Les « visiteurs » domiciliaires ne sont pas tenus de demander aux occupants leurs codes d’accès aux services en ligne

26.06.2023

La Cour de cassation vient de rendre, en matière de visites domiciliaires, un arrêt qui réduit les prérogatives des agents des impôts et protège les informations contenues dans les services extérieurs au domicile du contribuable.

La procédure de visite et de saisie prévue à l’article L. 16 B du Livre des procédures fiscales (LPF) permet la visite de tous locaux professionnels ou privés et la saisie de toutes les pièces et de tous les documents de nature à établir la preuve matérielle de la fraude présumée, quel qu’en soit le support.

Si le paragraphe III bis de ce texte autorise les agents des impôts habilités à auditionner l’occupant des lieux (ou son représentant) ou, s’il est présent, le contribuable afin de recueillir tous renseignements et justifications concernant les agissements frauduleux présumés, sous réserve de l’avoir préalablement informé que son consentement est nécessaire, le paragraphe IV du même article prévoit, par ailleurs, que l’occupant des lieux (ou son représentant) faisant obstacle à l’accès aux pièces ou documents présents sur un support informatique encourt une amende spécifique, prévue par l’article 1735 du code général des impôts (CGI).

C’est l’articulation de ces deux textes qui a constitué la colonne vertébrale du litige soumis à la Cour de cassation, et tranché par un arrêt rendu le 11 mai 2023, dont on peut dire qu’il constitue une avancée des libertés publiques face aux pouvoirs exorbitants reconnus à l’inquisition fiscale.

Les faits sont les suivants. En vertu d’une ordonnance rendue par le premier président de la Cour d’appel de Grenoble, le 5 mai 2021, un juge des libertés et de la détention a, sur le fondement de l’article L. 16 B du LPF, autorisé l’administration fiscale à effectuer des visites et saisies dans des locaux susceptibles d’être occupés par diverses personnes, dont deux sociétés de droit hongkongais ou de droit émirati, en vue de rechercher la preuve de fraudes fiscales commises par ces sociétés autant que par leurs dirigeants.

Les opérations de visite et saisies ont été réalisées, et ont donné lieu à un recours contre leur déroulement par les dirigeants de ces sociétés. Le Premier président de la cour d’appel ne leur ayant pas donné gain de cause, ces mêmes dirigeants ont formé pourvoi en cassation au motif « que, au cours de la visite, les agents des impôts habilités peuvent recueillir, sur place, des renseignements et justifications concernant les agissements du contribuable auprès de l’occupant des lieux ou de son représentant et, s’il est présent, de ce contribuable, après les avoir informés que leur consentement est nécessaire ; que le recueil de renseignements, dont le contenu est susceptible d’être en lien avec les présomptions de fraude, au cours de la visite domiciliaire est irrégulier si le procès-verbal ne fait pas mention que l’intéressé a été préalablement informé de la nécessité d’obtenir son consentement pour recueillir ces renseignements ; qu’en l’espèce, il résulte du procès-verbal de visite et de saisie que M. [M] a déclaré, s’agissant des connexions régulières aux comptes en ligne des banques (…) découvertes lors des opérations, qu’il s’agissait, pour la première, d’une banque monténégrine à usage personnel, et pour les deux autres, de banques émiraties à l’usage respectif des sociétés (…) et que l’administration fiscale lui a demandé de bien vouloir donner accès à ces données protégées par un "login" et un mot de passe dès lors que ces informations bancaires entraient dans le champ de l’autorisation de visite donnée par le juge des libertés et de la détention ; qu’il n’est nulle part mentionné au procès-verbal que M. [M] a été informé, au préalable, de la nécessité d’obtenir son consentement pour recueillir ces renseignements susceptibles d’être en lien avec les présomptions de fraude pesant sur les sociétés (…) et de constituer une infraction pénale ».

La Cour de cassation a d’abord rappelé que « selon le III bis de [l’article L. 16 B du LPF], au cours de la visite autorisée pour rechercher la preuve des agissements d’un contribuable présumé de s’être soustrait à l’établissement ou au paiement de l’impôt, les agents des impôts peuvent recueillir, sur place, des renseignements et justifications concernant ces agissements auprès de l’occupant des lieux ou de son représentant et, s’il est présent, de ce contribuable, à condition toutefois de les avoir informés que leur consentement était nécessaire ». Mais elle a toutefois précisé que « [si] l’occupant des lieux ou son représentant doivent fournir, sans qu’il y ait lieu de les informer préalablement que leur consentement est nécessaire et sous les sanctions prévues à l’article 1735 quater du code général des impôts, les codes d’accès aux pièces et documents présents sur les supports informatiques qui se trouvent dans les locaux visités, notamment les codes de déverrouillage des ordinateurs et des téléphones mobiles, cette obligation ne s’étend pas aux codes d’accès à des données stockées sur des serveurs informatiques distants ou à des services en ligne ».

L’arrêt ayant été cassé, l’affaire a été renvoyée devant la Cour d’appel de Lyon.

Que penser de cette restriction apportée par les juges du droit au champ d’application du droit d’accès des agents des impôts aux informations informatiques des contribuables ?

L’article L. 16 B, III bis du LPF donne aux agents des impôts la possibilité de demander aux occupants des lieux de justifier à cette occasion de leur identité et de leur adresse, la personne interrogée étant préalablement informée que son consentement est nécessaire, tant pour le recueil de renseignements que pour la justification d’adresse et d’identité (BOI-CF-COM-20-20, n° 180, 12 sept. 2012).

La haute juridiction a déjà eu l’occasion de se prononcer sur le champ d’application de l’article L. 16 B, IV du LPF, considérant ainsi que « l’article L. 16 B du LPF n’impose d’obtenir le consentement de l’occupant des lieux ou de son représentant et, s’il est présent, du contribuable, que pour recueillir leur identité et leur adresse ou des renseignements et justifications concernant les agissements de ce contribuable » (Com. 11 janv. 2017, n° 15-17.725, Sté Brasseries Internationales Holding (BIH) - Eastern Limited, RJF 4/17, n° 340). Elle avait ainsi réduit la portée de cette disposition en en excluant les identifiants et mots de passe nécessaires à l’ouverture des sessions sur le matériel informatique identifié dans le procès-verbal. Les personnes concernées avaient donc l’obligation de fournir l’intégralité de leurs codes d’accès et mots de passe, quelle que soit la localisation du support informatique concerné, sous peine d’être considérées comme faisant obstacle à l’accès aux données sur support informatique au sens de l’article L. 16 B, IV bis du LPF, et d’encourir les sanctions corrélatives.

L’arrêt rendu le 11 mai dernier s’inscrit dans la ligne jurisprudentielle amorcée par cette jurisprudence BIH, même s’il n’en atténue nullement la portée. Il réduit à nouveau la portée de l’article L. 16 B du LPF en considérant que l’obligation de fournir les codes d’accès aux pièces et documents figurant sur des supports informatiques (sans nécessité de recueillir le consentement préalable de la personne concernée), telle qu’elle résulte du IV bis de l’article L. 16 B du LPF, est circonscrite aux supports qui se trouvent dans les lieux visités et ne concerne pas, en revanche, les codes d’accès à des données stockées sur des serveurs informatiques distants ou à des services en ligne. Autrement dit, une personne peut refuser de donner ses codes d’accès à des données stockées sur des serveurs informatiques distants, ou à des services en ligne, sans qu’elle puisse se voir reprocher l’entrave à l’accès aux données informatiques.

Peut-être faut-il voir, dans cette nouvelle restriction du champ d’application de l’article L. 16 B, l’influence des décisions jurisprudentielles qui ont validé ce texte au regard de la Constitution de 1958 et de la Déclaration des droits de l’homme, en considérant que l’ingérence dans la vie privée doit être proportionnée au but poursuivi de lutte contre la fraude fiscale (Com. 9 févr. 1993, n° 91-21.699, RJF 5/93, n° 671 ; CEDH 8 janv. 2002, n° 51578/99, K. c/ France, RJF 5/02, n° 597 ; Com. 8 déc. 2009, n° 08-21.017, Dalloz actualité, 4 janv. 2010, obs. X. Delpech ; RJF 3/10, n° 244 ; CEDH 16 oct. 2008, n° 10447/03, RJF 2/09, n° 137) ? Dans ces conditions, les codes d’accès à des données extérieures relèveraient d’un domaine privé « renforcé » par rapport aux données informatiques « courantes », au point qu’on ne saurait reprocher à un contribuable de les divulguer, fut-ce à des agents des impôts.

Si elle ne constitue pas un revirement de jurisprudence, par rapport à l’arrêt BIH, cette nouvelle solution révèle, en tout état de cause, une divergence certaine par rapport à l’arrêt Le Bistrot du Dôme, rendu le 29 juillet 2020 par le Conseil d’État, par lequel ce dernier n’avait pas vu d’objection à considérer qu’un système permettant à une société de transférer les opérations enregistrées par ses caisses sur un ordinateur utilisant un logiciel et un programme externes fait office de logiciel de caisse et concourt à la formation des résultats comptables de la société, et d’en avoir déduit que la comptabilité doit être regardée comme tenue au moyen de systèmes informatisés au sens de l’article L. 16 B, VI, alinéa 3, du LPF, sans qu’y fasse obstacle la circonstance que la société ne disposait pas elle-même de logiciel comptable et que l’enregistrement des écritures comptables était confié à un cabinet extérieur (CE 29 juill. 2020, n° 427716, Sté Le Bistrot du Dôme, RJF 11/20, n° 912). Si l’externalisation de la comptabilité était sans incidence sur les prérogatives de l’administration, et ne pouvait justifier une opposition du contribuable, il n’en va plus de même suite à cet arrêt, qui permet désormais à l’intéressé de faire obstacle à ce que les agents du Trésor puissent accéder à des informations et à des données hébergées dans des services extérieurs à son domicile, ou à son entreprise.

Ce nouvel arrêt vient ainsi restreindre le champ d’application de l’article L. 16 B, IV bis du LPF et sa portée est d’autant plus singulière, dans la mesure où il convient désormais de distinguer selon que :

les données auxquelles les agents administratifs demandent à avoir accès sont stockées sur des supports informatiques qui se trouvent dans les locaux visités (codes d’accès aux ordinateurs ou téléphones portables) : la fourniture des codes d’accès et mots de passe ne requiert aucun consentement préalable (application de l’art. L. 16 B, IV bis du LPF) ;
ces mêmes données stockées sur des serveurs informatiques distants ou accessibles via des services en ligne : l’obtention des codes d’accès et mots de passe est une mesure d’audition qui nécessite le consentement préalable de l’intéressé (solution de l’arrêt, et application de l’art. L. 16 B, III bis du LPF).

Il reste à savoir si les aléas de la procédure civile confirmeront ou infirmeront cette position de la chambre commerciale de la Cour de cassation.