CJUE | ARRÊT DU 21 MAI 2026 | C-684/24 | ACROSS FIDUCIARIA E A. │
ANTIBLANCHIMENT & FINANCEMENT DU TERRORISME
SOUS RÉSERVE D’UN INTÉRÊT LÉGITIME, LE PUBLIC EST EN DROIT D’ACCÉDER AUX INFORMATIONS SUR LES BÉNÉFICIAIRES EFFECTIFS DES MANDATS FIDUCIAIRES DE DROIT ITALIEN
FAITS & PROCEDURE MOTIFS & DISPOSITIF PORTEE DE L’AFFAIRE JURISPRUDENCE ANALYSE CONSEILS
CONSEILS AUX RESPONSABLES DE TRAITEMENT
A. PORTÉE DU CHAMP D’APPLICATION DE L’ARTICLE 31 : ANTICIPER LES REQUALIFICATIONS
L’arrêt confirme sans ambiguïté que la notion de « constructions juridiques similaires aux trusts » au sens de l’article 31, §1, de la directive 2015/849 doit être interprétée largement, par référence à la structure ou aux fonctions de l’instrument, et non à sa dénomination ou à sa réglementation formelle en droit national. La notification effectuée par un État membre à la Commission étant dépourvue de valeur normative contraignante, un instrument juridique non notifié reste susceptible d’être qualifié de « construction similaire à un trust » si ses caractéristiques fonctionnelles — notamment la dissociation entre propriétaire légal et bénéficiaire effectif — correspondent au critère de similarité.
Recommandations opérationnelles :
Tout gestionnaire de patrimoine, société de gestion, fiduciaire, prestataire de services à des sociétés et fiducies, ou tout acteur financier susceptible de mettre en œuvre des instruments d’allocation d’actifs impliquant une dissociation bénéficiaire/propriétaire légal devra procéder, dans les meilleurs délais, à un audit de classification de ses instruments au regard de l’article 31, §1 : il s’agit de vérifier si ces instruments présentent, en structure ou en fonction, une similarité avec un trust (séparation patrimoniale, gestion pour compte, effet fiduciaire, contrôle indirect d’actifs pour le compte d’un bénéficiaire). Cette démarche préventive est d’autant plus urgente que le risque de requalification existe même lorsque l’instrument n’a pas été notifié par l’État membre concerné à la Commission.
En matière de registre des bénéficiaires effectifs, les responsables de traitement qui gèrent la collecte et la communication des données de bénéficiaires effectifs dans le cadre de l’article 31, §§3 bis et 5, doivent s’assurer que :
—-Les données collectées sont exactement celles prévues par l’article 31, §4, deuxième alinéa (nom, mois et année de naissance, pays de résidence, nationalité, nature et étendue des intérêts détenus). Toute collecte de données supplémentaires doit reposer sur un fondement légal explicite en droit national, conformément à l’article 31, §4, troisième alinéa ;
—-Les procédures de contrôle d’accès aux registres sont correctement paramétrées : seules les personnes relevant des catégories de l’article 31, §4, sous a), b) ou c), peuvent y accéder, et l’accès par des tiers au titre de l’intérêt légitime est conditionné à une vérification documentée des conditions posées par le droit national de transposition ;
—-La base juridique du traitement dans le contexte du RGPD est clairement identifiée (article 6, §1, c) — obligation légale — combiné avec l’article 31 de la directive et ses dispositions nationales de transposition), et figure dans le registre des activités de traitement tenu conformément à l’article 30 du RGPD.
B. LA NOTION D’INTÉRÊT LÉGITIME : PROTÉGER LES BÉNÉFICIAIRES EFFECTIFS SANS ENTRAVER L’ACCÈS LÉGITIME
L’arrêt valide les conditions de la transposition italienne (intérêt juridique pertinent, distinct, direct, concret et actuel, avec preuve documentée de divergence bénéficiaire/propriétaire légal) comme cadre de mise en œuvre de la notion d’intérêt légitime. Les autorités nationales compétentes (en l’espèce, les chambres de commerce) disposent d’une marge d’appréciation pour contrôler le bien-fondé des demandes d’accès, sous réserve d’assurer un « juste équilibre » entre l’objectif LBC/FT et la protection des droits fondamentaux des bénéficiaires effectifs.
Dans ce contexte, les responsables de traitement gérant des registres de bénéficiaires effectifs de trusts et constructions similaires doivent :
—-Mettre en place une procédure documentée de traitement des demandes d’accès au titre de l’intérêt légitime, comprenant un formulaire de demande standardisé, un module de vérification des conditions posées par le droit national, et un système de notification au bénéficiaire effectif concerné ;
—-Ne pas accorder d’accès par défaut lorsque le demandeur n’a pas justifié des conditions cumulatives posées par le droit national de transposition ; l’absence de définition autonome de la notion d’intérêt légitime dans la directive n’implique pas que toute demande doit être accordée ;
—-Conserver une trace documentaire des demandes d’accès accordées et refusées, des motifs retenus, et des notifications effectuées aux bénéficiaires effectifs, tant pour répondre aux obligations de transparence du RGPD que pour se conformer aux obligations statistiques de l’article 31, §7 bis, de la directive.
C. LES EXIGENCES PROCÉDURALES DÉCOULANT DE LA SECONDE QUESTION C‑684/24 : L’OBLIGATION DE PROTECTION PROVISOIRE
La condamnation implicite de la réglementation italienne par la Cour — qui n’autorisait pas le bénéficiaire effectif à obtenir des mesures provisoires avant que la divulgation irréversible n’intervienne — impose aux responsables de traitement gérant des procédures d’accès sur intérêt légitime une vigilance accrue sur le plan organisationnel.
Recommandations spécifiques aux gestionnaires de registres :
—-Vérifier que la procédure nationale d’accès prévoit, au bénéfice du bénéficiaire effectif, la possibilité de former un recours suspensif devant une juridiction compétente avant que la décision d’accès ne produise ses effets. Si ce mécanisme est absent du droit national de transposition, le gestionnaire du registre devra, en droit positif, ne pas donner suite à la décision d’accès tant qu’un recours juridictionnel n’a pas été définitivement tranché, ou à défaut, s’exposer à une responsabilité pour violation des droits fondamentaux des bénéficiaires effectifs ;
—-Dans l’attente d’une mise en conformité législative, instaurer un délai de carence (au minimum 10 à 15 jours) entre la décision d’accès accordant la communication des données et la communication effective, afin de permettre au bénéficiaire effectif de saisir un juge en référé. Ce délai de carence, bien que non expressément exigé par la directive, découle de l’obligation de donner à l’article 47 de la Charte son plein effet ;
—-Documenter dans les procédures internes le fait que la divulgation des données est irréversible et que, par conséquent, elle ne doit être effectuée qu’une fois tous les recours possibles épuisés ou à l’expiration des délais de recours.
D. LA CONFORMITÉ RGPD DES REGISTRES DE BÉNÉFICIAIRES EFFECTIFS : MAINTIEN DE LA VIGILANCE POST-ARRÊT
L’arrêt valide le régime d’accès conditionné à un intérêt légitime au regard des articles 7 et 8 de la Charte, mais cette validation ne dispense pas les responsables de traitement de leurs obligations autonomes au titre du RGPD. En particulier :
—-La minimisation des données (article 5, §1, c) du RGPD) exige que seules les données listées à l’article 31, §4, deuxième alinéa, soient accessibles aux personnes à intérêt légitime. Toute saisie ou communication de données supplémentaires (par exemple la date de naissance complète, les coordonnées, ou des informations patrimoniales) doit être encadrée par une base légale nationale explicite ;
—-Le droit à l’information des personnes concernées (articles 13 et 14 du RGPD) impose que les bénéficiaires effectifs soient informés, lors de la collecte de leurs données, de la possibilité que celles-ci soient communiquées à des tiers justifiant d’un intérêt légitime, ainsi que de leurs droits de contestation et de recours ;
—-L’analyse d’impact relative à la protection des données (article 35 du RGPD) est obligatoire pour tout traitement de données sur les bénéficiaires effectifs destiné à être rendu accessible à des tiers, compte tenu des risques élevés pour les droits et libertés des personnes — risques expressément reconnus par l’article 31, §7 bis, de la directive (fraude, enlèvement, chantage, extorsion, harcèlement, violence ou intimidation).
CONSEILS AUX PERSONNES CONCERNÉES (BÉNÉFICIAIRES EFFECTIFS)
A. COMPRENDRE L’ÉTENDUE DE L’OBLIGATION D’ENREGISTREMENT
L’arrêt confirme que toute personne physique qui est bénéficiaire effectif d’une construction juridique présentant une structure ou des fonctions similaires à celles d’un trust — y compris, explicitement, le mandato fiduciario de droit italien — est soumise aux obligations d’enregistrement et de transparence de l’article 31 de la directive 2015/849. Il ne suffit pas que l’instrument utilisé ne soit pas formellement qualifié de « trust » en droit national, ni même qu’il n’ait pas été notifié par l’État membre à la Commission : le critère est fonctionnel.
Les bénéficiaires effectifs doivent donc vérifier si les instruments juridiques dans lesquels ils sont impliqués — mandats sans représentation, structures fiduciaires, contrats d’affectation patrimoniale, instruments de gestion d’actifs pour compte propre apparent — satisfont au critère de similarité avec un trust (dissociation bénéficiaire effectif/propriétaire légal, gestion de biens pour compte d’autrui, contrôle indirect d’actifs).
B. LE DROIT DE S’OPPOSER À UNE DEMANDE D’ACCÈS : LES CONDITIONS ET LA PROCÉDURE
L’arrêt interprète l’article 31, §4, sous c), de la directive en ce sens que l’accès aux données sur les bénéficiaires effectifs est conditionné à la démonstration par le demandeur d’un intérêt légitime en lien avec la prévention du blanchiment de capitaux et du financement du terrorisme. La transposition italienne exige en outre un intérêt juridique pertinent, distinct, direct, concret et actuel, et la preuve concrète et documentée que bénéficiaire effectif et propriétaire légal sont des personnes distinctes.
Concrètement, lorsqu’une demande d’accès est déposée auprès de l’autorité compétente (chambre de commerce en droit italien), le bénéficiaire effectif dispose du droit de former une opposition motivée dans un délai de dix jours à compter de la notification qui lui est faite. Cette opposition doit :
—-Contester la satisfaction des conditions légales par le demandeur (absence d’intérêt légitime au sens de la directive, absence d’intérêt juridique pertinent, inexistence d’un lien avec les objectifs LBC/FT, ou absence de preuves concrètes de la dissociation bénéficiaire/propriétaire légal) ;
—-Le cas échéant, invoquer les circonstances exceptionnelles de l’article 31, §7 bis, de la directive (risque disproportionné de fraude, d’enlèvement, de chantage, d’extorsion, de harcèlement, de violence ou d’intimidation) ou la qualité de mineur ou d’incapable.
C. LE DROIT À UN RECOURS JURIDICTIONNEL EFFECTIF ET À LA PROTECTION PROVISOIRE
L’apport procédural décisif de l’arrêt est l’obligation, pour les États membres, de garantir au bénéficiaire effectif la possibilité d’obtenir des mesures provisoires empêchant la divulgation irréversible de ses données avant qu’une juridiction ne se soit prononcée sur le fond.
Recommandations pratiques aux bénéficiaires effectifs :
—-Dès réception de la notification d’une demande d’accès, prendre contact sans délai avec un conseil juridique spécialisé en droit des données personnelles et/ou en droit administratif, afin d’évaluer l’opportunité de former une opposition administrative et/ou un recours juridictionnel en urgence ;
—-En cas de refus de l’opposition par la chambre de commerce ou d’autorité compétente, former immédiatement un recours en référé devant la juridiction administrative compétente, en demandant la suspension de la décision d’accès dans l’attente d’une décision au fond. L’arrêt de la Cour — qui impose que le juge national puisse accorder de telles mesures provisoires — fournit un argument de principe déterminant à l’appui d’une telle demande en droit national ;
—-Invoquer devant le juge national les articles 7 et 8 de la Charte des droits fondamentaux de l’Union et l’article 47 de la Charte, tels qu’interprétés par la Cour dans le présent arrêt, à l’appui de la demande de mesures provisoires. Ces dispositions ont effet direct en droit des États membres et s’imposent à toutes les autorités nationales, y compris les juridictions ;
—-En cas de lacune du droit national de transposition (absence de toute voie de recours provisoire avant divulgation), invoquer le principe de primauté du droit de l’Union et l’obligation d’interprétation conforme, afin de contraindre la juridiction nationale à écarter la règle nationale incompatible.
D. LES CIRCONSTANCES EXCEPTIONNELLES DE L’ARTICLE 31, §7 BIS : CONSTITUER LE DOSSIER DE DÉROGATION
L’article 31, §7 bis, de la directive autorise les États membres à prévoir des dérogations à l’accès lorsque celui-ci exposerait le bénéficiaire effectif à un risque disproportionné de fraude, d’enlèvement, de chantage, d’extorsion, de harcèlement, de violence ou d’intimidation, ou lorsque le bénéficiaire effectif est mineur ou frappé d’incapacité.
La constitution du dossier de dérogation doit être anticipée, avant même qu’une demande d’accès soit déposée, pour toute personne dont la situation présente un risque objectif. Ce dossier devra comprendre :
—-Des éléments de preuve documentés du risque invoqué (plaintes pénales, procédures judiciaires en cours, rapports de police, décisions de justice préexistantes, publications de presse faisant état de menaces) ;
—-Une évaluation actualisée du risque, proportionnée à la nature de la menace invoquée, conformément à l’exigence d’une « évaluation détaillée de la nature exceptionnelle des circonstances » posée par l’article 31, §7 bis, deuxième phrase ;
—-Si disponible, l’avis d’une autorité compétente (force de l’ordre, autorité judiciaire, service de protection des personnes) confirmant la réalité et le caractère disproportionné du risque.
L’arrêt rappelle que le droit à la révision administrative de la décision de dérogation et le droit à un recours juridictionnel effectif sont garantis, ce qui implique que le refus d’accorder une dérogation est susceptible d’être contesté devant un juge.
E. LES DROITS RGPD APPLICABLES AUX DONNÉES FIGURANT DANS LES REGISTRES DE BÉNÉFICIAIRES EFFECTIFS
Indépendamment des garanties spécifiques découlant de l’article 31 de la directive, les bénéficiaires effectifs dont les données sont inscrites dans un registre de bénéficiaires effectifs conservent l’ensemble de leurs droits au titre du RGPD, dans les limites des restrictions autorisées par l’article 23 du RGPD et par les dispositions nationales de transposition :
—-Droit d’accès (article 15 du RGPD) : droit d’obtenir confirmation de l’inscription de leurs données dans le registre et copie des informations enregistrées ;
—-Droit de rectification (article 16 du RGPD) : droit de faire corriger les données inexactes ou incomplètes ;
—-Droit d’opposition (article 21 du RGPD) : possibilité d’invoquer une situation particulière pour s’opposer à certains traitements, dans la mesure où le droit national ne l’exclut pas au titre de l’article 23 ;
—-Droit de saisir l’autorité de contrôle (article 77 du RGPD) : possibilité de porter plainte auprès de l’autorité nationale de protection des données compétente (en France, la CNIL) en cas de traitement illicite des données inscrites dans le registre ou en cas de communication non conforme aux conditions de l’article 31 de la directive.
POINTS ESSENTIELS
L’arrêt du 21 mai 2026 rendu par la Cour de justice de l’Union européenne dans les affaires jointes C‑684/24 et C‑685/24 (Across Fiduciaria) constitue une décision de référence en matière de transparence des bénéficiaires effectifs des constructions juridiques similaires aux trusts dans le contexte de la lutte contre le blanchiment de capitaux et le financement du terrorisme. Statuant sur renvoi préjudiciel du Conseil d’État italien à l’occasion d’un contentieux opposant des sociétés fiduciaires de droit italien à l’État sur la légalité de leur assujettissement aux obligations de l’article 31 de la directive 2015/849, la Cour adopte une approche de validation large du régime de transparence mis en place par le législateur de l’Union, sous réserve d’une exigence procédurale décisive.
Sur la validité de l’article 31, §§1, 2 et 10 au regard du principe de sécurité juridique, la Cour juge que le recours à la notion de « similarité fonctionnelle ou structurelle » avec un trust, bien qu’abstraite, ne méconnaît pas ce principe, dès lors que l’étendue de la marge d’appréciation laissée aux États membres est suffisamment délimitée par les objectifs de la directive et par le mécanisme de notification à la Commission — dont la valeur est toutefois déclarative et non normative contraignante.
Sur l’inclusion du mandato fiduciario de droit italien dans le champ de l’article 31, §1, la Cour, après une analyse comparative des versions linguistiques de la disposition, retient une interprétation extensive de la notion de « constructions juridiques », couvrant tout type d’opération économico-juridique présentant, en structure ou en fonction, une similarité avec un trust, indépendamment de l’absence de transfert de propriété des actifs : la dissociation entre bénéficiaire effectif et propriétaire légal suffit à satisfaire le critère.
Sur la validité de l’article 31, §4, qui autorise l’accès aux données sur les bénéficiaires effectifs à toute personne justifiant d’un intérêt légitime, la Cour trace une ligne de partage nette avec l’accès au grand public invalidé par Luxembourg Business Registers (C‑37/20 et C‑601/20) : deux différences structurelles distinguent les deux régimes — la liste exhaustive et limitée des données accessibles sur les bénéficiaires effectifs des trusts (article 31, §4, deuxième alinéa), et la condition de démonstration préalable d’un intérêt légitime — qui font que l’ingérence dans les droits protégés par les articles 7 et 8 de la Charte, bien que réelle, est proportionnée ; la notion d’intérêt légitime doit être interprétée comme imposant un lien avec les objectifs LBC/FT, et les autorités nationales compétentes doivent assurer un juste équilibre entre cet objectif et la protection des droits fondamentaux, ce qui conduit à valider, sous réserve des appréciations finales de la juridiction de renvoi, la transposition italienne subordonnant l’accès à un intérêt juridique pertinent, distinct, direct, concret et actuel avec preuve documentée de la dissociation bénéficiaire/propriétaire légal.
Sur la question procédurale enfin, la Cour érige en exigence de principe, sur le fondement de l’article 47 de la Charte et de la jurisprudence Factortame/Unibet/Skeyes, l’obligation pour les États membres de garantir au bénéficiaire effectif la possibilité d’obtenir des mesures provisoires empêchant la divulgation irréversible de ses données avant toute décision juridictionnelle au fond — ce qui conduit à condamner implicitement la réglementation italienne qui, tout en prévoyant un contrôle juridictionnel a posteriori, ne permettait pas au juge d’ordonner de telles mesures avant que la communication des informations ne soit effectuée.
26.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats