II. LE TEXTE : UN STANDARD À VOCATION MONDIALE POUR L'ÉCHANGE AUTOMATIQUE D'INFORMATIONS
L'accord multilatéral entre autorités compétentes du 29 octobre 2014 concernant l'échange automatique de renseignements relatifs aux comptes financiers est composé de huit sections, dix considérants et six annexes.
1. La norme commune de déclaration de l'OCDE
Les États et territoires signataires de l'accord multilatéral devront obtenir de leurs institutions financières qu'elles collectent auprès de leurs clients non-résidents un large éventail d'informations relatives à l'identification de ces derniers et de leurs actifs et revenus financiers , et qu'elles transmettent ces informations à leur administration fiscale. Cette administration fiscale transmettra ensuite ces informations aux autorités de l'État ou du territoire dont le client est résident fiscal, pour qu'elles puissent les utiliser afin d'appliquer leur législation fiscale, notamment dans le cadre de contrôles fiscaux.
Après une Section 1 réservée aux définitions, la Section 2 du présent accord définit le champ des informations qui doivent être échangées, ainsi que les règles de diligences que doivent réaliser les institutions financières, conformément à la norme commune de déclaration de l'OCDE.
Le champ couvert par la norme commune de déclaration est très large, dans ses trois dimensions : informations devant être échangées, comptes déclarables, et institutions financières déclarantes.
Les renseignements qui doivent être échangés sont les suivants :
- le nom, l'adresse et le numéro d'identification fiscale (NIF) du titulaire du compte, qu'il s'agisse d'une personne physique ou d'une personne morale. S'y ajoutent, pour les personnes physiques, la date et le lieu de naissance, et pour les personnes morales, ces mêmes informations au sujet des personnes physiques qui en détiennent le cas échéant le contrôle ;
- le numéro du compte bancaire ou du contrat d'assurance-vie ;
- le nom et le numéro d'identification de l'institution financière déclarante ;
- le solde du compte , y compris la valeur de rachat dans le cas d'un contrat d'assurance-vie ;
- les revenus financiers produits par les actifs détenus sur le compte, selon la nature de celui-ci : intérêts, dividendes, revenus d'assurance-vie etc.
Les comptes déclarables comprennent les comptes des personnes physiques et des entités , ce qui inclut les trusts , fiducies, fondations et autres structures analogues correspondant à de possibles sociétés-écrans. La norme requiert de regarder à travers les entités passives afin de déterminer et de déclarer les personnes physiques qui en ont le cas échéant le contrôle.
Les institutions financières soumises à l'obligation déclarative comprennent non seulement les banques et établissements gérant des dépôts de titres, mais aussi les courtiers, les sociétés d'assurance et des organismes de placement collectif. Sont notamment dispensées d'obligation déclarative les banques centrales, les caisses de retraite, les fonds de pension publics, ou encore les organismes de placement collectif publics. Il appartient à l'État signataire de l'accord multilatéral de contrôler le respect de ces obligations (cf. infra ).
Les institutions financières doivent mettre en oeuvre des « diligences » prévues par la norme OCDE afin d'identifier les comptes déclarables , c'est-à-dire les comptes dont le titulaire est résident d'une juridiction partenaire. Ces diligences diffèrent en fonction de leur titulaire, de leur date d'ouverture et de leur valeur :
Règles de diligence prévues par l'accord OCDE
|
Comptes de personnes physiques |
Comptes d'entités |
|
|
Comptes préexistants |
Aucun seuil de minimis . Comptes de faible valeur (< 1 M$) : procédures de diligence simples . Test fondé sur l'adresse de résidence au moyen de pièces justificatives et, à défaut, recherche électronique d'indices. Comptes de haute valeur (> 1M$) : procédures de diligence renforcées . Examen des dossiers papier et prise en compte des éléments connus du chargé de clientèle. |
Seuil
de minimis
de 250 000
$
:
L'institution financière doit d'abord déterminer si l'entité est une personne soumise à déclaration , notamment à partir des informations dont elle dispose dans le cadre de la lutte anti-blanchiment. Dans le cas d'une entité financière passive , donc non soumise à déclaration, l'institution financière doit ensuite déterminer si la ou les personnes qui en détiennent le contrôle sont soumises à déclaration. |
|
Nouveaux comptes |
Aucun seuil de minimis . Pour les comptes ouverts à compter du 1 er janvier 2016 , la résidence fiscale est déterminée par une auto-certification du titulaire , dont la vraisemblance est confirmée par les informations dont dispose l'institution financier. |
Aucun seuil de minimis . La résidence fiscale est déterminée par une auto-certification à l'ouverture du compte. Les règles de diligence sont les mêmes que pour les comptes préexistants. |
Source : commission des finances du Sénat.
2. Le calendrier et les modalités des échanges d'informations
S'agissant du calendrier et des modalités des échanges , la Section 3 du présent accord prévoit que les autorités compétentes procèderont aux échanges d'informations selon un schéma informatique sécurisé, de manière annuelle, dans les neuf mois qui suivent la fin de l'année civile à laquelle les informations se rapportent - c'est-à-dire avant le 30 septembre de l'année N+1.
L'annexe F du présent accord précise le calendrier de mis en oeuvre pour chaque pays signataire . S'agissant de la France, les institutions financières devront appliquer les règles de diligence permettant d'identifier les comptes de non-résidents à partir du 1 er janvier 2016 , en vue de transmettre les informations à la direction générale des finances publiques à partir de 2017. Les premiers échanges de renseignements avec les autres parties de l'accord auront lieu avant le 30 septembre 2017 .
On notera que la Section 2 de l'accord prévoit une exception volontaire au principe de réciprocité : les juridictions citées à l'annexe A du présent accord transmettront, mais ne recevront pas, les renseignements ci-dessus. Cette annexe n'est pas encore disponible (cf. infra ), mais les États et territoires susceptibles d'y figurer sont surtout ceux qui ne possèdent pas de fiscalité directe sur les personnes, par exemple dans les Caraïbes.
La Section 4 prévoit une procédure de notification entre les États signataires permettant à l'une des parties qui a des raisons de croire que les informations communiquées sont erronées ou incomplètes ou qu'une institution financière ne respecte pas les règles de diligence de demander à l'autre partie de corriger ces erreurs ou de remédier aux manquements.
La Section 5 renvoie aux règles de stricte confidentialité et de protection des données échangées, telles que les prévoit la norme OCDE . Ces règles sont ambitieuses dans leur principe. Elles sont conformes aux règles internationales et européennes 10 ( * ) relatives à la protection des données personnelles, ainsi qu'aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux libertés et aux fichiers - à cet égard, la direction générale des finances publiques a engagé des travaux avec la commission nationale de l'informatique et des libertés (CNIL) afin de garantir une protection adéquate. L'annexe D du présent accord multilatéral consiste en un questionnaire auquel chaque partie doit répondre afin de détailler les garanties qu'il apporte en matière de confidentialité des données envoyées et reçues. Surtout, l'annexe C permet à chaque État signataire de préciser les garanties spécifiques qu'il exige de ses partenaires en matière de protection des données personnelles . Le respect de ces garanties sera suivi par le Forum mondial de l'OCDE dans le cadre du contrôle de l'application de l'accord (cf. infra ). Par ailleurs, la récente décision de la Cour de justice de l'Union européenne (CJUE), qui a suspendu le 6 octobre 2015 l'application de la décision « Safe Harbor 11 ( * ) » au motif que les données personnelles des Européens ne bénéficiaient pas aux États-Unis d'une « protection adéquate », en raison de leur mise à disposition des services secrets et de l'absence de recours effectif, rappelle qu'une grande vigilance est exercée à ce sujet.
La Section 6 prévoit les modalités de consultation entre partenaires afin d'améliorer l'exécution de l'accord et d'y apporter d'éventuelles modifications. Il est précisé que « le présent accord peut être modifié, par consensus, par accord écrit entre toutes les autorités compétentes pour lesquelles l'accord a pris effet ».
La Section 7 définit les modalités de prise d'effet de l'accord . Une fois celui-ci signé, l'autorité compétente doit déposer auprès du secrétariat de l'OCDE une notification indiquant : la mise en place de la législation interne nécessaire et le calendrier d'application (annexe F) ; la méthode de transmission des données, y compris le cryptage (annexe B) ; les garanties spécifiques en matière de protection des données personnelles (annexe C) et de confidentialité de celles-ci (questionnaire figurant à l'annexe D) ; le choix, le cas échéant, de la non-réciprocité (annexe A), ainsi qu'une liste des juridictions à l'égard desquelles elle a l'intention de procéder à des échanges d'informations. L'accord prend effet entre deux parties une fois la dernière de ces notifications reçues. Le secrétariat de l'OCDE publie une liste des États et territoires pour lesquels l'accord a pris effet (annexe E). À l'exception de l'annexe F, déposée à l'occasion de la signature de l'accord par voie de déclaration - signée dans le cas de la France par Michel Sapin, ministre des finances et des comptes publics -, les annexes du présent accord n'étaient donc pas disponibles la signature de celui-ci. La France a d'ores et déjà répondu au questionnaire de l'annexe D sur les protections existantes en matière de données personnelles.
S'agissant enfin des coûts , la Section 8 prévoit que tous les signataires de l'accord multilatéral se partagent également les coûts annuels de l'administration de l'accord par le secrétariat de l'Organe de coordination, c'est-à-dire l'OCDE. Comme cela est expliqué dans l'étude d'impact, « ce coût devrait être relativement marginal ».
3. La place de l'accord dans la hiérarchie des normes
L'accord multilatéral s'inscrit dans le cadre de la convention multilatérale du 25 janvier 1988 concernant l'assistance administrative mutuelle en matière fiscale, telle que modifiée par le protocole additionnel du 27 mai 2010 (cf. supra ), dont l'article 6 stipule : « pour des catégories de cas et selon les procédures qu'elles déterminent d'un commun accord, deux ou plusieurs Parties échangent automatiquement les renseignements visés à l'article 4 ». En d'autres termes, la convention multilatérale de l'OCDE prévoit la possibilité de l'échange automatique, sans toutefois le rendre obligatoire ni en préciser les modalités . Le présent accord multilatéral demeure ainsi soumis aux autres stipulations de la convention multilatérale, notamment en ce qui concerne la protection des données personnelles (cf. supra ).
Le droit interne français est quant à lui déjà adapté à l'application de l'accord multilatéral sur l'échange automatique . En effet, afin de conférer une base légale à la collecte des informations par les établissements financiers, un nouvel article 1649 AC a été créé dans le code général des impôts (CGI) à l'occasion de l'examen par l'Assemblée nationale de la loi du 26 juillet 2013 de séparation et de régulation des activités bancaires 12 ( * ) , et modifié par la première loi de finances rectificative pour 2014 13 ( * ) (cf. encadré). Cet article vise à renforcer la sécurité juridique du cadre applicable à l'échange d'informations .
|
L'article 1649 AC du code général des impôts « Les teneurs de compte, les organismes d'assurance et assimilés et toute autre institution financière mentionnent, sur une déclaration déposée dans des conditions et délais fixés par décret, les informations requises pour l'application des conventions conclues par la France organisant un échange automatique d'informations à des fins fiscales. Ces informations peuvent notamment concerner tout revenu de capitaux mobiliers ainsi que les soldes des comptes et la valeur de rachat des bons ou contrats de capitalisation et placements de même nature. « Afin de satisfaire aux obligations mentionnées au premier alinéa, ils mettent en oeuvre, y compris au moyen de traitements de données à caractère personnel, les diligences nécessaires en matière d'identification et de déclaration des comptes, des paiements et des personnes. « Ces traitements éventuels sont soumis à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ». |
En outre, le I de l'article 1736 du code général des impôts prévoit une amende fiscale de 200 euros par compte déclarable comportant une ou plusieurs informations omises ou erronées, afin de sanctionner les éventuels manquements des banques à cette obligation déclarative, sauf si ce manquement résulte d'un refus du client de transmettre les informations 14 ( * ) .
L'étude d'impact précise enfin que « l'accord multilatéral fera l'objet de textes d'application pour organiser la mise en oeuvre du dispositif. En tant que de besoin, un décret viendra préciser certaines modalités laissées ouvertes par la norme commune de déclaration. Une instruction commentera l'ensemble de l'architecture du dispositif ».
* 10 Notamment la convention du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personne, ainsi que la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Par ailleurs, les règles de la convention multilatérale de l'OCDE du 25 janvier 1988 concernant l'assistance administrative mutuelle en matière fiscale, dont l'article 6 sert de base juridique au présent accord multilatéral (cf. infra ), s'appliquent de plein droit, notamment son article 21 (respect des droits accordés aux personnes) et son article 22 (confidentialité des informations échangées).
* 11 Le « Safe Harbor » (« sphère de sécurité ») désigne la décision 2000/250/CE de la Commission européenne de du 26 juillet 2000, qui prévoit une présomption de protection adéquate des données personnelles des internautes européens transférées vers les États-Unis. Celle-ci a été mise à mal par les révélations d'Edward Snowden sur les programmes de surveillance de la National Security Agency (NSA). Il existe toutefois d'autres normes de transfert de données.
* 12 Article 7 de la loi n° 2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires.
* 13 Article 22 de la loi n° 2014-891 du 8 août 2014 de finances rectificative pour 2014.
* 14 Article 22 de la loi n° 2014-891 du 8 août 2014 de finances rectificative pour 2014.