Par jugement, une personne physique a été placée en liquidation judiciaire et un mandataire judiciaire a été nommé pour être liquidateur. Dans le cadre de ses pouvoirs d’administration, le liquidateur s’est adressé à l’administration fiscale (Finanzamt) afin qu’elle lui transmette notamment les relevés bancaires du débiteur (collecte indirecte d’informations). Face au refus de cette dernière de faire droit à sa demande d’accès, le plaignant a saisi le tribunal administratif pour statuer sur la question.

La question de droit qui se pose est de savoir dans quelle mesure un liquidateur peut-il se substituer à la personne concernée dans l’exercice des droits conférés par le RGPD.

En l’espèce, les modalités d’exercice du droit d’accès sont régies par l’article 15 du RGPD et l’article 32 C du Code général des impôts allemand.

Le droit d’accès permet à la personne concernée d’obtenir la confirmation de la part du responsable de traitement que les données à caractère personnel la concernant sont ou ne sont pas traitées. Dans l’affirmative, le responsable de traitement se doit de faire droit à la demande d’accès et lui faire part notamment de la finalité du traitement, des destinataires auxquels les données sont ou seront communiquées ainsi que de la durée de conservation des données. Par ailleurs, l’article 15 paragraphe 3 prévoit l’obligation pour le responsable de traitement de fournir une copie des données à caractère personnel faisant l’objet d’un traitement.

Dans son arrêt du 26 juin 2019, la Cour administrative d’appel de Lüneburg a (sans grande surprise) rejeté la demande d’accès formulée par le liquidateur.

La Cour a justifié sa position en invoquant tout d’abord l’absence de qualité à agir du liquidateur avant de s’intéresser à la nature particulière des droits conférés à la personne concernée.

Le droit d’accès : un droit exclusif.

La Cour énonce dans un premier temps que les droits conférés par le RGPD visent à protéger la personne concernée des possibles atteintes aux droits de la personnalité. Les droits de la personnalité sont des droits extrapatrimoniaux qui n’ont pas de valeur monétaire. Il convient également de rappeler que la personne concernée est la personne, qui par le biais d’informations, peut être identifiée ou est identifiable. Tel est le cas en l’espèce, où les informations contenues dans le relevé de compte (numéro de compte, nom et prénom du titulaire) permettent d’identifier aisément le débiteur.

Étant un droit personnel, la Cour fait valoir qu’il ne peut être exercée que par cette dernière et ne peut concerner que les informations se rapportant à celle-ci. Rappelons par ailleurs que le considérant premier du RGPD indique que la protection des données à caractère personnel est un droit fondamental, protégé tant par la Charte des droits fondamentaux que par le TFUE.

Le droit d’accès : un droit particulier.

Dans un deuxième temps, la Cour rappelle l’étendue de la mission du liquidateur et les limites de ses pouvoirs. En effet, le liquidateur ne peut administrer en lieu et place les droits du débiteur que dans la mesure où ces derniers sont à mêmes de permettre le remboursement des créanciers. En d’autres termes, seuls les droits appréciables en argent sont compris dans l’actif de la procédure d’insolvabilité, ce qui n’est pas le cas du droit d’accès reconnu à la personne concernée.

Enfin, la Cour rappelle que le droit d’accès est un droit strictement personnel (Höchstpersönliches Recht) et que toute atteinte serait une atteinte au principe d’autodétermination informationnelle et à la dignité humaine de la personne concernée. De tels droits seraient selon elle indispensables, inaliénable, non transférable et par principe non transmissible.

Source :
 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
 Abgabenordnung in der Fassung der Bekanntmachung vom 1. Oktober 2002 (BGBl. I S. 3866 ; 2003 I S. 61), die zuletzt durch Artikel 15 des Gesetzes vom 18. Dezember 2018 (BGBl. I S. 2639) geändert worden ist ;
 L’ensemble des obligations du responsable de traitement sont listées à l’article 15, paragraphe 1 à 3 du RGPD ;
 Cour administrative d’appel de Lüneburg, 26 juin 2019, 11 LA 274/18 ;
 Article 8 de la Charte des droits fondamentaux de l’Union européenne ;
 Article 16 du Traité sur le fonctionnement de l’Union européenne (TFUE) ;
 Le principe de l’autodétermination informationnelle est un principe dégagé en 1983 par la Cour constitutionnelle d’Allemagne. Selon ce principe, l’autodétermination informationnelle se caractérise par le pouvoir de l’individu de décider lui-même, sur la base du concept de l’autodétermination, quand et dans quelle mesure une information relevant de sa vie privée peut être communiquée à autrui. BVerfG, 15 décembre 1983, BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 440/83, 1 BvR 484/83 [1].