Aller au contenu principal

Protection des données

Le Tribunal fédéral continue à fixer des limites au droit d’accès

Dans la foulée d’un premier arrêt dans lequel il avait jugé abusive une requête d’accès dont l’objectif était d’obtenir des informations destinées à être utilisées dans le cadre d’un procès intenté contre le destinataire de la requête (4A_277/2020 du 18 novembre 2020), le Tribunal fédéral poursuit sa jurisprudence destinée à circonscrire la portée du droit d’accès sous l’angle de la loi sur la protection des données (ATF 147 III 139). Rendu certes dans un contexte très spécifique, cet arrêt offre néanmoins des enseignements intéressants, en particulier pour les banques qui sont amenées à devoir répondre à des requêtes d’accès.

Dans le cas d’espèce, un dirigeant d’une société de services est licencié après avoir fait l’objet d’accusations de complicité d’infractions fiscales à l’étranger. Le licenciement donne lieu à un litige qui est soldé par un versement de CHF 566’000 en faveur du dirigeant.

Par la suite, la banque du dirigeant le place sur sa liste de clients indésirables et met fin à la relation bancaire. La banque soutient que la résiliation est intervenue dans le cadre de sa politique générale de ne pas entretenir des relations commerciales avec des personnes accusées de délits fiscaux. Le dirigeant, pour sa part, considère que cette résiliation fait suite à une conversation téléphonique entre l’un de ses anciens collègues et le General Counsel de la banque. L’ancien collègue en question aurait, à cette occasion, conseillé à la banque de clôturer le compte.

Le dirigeant fait valoir sa requête d’accès par la voie judiciaire, en demandant au Bezirksgericht du canton de Zurich de condamner la banque, sur la base de l’art. 8 LPD, à lui donner accès à toutes les données personnelles le concernant, en particulier les informations relatives à la conversation téléphonique évoquée ci-dessus.

En premier lieu, le Tribunal fédéral commence par rappeler que le droit d’accès de l’art. 8 LPD ne doit pas être utilisé de manière abusive et à des fins contraires à la protection des données. Une demande d’informations doit être jugée abusive, par exemple, si elle est faite dans le seul but d’enquêter sur une (future) partie adverse et d’obtenir des preuves qu’une partie ne pourrait pas obtenir autrement. En effet, le droit d’accès prévu à l’art. 8 LPD n’a pas pour but de faciliter l’obtention de preuves ou d’interférer avec le droit de procédure civile.

En deuxième lieu, le Tribunal fédéral analyse le contenu matériel du droit d’accès. Selon l’art. 8 LPD, le maître du fichier doit communiquer à la personne concernée toutes les données personnelles la concernant contenues dans un fichier. Les termes de données personnelles et de fichier doivent être interprétés de manière large. Un fichier « interne » ou « non officiel » tombe également sous le coup de la requête d’accès.

En troisième lieu, le Tribunal fédéral estime que le droit d’accès ne permet pas d’obtenir, en interrogeant les parties ou des témoins, des informations sur l’existence et le contenu d’une conversation orale. Le droit d’accès porte sur les informations qui existent sur un support, mais pas sur les données qui n’existent que dans la mémoire d’une personne physique (dans ce contexte, le Tribunal fédéral fait référence à un support « physique », mais un support « électronique » devrait, à notre sens, suivre le même traitement juridique).

En dernier lieu, le Tribunal fédéral rappelle que le droit d’accès porte naturellement sur les données personnelles relatives à la personne concernée, mais également sur les informations disponibles sur l’origine des données. Dans ce contexte, la loi sur la protection des données n’impose pas au maître du fichier une obligation de conserver les informations sur l’origine des données (une telle obligation peut toutefois découler de règlementations sectorielles). Le raisonnement du Tribunal fédéral s’appuie sur le texte de l’art. 8 al. 2 let. a LPD qui renvoie aux informations « disponibles » s’agissant de l’origine des données. En revanche, si le maître du fichier dispose d’informations sur l’origine des données au moment où il reçoit la requête d’accès, il est tenu de les transmettre, la destruction de ces informations après la réception de la requête constituant un manquement à ses obligations.

Après avoir procédé à ces rappels théoriques (très utiles pour les praticiens), le Tribunal fédéral retient, contrairement à l’avis de la juridiction inférieure, que les informations sur l’origine des données qui sont « stockées » dans la mémoire d’une personne ne sont pas couvertes par le droit d’accès. Le requérant est donc débouté de sa demande.

En revanche, une retranscription écrite de la conversation téléphonique litigieuse aurait été soumise au droit d’accès. Le Tribunal fédéral indique toutefois qu’il ne dispose pas des informations nécessaires pour déterminer l’existence d’un tel document en l’espèce. Il précise néanmoins qu’un tel document ne serait soumis à la requête d’accès que si (i) il n’a pas été établi pour un usage temporaire (« vorübergehenden Gebrauch« ) et (ii) il a été sauvegardé de manière à pouvoir être trouvé lors d’une recherche ciblée en réponse à une requête d’accès (« gezielter Zugriff« ).

Comme indiqué, cet arrêt reflète la volonté du Tribunal fédéral de mettre un frein aux dérives de la requête d’accès au sens de l’art. 8 LPD que certains, dans la foulée de l’ATF 138 III 425 (commenté in cdbf.ch/821/), ont tenté d’utiliser comme un substitut à la reddition de compte fondée sur l’art. 400 CO (et, désormais, sur l’art. 72 LSFin).

Le nouveau droit de la protection des données, qui devrait en principe entrer en vigueur le 1er janvier 2023, n’apporte pas de changements majeurs à la réglementation du droit d’accès. L’on relèvera toutefois que le Parlement a ajouté, à l’art. 25 al. 2 let. b nLPD, la précision en vertu de laquelle le droit d’accès porte sur les données personnelles « en tant que telles ». À notre sens, cet ajout concerne toutefois plutôt les modalités concrètes de réponse à une requête d’accès, par opposition à l’étendue matérielle du droit d’accès.

En revanche, il est intéressant de noter, en particulier dans le cadre du « calibrage » des démarches à entreprendre en réponse à une requête d’accès, que le Tribunal fédéral mentionne, dans l’arrêt commenté ici, que la requête doit porter sur des documents qui peuvent faire l’objet d’un « accès ciblé » (« gezielter Zugriff » au considérant 3.1.1) et que la réponse doit pouvoir être fournie sans efforts trop importants (« in aller Regel ohne grossen Aufwand möglich » au considérant 3.4.3). À nos yeux, les limites posées par le Tribunal fédéral dans cet arrêt continueront à s’appliquer sous l’empire du nouveau droit de la protection des données.