CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 17 octobre 2018 (1)

Affaire C496/17

Deutsche Post AG

contre

Hauptzollamt Köln

[demande de décision préjudicielle formée par le Finanzgericht Düsseldorf (tribunal des finances de Düsseldorf, Allemagne)]

« Renvoi préjudiciel – Droits et obligations des personnes au regard de la législation douanière – Statut d’opérateur économique agréé – Questionnaire – Protection des données à caractère personnel – Numéro d’identification fiscale – Centre des impôts compétent pour la liquidation de l’impôt sur le revenu –Traitement des données nécessaire au respect d’une obligation légale – Principe de limitation des finalités du traitement des données à caractère personnel »






1.        L’administration douanière allemande exige certaines données à caractère personnel sur les dirigeants et les employés des entreprises souhaitant obtenir ou conserver le statut d’opérateur économique agréé (ci-après « OEA »), qui leur permet de bénéficier d’un traitement plus favorable que celui accordé aux autres importateurs ou exportateurs.

2.        La question préjudicielle porte sur les limites que le droit de l’Union impose à ces exigences, que ce soit dans le domaine strictement douanier ou dans celui de la protection des données à caractère personnel.

I.      Le cadre juridique

A.      Le droit de l’Union

1.      La réglementation douanière

a)      Le code des douanes

3.        L’article 38 du règlement (UE) no 952/2013 (2) (ci-après le « code des douanes ») dispose :

« 1.      Un opérateur économique établi sur le territoire douanier de l’Union et satisfaisant aux critères énoncés à l’article 39 peut introduire une demande pour bénéficier du statut d’opérateur économique agréé.

[…]

2.      Le statut d’opérateur économique agréé comprend les types d’autorisations suivants :

a)      le statut d’opérateur économique agréé pour les simplifications douanières, qui permet au titulaire de bénéficier de certaines simplifications conformément à la législation douanière ; ou

b)      le statut d’opérateur économique agréé pour la sécurité et la sûreté, qui permet au titulaire de bénéficier de certaines facilités en matière de sécurité et de sûreté.

[…] »

4.        L’article 39, sous a), du code des douanes précise :

« Les critères d’octroi du statut d’opérateur économique agréé sont les suivants :

a)      l’absence d’infractions graves ou répétées à la législation douanière et aux dispositions fiscales, y compris l’absence d’infractions pénales graves liées à l’activité économique du demandeur ;

[…] »

b)      Le règlement d’exécution (UE) 2015/2447

5.        Aux termes de l’article 24, paragraphe 1, du règlement d’exécution 2015/2447 (3) :

« […]

Lorsque le demandeur n’est pas une personne physique, le critère énoncé à l’article 39, point a), du code est considéré comme rempli si, au cours des trois années précédentes, aucune des personnes suivantes n’a commis d’infraction grave ou d’infractions répétées ni à la législation douanière ni aux dispositions fiscales, et ne s’est rendue coupable d’aucune infraction pénale grave liée à son activité économique :

a)      le demandeur ;

b)      la personne responsable du demandeur ou exerçant le contrôle de sa gestion ;

c)      l’employé responsable des questions douanières au nom du demandeur. »

c)      Le règlement délégué (UE) 2016/341

6.        Conformément à l’article 1er du règlement délégué (UE) 2016/341 (4) :

« 1.      Le présent règlement établit des mesures transitoires concernant les moyens d’échange et de stockage des données visées à l’article 278 du code jusqu’à ce que les systèmes informatiques nécessaires à l’application des dispositions du code soient opérationnels.

2.      Les exigences en matière de données, les formats et les codes à appliquer pendant les périodes transitoires prévues dans le présent règlement, dans le règlement délégué (UE) 2015/2446 et dans le règlement d’exécution (UE) 2015/2447 sont définis dans les annexes du présent règlement. »

7.        L’article 5 du règlement délégué 2016/341 prévoit :

« 1.      Jusqu’à la date de mise à niveau du système relatif aux OEA visé à l’annexe de la décision d’exécution 2014/255/UE, les autorités douanières peuvent autoriser l’utilisation de moyens autres que des procédés informatiques de traitement des données pour les demandes et décisions relatives aux OEA ou pour tout événement ultérieur susceptible d’avoir une incidence sur la demande ou décision initiale.

2.      Dans les cas visés au paragraphe 1 du présent article, les dispositions suivantes s’appliquent :

a)      les demandes d’octroi du statut d’OEA sont introduites au moyen du modèle de formulaire établi à l’annexe 6, et

b)      les autorisations octroyant le statut d’OEA sont délivrées au moyen du modèle de formulaire établi à l’annexe 7. »

8.        Le point 19 des notes explicatives de l’annexe 6 est consacré au contenu du formulaire de demande du statut d’OEA :

« Nom, date et signature du demandeur :

Signature : le signataire doit préciser sa fonction. Le signataire doit toujours être la personne qui représente l’entreprise du demandeur dans son ensemble.

Nom : nom et cachet du demandeur.

[…]

8.      Noms des principaux dirigeants (directeurs généraux, chefs de département, gestionnaires des services de comptabilité, responsable des questions douanières, etc.). Description des procédures habituellement mises en place lorsque l’employé compétent est absent, à titre temporaire ou permanent.

9.      Nom et position des personnes ayant des compétences spécifiques dans le domaine douanier au sein de l’organisation de l’entreprise du demandeur. Évaluation du niveau des connaissances de ces personnes en matière d’utilisation des outils informatiques dans les domaines douanier et commercial et sur les questions générales à caractère commercial.

[…] »

2.      La réglementation relative à la protection des données : le règlement (UE) 2016/679

9.        En vertu de l’article 4 du règlement (UE) 2016/679 (5) :

« Aux fins du présent règlement, on entend par :

1)      “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

2)      “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[…] »

10.      L’article 5 du règlement 2016/679 dispose :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b)      collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

c)      adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

[…] »

11.      L’article 6 du règlement 2016/679 indique :

« 1.      Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)      la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[…]

c)      le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[…]

e)      le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

[…]

2.      Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

3.      Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a)      le droit de l’Union ; ou

b)      le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. […] Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4.      Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

a)      de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b)      du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c)      de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d)      des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e)      de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

12.      Conformément à l’article 23, paragraphe 1, sous e) du règlement 2016/679 :

« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

[…]

e)      d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ».

B.      Le droit allemand

1.      Le code des impôts

13.      Dans sa version applicable aux faits de l’espèce, l’article 139a, paragraphe 1, de l’Abgabenordnung (code des impôts) dispose :

« Le Bundeszentralamt für Steuern [(Office fédéral des impôts)] attribue à chaque contribuable aux fins d’une identification claire dans les procédures d’imposition un code unique et permanent (identifiant), lequel doit être fourni par le contribuable ou par le tiers qui doit transmettre aux autorités fiscales des données relatives à ce contribuable, lors de demandes, de déclarations ou de communications adressées aux autorités fiscales. Il est composé d’une suite de chiffres qui ne peut pas être formée ou dérivée d’autres données concernant le contribuable, et le dernier chiffre est un chiffre de contrôle […] »

14.      Aux termes de l’article 139b :

« (1)      Une personne physique ne peut recevoir plus d’un numéro d’identification […]

(2)      Les autorités fiscales ne peuvent collecter et utiliser le numéro d’identification que pour autant que cela est nécessaire à l’exécution de leurs attributions légales ou qu’une disposition légale autorise ou prescrit explicitement sa collecte ou son utilisation. D’autres organismes publics ou privés :

1.      ne peuvent utiliser ou collecter le numéro d’identification que pour autant que cela est nécessaire à la transmission des données entre ces organismes et les autorités fiscales ou qu’une disposition légale autorise ou prescrit explicitement sa collecte ou son utilisation ;

[…]

3.      peuvent utiliser le numéro d’identification légalement collecté d’un contribuable aux fins de l’exécution de l’ensemble de ses obligations de déclaration à l’égard des autorités fiscales, pour autant que l’obligation de déclaration incombe à ce contribuable et que la collecte et l’utilisation soient licites en vertu du point 1 […]

(3)      L’Office fédéral des impôts stocke les données suivantes concernant les personnes physiques :

1.      le numéro d’identification,

[…]

3.      le nom de famille,

4.      les noms antérieurs,

5.      le prénom,

6.      le titre de docteur,

[…]

8.      la date et le lieu de naissance,

9.      le sexe,

10.      l’adresse actuelle ou la dernière adresse connue,

11.      les autorités fiscales compétentes,

12.      les interdictions de transmission d’informations en application du Bundesmeldegesetz (loi fédérale sur les déclarations),

13.      la date de décès,

14.      la date de l’emménagement et du déménagement.

(4)      Les données énumérées au paragraphe 3 sont stockées en vue de :

1.      garantir qu’une personne ne reçoive qu’un seul numéro d’identification, et qu’un numéro d’identification ne soit pas attribué plusieurs fois,

2.      déterminer le numéro d’identification des contribuables,

3.      identifier les autorités fiscales compétentes pour les contribuables,

4.      pouvoir transmettre aux autorités compétentes les données devant être collectées en vertu d’une loi ou en application de dispositions légales ou du droit international,

5.      permettre aux autorités fiscales d’exécuter les missions qui leur sont confiées par la loi. »

2.      La loi relative à l’impôt sur le revenu

15.      Dans sa version applicable au moment des faits, l’article 38, paragraphes 1 et 3, du Einkommensteuergesetz (loi relative à l’impôt sur le revenu) énonce :

« (1)      Pour les revenus du travail salarié, l’impôt sur le revenu est prélevé par voie de retenue à la source (impôt sur les salaires), pour autant que le salaire soit payé par un employeur […]

[…]

(3)      L’impôt sur les salaires doit être déduit du salaire par l’employeur, pour le compte du salarié, lors de chaque paiement de salaire […] »

16.      Conformément à l’article 39, paragraphes 1 et 4, de la loi relative à l’impôt sur le revenu :

« (1)      Aux fins de la mise en œuvre de la retenue à la source de l’impôt sur les salaires, les éléments servant au calcul de la retenue à la source de l’impôt sur les salaires sont établis à la diligence du salarié […]

[…]

(4)      Les éléments servant au calcul de la retenue à la source sont :

1.      la classe d’imposition,

2.      le nombre d’abattements pour enfants à charge dans les classes d’imposition I à IV […],

[…] »

17.      En vertu de l’article 39e de la loi relative à l’impôt sur le revenu :

« (1)      L’Office fédéral des impôts établit, pour chaque salarié, en principe de manière automatisée, la classe d’imposition, ainsi que, pour les enfants à prendre en compte au titre des classes d’imposition I à IV, le nombre d’abattements pour enfants à charge en tant qu’éléments servant au calcul de la retenue à la source de l’impôt sur les salaires (article 39, paragraphe 4, première phrase, points 1 et 2) […]. Lorsque l’administration fiscale établit, conformément à l’article 39, les éléments servant au calcul de la retenue à la source, elle transmet ces données à l’Office fédéral des impôts aux fins de leur mise à disposition dans le cadre de la consultation automatisée par l’employeur […]

(2)      Afin de mettre à la disposition de l’employeur les éléments servant au calcul de la retenue à la source, consultables de manière automatisée, l’Office fédéral des impôts stocke ces éléments, après saisie du numéro d’identification, en complétant, pour chaque contribuable, les données mentionnées à l’article 139b, paragraphe 3, de l’Abgabenordnung (code des impôts), par les données suivantes :

1.      l’appartenance légale à une communauté religieuse prélevant l’impôt, ainsi que la date d’adhésion et de retrait,

2.      la situation de famille, ainsi que la date de création ou de dissolution du statut matrimonial et, pour les personnes mariées, le numéro d’identification du conjoint,

3.      les enfants, avec leur numéro d’identification,

[…]

(4)      Le salarié doit communiquer à chacun de ses employeurs, à la date de début du contrat de travail, aux fins de la consultation des éléments servant au calcul de la retenue à la source :

1.      son numéro d’identification, ainsi que sa date de naissance,

[…]

Au début du contrat de travail, l’employeur doit consulter par transfert à distance de données les éléments électroniques servant au calcul de la retenue à la source concernant le salarié, auprès de l’Office fédéral des impôts, et intégrer ces éléments dans le compte salaire du salarié. […]

[…] »

II.    Le litige au principal et la question préjudicielle

18.      Deutsche Post AG était titulaire d’autorisations en matière douanière qui lui avaient été accordées en vertu des règlements (CEE) nos 2913/92 (6) et 2454/93 (7), notamment en tant que destinataire agréé et expéditeur agréé. Elle bénéficie également d’une garantie globale pour simplifier le régime de transit de l’Union ou le régime de transit commun et, depuis que le nouveau code des douanes est devenu pleinement applicable, de l’autorisation d’exploiter une installation de stockage temporaire.

19.      Par courrier du 19 avril 2017, le Hauptzollamt (bureau principal des douanes) a demandé à Deutsche Post de répondre avant le 19 mai 2017 au questionnaire d’autoévaluation en ligne, partie I (informations concernant l’entreprise). Ce formulaire contenait, entre autres, les demandes suivantes :

« 1.1.2            Indiquez, pour autant que cela corresponde à la forme juridique de votre entreprise :

[…]

c)      les membres des comités consultatifs et conseils de surveillance en précisant leur nom et prénom, leur date de naissance, leur numéro d’identification fiscale et le centre des impôts compétent.

1.1.6      Indiquez les principaux dirigeants (directeurs généraux/directrices générales, chefs de département, gestionnaire des services de comptabilité, responsable des affaires douanières, etc.) de l’entreprise et décrivez les règles de représentation correspondantes. Les indications exigées a minima sont les nom, prénoms, date de naissance, numéro d’identification fiscale et centre des impôts compétent.

[…]

1.3.1      Indiquez les personnes responsables des questions douanières au sein de votre organisation ou celles chargées de leur traitement [notamment chargé(e) des questions douanières, responsable des affaires douanières] en mentionnant les nom et prénoms, date de naissance, numéro d’identification fiscale, centre des impôts compétent et poste occupé au sein de l’organisation. »

20.      Le bureau principal des douanes a averti Deutsche Post que si elle ne collaborait pas dans la mesure nécessaire, il serait impossible de vérifier si elle remplissait les conditions d’autorisation visées dans le code des douanes. Il l’a également prévenue qu’il annulerait les autorisations permanentes si elle ne collaborait pas ou si elle ne remplissait plus ces conditions.

21.      Deutsche Post a saisi la juridiction de renvoi en contestant l’obligation de communiquer au bureau principal des douanes les numéros d’identification fiscale (ci-après « NIF ») des personnes citées dans le formulaire d’autoévaluation ainsi que les coordonnées des centres des impôts compétents dont celles-ci dépendent. Elle a demandé au juge de déclarer qu’elle n’était pas obligée de répondre à cette partie du formulaire.

22.      Pour étayer son recours, Deutsche Post a fait valoir que :

–        le nombre de personnes de son entreprise qui sont concernées par ces questions était très important et que, pour des raisons tenant à la protection des données, elle ne pouvait pas y répondre, puisque certains de ses salariés n’étaient pas d’accord pour que l’on transmette leurs données. En outre, les personnes visées par les points 1.1.2, sous c), 1.1.6 et 1.3.1 étaient, selon elle, plus nombreuses que celles qui sont mentionnées à l’article 24, paragraphe 1, second alinéa, sous b) et sous c), du règlement d’exécution 2015/2447 ;

–        la situation de ses salariés au regard de l’impôt sur le revenu était sans incidence sur l’appréciation du point de savoir si des infractions graves ou répétées à la législation douanière ou fiscale, ou des infractions pénales graves, avaient été commises dans le cadre de son activité économique. La communication de leur NIF n’était ni nécessaire ni appropriée pour apprécier leur fiabilité en matière douanière.

23.      Le bureau principal des douanes a réfuté les arguments de Deutsche Post en affirmant que la demande de NIF était indispensable à l’identification claire des personnes concernées dans le cadre d’une demande présentée aux centres des impôts. L’échange d’informations n’est prévu que lorsque ces centres ont connaissance d’infractions graves ou répétées à la législation fiscale. À cet égard, les poursuites pénales ou les procédures de sanction déjà clôturées ne sont pas pertinentes. Il n’est tenu compte des infractions répétées à la législation fiscale que si leur fréquence est disproportionnée par rapport à la nature et à l’importance de l’activité commerciale du demandeur.

24.      Le bureau principal des douanes estime que le cercle de personnes concernées par les questions est conforme à l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447 et aux lignes directrices de la Commission relatives aux OEA. Ce bureau détermine au cas par cas, selon le risque, pour quelles personnes précisément l’échange d’informations avec les centres des impôts s’impose. S’agissant des personnes chargées des questions douanières, la demande se limite, dans les grands départements douaniers, aux dirigeants et aux cadres.

25.      Le Finanzgericht Düsseldorf (tribunal des finances de Düsseldorf, Allemagne) a des doutes sur le point de savoir si la consultation des données à caractère personnel demandées [les NIF et les centres des impôts compétents pour le prélèvement de l’impôt sur le revenu des personnes visées aux points 1.1.2, sous c), 1.1.6 et 1.3.1 du questionnaire] constitue un traitement licite de ces données au regard du règlement 2016/679 et de l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

26.      Il doute également de la nécessité d’avoir recours aux données à caractère personnel des salariés et membres du conseil de surveillance de la requérante, collectées aux fins du prélèvement de l’impôt sur le revenu, puisqu’elles n’ont pas de lien direct avec l’appréciation de leur fiabilité en matière douanière ni avec l’activité économique de Deutsche Post.

27.      C’est dans ce contexte que la juridiction de renvoi a décidé de soumettre à la Cour la question préjudicielle suivante :

« L’article 24, paragraphe 1, second alinéa, du [règlement d’exécution 2015/2447] doit-il être interprété en ce sens qu’il autorise les autorités douanières à exiger du demandeur qu’il leur communique, en ce qui concerne les membres de son conseil de surveillance et ses salariés exerçant les fonctions de directeurs généraux, chefs de département, gestionnaire des services de comptabilité, responsable des affaires douanières, ainsi que les personnes responsables de la gestion des questions douanières et celles chargées de leur traitement, les numéros d’identification fiscale attribués par l’Office fédéral des impôts aux fins du prélèvement de l’impôt sur le revenu, ainsi que les centres des impôts compétents pour l’établissement de l’impôt sur le revenu ? »

28.      Deutsche Post, le bureau principal des douanes, les gouvernements espagnol, italien et hongrois, ainsi que la Commission européenne ont présenté des observations écrites. Deutsche Post, le bureau principal des douanes et la Commission ont comparu à l’audience qui s’est tenue le 5 juillet 2018.

III. Réponse à la question préjudicielle

29.      Avant d’entamer l’analyse au fond, il convient de préciser les normes de l’Union relatives à la protection des données à caractère personnel qui sont applicables à la présente affaire.

30.      La demande de communication de données à été transmise à Deutsche Post le 19 avril 2017, soit avant la date d’entrée en vigueur (le 25 mai 2018) du règlement 2016/679. À cette date, la directive 95/46/CE (8) était applicable, même si la juridiction de renvoi et les parties qui sont intervenues dans la procédure préjudicielle, à l’exception de la Commission, partent du principe que c’est le règlement précité qui s’applique.

31.      Cette apparente anomalie peut s’expliquer par la nature de la procédure nationale d’origine. Comme cela a été exposé au cours de l’audience, Deutsche Post n’aurait pas engagé une action en nullité (Anfechtungsklage), que le juge devrait examiner au regard de la réglementation en vigueur au moments des faits, mais une action en constatation (Feststellungsklage) (9), sur laquelle il convient de statuer selon la situation juridique en vigueur au moment de l’audience et de l’arrêt.

32.      Il appartient à la juridiction de renvoi d’interpréter son droit procédural national, sur lequel la Cour ne se prononce pas. Par conséquent, si elle considère, en vertu des normes nationales, que le litige doit être tranché, ratione temporis, conformément au règlement 2016/679 et non à la directive 95/46, la Cour doit l’éclairer sur l’interprétation de celui-ci et non sur celle de la directive (10).

33.      La question préjudicielle vise à obtenir l’interprétation et non l’éventuelle déclaration d’invalidité de l’article 24, paragraphe 1, du règlement d’exécution 2015/2447, aux fins duquel il convient de tenir compte du règlement 2016/679 et des articles 7 et 8 de la Charte (11). La juridiction de renvoi, je le répète, n’a pas envisagé la possible invalidité de cet article, qui se limite à fixer les conditions d’octroi du statut d’OEA sans exiger, lui-même, la transmission ni le traitement de données à caractère personnel de la part d’un tiers.

A.      L’interprétation de l’article 24 du règlement d’exécution 2015/2447

34.      Le statut d’OEA confère des avantages (12) aux opérateurs économiques qui, dans le cadre de leurs opérations douanières, sont considérés comme fiables sur tout le territoire de l’Union (article 5, paragraphe 5, du code des douanes). Conformément aux dispositions de l’article 38, paragraphe 6, de ce même code, l’un de ces avantages consiste à bénéficier d’un traitement plus favorable que les autres opérateurs en matière de contrôles douaniers. Selon le type d’autorisation accordée, un OEA sera soumis à moins de contrôles physiques et documentaires.

35.      Étant donné que les OEA doivent avoir une fiabilité et une réputation établies, l’octroi de ce statut est subordonné au respect des conditions fixées à l’article 39 du code des douanes (13), à savoir :

–        le respect de la législation douanière ainsi que des dispositions fiscales, y compris l’absence de condamnations pour des infractions pénales graves liées à l’activité économique du demandeur ;

–        la démonstration par le demandeur qu’il exerce un niveau élevé de contrôle sur ses opérations et les mouvements de marchandises au moyen d’un système de gestion des écritures commerciales et, le cas échéant, des documents relatifs au transport, permettant d’exercer les contrôles douaniers nécessaires ;

–        la preuve de la solvabilité financière, et

–        selon le statut d’OEA, le respect de normes pratiques en matière de compétence ou de qualifications professionnelles directement liées à l’activité exercée (OEA-C), ou de normes appropriées en matière de sécurité (OEA-S).

36.      Ces conditions doivent être remplies par tous les opérateurs demandant le statut d’OEA, que ce soient des personnes morales ou bien des personnes physiques. En l’espèce, Deutsche Post étant une personne morale, la condition de ne pas avoir commis d’infractions graves ou répétées à la législation douanière ou aux dispositions fiscales, et de ne s’être rendu coupable d’aucune infraction pénale grave liée à son activité économique est étendue à certains de ses employés (ceux exerçant les fonctions les plus importantes qui sont citées ci-dessous) (14). C’est ce que précise l’article 24 du règlement d’exécution 2015/2447, qui a été adopté en application de l’article 39, sous a), du code des douanes (15).

37.      Conformément à l’article 24 du règlement d’exécution 2015/2447, « la personne responsable du demandeur ou exerçant le contrôle de sa gestion » et « l’employé responsable des questions douanières au nom du demandeur » doivent être exempts de ces reproches (16).

38.      L’article 24 du règlement d’exécution 2015/2447 fixe les limites que les autorités douanières ne doivent pas dépasser dans leurs demandes d’informations concernant le cercle de personnes pouvant faire l’objet d’une enquête. Elles doivent également respecter cet article quant à la finalité que doit poursuivre la collecte des données relatives à ces personnes.

1.      Personnes physiques pouvant faire l’objet d’une enquête avant d’octroyer le statut d’OEA à une personne morale

39.      Selon la logique de l’article 24 du règlement d’exécution 2015/2447, pour attribuer (17) le statut d’OEA, les autorités doivent détenir certaines données sur les principaux responsables des entreprises ainsi que sur les personnes physiques qui gèrent leurs activités douanières (18).

40.      Le libellé de l’article 24 du règlement d’exécution 2015/2447 est restrictif : il mentionne exclusivement la personne responsable (de l’opérateur demandant le statut d’OEA) ou exerçant le contrôle de sa gestion et l’employé responsable des questions douanières. Cet article emploie le singulier, ce qui impose une interprétation stricte, qui s’explique aussi par le fait que les informations communiquées sont des données personnelles. Une norme de droit dérivé hiérarchiquement subordonnée à l’article 24 du règlement d’exécution 2015/2447, telle que l’annexe 6 du règlement délégué 2016/341, ne peut pas élargir son champ d’application personnel.

41.      Par conséquent, les autorités douanières peuvent uniquement collecter les données personnelles concernant :

–        le responsable de l’entreprise demandeuse du statut d’OEA, qui est habituellement la personne détenant des pouvoirs exécutifs de direction (19) ;

–        l’employé responsable des questions douanières de l’entreprise précitée. La même interprétation stricte s’applique ici et suppose que l’on ne puisse demander que les données personnelles du responsable en dernier ressort des activités douanières de l’entreprise.

42.      Sur la base de cette prémisse, je partage le point de vue de la juridiction de renvoi, selon laquelle la demande des données à caractère personnel des membres du conseil de surveillance ou du comité consultatif d’une entreprise n’est pas couverte par l’article 24 du règlement d’exécution 2015/2447. Dans le même esprit, cette disposition ne constitue pas non plus une base permettant de demander les données relatives aux chefs d’autres départements et aux gestionnaires des services de comptabilité, à moins que ces personnes n’assument, de surcroît, le pouvoir de décision finale dans l’entreprise ou qu’elles s’occupent du traitement de ses questions douanières.

2.      Informations et données pouvant être exigées par les autorités douanières

43.      Comme je l’ai déjà indiqué, on ne peut collecter, en application de l’article 24 du règlement d’exécution 2015/2447, que les informations indispensables pour vérifier que la personne n’a pas commis « d’infraction grave ou d’infractions répétées ni à la législation douanière ni aux dispositions fiscales », et ne s’est rendue coupable d’aucune « infraction pénale grave liée à [l’]activité économique [du demandeur] ».

44.      C’est donc la seule finalité à laquelle doit répondre la collecte d’informations par les autorités douanières. Toutefois, cette disposition ne précise pas quel type de données sont appropriées pour atteindre son objectif : il appartient aux États membres de les déterminer, en sachant qu’il ne peut s’agir que des données indispensables pour s’assurer de l’(in)existence des comportements qui affectent la fiabilité des principaux responsables de l’entreprise.

45.      Pour vérifier si les employés susvisés de l’entreprise candidate au statut d’OEA n’ont pas l’intégrité nécessaire pour mériter la confiance de l’administration douanière, l’article 24 du règlement d’exécution 2015/2447 énumère trois catégories d’infractions :

–        les « infraction[s] grave[s] ou […] répétées […] à la législation douanière ». On entend par « législation douanière » celle que définit l’article 5, point 2, du code des douanes (20). Étant donné que c’est précisément l’administration des douanes qui gère l’application de cet ensemble normatif, elle détient déjà elle‑même, en principe, les données suffisantes. Le bureau principal des douanes reconnaît qu’il a un accès direct aux bases de données fédérales contenant des informations sur les infractions douanières ou relatives à l’activité économique de l’entreprise ;

–        les « infraction[s] grave[s] ou […] répétées […] aux dispositions fiscales », cette notion englobant, comme le souligne la Commission, une vaste gamme d’impositions (21). Concernant cette deuxième catégorie, les autorités douanières doivent obtenir auprès de tiers les informations indispensables pour s’assurer que les employés de l’entreprise candidate au statut d’OEA n’ont pas été sanctionnés pour ces actes illicites ;

–        les « infractions pénales graves liées à son activité économique », étant précisé que cette notion recouvre, comme l’affirme la Commission, les infractions pénales de ce type, qui, si elles sont commises par certains de ses principaux dirigeants, portent gravement atteinte à la réputation et à l’honorabilité de l’entreprise en ce qui concerne la gestion douanière (22). Là encore, il s’agit d’infractions que les autorités douanières ne consignent généralement pas dans leurs propres archives.

46.      Quelles données les autorités douanières peuvent-elles collecter, en application de l’article 24 du règlement d’exécution 2015/2447, pour détecter l’existence de ces infractions, aux fins de l’octroi du statut d’OEA ?

47.      Le bureau principal des douanes soutient qu’il doit disposer des NIF et des coordonnées des centres des impôts des dirigeants et des salariés de Deutsche Post qui exercent le contrôle sur sa gestion douanière. Il affirme que c’est le seul moyen pour lui de constater s’ils ont commis des infractions graves et répétées à la législation fiscale, puisqu’en Allemagne, beaucoup d’impôts sont gérés par les autorités régionales. Le NIF serait la donnée de base pour demander de manière précise à ces autorités les informations nécessaires sur ces personnes.

48.      Au contraire, Deutsche Post assure que la situation de ses salariés au regard de l’impôt sur le revenu est sans pertinence pour apprécier s’ils ont commis des infractions graves et répétées à la législation fiscale. La communication de leur NIF ne serait donc ni indispensable ni appropriée pour déterminer leur fiabilité en matière de gestion douanière.

49.      Il ressort des observations écrites et des explications fournies à l’audience que le NIF est un identifiant personnel utilisé dans les relations entre les personnes physiques et l’administration fiscale allemande pour diverses questions. Il est communément admis que celui-ci est principalement utilisé pour la gestion de l’impôt sur le revenu, ce qui explique son lien, dans le litige au principal, avec les coordonnées des centres des impôts compétents pour sa liquidation.

50.      L’interprétation du droit allemand n’incombe pas à la Cour mais à la juridiction de renvoi. Cette dernière indique que les NIF attribués par l’Office fédéral des impôts aux employés de Deutsche Post (article 139a, paragraphe 1, première phrase, du code des impôts) ne peuvent être collectés et stockés qu’aux fins du prélèvement de l’impôt sur le revenu par voie de retenue à la source sur les salaires (article 39e, paragraphe 4, première phrase, point 1, de la loi relative à l’impôt sur le revenu).

51.      Les données à caractère personnel des salariés de Deutsche Post, collectées dans le but déjà évoqué, n’auraient, selon la juridiction de renvoi, aucun lien direct avec l’activité économique de cette entreprise et ne seraient dès lors pas pertinentes pour l’appréciation de sa fiabilité en matière douanière (23).

52.      Toutefois, je pense que, sur le plan de la législation douanière, rien ne s’oppose à ce que l’administration allemande demande le NIF (et la désignation du centre compétent pour la liquidation de l’impôt sur le revenu) du dirigeant et du responsable des questions douanières de l’entreprise aspirant au statut d’OEA. Sans préjudice de ce que j’exposerai dans les développements suivants sur la protection de ces données à caractère personnel, leur consignation peut servir à vérifier que ces personnes n’ont pas commis d’infractions.

53.      L’argument de la juridiction de renvoi pourrait être pertinent s’il existait une dissociation (à laquelle il semble faire allusion) entre les informations pouvant être obtenues à partir du NIF, qui se rapportent forcément à chaque personne physique, et l’activité de l’entreprise. Toutefois, ce contrôle vise précisément à vérifier si les deux personnes physiques qui exercent des fonctions importantes au sein de l’entité candidate à l’OEA ont commis, au cours des trois dernières années, des manquements personnels (qui ne sont donc pas ceux de l’entreprise) altérant leur fiabilité, et contaminant, pour ainsi dire, par leur manque d’honnêteté – dans l’hypothèse où ils auraient été sanctionnés dans le passé – l’entité dont ils assument la gestion générale ou douanière.

B.      L’article 24 du règlement d’exécution 2015/2447 et la réglementation de l’Union sur la protection des données à caractère personnel

54.      À l’instar d’autres données similaires de nature fiscale ainsi qualifiées par la Cour (24), le NIF est une donnée à caractère personnel au sens de l’article 4, point 1, du règlement 2016/679, puisqu’il s’agit d’une information concernant une personne identifiée ou identifiable (25).

55.      L’indication des centres des impôts compétents pour la liquidation de l’impôt sur le revenu d’une personne déterminée semble, dans la décision de renvoi, étroitement liée au NIF en raison de la structure fédérale du système d’imposition allemand. Dans ce contexte, on peut considérer comme accessoire une donnée fiscale relative à une personne identifiée ou identifiable.

56.      Comme le souligne la juridiction de renvoi, la consultation automatisée du NIF permet d’accéder à des informations particulièrement sensibles (26). C’est donc un instrument qui permet d’identifier la personne titulaire et d’obtenir certaines informations sur sa vie privée et familiale qui sont détenues par l’administration.

57.      L’activité qui s’organise autour des NIF dans les relations entre l’administration douanière et les candidats au statut d’OEA peut être qualifiée de collecte ou de communication par transmission. Dans les deux cas, cela donne lieu à un traitement de données au sens de l’article 4, point 2, du règlement 2016/679. L’administration douanière allemande demande les NIF, les structure et les utilise pour demander aux centres des impôts compétents des informations sur d’éventuelles infractions graves ou répétées aux dispositions fiscales commises par ces personnes. La simple obtention de ces données suppose déjà un traitement, comme c’est le cas, a fortiori, de leur structuration et utilisation postérieure pour avoir des informations sur ces personnes (27).

58.      De même, la Cour a également considéré qu’il existait un traitement de données lorsque des données sont transmises d’une entité publique à une autre (28), y compris lorsqu’un employeur transmet des données à caractère personnel à une autorité nationale (29). Par conséquent, la transmission des données à caractère personnel de dirigeants et d’employés par Deutsche Post au bureau principal des douanes constitue un « traitement de données » aux fins du règlement 2016/679.

59.      L’article 5, paragraphe 1, sous b), du règlement 2016/679 pose comme principe directeur du traitement celui de la limitation de la finalité, selon lequel « les données à caractère personnel doivent être […] collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités » (30).

60.      Il convient donc de décider si l’utilisation par les autorités douanières allemandes des NIF des dirigeants et responsables des questions douanières de Deutsche Post, qui sont demandés à cette dernière, est compatible avec l’objectif assigné par la législation nationale à la collecte de ces données à caractère personnel.

61.      Le juge de renvoi émet des doutes à ce sujet (31) et pense qu’il n’y a pas de lien direct entre les NIF et les centres des impôts compétents pour la liquidation de l’impôt sur le revenu des dirigeants et employés, et les activités douanières de Deutsche Post. Conformément à ce qui a été indiqué à l’audience et à ce que j’ai expliqué précédemment, le droit allemand prévoit l’utilisation de ces données fiscales, essentiellement mais pas exclusivement, dans les relations de travail entre l’employeur et le salarié aux fins du prélèvement de l’impôt sur le revenu.

62.      Les NIF (et, accessoirement, l’indication des centres des impôts compétents pour la liquidation de l’impôt sur le revenu) sont donc des données à caractère personnel qui n’ont pas été conçues pour être utilisées dans le cadre des relations entre une entreprise et l’administration douanière allemande afin d’obtenir ou de conserver le statut d’OEA. Par conséquent, il s’agirait d’un traitement de données à caractère personnel méconnaissant, a priori, la finalité pour laquelle elles ont été collectées, en violation de la règle énoncée à l’article 5, paragraphe 1, sous b), du règlement 2016/679.

63.      Cependant, un traitement de données à caractère personnel de ce type pourrait être justifié. Il suffirait, par exemple, que les personnes physiques concernées y aient consenti en application de l’article 6, paragraphe 1, sous a), du règlement 2016/679. Toutefois, il ressort du dossier que les employés de Deutsche Post s’y opposent, ce qui exclut cette solution.

64.      D’autres justifications possibles découlent de l’article 6, paragraphe 1 (32), selon lequel le traitement est licite lorsqu’il est nécessaire « au respect d’une obligation légale à laquelle le responsable du traitement est soumis » [sous c)] ou « à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement » [sous e)] (33). Dans les deux cas, l’article 6, paragraphe 3, du règlement 2016/679 prévoit que le fondement du traitement est défini par le droit de l’Union ou le droit de l’État membre auquel le responsable de ce traitement est soumis.

65.      La licéité de la demande et du traitement de données à caractère personnel que l’administration adresse à Deutsche Post est fondée sur l’obligation légale (34) incombant à cette administration de vérifier que le bénéfice du statut d’OEA ne soit accordé qu’aux entreprises dont les dirigeants et responsables des questions douanières n’ont pas commis les infractions précédemment évoquées. Cette obligation légale résulte, en dernier lieu, de l’article 24 du règlement d’exécution 2015/2447. Par conséquent, je considère que la justification exposée à l’article 6, paragraphe 1, sous c), du règlement 2016/679 est applicable.

66.      La licéité du traitement des NIF du dirigeant et du responsable des questions douanières d’une entreprise, aux fins de l’octroi du statut d’OEA, peut également se fonder sur « l’exercice de l’autorité publique dont est investi le responsable du traitement » [article 6, paragraphe 1, sous e), du règlement 2016/679] (35), puisqu’il est indispensable à l’administration douanière pour qu’elle exerce l’autorité publique dont elle a été investie pour contrôler les entreprises ayant un statut d’OEA. Ce statut suppose une certaine délégation des fonctions de contrôle douanier en faveur des OEA, qui est contrebalancée par une possibilité étendue pour l’administration de vérifier et contrôler leur fiabilité.

67.      La demande et le traitement des données en cause dans le litige, qui sont licites puisqu’ils sont fondés sur l’article 6, paragraphe 1, sous c) et sous e), du règlement 2016/679, peuvent générer certaines limitations des droits que les articles 12 à 22 du règlement 2016/679 reconnaissent aux titulaires de ces données à caractère personnel. Il appartient à la juridiction de renvoi de déterminer si le bureau principal des douanes, lorsqu’il traite ces données, limite certains des droits des personnes concernées, par exemple les droits d’accès, de rectification, de suppression ou d’opposition.

68.      Si elles existaient, ces limitations pourraient justifier certains des « objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale » [article 23, paragraphe 1, sous c), du règlement 2016/679]. La mesure qui les impose devrait, de surcroît, respecter « l’essence des libertés et des droits fondamentaux » et être « nécessaire et proportionnée dans une société démocratique » (36).

69.      À mon avis, l’objectif consistant à s’assurer de la fiabilité douanière du dirigeant et du responsable des questions douanières d’une entreprise aux fins de l’octroi du statut d’OEA répond à un but d’intérêt public général de l’Union et de l’État allemand, d’un point de vue économique, fiscal et budgétaire. Le contrôle de la fiabilité des OEA favorisera la perception des droits de douane, qui sont une ressource propre de l’Union, que les États membres versent et transfèrent au budget de l’Union après déduction d’un pourcentage au titre de la gestion administrative.

70.      Le défaut d’intégrité du dirigeant de l’entreprise et de son responsable des questions douanières sont des facteurs susceptibles de compromettre la fiabilité de cette entreprise en matière douanière, et d’avoir une incidence directe sur l’octroi du statut d’OEA (37). Comme je l’ai signalé dans mes conclusions relatives à l’affaire Impresa di Costruzioni Ing. E. Mantovani et Guerrato (38), il est logique d’apprécier le défaut de crédibilité d’une entreprise au regard des actes délictueux commis par les responsables de sa direction.

71.      Cette circonstance justifie que l’administration douanière puisse faire des recherches dans les archives fiscales de ces dirigeants, qui incluent leurs antécédents en matière d’impôt sur le revenu. Si le dirigeant de l’entreprise ou son responsable des questions douanières a commis des infractions relatives au prélèvement de cet impôt ou d’un autre, je considère que l’administration douanière doit pouvoir obtenir des informations sur celles-ci.

72.      Dans le même ordre d’idées, la collecte et l’utilisation de données de cette nature sont des moyens proportionnés d’atteindre l’objectif fixé à l’article 24, paragraphe 1, du règlement d’exécution 2015/2447 (39). Selon les affirmations formulées à l’audience par l’Office fédéral des impôts, il n’existe pas, en droit allemand, d’autres moyens alternatifs moins restrictifs puisque la structure fédérale de l’État allemand implique que certains impôts, tels que l’impôt sur le revenu, soient gérés par les autorités régionales. Le NIF constitue le moyen le plus approprié pour l’administration douanière (fédérale) de collecter et d’obtenir les informations fiscales détenues par différentes autorités régionales (40).

73.      Il convient d’apporter deux dernières précisions :

–        l’administration douanière est obligée, par les articles 13 et 14 du règlement 2016/679, de fournir des informations au dirigeant et au responsable des questions douanières d’une entreprise ayant le statut d’OEA sur le traitement qu’elle va effectuer concernant leurs données personnelles (NIF et centre des impôts) afin que ceux-ci puissent exercer les droits que leur confèrent les articles 15 à 22 du règlement 2016/679 ;

–        la Cour a considéré que l’exigence d’un traitement loyal des données à caractère personnel obligeait une administration publique à informer les personnes concernées de la transmission de ces données à une autre administration publique en vue de leur traitement par cette dernière en sa qualité de destinataire desdites données (41).

IV.    Conclusion

74.      À la lumière des considérations qui précèdent, je propose à la Cour de répondre au Finanzgericht Düsseldorf (tribunal des finances de Düsseldorf, Allemagne) dans les termes suivants :

1)      L’article 24, paragraphe 1, second alinéa, du règlement d’exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d’application de certaines dispositions du règlement (UE) no 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union, doit être interprété en ce sens que :

–        il permet à l’administration douanière de demander à une entreprise souhaitant obtenir le statut d’opérateur économique agréé la communication du numéro d’identification fiscale et l’indication du centre des impôts compétent pour la liquidation de l’impôt sur le revenu, concernant exclusivement « la personne responsable du demandeur ou exerçant le contrôle de sa gestion et l’employé responsable en son nom des questions douanières » ;

–        il ne permet pas d’étendre la demande de ces données aux membres du conseil de surveillance du demandeur ni à ses autres dirigeants et employés.

2)      L’article 6, paragraphe 1, sous c) et sous e), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, autorise une administration douanière à collecter et traiter des données à caractère personnel, telles que les numéros d’identification fiscale et l’indication du centre des impôts compétent pour la liquidation de l’impôt sur le revenu, relatives au responsable des affaires douanières, concernant le dirigeant responsable et la personne chargée des questions douanières d’une entreprise souhaitant obtenir le statut d’opérateur économique agréé, même si ces derniers n’y ont pas consenti, afin de respecter l’obligation légale de vérifier la fiabilité, à des fins douanières, de cette entreprise, qui est prévue à l’article 24, paragraphe 1, second alinéa, du règlement d’exécution 2015/2447.

1      Langue originale : l’espagnol.

2      Règlement (UE) no 952/2013 du Parlement européen et du Conseil, du 9 octobre 2013, établissant le code des douanes de l’Union (JO 2013, L 269, p. 1).

3      Règlement d’exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d’application de certaines dispositions du règlement no 952/2013 (JO 2015, L 343, p. 558).

4      Règlement délégué (UE) 2016/341 de la Commission, du 17 décembre 2015, complétant le règlement (UE) no 952/2013 du Parlement européen et du Conseil en ce qui concerne les règles transitoires pour certaines dispositions du code des douanes de l’Union lorsque les systèmes informatiques concernés ne sont pas encore opérationnels et modifiant le règlement délégué (UE) 2015/2446 (JO 2016, L 69, p. 1).

5      Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1).

6      Règlement (CEE) n2913/92 du Conseil, du 12 octobre 1992, établissant le code des douanes communautaire (JO 1992, L 302, p. 1).

7      Règlement (CEE) n2454/93 de la Commission, du 2 juillet 1993, fixant certaines dispositions d’application du règlement (CEE) no 2913/92 du Conseil établissant le code des douanes communautaire (JO 1993, L 253, p. 1).

8      Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

9      Conformément au point 5 de la décision de renvoi, « [l]a requérante demande qu’il soit constaté […] ».

10      En toute hypothèse, que l’on applique l’un ou l’autre, la solution ne varierait pas sensiblement puisque le règlement 2016/679 reprend beaucoup de dispositions de la directive 95/46, qu’il remplace.

11      La Cour a déjà déclaré que « les dispositions de la directive 95/46, en ce qu’elles régissent le traitement de données à caractère personnel susceptible de porter atteinte aux libertés fondamentales et, en particulier, au droit au respect de la vie privée, doivent nécessairement être interprétées à la lumière des droits fondamentaux garantis par la Charte » (arrêts du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 38, et du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, point 39).

12      Ces avantages comptent notamment : une plus grande facilité pour bénéficier de procédures douanières simplifiées ; la notification préalable de la réalisation d’un contrôle douanier ; l’allègement des contrôles physiques et documentaires par rapport aux autres opérateurs en ce qui concerne les contrôles douaniers ; un traitement prioritaire des envois sélectionnés pour inspection ; la possibilité de choisir le lieu de l’inspection ; et des avantages « indirects » qui ne figurent pas explicitement dans la législation douanière, mais qui peuvent avoir un effet très positif sur les transactions générales de l’OEA. Le fait qu’un OEA remplisse les critères de protection et de sécurité signifie que la sécurité et la protection dans la chaîne d’approvisionnement sont garanties.

13      Conformément à l’article 38, paragraphe 4, du code des douanes, le statut d’OEA accordé par un État membre est reconnu par les autorités douanières de tous les États membres.

14      Je considère que, outre ses employées, l’entreprise demandeuse doit elle-même satisfaire à ces exigences.

15      L’article 41, paragraphe 1, du code des douanes dispose que « [l]a Commission adopte, par voie d’actes d’exécution, les modalités d’application des critères visés à l’article 39 ».

16      L’article 5 du règlement délégué 2016/341 prévoit que les demandes d’octroi du statut d’OEA sont introduites au moyen du modèle de formulaire établi à l’annexe 6. Dans cette annexe, le point 19 des notes explicatives indique qu’il convient d’inclure la signature de la personne qui représente l’entreprise du demandeur dans son ensemble, en ajoutant sa fonction, son nom et le cachet du demandeur. En outre, le demandeur fournit, entre autres, les données suivantes : « [n]oms des principaux dirigeants (directeurs généraux, chefs de département, gestionnaires des services de comptabilité, responsable des affaires douanières, etc.). Description des procédures habituellement mises en place lorsque l’employé compétent est absent, à titre temporaire ou permanent ».

17      Par souci de simplification, je ferai uniquement référence, ci-après, à l’octroi du statut d’OEA, mais les arguments sont transposables au maintien de ce statut.

18      Voir lignes directrices de la Commission européenne relatives aux opérateurs économiques agréés, TAXUD/B2/047/2011-REV6, du 11 mars 2016, p. 126 et 127, qui reprennent les informations que doivent fournir les entreprises dans les questionnaires d’autoévaluation du statut d’OEA.

19      Si l’exercice de cette fonction de direction était conjoint, la demande de données pourrait logiquement s’étendre à ceux qui l’exercent sous ce régime de partenariat.

20      Est considéré comme telle « l’ensemble des dispositions constitué par : a) le code et les dispositions le complétant ou le mettant en œuvre adoptées au niveau de l’Union ou au niveau national ; b) le tarif douanier commun ; c) la législation établissant un régime de l’Union des franchises douanières, et d) les accords internationaux comportant des dispositions douanières, dans la mesure où celles-ci sont applicables dans l’Union ».

21      Entre autres, les impôts relatifs au trafic de marchandises et de services qui ont un lien direct avec l’activité économique du demandeur [c’est le cas, par exemple, de la taxe sur la valeur ajoutée (TVA)], les droits d’accise et ceux relatifs à la fiscalité des entreprises.

22      Dans les lignes directrices de la Commission relatives aux opérateurs économiques agréés, TAXUD/B2/047/2011-REV6, du 11 mars 2016, p. 37, figurent des infractions telles que la faillite frauduleuse (insolvabilité) ; toute infraction à la législation sanitaire ; toute infraction à la législation environnementale, comme les mouvements transfrontières illégaux de déchets dangereux ; la fraude concernant les biens et technologies à double usage ; la participation à une organisation criminelle ; la corruption et la fraude ; la criminalité informatique ; le blanchiment de capitaux ; la participation directe ou indirecte à des activités terroristes ; ou la participation directe ou indirecte à des activités visant à faciliter ou favoriser l’immigration clandestine dans l’Union européenne.

23      Point 16 de la décision de renvoi.

24      Arrêts du 1er octobre 2015, Bara e.a. (C‑201/14, EU:C:2015:638, point 29), et du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, point 41).

25      En vertu d’une jurisprudence constante, le respect du droit à la vie privée à l’égard du traitement des données à caractère personnel se rapporte à toute information concernant une personne physique identifiée ou identifiable (arrêts du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, point 52, et du 17 octobre 2013, Schwartz, C‑291/12, EU:C:2013:670, point 26).

26      Entre autres, selon la décision de renvoi, l’appartenance légale à une communauté religieuse prélevant l’impôt ; les dates d’adhésion et de retrait ; la situation matrimoniale ainsi que la date de création ou de dissolution du statut matrimonial ; éventuellement, le NIF du conjoint et des enfants du salarié, en rapport avec les abattements pour enfants à charge.

27      Dans l’arrêt du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, point 34), la Cour a considéré comme un « traitement de données » l’inscription sur une liste du nom, numéro d’identification national et NIF de personnes servant de prête-noms pour occuper des fonctions de direction. Cette liste avait été élaborée par la direction des finances et le bureau de lutte contre la criminalité financière de la République slovaque, et, tant son obtention que son utilisation par les différentes autorités fiscales sont des traitements de données.

28      Arrêt du 1er octobre 2015, Bara e.a. (C‑201/14, EU:C:2015:638, point 29).

29      « La collecte, l’enregistrement, l’organisation, la conservation, la consultation, l’utilisation de telles données par un employeur ainsi que leur transmission par ce dernier aux autorités nationales compétentes en matière de surveillance des conditions de travail présentent donc le caractère d’un “traitement de données à caractère personnel”, au sens de l’article 2, sous b), de la directive 95/46 » (surligné par nos soins) (arrêt du 30 mai 2013, Worten, C‑342/12, EU:C:2013:355, point 20).

30      Cet article ajoute que « le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ».

31      Selon la juridiction de renvoi, « les numéros d’identification fiscale attribués par l’Office fédéral des impôts (article 139a, paragraphe 1, première phrase, du code des impôts), concernant les salariés de la requérante, n’ont été collectés et stockés qu’aux fins du prélèvement de l’impôt sur le revenu par voie de retenue à la source sur les salaires (article 39e, paragraphe 4, première phrase, point 1, de la loi relative à l’impôt sur le revenu). Les données à caractère personnel des salariés de la requérante, collectées à cette fin, ne sont absolument pas en lien direct avec l’appréciation de la fiabilité même de la requérante au regard des dispositions du droit douanier. En particulier, les données à caractère personnel des salariés de la requérante, collectées aux fins du prélèvement de l’impôt sur le revenu par voie de retenue à la source sur les salaires, n’ont aucun rapport avec l’activité économique même de la requérante ».

32      Il convient également de rappeler qu’il découle de l’objectif consistant à assurer un niveau de protection équivalent dans tous les États membres que l’article 7 de la directive 95/46 prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite [arrêts du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 et C‑469/10, EU:C:2011:777, point 30), et du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, point 105)]. Cette affirmation est transposable à la liste de l’article 6, paragraphe 1, du règlement 2016/679.

33      Arrêts du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 64), et du 30 mai 2013, Worten (C‑342/12, EU:C:2013:355, point 36).

34      En vertu de la jurisprudence de la Cour, « l’exigence selon laquelle toute limitation de l’exercice des droits fondamentaux doit être prévue par la loi implique que la base légale qui permet l’ingérence dans ces droits doit définir elle-même la portée de la limitation de l’exercice du droit concerné » [voir, en ce sens, avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017, EU:C:2017:592, point 139, et arrêt du 17 décembre 2015, WebMindLicenses, C‑419/14, EU:C:2015:832, point 81].

35      Dans l’arrêt du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, points 106 à 109), la Cour a affirmé qu’une liste de personnes considérées par la direction des finances de Slovaquie comme des prête-noms, établie pour améliorer la perception de l’impôt et lutter contre la fraude fiscale, entrait dans le champ d’application de l’article 7, sous e), de la directive 95/46 [disposition mentionnée à l’article 6, paragraphe 1, sous e), du règlement 2016/679] parce que les objectifs qu’elle poursuivait étaient, réellement, des missions d’intérêt public.

36      Conformément à l’article 52, paragraphe 1, deuxième phrase, de la Charte, les limitations à la protection des données à caractère personnel, garantie par son article 8, paragraphe 1, doivent s’opérer dans le respect du principe de proportionnalité, sans dépasser les limites du strict nécessaire (arrêts du 8 avril 2014, Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, point 52 ; du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 28, et du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 92).

37      Il existe d’autres domaines du droit de l’Union dans lesquels le défaut d’honorabilité ou d’intégrité des dirigeants d’une entreprise influe sur la capacité de celle-ci à exercer une activité économique ou à bénéficier d’un privilège. Par exemple, la directive 2013/36/UE du Parlement européen et du Conseil, du 26 juin 2013, concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO 2013, L 176, p. 338), indique, à son article 23, paragraphe 1, sous b), concernant l’acquisition de participations qualifiées, que « les autorités compétentes évaluent, afin de garantir une gestion saine et prudente de l’établissement de crédit visé par l’acquisition envisagée et compte tenu de l’influence probable du candidat acquéreur sur cet établissement de crédit, le caractère approprié du candidat acquéreur et la solidité financière de l’acquisition envisagée conformément aux critères suivants : […] b) l’honorabilité, les connaissances, les compétences et l’expérience, énoncées à l’article 91, paragraphe 1, de tout membre de l’organe de direction et de tout membre de la direction générale qui assureront la direction des activités de l’établissement de crédit à la suite de l’acquisition envisagée ». Voir, à cet égard, mes conclusions du 27 juin 2018, Berlusconi et Fininvest (C‑219/17, EU:C:2018:502).

38      Affaire C‑178/16 (EU:C:2017:487, point 54). Au point 34 de l’arrêt du 20 décembre 2017 (EU:C:2017:1000), rendu dans cette affaire, la Cour a déclaré que « le droit de l’Union part de la prémisse selon laquelle les personnes morales agissent par l’intermédiaire de leurs représentants. Le comportement contraire à la moralité professionnelle de ces derniers peut donc constituer un facteur pertinent pour apprécier la moralité professionnelle d’une entreprise. Il est ainsi tout à fait loisible aux États membres de retenir, dans le cadre de l’exercice de leur compétence pour fixer les conditions d’application des causes d’exclusion facultatives, parmi les éléments pertinents pour apprécier l’intégrité de l’entreprise soumissionnaire, l’existence éventuelle d’agissements d’administrateurs de cette entreprise contraires à la moralité professionnelle ».

39      Concernant le respect du principe de proportionnalité, la protection du droit fondamental au respect de la vie privée au niveau de l’Union exige que, conformément à la jurisprudence constante de la Cour, les dérogations à la protection des données à caractère personnel et les limitations de celle-ci s’opèrent dans les limites du strict nécessaire (arrêts du 8 avril 2014, Digital Rights Ireland e.a., C‑293/12 et C‑594/12, EU:C:2014:238, points 51 et 52 ; du 6 octobre 2015, Schrems, C‑362/14, EU:C:2015:650, point 92 ; du 21 décembre 2016, Tele2 Sverige et Watson e.a., C‑203/15 et C‑698/15, EU:C:2016:970, point 96, et du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 112).

40      À l’audience, la question de savoir si la présentation par l’entreprise de certificats de régularité fiscale de son dirigeant et de son responsable des questions douanières pouvait être une option moins restrictive a été débattue. Selon les explications du bureau principal des douanes, ce n’est pas le cas puisque ce sont ces personnes qui doivent directement demander ces certificats, à leurs frais, et que ceux-ci contiennent plus d’informations que celles qui sont indispensables à l’obtention du statut d’OEA. Il appartient à la juridiction de renvoi d’apprécier ces allégations, parmi d’autres, sur cette question.

41      Arrêt du 1er octobre 2015, Bara e.a. (C‑201/14, EU:C:2015:638, point 40).