Antécédents de la plainte

1. La fiscalité reste largement une question de compétence nationale, ce qui signifie que le rôle de l’UE dans ce domaine est limité et consiste principalement à promouvoir la coopération et la coordination entre les États membres de l’UE.

2. Les États membres de l'UE font partie d'une initiative mondiale visant à lutter contre l'évasion fiscale et à promouvoir la transparence des transactions financières, connue sous le nom d'échange automatique d'informations (AEOI). L'AEOI permet aux pays d'échanger automatiquement des informations sur les comptes financiers pour aider les autorités fiscales à identifier et à lutter contre l'évasion fiscale transfrontalière. Il a été introduit en 2014 et se fonde sur la norme commune de déclaration (CRS)[1], une norme mondiale qui impose aux banques et aux institutions financières de collecter des informations sur les comptes détenus par des résidents étrangers.

3. La manière dont les pays partagent juridiquement ces données entre eux est définie dans des accords multilatéraux et bilatéraux distincts, tels que l’accord multilatéral entre autorités compétentes («ACAM»)[2] ou des «accords intergouvernementaux» (AIG) bilatéraux entre deux pays. L’échange automatique d’informations entre les États membres de l’UE est régi par la directive du Conseil relative à la coopération administrative dans le domaine fiscal [3].

4. Outre le SIR, il existe également des lois nationales qui imposent aux pays tiers de déclarer certaines informations sur les comptes financiers situés sur leur territoire aux autorités fiscales du pays d’origine du titulaire du compte. Un exemple de ces lois nationales est la loi américaine sur la conformité fiscale des comptes étrangers (FATCA) qui a été adoptée en 2010 et est mise en œuvre sur la base d'accords intergouvernementaux entre les États-Unis et d'autres pays.

5. Bien que l'EAOI ait été considérée comme une avancée significative dans la lutte mondiale contre l'évasion fiscale, elle a également suscité des préoccupations en matière de protection de la vie privée et des données. Par exemple, sur la base d’une plainte déposée par un groupe de citoyens, l’autorité belge de protection des données a récemment constaté que le transfert de données à caractère personnel de la Belgique vers les États-Unis en vertu de la FATCA est contraire au droit de l’Union en matière de protection des données (le règlement général sur la protection des données, ci-après le «RGPD»[4]).[5] À la suite d’un recours, la juridiction belge saisie de l’affaire a demandé à la Cour de justice de statuer à titre préjudiciel sur la question de savoir si les transferts de données requis en vertu de la FATCA et mis en œuvre au moyen d’accords intergouvernementaux entre les États-Unis et les États membres de l’Union sont généralement conformes au droit de l’Union en matière de protection des données [6].

6. Le comité européen de la protection des données (CEPD) a publié des lignes directrices pour le transfert de données à caractère personnel entre l'UE et les pays tiers [7]. Ces lignes directrices établissent une liste de garanties minimales à inclure dans les accords intergouvernementaux afin de garantir que les personnes concernées dont les données à caractère personnel sont transférées en dehors de l'UE bénéficient d'un niveau de protection essentiellement équivalent au niveau de protection garanti au sein de l'UE en vertu du RGPD.

7. En février 2025, les plaignants ont demandé [8] au Conseil de l’UE l’accès du public aux documents relatifs:

· la compatibilité de l'AEOI avec les lois et les droits fondamentaux de l'UE et des États membres en matière de protection des données;

· les implications de l'AEOI en matière de protection des données, en particulier en ce qui concerne le transfert de données à caractère personnel vers des pays tiers (garanties adéquates, sécurité des données, etc.);

· l'incidence de la jurisprudence [de l'UE] sur ce qui précède.

8. Le Conseil a identifié 24 documents comme relevant du champ d'application de la demande d'accès des plaignants. Elle a indiqué que dix documents étaient déjà accessibles au public et a fourni des liens vers ces documents. Elle a également divulgué quatre autres documents dans leur intégralité. En ce qui concerne les dix documents restants, qui sont décrits comme des «documents de travail du Conseil», le Conseil a divulgué trois documents en partie et a refusé de divulguer sept documents, dont un document classifié «RESTREINT UE/EU RESTRICTED», dans leur intégralité. En refusant l’accès, le Conseil s’est appuyé sur la nécessité de protéger l’intérêt public en ce qui concerne les relations internationales et la politique financière des États membres, ainsi que sur la nécessité de protéger son processus décisionnel [9].

9. En mars 2025, les plaignants ont demandé au Conseil de réexaminer sa décision (ils ont introduit une «demande confirmative»), et le Conseil a ensuite confirmé sa position.

10. Insatisfaits, les plaignants se sont adressés au Médiateur européen en août 2025.

L'enquête

11. La Médiatrice a ouvert une enquête sur la décision du Conseil de refuser au public l’accès à (une partie des) dix documents en cause dans la demande confirmative des plaignants.

12. Au cours de l’enquête, l’équipe d’enquête de la Médiatrice a examiné les documents en cause, y compris le document classifié «RESTREINT UE/EU RESTRICTED». L'équipe d'enquête a également rencontré des représentants du Conseil pour obtenir des explications supplémentaires sur les raisons pour lesquelles l'accès avait été refusé. La Médiatrice a ensuite partagé ses rapports d’inspection et de réunion avec les plaignants et a reçu leurs commentaires.

Arguments présentés

13.  Dans sa décision confirmative, le Conseil a indiqué que les documents avaient été élaborés dans le cadre de "discussions au sein du groupe "Questions fiscales" sur l'échange automatique d'informations en matière fiscale avec des pays [non membres de l'UE] et de son interaction avec le RGPD. L’objectif principal de ces discussions était d’examiner quelles garanties appropriées, compte tenu des lignes directrices du comité européen de la protection des données, sont déjà en place en ce qui concerne l’échange de données à caractère personnel à des fins fiscales avec des pays [non membres de l’UE]». Le Conseil a déclaré que la question avait été examinée à plusieurs reprises depuis 2019, à la lumière de la responsabilité des États membres de garantir des garanties appropriées pour de tels transferts de données à caractère personnel. À la suite de la publication de lignes directrices par le comité européen de la protection des données en 2021, il avait été jugé nécessaire que les États membres réexaminent leurs accords intergouvernementaux pertinents conclus avec des pays tiers afin de déterminer si des modifications étaient nécessaires pour tenir compte de la législation et de la jurisprudence actuelles de l’Union en matière de protection des données. Dans ce contexte, plusieurs États membres ont suggéré de procéder à un échange de vues et à une coordination sur la question.

14. Le Conseil a déclaré que ces discussions étaient en cours au moment de la décision confirmative et présentaient un intérêt pour les négociations en cours et futures des accords intergouvernementaux sur les échanges d'informations fiscales entre les États membres et les pays tiers. Le Conseil a fait valoir que la divulgation révélerait des échanges internes et l’évolution des approches en ce qui concerne la stratégie de négociation de l’UE et pourrait donc compromettre gravement la position de négociation de l’UE et « sa capacité à mener efficacement ses relations internationales»[10].

15. Le Conseil a ajouté que les documents reflétaient des questions essentielles concernant les options et la méthode permettant d'atteindre un niveau approprié de garanties pour la protection des données à caractère personnel, tout en garantissant un échange efficace d'informations fiscales, conformément aux normes internationales, qui facilite la lutte contre la fraude fiscale. À cet égard, le Conseil a souligné que la fraude et l'évasion fiscales représentent un défi majeur pour l'UE et le monde entier, et que l'échange automatique d'informations fiscales joue un rôle central dans la lutte contre ces pratiques. Le Conseil a soutenu que la divulgation pourrait provoquer des comportements injustifiés et indésirables de la part des opérateurs économiques ou empêcher l’échange automatique d’informations entre les États membres et les pays tiers, ce qui porterait également atteinte à la politique budgétaire des États membres.

16. Enfin, le Conseil a estimé que, en raison du caractère politiquement sensible des documents, leur divulgation porterait atteinte à son processus décisionnel au sein du groupe de travail concerné.

17. Les plaignants, notant que les exceptions prévues à l'article 4, paragraphe 1, point a), du règlement (CE) n° 1049/2001 devraient être interprétées de manière restrictive, ont considéré que les documents en cause ne sont pas couverts par les exceptions invoquées par le Conseil.

18. Plus précisément, en ce qui concerne l’intérêt public en ce qui concerne les relations internationales, les plaignants ont fait valoir qu’il n’existait aucune preuve de négociations de fond avec l’OCDE et/ou des pays tiers pour aborder les questions de protection des données et que les États membres avaient déjà signé des accords bilatéraux avec plus de 100 pays tiers.

19. En ce qui concerne les États-Unis, les plaignants ont ajouté que les autorités américaines ne seraient en aucun cas disposées à modifier la FATCA et que, par conséquent, le recours par le Conseil à l’exception pour la protection des relations internationales n’était pas fondé sur le plan juridique, du moins en ce qui concerne la FATCA.

20. En ce qui concerne le SIR, les plaignants ont fait valoir que l’OCDE n’était pas prête à engager un véritable dialogue avec l’UE dans le cadre de tentatives antérieures visant à résoudre tout problème de protection des données en ce qui concerne l’AEOI à des fins fiscales.

21. Les plaignants ont également noté que le Parlement européen avait critiqué la Commission européenne dans le passé pour avoir fait passer les relations avec les États-Unis avant les intérêts des citoyens de l'UE [11].

22. Enfin, notant que plusieurs documents concernent la révision du CAD, les plaignants soutiennent que l’exception relative à la protection des relations internationales ne s’applique pas, étant donné que le CAD fait partie de la législation de l’Union qui ne s’applique qu’à l’échange de données à caractère personnel entre les États membres et non entre les États membres et les pays tiers.

23. En ce qui concerne la protection de la politique financière des États membres, les plaignants ont fait valoir que l’UE et ses États membres ne reçoivent pas d’informations des États-Unis au titre de la FATCA.

24. Les plaignants ont également considéré qu’il existait un intérêt public supérieur justifiant la divulgation. En particulier, ils ont fait valoir qu'il était désormais clair [12] que l'échange massif d'informations fiscales avec des pays tiers, en général, et la FATCA en particulier, sont contraires au RGPD (à savoir, avec les principes de proportionnalité et de nécessité) et que cela affecte des millions de citoyens de l'UE dont les données à caractère personnel sont partagées avec les autorités fiscales américaines sans aucune indication d'évasion fiscale ou de tout autre acte répréhensible. En fait, les institutions de l'UE et les États membres, qui ne parviennent pas à résoudre le problème depuis des années, n'ont pris aucune mesure [13]. En outre, les plaignants ont fait état de préoccupations soulevées par le public en ce qui concerne le niveau de garanties applicables aux données à caractère personnel collectées et traitées par les autorités fiscales américaines. Pour les plaignants, la non-divulgation des documents en cause empêche les citoyens d’examiner le travail des institutions de l’Union dans un domaine qui a une incidence directe sur leurs droits fondamentaux et de demander des comptes à leur administration.

25. Tout au long de l’enquête, les plaignants ont fourni au Médiateur des informations supplémentaires sur les raisons pour lesquelles ils estimaient que les données à caractère personnel des citoyens de l’Union ne devraient pas être partagées avec les autorités fiscales américaines en raison de préoccupations liées à la protection des données.

26. Lors de la réunion avec l'équipe d'enquête du Médiateur, le Conseil a fait valoir que les différentes procédures décisionnelles auxquelles se rapportent les documents étaient liées, ce qui signifie que tous les documents avaient été élaborés dans le même contexte.

27. En ce qui concerne la nécessité de protéger les relations internationales, le Conseil a précisé que ce sont les relations internationales des États membres avec les pays tiers (plutôt que les relations internationales de l'UE) qui étaient en jeu en l'espèce. Elle a fourni des informations confidentielles détaillées sur les raisons pour lesquelles elle estimait que la divulgation aurait pu compromettre l’intérêt des États membres à l’échange automatique d’informations fiscales avec des pays tiers, et donc pourquoi la divulgation aurait également porté atteinte à l’intérêt public en ce qui concerne leur politique financière (et sur la manière dont les deux exceptions obligatoires sont interconnectées).

Évaluation du Médiateur

28. Les institutions, organes et organismes de l’Union disposent d’une large marge d’appréciation pour déterminer si la divulgation d’un document porterait atteinte à la protection des intérêts publics énumérés à l’article 4, paragraphe 1, sous a), du règlement no 1049/2001, parmi lesquels figure l’intérêt public en ce qui concerne les relations internationales et la politique financière des États membres [14]. À ce titre, l’enquête du Médiateur visait tout d’abord à examiner s’il existait une erreur manifeste dans l’appréciation du Conseil sur laquelle celui-ci a fondé sa décision de refuser l’accès du public au document en cause.

29. L’exception relative à la protection des relations internationales peut être invoquée si la divulgation est susceptible de nuire aux relations internationales de l’UE ou des États membres avec des pays tiers ou des organisations internationales [15]. Elle est formulée en termes très généraux et ne se limite donc pas aux documents relatifs à des négociations internationales ou à un dialogue avec les autorités d’un pays tiers concernant le développement d’un ordre public [16].

30. Ce n’est donc pas une condition préalable à l’applicabilité de cette exception que les documents concernés concernent des négociations ou des discussions en cours avec des pays tiers et/ou une organisation internationale telle que l’OCDE, comme l’a fait valoir le plaignant. L’exception peut également empêcher la divulgation d’échanges internes entre les États membres ou entre les États membres et les institutions de l’UE sur la manière de traiter des questions concernant des pays tiers, telles que l’AEOI à des fins fiscales. Cela peut inclure des discussions sur la nécessité d’une renégociation des accords déjà conclus ou sur la manière dont les États membres doivent s’acquitter des obligations qui leur incombent en vertu du droit international.

31. Toutefois, le risque que la divulgation porte atteinte aux relations internationales de l’Union avec des pays tiers doit être raisonnablement prévisible et non purement hypothétique et reposer sur une appréciation concrète du contenu du document auquel l’accès du public est refusé [17].

32. En refusant l’accès, le Conseil s’est référé au caractère politiquement sensible de l’objet discuté et a soutenu que les différentes procédures, auxquelles se rapportent les documents, dont certaines étaient en cours à l’époque, étaient liées, de sorte que des considérations similaires s’appliquaient. Au cours de l’enquête, le Conseil a également précisé qu’il avait refusé l’accès étant donné que la divulgation porterait atteinte aux relations internationales des États membres. En outre, le Conseil a estimé que la divulgation porterait atteinte à la politique financière des États membres, en raison de la détérioration attendue de leurs relations internationales avec les pays tiers et parce qu'elle pourrait conduire à des comportements indésirables de la part des opérateurs économiques.

33. Sur la base de l’inspection menée par l’équipe d’enquête de la Médiatrice et des informations supplémentaires – en partie confidentielles – fournies par le Conseil, la Médiatrice estime qu’il n’était pas manifestement erroné pour le Conseil de soutenir que la divulgation (des parties expurgées) des documents en cause porterait atteinte aux relations internationales des États membres avec les pays tiers et/ou à leur politique financière. En outre, compte tenu du caractère sensible des informations en cause, le Médiateur estime que le Conseil a suffisamment motivé sa décision de refuser l'accès au plaignant sur la base de ces deux exceptions.

34. Alors que le plaignant semble être particulièrement préoccupé par le niveau de garanties en matière de protection des données en place dans un pays tiers (les États-Unis), le Médiateur note également que les documents en question ne se limitent pas aux règles en place dans ce pays ou dans un autre pays spécifique.

35. Les intérêts publics protégés en vertu de l’article 4, paragraphe 1, point a), du règlement (CE) no 1049/2001 ne sauraient être remplacés par un autre intérêt public jugé plus important. Cela signifie que, si une institution estime que l’un de ces intérêts pourrait être compromis par la divulgation, elle doit refuser d’y donner accès. Par conséquent, les arguments du plaignant relatifs à l’existence éventuelle d’un intérêt public supérieur justifiant la divulgation ne sauraient être pris en considération dans ce contexte.

36. Étant donné que l’enquête a conclu qu’il n’était pas manifestement erroné pour le Conseil de se fonder sur les exceptions pour la protection de l’intérêt public en ce qui concerne les relations internationales et la politique financière des États membres, il n’est pas nécessaire d’apprécier l’applicabilité de l’exception pour la protection d’un processus décisionnel que le Conseil a également invoquée.

37. À la lumière de ce qui précède, le Médiateur estime que le Conseil était fondé à refuser l’accès du public aux (parties pertinentes des) documents en cause.

Conclusion

Sur la base de l’enquête, la Médiatrice clôt cette affaire en concluant ce qui suit:

Le Conseil de l’Union européenne n’a pas commis de mauvaise administration en refusant l’accès du public (aux parties expurgées) des documents en cause, sur la base de la nécessité de protéger l’intérêt public en ce qui concerne les relations internationales et la politique financière des États membres.

Les plaignants et le Conseil seront informés de cette décision.

Teresa Anjinho Médiateur
européen

Strasbourg, le 06/05/2026

[1] Disponible à l’adresse suivante: https://www.oecd.org/fr/publications/consolidated-text-of-the-common-reporting-standard-2025_055664b1-fr.html.

[2] Disponible à l’adresse suivante: https://www.oecd.org/content/dam/oecd/fr/topics/policy-issues/tax-transparency-and-international-co-operation/multilateral-competent-authority-agreement.pdf.

[3] Directive 2011/16/UE du Conseil: http://data.europa.eu/eli/dir/2011/16/oj.

[4] Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après le «RGPD»): http://data.europa.eu/eli/reg/2016/679/oj.

[5] Voir décision 79/2025 de l’Autorité de protection des données du 24 avril 2025: https://www.autoriteprotectiondonnees.be/publications/decision-quant-au-fond-n0-79-2025.pdf.

[6] Affaire C-804/25, Autorité de protection des données. Un résumé de la demande de décision préjudicielle est disponible à l’adresse suivante: https://infocuria.curia.europa.eu/tabs/document/C/2025/C-0804-25-00000000RP-01-P-01/DDP/317238-EN-1-pdf.

[7] La dernière version des lignes directrices du CEPD est disponible à l’adresse suivante: https://www.edpb.europa.eu/system/files/2025-06/edpb_guidelines_202402_article48_v2_en.pdf.

[8] En vertu du règlement (CE) n° 1049/2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission: http://data.europa.eu/eli/reg/2001/1049/oj.

[9] Conformément à l’article 4, paragraphe 1, point a), troisième et quatrième tirets, et à l’article 4, paragraphe 3, premier alinéa, du règlement (CE) no 1049/2001, respectivement.

[10] C'est nous qui soulignons.

[11] Voir résolution du Parlement européen du 20 mai 2021 sur l’arrêt de la CJUE du 16 juillet 2020 – Data Protection Commissioner/Facebook Ireland Limited et Maximillian Schrems (ci-après «Schrems II»), affaire C-311/18 (2020/2789(RSP)): https://www.europarl.europa.eu/doceo/document/TA-9-2021-0256_EN.pdf.

[12] Les plaignants ont notamment fait référence à la récente décision de l’autorité belge de protection des données et à la demande de décision préjudicielle correspondante d’une juridiction belge adressée à la CJUE (voir notes de bas de page 5 et 6 ci-dessus).

[13] Les plaignants ont également fait référence à une étude de 2022 du Parlement européen sur la FATCA, disponible à l’adresse suivante: https://www.europarl.europa.eu/RegData/etudes/IDAN/2022/734765/IPOL_IDA(2022)734765_EN.pdf.

[14] Voir, par exemple, arrêt du Tribunal du 11 juillet 2018, ClientEarth/Commission, T-644/16, points 23 à 25: https://curia.europa.eu/juris/liste.jsf?num=T-644/16&language=fr.

[15] Arrêt du Tribunal de première instance du 7 février 2002, Kuijer/Conseil, T-211/00, points 61 et suivants: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62000TJ0211.

[16] Arrêt du Tribunal du 10 septembre 2025, Smart Kid S.A/Commission européenne, T-337/24, point 41: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62024TJ0337.

[17] Arrêt de la Cour de justice du 3 juillet 2014, Conseil/in 't Veld, C-350/12 P, point 64: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62012CJ0350.