L'Autorité belge de protection des données a jugé que le partage des données financières des citoyens avec les États-Unis dans le cadre du FATCA enfreignait le RGPD, protégeant ainsi les « Américains accidentels » contre toute déclaration non désirée. Cette décision souligne les tensions entre la législation fiscale américaine et les normes européennes en matière de protection de la vie privée, soulevant des questions plus larges sur les transferts internationaux de données, les relations transatlantiques et l'équilibre entre fiscalité et vie privée.
Tout citoyen américain vivant et travaillant à l'étranger connaît la lourde charge que représente l'obligation de déclarer ses impôts aux États-Unis, quel que soit son lieu de résidence. En vertu de la loi américaine FATCA (Foreign Account Tax Compliance Act), les institutions financières du monde entier sont soumises à des obligations déclaratives tout aussi lourdes concernant les citoyens américains détenant des comptes et des actifs dans leurs banques.
Mais en 2023, l'Autorité belge de protection des données (ABPD) a informé l'administration fiscale belge qu'elle ne pouvait légalement partager des données avec les États-Unis, comme l'exige la FATCA, car un tel partage de données viole les principes fondamentaux du RGPD. Un groupe d'« Américains accidentels » – des personnes nées aux États-Unis qui ont automatiquement obtenu la citoyenneté américaine, mais qui n'y ont peut-être jamais résidé et n'y ont aucun lien – a saisi le Conseil d'État belge pour empêcher la Belgique de partager leurs données, invoquant l'absence totale de consentement, de limitation de la finalité, de minimisation des données et de transparence, qui constituent le fondement du RGPD et de la plupart des principales lois mondiales sur la protection des données.
La BDPA a réitéré et confirmé sa décision de ne pas partager de données en avril 2025 après de nombreuses discussions.
Les États membres de l'Union européenne discutent des transferts internes de données fiscales depuis plusieurs années, notamment à la lumière des exigences du RGPD. L'APD belge a critiqué l'inaction de l'UE sur cette question.
La décision de l'APD belge intervient à un moment où les discussions plus larges sur les transferts internationaux de données occupent une place centrale. Par exemple, la Commission irlandaise de protection des données s'est montrée particulièrement agressive dans l'application des sanctions, infligeant une amende de 530 millions d'euros à la plateforme sociale TikTok et ordonnant des mesures correctives concernant les transferts de données d'utilisateurs de l'EEE vers la Chine.
Le ministère américain de la Justice a récemment interdit et restreint les transferts massifs de données personnelles sensibles américaines vers des pays « préoccupants », tels que la Chine et la Russie. Si ces mesures sont motivées par des préoccupations de sécurité nationale, les questions de confidentialité n'en sont pas moins importantes lorsque les utilisateurs comprennent l'ampleur des violations de la confidentialité des données résultant de transferts internationaux de données non réglementés. L'affaire belge a justement des répercussions supplémentaires potentielles, avec des effets très immédiats et réels pour les Américains accidentels pris entre le système fiscal américain et les lois européennes sur la protection des données. Cette décision pourrait affecter les flux de données transatlantiques et la mise en œuvre de la loi FATCA dans d'autres États membres de l'UE, voire entraîner des tensions politiques.
Le bras de fer entre la loi FATCA et le RGPD (Bureau de la protection des données) ne relève peut-être pas directement de la gestion du consentement, mais les principes fondamentaux de la recherche et de la gestion du consentement s'appliquent toujours.
©2025 CookieHub ehf.
