Accès du fisc aux données bancaires : la CEDH sanctionne l'Italie et menace la France

La Cour européenne des droits de l'homme (CEDH) a rendu, le 8 janvier 2026, un arrêt Ferrieri et Bonassisa c. Italie  sanctionne le dispositif de contrôle fiscal italien permettant à l'administration d'obtenir et d'exploiter les données bancaires du contribuable sans encadrement juridique sérieux. En se fondant sur l'article 8 de la Convention européenne de sauvegarde des droits de l'homme, elle considère un tel pouvoir comme une ingérence excessive dans la vie privée des personnes.

L'arrêt est important, non seulement pour le droit des personnes, mais aussi parce que le contrôle fiscal italien ressemble étrangement au contrôle fiscal français.

Données bancaires, données personnelles

Dans sa décision G.S.B. c. Suisse du 22 décembre 2015, la Cour admet que les documents bancaires concernant un individus sont des données à caractère personnel, qu'elles présentent ou non un caractère sensible. Ce principe s'applique quelles que soient les données, y compris celles qui portent sur l'activité professionnelle, comme l'affaire M. N. et a. c. Saint-Marin du 7 juillet 2015. D'une manière générale, la consultation du compte bancaire d'une personne constitue toujours une ingérence dans sa vie privée, principe rappelé dans l'arrêt  Brito Ferrinho Bexiga Villa-Nova c. Portugal du 1er décembre 2015.

Dans l'affaire Ferrieri et Bonnassisa, il n'est donc pas contesté que le fisc italien entend se faire communiquer des données personnelles. Conformément aux principes posés par l'article 10, une telle ingérence n'est pas nécessairement illicite si elle prévue par loi, poursuit un but légitime et est nécessaire dans une société démocratique.

La Cour passe rapidement sur les deux premières conditions. Le contrôle fiscal est évidemment prévu par la loi italienne et la lutte contre la fraude est un but légitime. Le problème posé à la CEDH est donc celui des garanties liées à une telle procédure très inquisitoire. Il s'agit concrètement de vérifier si le droit italien encadre suffisamment le pouvoir d'investigation du fisc et protège donc suffisamment le contribuable contrôlé.

Asterix chez les Helvètes. René Goscinny et Albert Uderzo. 1970

La procédure de contrôle

La CEDH fait généralement preuve d'un certain respect de la volonté des États de développer un contrôle fiscal efficace. Dans l'arrêt G.S.B. c. Suisse, elle affirmait déjà que la notification préalable à la personne concernée du contrôle de son compte en banque pouvait nuire à l'efficacité de l'enquête. Mais si la CEDH admet que cette notification ne peut pas être exigée, des garanties en quelque sorte compensatoires doivent être mises en oeuvre. L'essentiel de ces garantie réside dans la possibilité d'un contrôle indépendant ou juridictionnel de la légalité de la mesure. Ces exigences ont déjà été formulées, notamment dans la décision Ivashchenko c Russie du 13 février 2018.

Or la Cour observe que le contrôle est largement insuffisant, dans l'état actuel du droit italien. Il est en effet repoussé à l'issue de la procédure de redressement. C'est évidemment un problème car, de fait, le contrôle ne peut peut être mis en oeuvre que s'il y a eu redressement. Dans le cas contraire, l'ingérence dans les données personnelles n'a fait l'objet d'aucun contrôle. Autrement, le contribuable fraudeur a les moyens juridiques de contester la procédure, alors que le contribuable honnête est prié d'accepter l'intrusion dans son compte en banque sans protester.

Dans de telles conditions, l'ingérence n'est pas conforme à la Convention européenne. La Cour estime que cette défaillance est d'ordre structurel, c'est-à-dire susceptible de générer un contentieux répétitif. Elle impose donc aux autorités italiennes trois obligations bien précises. D'abord, la norme juridique doit définir clairement les conditions d'accès aux données bancaires. Ensuite, la demande d'accès doit être soigneusement motivée. Enfin, un contrôle effectif doit être possible portant sur cet accès, sans attendre la fin de la procédure de contrôle fiscal.

Pour résumer le propos, le fisc ne bénéficie pas d'un "open bar" aux données bancaires, et le contrôle ne doit pas intervenir en bout de chaîne. Le seul problème est que ces deux éléments résument assez bien le droit français.

Le droit français

Le Livre des procédures fiscales (LPF) confère au fisc un droit de communication très large, exercé "sur place ou par correspondance", et permettant de prendre copie des documents. Il s'exerce, non seulement auprès du contribuable, mais aussi auprès des établissements bancaires et, dans ce cas, le secret bancaire n'est pas opposable. Il est vrai que l'administration fiscale est invitée à éviter les "recherches d'ensemble", mais cette formule ne s'accompagne d'aucune sanction. 

Certes, l'arrêt Ferrieri et Bonassisa ne déclare pas un tel modèle illicite. Il est en effet  important que le fisc puisse lutter efficacement contre la fraude, ce qui implique un pouvoir d'investigation étendu. En revanche, les garanties exigées par la Cour sont bien loin d'être respectées par la procédure fiscale française. 

Les conditions d'encadrement juridique et de motivation sont ignorées. Aucun cadre interne ne définit les critères permettant de décider ces investigations. Quant à l'exigence de motivation, il faut bien reconnaître que le droit de communication se résume à un pouvoir d'obtention des informations sans qu'aucun acte motivé opposable au contribuable puisse être identifié. Sur ce plan, la jurisprudence européenne incite à une formalisation de la procédure avec des décisions traçables, des critères explicites et une justification du volume d'information réclamé.

Le recours autonome, c'est-à-dire indépendant du redressement, n'existe pas davantage. Le contribuable ne peut contester que la proposition de redressement, à l'issue de la procédure. Cette exigence d'un contrôle en amont devrait inciter le droit français à repenser le rôle du juge de l'impôt, peut être en créant une instance proche de celle du Juge des libertés et de la détention (JLD). Il aurait pour fonction d'apprécier la demande d'accès non pas dans le seul intérêt du fisc, mais en s'interrogeant sur sa proportionnalité au regard de la vie privée du contribuable. 

De son côté, le Conseil constitutionnel semble avoir préparé cette évolution. Dans sa QPC du 14 juin 2019, il affirme en effet que l'accès aux données bancaires des assurés sociaux qui peut être exercé par les organismes de sécurité sociale poursuit un objectif légitime de lutte contre la fraude. En revanche, elle s' accompagne d'une ingérence dans la vie privée qui, en l'espèce, est proportionnée au regard de l'objectif poursuivi.

Si on l'examine au regard du droit français, l'arrêt Ferrieri et Bonnassisa ne désarme pas le fisc, mais se borne à élever le niveau d'exigence en matière de procédure. Il est évident que le droit français devrait rapidement entreprendre de se mettre en conformité avec cette jurisprudence qui ne vise pas à réduire l'efficacité du contrôle fiscal, mais s'efforce plutôt de lui assurer une plus grande légitimité.  Une telle évolution pourrait inspirer au contribuable le sentiment de pouvoir mieux se défendre face à une administration dotée de pouvoirs exorbitants du droit commun, contre laquelle il se souvent parfaitement démuni. 

Il reste à se demander si le droit évoluera avant que les contribuables, ou plutôt leurs avocats, découvrent les possibilités de cette jurisprudence. Dans l'immédiat, il est probable que leurs conseils leur diront de refuser de donner spontanément les documents bancaires demandés pour obliger le fisc à s'adresser directement à leur banque, sans critères et sans motivation. Un beau cas d'inconventionnalité à soulever par la suite, pour faire annuler le redressement.

Protection des données personnelles : Manuel de Libertés publiques version E-Book et version papier, chapitre  8 section 5