peuvent communiquer des informations couvertes par le secret professionnel au cas par cas et uniquement lorsque les personnes concernées leur ont expressément permis de le faire ».
En conséquence, elle estime que le traitement est licite s’il permet aux personnes concernées de manifester, en toute connaissance de cause, leur consentement ou leur refus au traitement de leurs informations et à leurs communications, et d’être informées des conséquences y attachées.
IV. Justification du traitement
En application de l’article 10-2 de la loi n° 1.165, modifiée, la Commission considère qu’un traitement automatisé d’informations nominatives ayant pour finalité « la gestion des obligations issues de la législation dite « FATCA » » peut être justifié, cumulativement, par :
• La réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant
La Commission considère qu’un traitement ayant pour finalité « la gestion des obligations issues de la réglementation dite « FATCA » » peut être justifié par un intérêt légitime du responsable de traitement ou de son représentant, tel que :
- le respect de standards internationaux ;
- la préservation des intérêts économiques, commerciaux ou financiers du responsable de traitement ou de son représentant ;
- la préservation des intérêts de la clientèle du responsable de traitement ou de son représentant.
Cependant, la Commission estime que cette justification ne vaut que pour la première phase du traitement qui tend à identifier les « comptes américains » au moyen des indices d’américanité précités.
Ainsi, le traitement de « gestion des obligations issues de la règlementation dite « FATCA » » ne saurait en aucune manière permettre des communications d’informations nominatives à l’autorité fiscale américaine en l’absence du consentement de la ou des personnes concernées.
• Le consentement de la ou des personnes concernées
La Commission estime que le consentement de la personne concernée est un élément justificatif essentiel du présent traitement, au sens de l’article 10-2 de la loi n° 1.165 du 23 décembre 1993, modifiée.
A cet égard, ce consentement présente, un double aspect. Tout d’abord, les personnes concernées donnent leur consentement au traitement de leurs informations nominatives afin de déterminer si elles sont qualifiables de « personnes américaines ».
Ensuite si tel est le cas, le consentement porte sur la fourniture de documentation aux fins d’apporter le cas échéant la preuve contraire et sur le fait de permettre à l’institution financière de communiquer ces informations à l’autorité fiscale américaine.
En effet, le client qualifié de « récalcitrant » s’entend tant de celui qui est susceptible d’être une « personne américaine » et qui n’a pas apporté la justification du contraire que de celui qui a reconnu son statut de « personne américaine » mais qui a refusé la communication de ses informations.
Par ailleurs, la Commission estime que ce consentement doit être libre et éclairé c’est-à-dire permettre à la personne concernée de mesurer les conséquences tant de son consentement que de son refus.
A cet égard, la Commission demande qu’il soit joint, dans les demandes d’autorisation qui lui seront soumises, un modèle du consentement demandé aux personnes concernées.
V. Fonctionnalités du traitement
La Commission considère que compte tenu du caractère particulièrement intrusif de ce type de traitement, la mise en œuvre de traitements automatisés y afférents ne peut avoir d’autres fonctionnalités que de :
- répondre aux obligations de l’accord « FATCA » signé par l’institution financière ;
- effectuer un monitoring des comptes et des opérations de la clientèle ;
- déterminer et documenter les comptes soumis aux obligations « FATCA » ;
- calculer et effectuer les retenues sur les opérations soumises à la ladite réglementation ;
- fermer les comptes des clients dits « récalcitrants » dans un délai raisonnable ;
- accomplir les formalités y afférentes auprès de l’IRS ;
- effectuer et transmettre les rapports périodiques à l’IRS ;
- communiquer, le cas échéant, les informations à la société mère.
Suivant l’accord signé avec l’IRS, la Commission estime que certaines fonctionnalités supplémentaires pourraient s’adjoindre à celles-ci.
En conséquence, et afin de l’éclairer sur l’étendue de ses obligations, elle demande qu’une copie de la demande d’accord à l’IRS soit jointe au dossier par le responsable de traitement ou son représentant et que l’accord formalisé lui soit communiqué à première réquisition.
VI. Information de la personne concernée
La Commission rappelle que conformément aux dispositions de l’article 14 de la loi n° 1.165, modifiée, les personnes concernées par l’exploitation de leurs informations nominatives doivent être informées de :
- l’identité du responsable de traitement ;
- la finalité du traitement ;
- l’identité des destinataires ou des catégories de destinataires des informations ;
- l’existence d’un droit d’accès et de rectification aux informations les concernant.
En outre, elle appelle l’attention des responsables de traitement ou de leur représentant sur le fait que l’information délivrée au titre de l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, ne saurait se confondre avec le consentement des personnes concernées exigé conformément à l’article 10-2 de ladite loi.
VII. Catégories d’informations traitées
La Commission observe qu’en l’absence d’accord généralisé sur la réglementation dite « FATCA », les informations collectées sont susceptibles de varier d’une institution financière à l’autre suivant la nature des services financiers offerts et les procédures internes propres à chaque groupe.
A cet égard, la Commission préconise, par souci de lisibilité que, dans les dossiers qui lui seront soumis, les établissements financiers mettent en évidence les informations collectées en établissant une typologie des personnes concernées, une ventilation des informations collectées par catégorie de personnes concernées et la liste des documents collectés aux fins de documenter les comptes concernés.
VIII. Personnes ayant accès aux informations et les destinataires
• Les personnes ayant accès aux informations
La Commission considère que l’accès aux informations objets du traitement doit être limité aux seules personnes qui, dans le cadre de leurs attributions, peuvent légitimement en avoir connaissance au regard de la finalité du traitement ou du but recherché.
En ce qui concerne les traitements visés à l’article 11-1 de la loi n° 1.165, modifiée, elle rappelle que conformément aux dispositions de l’article 17-1 de ladite loi, le responsable de traitement ou son représentant doit « déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les strictes besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées ».
• Les destinataires
La Commission estime que, dans le cadre d’un groupe, la société-mère ou toute autre entité membre du même groupe placée sous un contrôle commun peut être destinataire des informations du traitement aux fins de s’assurer des diligences accomplies au regard de la réglementation dite « FATCA » et d’établir ses propres états réglementaires.
Par ailleurs, elle considère que l’autorité fiscale américaine ne peut être destinataire des informations nominatives issues de ce traitement que dans l’hypothèse où la personne concernée y a expressément consenti, conformément à l’article 20-1 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Enfin, la Commission rappelle que les autorités judiciaires et administratives peuvent, dans le cadre exclusif des missions qui leur sont légalement conférées, être rendues destinataires de données objets du traitement, notamment pour la recherche de preuves ou la constatation d’infractions.
Dans ce cas, des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point IX de la présente délibération.
IX. Confidentialité et mesures de sécurité
La Commission rappelle qu’en application des articles 17 et 17-1 de la loi n° 1.165, modifiée, le responsable de traitement ou son représentant doit prendre toutes mesures utiles pour préserver la sécurité des informations objets du traitement, telles que l’authentification par un identifiant et un mot de passe individuel (réputé fort), régulièrement renouvelés.
La Commission demande en outre à ce que les personnes habilitées à avoir accès au traitement soient astreintes à une obligation de confidentialité particulièrement stricte.
X. Durée de conservation
La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations nominatives objets du traitement ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont exploitées.
Ainsi, au regard des fonctionnalités énumérées au point V de la présente délibération, la Commission considère :
- que la liste des personnes concernées dont les comptes ont été identifiés et la documentation y afférente sont conservées jusqu’à la fin de la sixième année civile suivant celle ayant donné lieu aux obligations déclaratives ;
- que la liste des personnes non concernées par la réglementation dite « FATCA », à l’issue des opérations de monitoring, ne pourra être conservée chaque année, que pour la durée nécessaire aux fins d’effectuer les diligences issues de la réglementation dite « FATCA » et sans jamais excéder la période d’établissement des déclarations prescrites par l’accord signé avec l’autorité fiscale, de sorte à ce que les établissements ne conservent ni ne transmettent aucune « liste négative » des personnes non assujetties à l’impôt américain ;
- que la durée de conservation des informations pourra être étendue dans les conditions de l’article 9 de la loi n° 1.165 du 23 décembre 1993, modifiée.
Après en avoir délibéré
Rappelle que :
- la gestion des obligations issues de la réglementation dite « FATCA » implique la mise en œuvre du traitement automatisé d’informations nominatives, au sens de l’article 1er de la loi n° 1.165, modifiée ;
- tous les traitements ainsi exploités devront remplir les conditions fixées par la loi n° 1.165 du 23 décembre 1993, modifiée, telles que précisées dans le cadre de la présente délibération.
Le Président de la Commission
de Contrôle des Informations Nominatives.