La protection des données au secours de l’ayant droit économique

Le RGPD protège aussi les données bancaires de personnes morales lorsque l’ayant droit économique s’oppose au transfert des données au Department of Justice (arrêt n°141/23-II-CIV du 6 décembre 2023 de la Cour supérieure de Justice du Luxembourg).

Une personne est titulaire de comptes bancaires auprès de la succursale luxembourgeoise d’une banque suisse. Il est également ayant droit économique d’une société qui dispose de deux comptes bancaires auprès de cette succursale. Une autre société, dont l’ex-épouse et le fils du client sont ayants droit économiques, détient également un compte auprès de cette succursale.

La banque suisse fait l’objet d’une procédure pénale aux États-Unis pour complicité de fraude fiscale. Pour cette raison, elle informe son client qu’elle est contrainte de remettre au Department of Justice (DoJ) des informations concernant son compte et ceux des deux sociétés.

Le client saisit le tribunal luxembourgeois compétent afin qu’il soit fait interdiction à la banque suisse de transférer au DoJ les données de son compte et de ceux de ses sociétés en application du RGPD. Le tribunal admet intégralement la demande pour le compte personnel, mais uniquement concernant sa qualité d’ayant droit économique pour les comptes des sociétés. En effet, les données bancaires de personnes morales ne bénéficieraient d’aucune protection selon le RGPD.

Le client attaque la décision devant la Cour supérieure de justice (la juridiction suprême luxembourgeoise). Il soutient en particulier que le RGPD protège toutes les informations relatives aux comptes des sociétés. La banque rétorque que l’ayant droit économique ne bénéficie d’aucun droit vis-à-vis des comptes ouverts par des sociétés, puisque le RGPD ne protège que les personnes physiques, et non les personnes morales.

Avant d’examiner la question de la protection des données des personnes morales, la Cour rappelle que l’art. 4 par. 1 RGPD définit les données personnelles comme toute information se rapportant à une personne physique identifiée ou identifiable. Cette notion s’interprète largement (cf. CJUE, C-582/14) et comprend également les données pseudonymisées (cf. consid. 26 RGPD).

En l’espèce, la banque suisse a l’intention de transmettre au DoJ des données similaires à celles résultant des listes II.D.2 établies par le DoJ dans le cadre du Swiss Banks Program. La banque admet qu’il s’agit de données pseudonymisées qui permettent in fine l’identification de la personne dans le cadre d’une demande d’entraide judiciaire. Ce sont donc des données personnelles protégées par le RGPD.

Concernant la protection des données des personnes morales, la Cour rappelle qu’elles ne sont pas protégées par le RGPD. Cela étant, les données relatives à une personne morale peuvent constituer des données personnelles d’une personne physique. Il suffit que ces données permettent d’identifier directement ou indirectement la personne physique pour qu’elles soient considérées comme des données personnelles.

En l’espèce, le client est ayant droit économique de la première société, laquelle est titulaire de comptes auprès de la banque. Les informations relatives à ces comptes sont susceptibles d’identifier l’ayant droit économique. Elles constituent donc des données personnelles de l’ayant droit économique. Il en va de même pour les données de la société dont le fils et l’ex-épouse sont ayants droit économiques. En effet, l’identification de ces deux personnes comme ayant droit économique permet d’identifier le client.

Partant, la Cour interdit à la banque suisse de transférer les données bancaires au DoJ, y compris toutes les données relatives aux comptes bancaires des sociétés. Contrairement à l’instance précédente, la Cour n’opère aucune distinction entre le compte personnel, ceux de la société dont le client est ayant droit économique et celui de la société dont son fils et son ex-épouse sont ayants droit économiques.

Dans un arrêt rendu en 2018, le Tribunal fédéral avait également examiné la problématique du transfert au DoJ de données bancaires pseudonymisées. Il avait aussi retenu que les données contenues dans la liste II.D.2 constituent des données pseudonymisées protégées par la LPD (cf. Hirsch Célian/Jacot-Guillarmod Emilie. Les données bancaires pseudonymisées : du secret bancaire à la protection des données, RSDA 2020, p. 151–167).

L’arrêt luxembourgeois nous semble important concernant la protection des données des personnes morales. En effet, la LPD et le RGPD ne protègent les données que des personnes physiques (contrairement à l’aLPD qui protégeait aussi les données des personnes morales). Cela étant, les données de sociétés concernent également des personnes physiques, en particulier l’ayant droit économique. Selon l’arrêt commenté ici, l’ayant droit économique peut ainsi invoquer le RGPD (ou la LPD) afin de protéger les données de la personne morale. En effet, les données de la société le concernent lorsqu’il est identifiable.

Une telle protection des données de personnes morales se justifie en l’espèce. En effet, le but du transfert des données bancaires au DoJ est d’identifier la personne physique, et non uniquement les sociétés titulaires du compte. Il était donc in casu conforme au but de la protection des données d’appliquer le RGPD pour bloquer le transfert d’informations relatives à des comptes bancaires appartenant à des sociétés. Cela étant, une telle protection n’est pas forcément généralisable. En premier lieu, l’ayant droit économique n’est pas toujours identifiable par le destinataire des données, selon les données transmises (les registres des ayants droit économiques ne sont plus publics, cf. Hirsch, cdbf.ch/1259/). L’ayant droit économique ne pourrait donc pas invoquer la protection des données. En second lieu, l’ayant droit économique qui invoquerait la LPD en faveur de la société pourrait commettre un abus de droit (art. 2 al. 2 CC) s’il ne vise pas in fine la protection de ses données, même si les informations relatives à la société peuvent constituer des données personnelles.