5. Commentaires sur l’Accord multilatéral entre autorités compétentes
1. Pour échanger des renseignements en vertu du Cadre de déclaration des Crypto-actifs (CDC), les Juridictions doivent avoir mis en place un cadre juridique autorisant l’échange automatique de renseignements avec les Juridictions partenaires. Ce cadre juridique doit comprendre une base juridique régissant les échanges de renseignements, ainsi que des accords administratifs déterminant la portée, le calendrier et les modalités des échanges de renseignements.
2. Les juridictions peuvent mettre en place une base juridique régissant l’échange de renseignements en matière fiscale conformément à la Convention concernant l’assistance administrative mutuelle en matière fiscale (la « Convention »). En vertu de l’article 6 de la Convention, deux Parties à la Convention ou plus peuvent convenir mutuellement d’échanger automatiquement des renseignements prédéfinis et vraisemblablement pertinents conformément aux procédures que les Parties déterminent d’un commun accord. Dans le contexte de la Norme commune de déclaration, cette approche multilatérale s’est révélée être un procédé efficace pour mettre en place de vastes réseaux de relations d’échange, car elle permet aux Juridictions d’activer efficacement des relations d’échange bilatérales.
3. Afin de permettre la mise en œuvre de l’article 6 de la Convention, les Juridictions doivent également avoir mis en place des accords administratifs pour déterminer, en particulier, les renseignements qui seront échangés automatiquement ainsi que le calendrier et les modalités de ces échanges. S’agissant du CDC, cet Accord multilatéral entre autorités compétentes (l’« AMAC CDC »), qui se fonde sur l’article 6 de la Convention, définit les modalités détaillées des échanges qui ont lieu chaque année de façon automatique.
4. L’AMAC CDC comprend les éléments suivants :
Une déclaration qui doit être signée par l’Autorité compétente de la Juridiction ou son représentant désigné en vue de devenir signataire de l’AMAC CDC ;
Un préambule énonçant l’objet de l’AMAC CDC et comprenant les règles nationales en matière de déclaration et de diligence raisonnable qui sous-tendent l’échange de renseignements en vertu de l’AMAC CDC, ainsi que les déclarations relatives à la confidentialité, à la protection des données et à l’existence des infrastructures nécessaires ;
Huit sections qui contiennent les dispositions convenues de l’AMAC CDC : la section 1 traite des définitions, la section 2 détermine les éléments d’information à échanger, la section 3 porte sur le calendrier et les modalités des échanges, la section 4 sur la collaboration en matière d’application et de mise en œuvre, et la section 5 sur les règles de confidentialité et de protection des données qui doivent être respectées. Les sections 6, 7 et 8 traitent des consultations entre les Autorités compétentes, des modifications apportées à l’AMAC CDC et à ses conditions générales, notamment l’activation des relations d’échange par la soumission de notifications, la suspension, la résiliation et la dénonciation, ainsi que le rôle du Secrétariat de l’Organe de coordination ;
Sept notifications que le paragraphe 1 de la section 7 impose pour que l’AMAC CDC prenne effet à l’égard d’une Autorité compétente.
5. L’AMAC CDC est un accord multilatéral fondé sur le principe selon lequel l’échange automatique est réciproque et sera effectué sur une base bilatérale. Dans certains cas, les Autorités compétentes peuvent souhaiter nouer une relation d’échange bilatérale non réciproque (par exemple, lorsqu’une Juridiction n’applique pas d’impôt sur le revenu), ce qui doit être confirmé dans une notification adressée en vertu de la section 7(1)(b).
6. En lieu et place de l’AMAC CDC, les Juridictions peuvent établir des relations d’échange automatique au moyen d’accords bilatéraux entre autorités compétentes fondés sur des conventions bilatérales de double imposition ou sur des accords d’échange de renseignements fiscaux qui autorisent l’échange automatique de renseignements, ou de la Convention concernant l’assistance administrative mutuelle en matière fiscale. Les juridictions peuvent également conclure un accord intergouvernemental autonome ou s’appuyer sur une législation régionale couvrant à la fois les obligations déclaratives, les procédures de diligence raisonnable et les modalités d’échange de renseignements.
1. Pour devenir signataire de l’AMAC CDC, l’Autorité compétente de la Juridiction ou son représentant désigné doit signer la Déclaration et la transmettre, accompagnée du texte de l’AMAC CDC, au Secrétariat de l’Organe de coordination.
2. L’AMAC CDC ne prend effet à l’égard d’une autre Autorité compétente que lorsque les deux Autorités compétentes ont signé la Déclaration, ont soumis au Secrétariat de l’Organe de coordination toutes les notifications y afférentes conformément à la section 7(1) et se sont inscrites mutuellement sur la liste des Juridictions avec lesquelles elles souhaitent échanger des informations dans la notification adressée conformément à l’alinéa 1g) de la section 7.
1. Le préambule (les « considérants ») définit le contexte, expose l’objet de l’AMAC CDC et contient des déclarations des signataires.
2. Le premier paragraphe confirme que les Juridictions des signataires de l’AMAC CDC sont Parties à la Convention ou sont des territoires couverts par celle-ci, condition préalable à la signature de l’AMAC CDC.
3. Les deuxième et troisième paragraphes servent d’introduction et précisent que l’objet de l’AMAC CDC est de lutter contre l’évasion et la fraude fiscales et d’améliorer la discipline fiscale.
4. Au quatrième paragraphe, les Autorités compétentes déclarent que la législation de leurs Juridictions respectives impose ou est censée imposer aux Prestataires de services sur Crypto-actifs déclarants de communiquer des informations concernant les Crypto-actifs concernés, conformément à la portée des échanges définie à la section 2. Les formulations employées dans ce paragraphe permettent aux Autorités compétentes qui le souhaitent de conclure l’AMAC CDC avant même que leur Juridiction ait mis en place les règles de déclaration et de diligence raisonnable pertinentes.
5. Le cinquième paragraphe prévoit que les modifications futures du Cadre de déclaration des Crypto-actifs devront se refléter dans le droit interne des Juridictions et qu’une fois ces modifications promulguées par une Juridiction, l’expression « Cadre de déclaration des Crypto-actifs » sera réputée faire référence à la version modifiée pour cette Juridiction.
6. Le sixième paragraphe définit la base juridique qui autorise l’échange automatique de renseignements et qui autorise les Autorités compétentes à définir les procédures à appliquer à ces échanges automatiques. La portée ainsi définie doit être cohérente avec celle de l’échange visée à la section 2.
7. Le septième paragraphe précise que si la Convention autorise deux Parties ou plus à convenir mutuellement d’échanger automatiquement certains renseignements, l’échange effectif de renseignements se fait sur une base bilatérale (c’est-à-dire de l’Autorité compétente émettrice à l’Autorité compétente destinataire).
8. Le huitième paragraphe contient des déclarations des Autorités compétentes indiquant que leur Juridiction a mis en place (i) les protections adéquates pour faire en sorte que les renseignements reçus restent confidentiels, et (ii) les infrastructures nécessaires à l’effectivité de la relation d’échange.
9. Le neuvième paragraphe réaffirme l’objet de l’AMAC CDC, à savoir améliorer le respect des obligations fiscales à l’échelle internationale en ce qui concerne les Crypto-actifs concernés. Il précise également que l’application de l’AMAC CDC peut être conditionnée à l’accomplissement des procédures législatives nationales (par exemple, l’approbation par le Parlement et/ou l’organisation d’un référendum) et réaffirme que la conclusion de l’AMAC CDC est subordonnée à l’observance, par les Parties, des principes de confidentialité, des mesures en matière de protection des données et d’autres garanties, y compris de la restriction, prévue par la Convention, de l’utilisation des renseignements échangés.
Paragraphe 1 — Définitions
1. L’alinéa 1a) définit les Juridictions des Autorités compétentes ayant signé l’AMAC CDC et désigne un pays ou un territoire pour lequel la Convention est en vigueur (Convention initiale) ou a pris effet (dans le cas de la Convention modifiée), par ratification ou par extension territoriale.
2. La définition de l’expression « Autorité compétente », figurant à l’alinéa 1b), désigne les personnes et autorités énumérées à l’Annexe B de la Convention.
3. La définition de l’expression « Cadre de déclaration des Crypto-actifs », figurant à l’alinéa 1c), désigne le cadre international régissant l’échange automatique de renseignements relatifs aux cryptoactifs (qui comprend les Commentaires) élaboré par l’OCDE en collaboration avec les pays du G20.
4. Il est possible que le CDC, y compris les modalités informatiques, telles que le schéma XML, soit périodiquement mis à jour à mesure que de nouvelles Juridictions l’appliqueront et acquerront une expérience correspondante. En outre, dans le contexte de l’AMAC CDC, les Autorités compétentes peuvent apposer leur signature à des dates différentes et, de ce fait, le CDC peut avoir été mis à jour dans l’intervalle. À cet égard, pour indiquer clairement que toutes les Juridictions seront tenues d’appliquer la version la plus récente du CDC aux Prestataires de services sur Crypto-actifs déclarants soumis aux obligations de déclaration et de diligence raisonnable dans leur Juridiction, le cinquième considérant dispose que « la législation des Juridictions sera périodiquement modifiée afin de tenir compte des mises à jour du Cadre de déclaration des Crypto-actifs, et qu’une fois ces modifications promulguées par une Juridiction, la définition de « l’expression "Cadre de déclaration des Crypto-actifs" sera réputée faire référence à la version mise à jour pour cette Juridiction ».
5. La définition de l’expression « Secrétariat de l’Organe de coordination », figurant à l’alinéa 1d), désigne le Secrétariat de l’OCDE qui, conformément au paragraphe 3 de l’article 24 de la Convention, appuie l’Organe de coordination, qui est composé de représentants des Autorités compétentes des Parties à la Convention.
6. Conformément à l’alinéa 1e), l’AMAC CDC est un « Accord qui a pris effet », pour deux Autorités compétentes, si elles se sont inscrites mutuellement sur leur liste des Juridictions avec lesquelles elles souhaitent échanger des informations (notification en vertu de l’alinéa 1g) de la section 7) et ont rempli les autres conditions énoncées au paragraphe 2 de la section 7. La liste des Autorités compétentes pour lesquelles l’AMAC CDC a pris effet sera publiée sur le site Internet de l’OCDE.
Paragraphe 2 — Règle générale d’interprétation
7. Le paragraphe 2 définit la règle générale d’interprétation. La première phrase du paragraphe 2 précise que tout terme en majuscule utilisé dans l’AMAC CDC mais qui n’y est pas défini doit être interprété rigoureusement selon le sens que lui attribue le CDC.
8. La deuxième phrase du paragraphe 2 dispose que, sauf si le contexte exige une interprétation différente ou si les Autorités compétentes s’entendent sur une signification commune, tout terme qui n’est pas défini dans l’AMAC CDC ou dans le CDC aura le sens que lui attribue au moment considéré la législation de la Juridiction qui applique l’AMAC CDC. À cet égard, toute définition figurant dans la législation fiscale applicable de cette Juridiction l’emportera sur une définition contenue dans une autre législation de la même Juridiction. En outre, lorsqu’elles examinent le contexte, les Autorités compétentes doivent tenir compte des Commentaires sur le CDC.
1. Le paragraphe 1 expose la base juridique sur laquelle se fonde l’échange et indique que les renseignements seront échangés sur une base annuelle. Ils peuvent aussi l’être plus fréquemment. Par exemple, lorsqu’une Autorité compétente reçoit des données corrigées d’un Prestataire de services sur Crypto-actifs déclarant, ces renseignements sont généralement transmis à l’autre Autorité compétente le plus rapidement possible. Les renseignements à échanger sont ceux obtenus en vertu de la section II du CDC et sont précisés plus avant au paragraphe 3.
2. Le paragraphe 1 précise en outre que l’échange de renseignements est soumis aux règles de déclaration et de diligence raisonnable applicables en vertu du CDC. Ainsi, lorsque ces règles n’exigent pas la communication, par exemple, d’un NIF ou d’une date de naissance concernant une Personne devant faire l’objet d’une déclaration en particulier, l’échange de ce renseignement n’est pas obligatoire.
3. Le paragraphe 2 décrit les obligations applicables aux Juridictions ayant indiqué qu’elles doivent être inscrites sur la liste des Juridictions pour lesquelles il n’y a pas de réciprocité sur la base d’une notification adressée conformément à l’alinéa 1b) de la section 7. Ces Juridictions transmettront, mais ne recevront pas, les renseignements visés au paragraphe 3. À l’inverse, les Juridictions qui ne figurent pas sur cette liste recevront les renseignements visés au paragraphe 3 de la part des Juridictions pour lesquelles il n’y a pas de réciprocité, mais ne les leur transmettront pas.
4. Le paragraphe 3 énumère les renseignements qui doivent être échangés concernant chaque Personne devant faire l’objet d’une déclaration d’une autre Juridiction. Pour toutes les catégories de déclaration visées aux points (3)(c)(ii) à (3)(c)(ix) de la section 2, le CDC impose l’agrégation, c’est-à-dire la somme, de toutes les Transactions concernées attribuables à chaque catégorie de déclaration pour chaque type de Crypto-actif concerné, telle que convertie et valorisée conformément aux paragraphes D et E de la section II du CDC et aux paragraphes 33 à 41 des Commentaires sur la section II.
Paragraphe 1 — Calendrier des échanges de renseignements
1. Le paragraphe 1 dispose que les renseignements visés à la section 2 doivent être échangés dans les neuf mois qui suivent la fin de l’année civile à laquelle ils se rapportent. La première année concernée par l’échange de renseignements est celle indiquée par l’Autorité compétente signataire dans sa notification adressée conformément à l’alinéa 1a) de la section 7, dans laquelle elle confirme que sa Juridiction a mis en place la législation d’application requise. Le délai de neuf mois envisagé au paragraphe 1 est une norme minimale et les Juridictions sont libres d’échanger des renseignements avant son échéance.
2. Le paragraphe 1 dispose en outre que, nonobstant l’année indiquée par les Autorités compétentes dans leur notification, en vertu de la section 7(1)(a), comme celle au titre de laquelle le premier échange aura lieu, l’obligation d’échanger les renseignements pour une année civile s’applique uniquement si les deux Juridictions sont dotées d’une législation donnant effet au CDC au titre de cette année civile. Une Juridiction peut toutefois choisir, dans la mesure où sa législation interne le permet, d’échanger avec une autre Juridiction des renseignements se rapportant à certaines années (antérieures) si elle a donné effet au CDC et si l’AMAC CDC a pris effet à l’égard de l’Autorité compétente de cette Juridiction.
3. L’exemple suivant illustre l’application de la dernière phrase du paragraphe 1. Les Juridictions A et B ont signé l’AMAC CDC. Le 7 juin 2025, la Juridiction A adresse les notifications prévues à la section 7(1), indiquant que sa législation exige désormais la communication de renseignements se rapportant à l’année 2026. Le 1er novembre 2025, la Juridiction B adresse ses notifications, indiquant que sa législation lui permet désormais de communiquer des renseignements se rapportant à l’année 2027. En pareil cas, la dernière phrase du paragraphe 1 aura pour effet que la Juridiction A n’est pas tenue d’échanger des renseignements se rapportant à l’année 2016. Les Juridictions A et B seront tenues d’échanger des renseignements portant sur l’année 2027. Toutefois, la Juridiction A peut choisir, dans la mesure où son droit interne le permet, de transmettre à la Juridiction B des renseignements portant sur l’année 2026, même si la Juridiction A ne recevra pas de renseignements pour cette même année.
Paragraphes 2 et 3 — Modalités relatives aux technologies de l’information
Schéma du CDC et guide de l’utilisateur
4. Le paragraphe 2 dispose que les Autorités compétentes échangeront automatiquement les renseignements décrits à la section 2 selon un schéma commun en langage XML, le schéma XML du CDC.
Transmission de données et cryptage
5. Le paragraphe 3 prévoit que les Autorités compétentes transmettent les renseignements par l’intermédiaire du Système commun de transmission de l’OCDE, le système de transmission sécurisé mis au point conjointement et utilisé par les Autorités compétentes du monde entier pour la transmission de renseignements fiscaux confidentiels. Les informations doivent en outre être préparées et cryptées conformément aux normes convenues internationalement les plus récentes.
6. Les Autorités compétentes peuvent aussi utiliser une autre méthode de transmission des données précisée dans la notification qu’elles adressent conformément à l’alinéa 1d) de la section 7. Toute autre méthode de transmission doit satisfaire à des normes de sécurité, de cryptage et de préparation des fichiers équivalentes à celles applicables au Système commun de transmission de l’OCDE, afin que la confidentialité et l’intégrité des données soient assurées tout au long de la transmission, de sorte que les données ne soient en aucun cas accessibles ou communiquées à des personnes non autorisées, ni modifiées ou altérées de manière non autorisée.
7. Une méthode de chiffrement très utilisée pour échanger des informations est la cryptographie asymétrique, avec une clé publique et une clé privée. La cryptographie à clé publique est pratiquée depuis plusieurs décennies et permet aux parties d’échanger des données cryptées sans qu’il faille communiquer de clé secrète à l’avance. L’expéditeur crypte le fichier de données à l’aide d’une clé publique, et seul le destinataire possède la clé privée sécurisée nécessaire pour le décrypter. Il existe des normes internationales régissant la longueur de la clé de chiffrement utilisée pour assurer le niveau de sécurité approprié pour des données financières personnelles, tant actuellement que pour un avenir prévisible, par exemple la norme « advanced encryption standard » (AES 256).
1. La section 4 expose les attentes relatives à la collaboration entre les Autorités compétentes en matière d’application et de mise en œuvre de l’AMAC CDC. Elle dispose que si une Autorité compétente a des raisons de croire qu’une erreur peut avoir eu pour conséquence la communication de renseignements erronés ou incomplets ou qu’un Prestataire de services sur Crypto-actifs déclarant ne respecte pas les obligations déclaratives en vigueur, elle doit en notifier l’autre Autorité compétente. L’Autorité compétente ainsi informée est censée appliquer toutes les dispositions appropriées de son droit interne pour corriger ces erreurs ou remédier aux manquements décrits dans la notification. Ce cas de figure comprend les situations dans lesquelles une Personne devant faire l’objet d’une déclaration invoque les droits de la personne concernée à faire corriger ou supprimer des données incorrectes la concernant. Avant de transmettre une notification formelle, les Autorités compétentes devraient envisager de se consulter de manière informelle au sujet des erreurs ou des cas de non-conformité recensés. Voir les Commentaires sur la section V du CDC concernant les règles et procédures administratives que les Juridictions doivent mettre en place pour garantir une mise en œuvre effective du CDC.
2. La notification doit indiquer clairement l’erreur ou le manquement en cause, ainsi que les raisons pour lesquelles l’Autorité compétente pense qu’ils se sont produits. L’Autorité compétente notifiée doit répondre ou réagir le plus rapidement possible, au plus tard 90 jours civils après avoir été notifiée par l’autre Autorité compétente. Si le problème n’est pas résolu, l’Autorité compétente notifiée doit tenir l’autre autorité compétente informée tous les 90 jours. Si toutefois, après avoir examiné la notification en toute bonne foi, l’Autorité compétente notifiée ne reconnaît pas l’existence de l’erreur ou du manquement, elle doit en aviser par écrit l’autre Autorité compétente le plus rapidement possible et préciser ses raisons.
1. La confidentialité des renseignements sur les contribuables a toujours été la pierre angulaire des systèmes fiscaux et de l’échange international de renseignements fiscaux. Les Juridictions sont juridiquement tenues faire en sorte que les données échangées demeurent confidentielles et soient utilisées conformément aux dispositions de l’accord en vertu duquel elles ont été échangées. Pour qu’ils aient confiance en leurs systèmes fiscaux et respectent la loi, les contribuables doivent avoir l’assurance que les informations financières ne seront pas divulguées de façon inopportune, ni intentionnellement ni par accident. Les contribuables et les États n’auront confiance dans l’échange international de renseignements que si les données sont utilisées et divulguées exclusivement selon les termes de l’accord sur lequel se fonde cet échange. Il est nécessaire pour cela de disposer d’un cadre juridique et de systèmes et procédures qui garantissent son respect dans la pratique et empêchent toute divulgation ou utilisation non autorisée. La capacité de protéger la confidentialité des renseignements fiscaux est également le fruit d’une « culture de l’attention » au sein de l’administration fiscale, qui englobe l’ensemble des systèmes, procédures et processus propres à garantir que le cadre juridique est respecté en pratique et que la sécurité et l’intégrité des informations sont assurées lorsque celles-ci sont traitées. À mesure que l’administration fiscale gagne en complexité, les processus et pratiques nécessaires à la confidentialité doivent évoluer pour que les renseignements échangés restent confidentiels et soient utilisés de façon appropriée. À cet égard, plusieurs juridictions sont dotées de règles spécifiques en matière de protection des données personnelles et des droits des personnes concernées qui s’appliquent aussi aux renseignements sur les contribuables.
2. La section 5, la section 7 et les déclarations figurant dans le huitième considérant du préambule reconnaissent expressément l’importance de la confidentialité et de la protection des données en lien avec l’échange automatique de renseignements en vertu de l’AMAC CDC. Les Commentaires sur cette section passent succinctement en revue les paragraphes 1 et 2 avant de décrire en détail l’approche de la confidentialité et de la protection des données en lien avec le CDC.
Paragraphe 1 — Confidentialité et protection des données personnelles
3. Tous les renseignements échangés en vertu de l’AMAC CDC sont soumis aux règles de confidentialité et aux autres protections prévues par la Convention. Cela inclut les restrictions fondées sur l’usage qui peut être fait de ces renseignements et les personnes qui peuvent en être destinataires. En particulier, l’article 22 de la Convention indique que les renseignements échangés avec une Partie ne sont communiqués qu’aux personnes ou autorités concernées par l’établissement, la perception ou le recouvrement des impôts de cette Partie, par les procédures ou les poursuites pénales concernant ces impôts, ou par les décisions sur les recours se rapportant à ces impôts, et que la Partie ne peut utiliser ces renseignements qu’à ces fins.
4. De nombreuses Juridictions ont mis en place des règles spécifiques en matière de protection des données personnelles et des droits des personnes concernées qui s’appliquent aux renseignements sur les contribuables. Par exemple, des règles spéciales relatives à la protection des données s’appliquent aux informations échangées par les États membres de l’UE (que le destinataire soit un autre État membre de l’UE ou un pays tiers)1. Ces règles incluent notamment le droit d’information, d’accès, de correction et de recours de la personne concernée par l’échange de données, et l’existence d’un mécanisme de surveillance destiné à protéger les droits de cette personne.
5. Le paragraphe 1 de l’article 22 du texte amendé de la Convention dispose que « les renseignements obtenus par une Partie [...] sont tenus [...] en tant que de besoin pour assurer le niveau nécessaire de protection des données à caractère personnel, conformément aux garanties qui peuvent être spécifiées par la Partie fournissant les renseignements comme étant requises au titre de sa législation ». Dans ce contexte, le paragraphe 1 de la section 5 prévoit que l’Autorité compétente qui fournit les données peut préciser quelles sont ces garanties dans une notification adressée conformément à l’alinéa 1e) de la section 7. L’Autorité compétente qui reçoit les renseignements confirme dans sa notification adressée conformément à l’alinéa 1g) de la section 7 (juridictions avec qui elle souhaite échanger des informations) que sa Juridiction se conforme aux exigences précisées par les Autorités compétentes sélectionnées en tant que juridictions avec qui elle souhaite échanger des informations. Elle doit traiter ces renseignements conformément à son droit interne, mais également dans le respect des dispositions supplémentaires qui peuvent être exigées pour protéger les données en vertu du droit interne de l’Autorité compétente qui transfère l’information. Ces dispositions supplémentaires, telles que définies par l’Autorité compétente qui communique les renseignements, peuvent se référer à l’accès individuel aux données, à la correction, à la suppression ou au droit de recours. L’Autorité compétente qui communique les renseignements ne spécifiera pas nécessairement des dispositions de protection particulières si elle a l’assurance que l’Autorité compétente destinataire garantit le niveau requis de protection des données communiquées. En tout état de cause, ces dispositions ne doivent pas aller au-delà de ce qui est nécessaire pour assurer la protection des données personnelles et ne doivent pas empêcher ou retarder indûment l’échange effectif de renseignements, compte tenu de l’intérêt considérable que revêt pour le public l’échange de renseignements en matière fiscale.
6. En règle générale, les instruments relatifs à l’échange de renseignements, y compris l’article 21 de la Convention, disposent que la communication de renseignements à une autre juridiction n’est pas obligatoire si elle devait être contraire à l’ordre public de la juridiction qui les fournit. Ce cas de figure survient rarement dans le contexte de l’échange de renseignements entre Autorités compétentes, mais certaines juridictions peuvent, par exemple, demander à leurs Autorités compétentes de spécifier que les renseignements communiqués ne doivent pas être utilisés ou divulgués dans le cadre de procédures susceptibles d’aboutir à la prononciation ou l’exécution de la peine de mort, d’actes de torture ou d’autres violations graves des droits de l’homme (lorsque par exemple les enquêtes fiscales sont motivées par des persécutions politiques, raciales ou religieuses) dans le cas où un tel échange serait contraire à l’ordre public de la juridiction qui fournit les renseignements.
Paragraphe 2 — Violation de la confidentialité
7. Il est essentiel d’assurer en permanence la confidentialité des renseignements reçus en vertu de l’instrument juridique applicable. Le paragraphe 2 de la section 5 dispose qu’en cas de violation de l’obligation de confidentialité ou des dispositions relatives à la protection des données dans la Juridiction (y compris des dispositions supplémentaires spécifiées par l’Autorité compétente qui fournit les renseignements), l’Autorité compétente de cette Juridiction doit en informer immédiatement le Secrétariat de l’Organe de coordination et lui notifier toute sanction ou action corrective qui en résulte. Le contenu de cette notification doit respecter les règles de confidentialité et être conforme au droit interne de la Juridiction dans laquelle la violation ou le manquement se sont produits. En outre, la section 7 indique expressément que le non-respect des obligations de confidentialité et des dispositions relatives à la protection des données (y compris des dispositions supplémentaires spécifiées par l’Autorité compétente qui fournit les renseignements) serait considéré comme un manquement grave et un motif de suspension immédiate de l’AMAC CDC.
Garantir en permanence le respect des exigences en matière de confidentialité et de protection des données
8. Trois éléments sont essentiels pour garantir l’existence de dispositions adéquates pour protéger les renseignements échangés automatiquement : (i) un cadre juridique qui garantisse la confidentialité et le bon usage des renseignements échangés, dans le respect des instruments juridiques internationaux ; (ii) un système de gestion de la sécurité de l’information (GSI) qui soit conforme aux normes ou aux bonnes pratiques reconnues à l’échelle internationale ; et (iii) des dispositions contraignantes et des processus applicables en cas de non-respect des obligations de confidentialité et de mauvais usage des renseignements.
Cadre juridique
9. Le cadre juridique interne des juridictions devrait contenir des dispositions suffisantes pour protéger la confidentialité des renseignements des contribuables, y compris des renseignements échangés, et définir les circonstances spécifiques et limitées dans lesquelles ces renseignements peuvent être divulgués et utilisés, ces circonstances étant conformes, s’agissant des renseignements échangés, aux termes de l’instrument d’échange international applicable (bilatéral ou multilatéral) en vertu duquel l’échange a eu lieu.
Système de gestion de la sécurité de l’information (GSI)
10. Les administrations fiscales qui sont autorisées à accéder aux renseignements échangés conformément au paragraphe 2 de l’article 22 de la Convention ou à des dispositions équivalentes prévues par d’autres accords internationaux d’échange (ci-après les « organisations concernées ») doivent être dotées d’une politique et de systèmes de GSI qui garantissent que les renseignements seront utilisés uniquement aux fins spécifiées et qui empêchent leur transmission à des personnes non autorisées. Un système de GSI désigne une série de dispositions en matière de gouvernance, de politiques, de procédures et de pratiques en matière de gestion des risques de sécurité, y compris les risques informatiques. Les systèmes de GSI doivent être conformes aux normes ou aux bonnes pratiques reconnues à l’échelle internationale.
11. Les normes ou bonnes pratiques reconnues à l’échelle internationale désignent la série ISO/CEI 27000, publiée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI), qui énoncent les bonnes pratiques en matière de gestion de la sécurité de l’information, de risques et de contrôles dans le contexte d’un système global de GSI.
12. Les organisations concernées doivent satisfaire aux exigences de GSI dans leur système de GSI global, dans leur mise en œuvre de divers contrôles de sécurité et dans leur cadre opérationnel pour tester l’efficacité de ces contrôles, comme suit :
13. Concernant le système global de GIS, les organisations concernées doivent :
Afficher une compréhension claire du cycle de vie des renseignements échangés au sein de l’organisation, et s’engager à protéger la confidentialité de ces renseignements et à en faire une utilisation appropriée ;
Gérer la sécurité de l’information au moyen d’une politique écrite de sécurité de l’information faisant partie d’un cadre de sécurité global qui définisse clairement les rôles et les responsabilités en matière de sécurité, qui relève de la responsabilité de l’encadrement supérieur et qui soit tenue à jour ;
Traiter la sécurité de l’information, notamment au niveau informatique, par le biais de dispositions opérationnelles appropriées et en tant que partie intégrante de la gestion des processus opérationnels pertinents ;
Gérer systématiquement leurs risques en matière de sécurité de l’information, en tenant compte des menaces, des vulnérabilités et des impacts ; et
Prendre les dispositions appropriées pour gérer et maintenir la continuité des activités.
14. En matière de contrôles des ressources humaines, les organisations concernées doivent :
Veiller à ce que les rôles et les responsabilités des employés et des sous-traitants en matière de sécurité soient définis, documentés et clairement communiqués en termes d’engagement, et revus régulièrement conformément à la politique de sécurité de l’information (cela devrait inclure les accords de confidentialité et de non-divulgation) ;
Procéder à une vérification des antécédents en examinant de manière appropriée tous les candidats à un emploi, les employés et les contractants, conformément aux bonnes pratiques acceptées et aux risques perçus ;
Veiller à ce que tous les employés et sous-traitants soient sensibilisés et reçoivent des formations régulières et actualisées à la sécurité. Les employés et les sous-traitants exerçant des fonctions sensibles se doivent par ailleurs de recevoir des orientations supplémentaires concernant le traitement de contenus plus sensibles ;
S’assurer que les employés appliquent les politiques et procédures de sécurité ; et
Disposer de politiques et de processus en matière de ressources humaines relatifs à la fin de l’engagement qui permettent de protéger les renseignements sensibles.
15. S’agissant des contrôles d’accès physiques et logiques, les organisations concernées doivent :
Avoir une politique de contrôle des accès physiques sous la responsabilité de l’encadrement supérieur ;
Protéger de manière adéquate les locaux physiques et disposer de périmètres de sécurité internes et externes correctement définis ;
Avoir une politique de contrôle d’accès logique sous la responsabilité de l’encadrement supérieur et qui soit axée sur les principes du « besoin de savoir » et de l’«accès le moins privilégié » ; et
Disposer de politiques, de processus et de procédures sous la responsabilité de l’encadrement supérieur et pas uniquement pour la fonction informatique de l’organisation, régissant l’accès logique et la mise en place de processus efficaces de mise à disposition et d’audit de l’accès logique ainsi que d’identification et d’authentification des utilisateurs.
16. S’agissant de la sécurité du système informatique, les organisations concernées doivent :
Faire de la sécurité une partie intégrante de la fourniture de services informatiques, avoir un plan de sécurité pour les applications et harmoniser leurs systèmes en termes de sécurité ;
Gérer de manière appropriée la prestation de services des fournisseurs ; et
Assurer la continuité des services informatiques sur la base d’accords sur le niveau de service.
17. S’agissant de la protection des renseignements, les organisations concernées doivent :
Gérer efficacement les informations conformément à un ensemble de politiques et de procédures tout au long du cycle de vie de la gestion de l’information (notamment en ce qui concerne la dénomination, la classification, le traitement, le stockage, le suivi, l’audit et la destruction des documents ; ainsi que pour les dispositifs et supports contenant des renseignements) ; et
Mettre en place des processus pour les renseignements reçus d’autres autorités compétentes afin de garantir le respect des obligations découlant d’accords d’échange internationaux, pour éviter, notamment, toute confusion avec d’autres renseignements.
18. S’agissant du cadre de gestion des opérations, comprenant la gestion des incidents, la gestion du changement, le suivi et l’audit, les organisations concernées doivent :
Connaître les contrôles qui protègent les renseignements échangés et disposer de plans appropriés pour les gérer.
Mettre en place des dispositifs appropriés de suivi et de journalisation, notamment pour détecter tout accès, utilisation ou divulgation non autorisé de renseignements ;
Disposer de processus et de procédures pour l’identification et la gestion des vulnérabilités connues ;
Avoir un processus de gestion du changement, avec une sécurité intégrée ;
Disposer d’un système de gestion des incidents couvrant tous les types d’incidents de sécurité ; et
Dispositions contraignantes et processus applicables en cas de non-respect des obligations de confidentialité
19. Les juridictions doivent prévoir dans leur cadre juridique des pénalités et/ou des sanctions en cas de violation des règles de confidentialité et de protection des données afin d’en garantir le respect. Les cadres juridiques et de GSI doivent être renforcés par des règles administratives, des ressources et des procédures adéquates telles que la capacité de traiter les infractions présumées ou réelles et de prendre des mesures correctives. Il devrait également y avoir des modifications de processus pour atténuer les risques et prévenir les violations futures.
20. Le cadre juridique interne des juridictions devrait notamment permettre l’application de pénalités et/ou de sanctions raisonnables et appropriées en cas de divulgation ou d’utilisation abusive des renseignements sur les contribuables, notamment des renseignements échangés, en tenant dûment compte des pénalités ou sanctions administratives, civiles et pénales.
21. En outre, les juridictions doivent :
Avoir des processus à suivre en cas d’accès, d’utilisation ou de divulgation non autorisés, suspectés ou avérés, qui devraient garantir que ces infractions soient signalées et fassent l’objet d’une enquête ;
Avec l’aide des ressources, des processus et des procédures administratifs adéquats, garantir que des mesures correctives sont prises lorsque les faits ont été identifiés, et que les pénalités ou sanctions appropriées sont appliquées à l’encontre des employés, sous-traitants ou autres personnes qui enfreignent les règles de confidentialité et les politiques ou procédures de sécurité, pour ainsi dissuader d’autres de se livrer à des violations similaires.
Appliquer des procédures pour notifier les autres Autorités compétentes des violations de la confidentialité ou des manquements à la protection des données, ainsi que des sanctions et des mesures correctives prises en conséquence ; et
Examiner les processus de suivi et de sanction en cas de non-conformité, l’encadrement supérieur devant veiller à ce que les changements recommandés soient mis en œuvre dans la pratique.
Paragraphe 1 — Consultations
1. Ce paragraphe dispose qu’en cas de difficulté dans l’application ou l’interprétation du présent AMAC CDC, chaque Autorité compétente peut solliciter des consultations en vue d’élaborer des mesures appropriées pour garantir l’exécution de l’AMAC CDC. Des consultations peuvent également se tenir en vue d’analyser la qualité des renseignements reçus.
2. Les Autorités compétentes peuvent communiquer entre elles en vue de parvenir à un accord sur les mesures appropriées pour garantir l’exécution de l’AMAC CDC. Le Secrétariat de l’Organe de coordination informera l’ensemble des Autorités compétentes, y compris celles qui n’ont pas participé aux consultations, de toute mesure prise pour garantir l’exécution de l’AMAC CDC.
Paragraphe 2 — Modifications
3. Ce paragraphe précise que l’AMAC CDC peut être modifié par consentement écrit des Autorités compétentes. Sauf disposition contraire entre les Autorités compétentes, une telle modification prend effet le premier jour du mois suivant l’expiration d’une période d’un mois après la date de la dernière signature d’un tel accord écrit.
Paragraphe 1 — Notifications
1. Le paragraphe 1 décrit les notifications que, au moment de la signature de l’AMAC CDC ou le plus rapidement possible par la suite, une Autorité compétente doit communiquer au Secrétariat de l’Organe de coordination avant que l’AMAC CDC puisse prendre effet à l’égard d’une autre Autorité compétente :
La notification visée à l’alinéa 1a) confirme que la Juridiction a mis en place la législation nécessaire à la mise en œuvre du CDC et précise les dates pertinentes aux fins de l’application de cette législation. Il pourrait notamment y être précisées les exigences qui, en vertu des procédures législatives nationales, pourraient nécessiter l’application provisoire de l’AMAC CDC pendant une période limitée. Il conviendrait de mentionner dans cette notification l’état d’avancement des procédures législatives nationales, les raisons de l’application provisoire ainsi que sa durée, qui ne devrait en aucun cas aller au-delà de la fin de la première période de déclaration. Cette notification doit fournir l’assurance que la législation de la Juridiction garantit que les exigences en matière de déclaration et de diligence raisonnable visées par le CDC seront satisfaites pour tous les Prestataires de services sur Crypto-actifs déclarants qui sont soumis à ces exigences dans la Juridiction conformément à la section I du Cadre de déclaration, notamment en incluant des références spécifiques à la législation applicable qui garantit le respect de ces exigences ;
La notification visée à l’alinéa 1b) confirme si la Juridiction doit figurer sur la liste des juridictions pour lesquelles il y a réciprocité ou sur la liste des juridictions pour lesquelles il n’y a pas de réciprocité (par exemple, parce que la juridiction n’a pas de système d’imposition directe ou que l’Autorité compétente de la Juridiction n’atteint pas le niveau requis de confidentialité et de protection des données). Bien qu’une Juridiction pour laquelle il n’y a pas de réciprocité soit tenue de communiquer les informations prévues à la section 2, elle ne recevrait pas d’informations d’autres Autorités compétentes. Une Autorité compétente devrait déposer sa notification d’intention de non-réciprocité même si elle n’est que temporaire (par exemple, dans l’attente d’une évaluation de ses mesures de confidentialité et de protection des données) ;
La notification visée à l’alinéa 1c) prévoit une déclaration de l’Autorité compétente demandant aux autres Autorités compétentes l’autorisation d’utiliser les renseignements reçus en vertu de l’AMAC CDC aux fins de l’établissement, de la perception ou du recouvrement des impôts, des procédures ou poursuites pénales concernant ces impôts ou des décisions sur les recours se rapportant à ces impôts, au titre desquels sa Juridiction a formulé une réserve conformément à l’alinéa 1(a) de l’article 30 de la Convention. L’Autorité compétente requérante doit préciser ces impôts et confirmer que l’utilisation des renseignements sera conforme aux dispositions de la Convention. L’autre Autorité compétente doit consentir explicitement à cette utilisation lorsqu’elle inscrit l’Autorité compétente requérante en tant que juridiction avec qui elle souhaite échanger des informations dans la notification prévue à l’alinéa 1g) ;
Dans la quatrième notification prévue à l’alinéa 1d), l’Autorité compétente doit indiquer si elle souhaite utiliser une ou plusieurs méthodes de transmission des données et de cryptage autres que le Système commun de transmission de l’OCDE, ainsi que les méthodes de préparation et de cryptage des fichiers correspondantes ;
La notification visée à l’alinéa 1e) indique que la Juridiction doit préciser les exigences éventuelles en matière de protection des données à caractère personnel qui doivent être respectées par la Juridiction destinataire s’agissant des renseignements qu’elle envoie aux Autorités compétentes de ces Juridictions, outre les règles de confidentialité et d’utilisation limitée contenues à l’article 22 de la Convention. Cela permet à l’Autorité compétente émettrice de conditionner l’envoi de tout renseignement à la confirmation de l’existence de protections adéquates dans la Juridiction destinataire. L’autre Autorité compétente doit consentir explicitement à ces mesures de protection lorsqu’elle inscrit l’Autorité compétente expéditrice en tant que juridiction avec qui elle souhaite échanger des informations dans la notification prévue à l’alinéa 1g). Au titre de cette notification, une Autorité compétente peut aussi se contenter d’indiquer qu’elle ne souhaite pas fixer d’exigences supplémentaires en matière de protection des données ;
La notification visée à l’alinéa 1f) prévoit que les Juridictions doivent confirmer qu’elles ont mis en place les mesures adéquates pour assurer la confidentialité requise et que les normes de protection des données indiquées à la section 5 sont respectées. Cela peut être confirmé en se référant au rapport concernant la confidentialité et la protection des données de la Juridiction, tel qu’adopté par le Forum mondial sur la transparence et l’échange de renseignements à des fins fiscales ;
Enfin, selon la notification visée à l’alinéa 1g), l’Autorité compétente doit fournir une liste des Juridictions des Autorités compétentes à l’égard desquelles elle a l’intention que le présent AMAC CDC prenne effet, conformément aux procédures législatives nationales (le cas échéant). Lorsqu’elle ajoute une Juridiction à cette liste, elle s’engage aussi à respecter les exigences en matière de protection des données notifiées par l’Autorité compétente de cette Juridiction conformément à l’alinéa 1e). En outre, le cas échéant, l’Autorité compétente peut préciser dans cette notification si elle accepte que les renseignements qu’elle échange avec l’Autorité compétente d’une autre Juridiction soient utilisés aux fins de l’administration ou de l’application d’impôts indiqués dans la notification visée à l’alinéa 1c).
2. Outre les notifications mentionnées ci-dessus, le paragraphe 1 précise que les Autorités compétentes devront notifier rapidement au Secrétariat de l’Organe de coordination toute modification ultérieure qu’elles comptent apporter aux notifications mentionnées ci-dessus une fois qu’elles ont été adressées.
Paragraphe 2 — Prise d’effet
3. Le paragraphe 2 indique qu’une relation d’échange bilatérale spécifique est établie et prend effet à la date à laquelle la seconde des deux Autorités compétentes a déposé auprès du Secrétariat de l’Organe de coordination toutes les notifications visées au paragraphe 1, chaque Autorité compétente ayant inscrit la Juridiction de l’autre Autorité compétente sur la liste conformément à l’alinéa 1g) de la section 7.
Paragraphes 3 et 4 — Rôle du Secrétariat de l’Organe de coordination
4. Le paragraphe 3 précise que le Secrétariat de l’Organe de coordination conservera une liste des Autorités compétentes qui ont signé le présent AMAC CDC et entre lesquelles le présent AMAC CDC a pris effet. Ces informations seront publiées sur le site Internet de l’OCDE.
5. Le paragraphe 4 ajoute que le Secrétariat de l’Organe de coordination publiera également sur le site Internet de l’OCDE les notifications adressées selon l’alinéa 1a) (confirmant que la Juridiction a mis en place la législation nécessaire), l’alinéa 1b) (indiquant si la Juridiction doit être notifiée en tant que Juridiction pour laquelle il n’y a pas de réciprocité) et l’alinéa 1e) (précisant les règles de protection des données) de la section 7. Le Secrétariat de l’Organe de coordination conservera également les informations communiquées par les Autorités compétentes au titre des alinéas 1c), 1d), 1f) et 1g) de la section 7. Toutefois, ces informations ne seront pas publiées sur le site Internet de l’OCDE et seront uniquement mises à la disposition des signataires de l’AMAC CDC.
Paragraphe 5 — Suspension
6. Le paragraphe 5 contient des précisions sur la possibilité pour une Autorité compétente de suspendre l’AMAC CDC vis-à-vis d’une autre Autorité compétente si elle juge que celle-ci commet ou a commis un manquement grave. Dans la mesure du possible, les Autorités compétentes doivent s’efforcer de remédier aux manquements, même à ceux ayant un niveau élevé de gravité, avant de notifier la suspension de la validité de l’AMAC CDC entre elles.
7. Pour suspendre l’AMAC CDC, une Autorité compétente doit notifier par écrit à l’autre Autorité compétente son intention de suspendre l’AMAC CDC avec elle. Cette notification doit, dans la mesure du possible, exposer les raisons de la suspension et les mesures prises (à prendre) pour résoudre le problème. La suspension est à effet immédiat.
8. L’Autorité compétente ainsi notifiée doit engager le plus rapidement possible les mesures nécessaires pour remédier au manquement grave. Elle doit informer l’autre Autorité compétente dès que le problème est résolu. L’Autorité compétente qui a envoyé la notification de suspension doit alors confirmer par écrit à l’autre Autorité compétente que l’AMAC CDC n’est plus suspendu et que les échanges de renseignements peuvent reprendre le plus tôt possible.
9. Le paragraphe 5 indique que le concept de manquement grave désigne notamment :
Le non-respect des obligations de confidentialité ou des dispositions relatives à la protection des données de l’AMAC CDC, par exemple l’utilisation des renseignements à des fins non autorisées par l’AMAC CDC ou par la Convention, ou une modification du droit interne qui compromet la confidentialité des renseignements ; ou
Le fait pour l’Autorité compétente de ne pas communiquer des informations appropriées ou en temps voulu comme le prévoit l’AMAC CDC.
10. Au cours de la période de suspension, tous les renseignements préalablement reçus en vertu de l’AMAC CDC restent confidentiels et soumis aux dispositions de la section 5 de l’AMAC CDC, y compris aux dispositions supplémentaires en matière de protection des données spécifiées par l’Autorité compétente qui communique les renseignements.
Paragraphe 6 — Résiliation et dénonciation
11. En vertu du paragraphe 6, une Autorité compétente peut résilier une relation d’échange en particulier couverte par l’AMAC CDC ou dénoncer entièrement sa participation à l’AMAC CDC. Dans les deux cas, l’Autorité compétente doit adresser un préavis écrit au Secrétariat de l’Organe de coordination. Cette résiliation ou cette dénonciation prendra effet le premier jour du mois suivant l’expiration d’un délai de douze mois à compter de la date du préavis. Dans les cas où cela s’avère nécessaire (par exemple en raison de procédures législatives nationales ou d’une décision de justice), l’Autorité compétente qui résilie une ou plusieurs relations d’échange en vertu de l’AMAC CDC, ou qui les dénonce, peut déroger à la période par défaut de 12 mois et spécifier une autre période.
12. La dénonciation de la participation d’une Juridiction à la Convention entraîne la dénonciation automatique de l’AMAC CDC dans cette Juridiction. Dans ces circonstances, il n’est pas nécessaire de dénoncer séparément l’AMAC CDC.
13. Le paragraphe 6 précise qu’en cas de résiliation ou de dénonciation, toutes les informations déjà reçues au titre de l’AMAC CDC restent confidentielles et soumises aux dispositions de la section 5, y compris aux dispositions supplémentaires en matière de protection des données spécifiées par l’Autorité compétente qui communique les renseignements.
1. La section 8 précise que, sauf disposition contraire contenue dans l’AMAC CDC, le Secrétariat de l’Organe de coordination informera toutes les Autorités compétentes de toute notification qu’elle reçoit au titre de l’AMAC CDC. Elle précise également que l’Organe de coordination donnera notification à tous les signataires de l’AMAC CDC de la signature de l’AMAC CDC par une nouvelle Autorité compétente.
Note
← 1. Voir le Règlement général sur la protection des données (RGPD) 2016/679 de l’UE relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02016R0679-20160504&qid=1532348683434.