Jeudis des fiscalistes - Geoffroy Wolf - Jurisprudence du cabinet - Perquisition fiscale - Le contribuable a le droit de refuser, sans être sanctionné, de fournir les codes d’accès aux données stockées à distance ou à des services en ligne

Décision commentée dont vous trouverez copie en fin de cet article : Cour de cassation, chambre commerciale, 11 mai 2023, 21-16.900 – formation de section, publié au bulletin, publié au rapport

Selon l’article L 16 B du livre des procédures fiscales (LPF), l’administration fiscale peut être autorisée par le Juge des Libertés et de la Détention à procéder à des opérations de visites et de saisies en tous lieux même privés lorsqu’elle estime qu'il existe des présomptions qu'un contribuable se soustrait frauduleusement à l'établissement ou au paiement des impôts sur le revenu ou sur les bénéfices ou des taxes sur le chiffre d'affaires.

Ces opérations prennent la forme de véritables perquisitions puisqu’elles permettent aux agents de pénétrer dans les locaux visés accompagnés d’un officier de police judiciaire, de procéder à la recherche sur place des preuves des agissements présumés ou des documents et supports informatiques illustrant la fraude, et à procéder à leur saisie.

La personne visée par les soupçons et les occupants des lieux visités disposent de deux voies de recours : faire appel contre l’ordonnance du Juge des Libertés qui a autorisée les opérations de visites et de saisies, et contester la régularité des opérations elles-mêmes dont le déroulement et l’inventaire des éléments saisis doivent faire l’objet d’un procès-verbal.

Toute personne s’intéressant à ce dispositif de perquisition fiscale sait que les critères permettant à l’administration d’être autorisée à procéder à ces perquisitions sont très larges et qu’ils sont appréciés encore plus largement par les juridictions.

Le texte prévoit tout de même certaines (maigres) garanties pour les personnes visées, interprétées quant à elles beaucoup plus strictement en jurisprudence.

Notamment les agents peuvent recueillir sur place des renseignements et justifications concernant les agissements auprès de l'occupant des lieux ou de son représentant et, s'il est présent, de ce contribuable, mais à condition toutefois de les avoir informés que leur consentement à cette audition était nécessaire.

Il a sur ce point été jugé que les simples questions concernant les identifiants et mots de passe permettant de déverrouiller les ordinateurs et téléphones portables trouvés sur les lieux, mais également l’ouverture de sessions sur le matériel informatique présent, ne constituaient pas des auditions au sens de l’article L 16 B du LPF et donc ne nécessitaient pas de recueillir le consentement de la personne interrogée. Ainsi, le contribuable devait fournir les codes d’accès permettant de déverrouiller l’intégralité des supports informatiques accessibles depuis les locaux visités, y compris ceux situés dans des locaux distincts si ces données sont accessibles depuis un appareil informatique présent dans les locaux visités.

Et le fait de ne pas fournir les identifiants et mots de passe permettant l’accès aux supports informatiques, serveurs distants inclus, était considéré comme faisant obstacle à l’accès aux supports informatiques et sanctionné par une amende prévue à l’article 1735 quater du Code Général des Impôts (CGI) (avant 2022 : 10 000 € ou 5 % du montant des impôts redressés, depuis 2022 : 50 000 € ou 5%).

C’est sur cette question de l’obligation pour la personne interrogée de fournir les codes d’accès aux serveurs distants et services en ligne que la Cour de Cassation s’est prononcée par un arrêt du 11 mai 2023.

Dans cette affaire confiée à notre cabinet, les agents ont découvert au cours d’une perquisition fiscale, lors de l’analyse d’un ordinateur présent dans les locaux perquisitionnés, des traces de connexions à plusieurs sites internet de banques situées à l’étranger. Les agents ont alors sollicité de l’occupant présent qu’il communique les identifiants et mots de passe pour accéder à ces sites, mais également qu’il indique l’identité des titulaires de ces comptes ainsi que leur modalité d’utilisation ; le tout sans l’avoir informé que son consentement était nécessaire.

En réponse, l’occupant des lieux a d’abord indiqué aux enquêteurs qu’il ne se rappelait plus des codes d’accès. Les agents ont alors fait lecture des dispositions de l'article 1735 quater du CGI et des peines d'amende encourues par celui qui fait obstacle à l'accès aux pièces ou documents sur support informatique. Après ce rappel, l’occupant des lieux a finalement communiqué les codes d’accès.

Un recours a été déposé contre les opérations de visites fondé, entre autres, sur deux moyens :

- Le fait de recueillir des informations concernant l’identité des titulaires de comptes bancaires et codes d’accès excède la simple fourniture de données techniques que sont les identifiants et mots de passe, et constitue une audition qui imposait de recueillir le consentement de la personne auditionnée ;

- L’amende prévue par l’article 1735 quater du CGI en cas de refus de communiquer les identifiants et codes d’accès à distance constitue une violation du droit au silence et de ne pas s’auto-incriminer prévu par la Convention Européenne des Droits de l’Homme et du droit de l’Union (CEDH), car le fait de communiquer les codes d’accès à des compte bancaires situés à l’étranger non déclarés entraine la reconnaissance de la fraude consistant en l’utilisation desdits comptes.

Le Premier Président de la Cour d'Appel de Grenoble a rejeté le recours formé par les occupants des locaux considérant qu’il n’a été recueilli aucune déclaration qui eut nécessité un consentement préalable, et que le rappel des dispositions de l’article 1735 quater du CGI qui a déterminé l’occupant à fournir de « simples données techniques » ne constitue en rien une déclaration auto-incriminante qui eut mérité le rappel préalable du droit au silence.

La Cour de Cassation, saisie de ce litige, a rendu le 11 mai 2023 un arrêt qui vient remettre un peu d’équilibre entre les prérogatives accordées à l’administration fiscale et les droits des contribuables perquisitionnés.

La Cour de Cassation, modifiant sa jurisprudence, vient préciser que :

- Si l’article L 16B du LPF impose à l’occupant des lieux de fournir, sous les sanctions prévues à l’article 1735 quater du CGI, les codes d'accès aux pièces et documents présents sur les supports informatiques qui se trouvent dans les locaux visités, cette obligation ne s'étend pas aux codes d'accès à des données stockées sur des serveurs informatiques distants ou à des services en ligne.

- Le recueil des déclarations de l’occupant des locaux concernant l'identité des titulaires de comptes bancaires et les codes d'accès à distance à ces comptes imposait de l'informer préalablement que son consentement était nécessaire. Ainsi, si les agents peuvent recueillir sans consentement préalable les codes d’accès aux documents stockés sur des supports informatiques qui se trouvent dans les lieux visités, ils devront recueillir ce consentement pour obtenir les codes d’accès aux données stockées sur des serveurs distants ou des services en ligne.

Encore faut-il que la personne perquisitionnée ait bien conscience de cette distinction, ce qui semble irréaliste si elle n’est pas assistée d’un conseil lui-même au fait de cette nouvelle subtilité.

Si la Cour a rejeté le moyen fondé sur le droit au silence et celui de ne pas s’auto-incriminer en obligeant le contribuable sous peine d’amende à fournir les codes d’accès aux comptes bancaires distants, elle y répond de façon indirecte en excluant de cette obligation prévue au IV bis de l’article L 16 B du LPF l’accès à des données stockées sur des serveurs informatiques distants ou à des services en ligne.

Ainsi, l’occupant des lieux perquisitionnés doit être informé de son droit au silence et il pourra sans risquer de sanction refuser de fournir les codes d’accès aux serveurs informatiques distants ou à des services en ligne. Le droit au silence et celui de ne pas s’auto-incriminer prévu par la CEDH est donc aujourd'hui, dans cette configuration, respecté.

En rendant cette décision en formation de section et en la publiant au bulletin ainsi qu’au rapport, la Chambre Commerciale de la Cour de Cassation indique expressément qu’elle entend conférer une valeur de principe à cet arrêt.

Reste à savoir si les juridictions administratives partageront le même point de vue que la Cour de Cassation lorsque, comme cela a été le cas en l’espèce, l’administration met ensuite à la charge du contribuable les sanctions de l’article 1735 quater du CGI pour avoir fait obstacle à l’accès aux données informatiques (le tribunal des conflits a jugé par une décision du 7 février 2022 n° 4234 que la contestation de cette amende relève de la compétence des juridictions administratives).

Nous considérons quant à nous que si la juridiction administrative est compétente en matière de contestation de l’amende, l’article 1735 quater du CGI renvoie aux dispositions de l’article L 16 B du LPF dont l’interprétation relève de la compétence des juridictions civiles. Et comme la Cour de Cassation vient précisément de juger que l’obligation de fournir les codes d’accès sans consentement ne s’étend pas aux données stockées sur des serveurs informatiques distants ou à des services en ligne, les juridictions administratives ne devraient pas valider les amendes dans ce cas.

Geoffroy Wolf,

Avocat associé.

Contact : geoffroy.wolf@arbor-tournoud.fr