Un abus de droit contre le family office

Le droit d’accès au sens de la LPD est exercé de manière abusive lorsqu’une personne l’invoque à l’encontre d’un family office pour obtenir des informations concernant un trust et la situation financière de son père (ACJC/1610/2023).

Un homme d’affaires italien très fortuné dispose d’un family office à Genève, lequel effectue divers services en faveur de sa fille. Les paiements en faveur de celle-ci sont effectués depuis le compte du père. Ce dernier indique au family office que sa fille peut disposer d’un budget limite de EUR 100’000 par mois. La fille reçoit un récapitulatif mensuel des paiements ordonnés, répartis par catégories. Les informations relatives au compte bancaire de son père sont cependant caviardées.

Le père constitue ensuite un trust, dont sa fille est la bénéficiaire pendant une certaine période. Le but était que ce trust paie les dépenses de sa fille, mais cela n’a finalement pas été mis en œuvre. En raison du comportement dépensier de sa fille et d’une procédure qu’elle a intenté contre ses deux sœurs, le père décide de cesser tout contact avec elle et de bloquer tous les paiements en sa faveur.

La fille demande alors au family office l’accès complet à son dossier en se fondant sur l’art. 8 LPD. Après avoir reçu certaines informations, elle soutient que tous les documents ne lui ont pas été transmis. Elle reçoit ensuite du family office plus de 6’000 courriels dont elle était destinataire ou expéditrice.

Insatisfaite, elle saisit le Tribunal de première instance du canton de Genève d’une requête en droit d’accès. Elle désire obtenir notamment des informations financières et fiscales, en particulier sur le trust dont elle était bénéficiaire ainsi que sur la provenance des fonds qui ont servi à payer ses factures.

Le Tribunal considère que la requête est abusive. Elle ne serait pas motivée par des considérations de protection des données, mais uniquement pour obtenir des informations financières concernant le père et la sœur avec qui la fille est en litige. En outre, le family office a déjà produit toutes les données personnelles de la fille. Cette dernière attaque ce jugement devant la Cour de justice.

En vertu de l’art. 8 aLPD (qui était encore en vigueur lors du jugement de première instance), toute personne peut demander au maître d’un fichier si des données la concernant sont traitées (al. 1). Le maître du fichier doit lui communiquer toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l’origine des données (al. 2 let. a) ainsi que le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données (al. 2 let. b).

La Cour de justice rappelle les limites du droit d’accès, telles qu’exposées par le Tribunal fédéral dans l’ATF 138 III 425 (cf. Fischer in cdbf.ch/821), l’ATF 141 III 119 (cf. Richa in cdbf.ch/927) et l’ATF 147 III 139 (cf. Fischer in cdbf.ch/1200). En résumé, si la demande d’accès vise à récolter des preuves en vue d’une procédure, elle peut être considérée comme abusive (art. 2 al. 2 CC).

En outre, l’accès aux données personnelles ne permet pas d’obtenir des données concernant des tiers. Le débiteur du droit d’accès doit s’organiser et prendre les mesures de sécurité nécessaires (trier les données, caviarder les noms ou d’autres données) pour éviter que le requérant n’ait accès aux données de tiers (en particulier les données de tiers couvertes par le secret de fonction ou professionnel).

En l’espèce, le family office a non seulement fournit de nombreux documents, dont plus de 6’000 courriels, mais aussi les coordonnées de personnes qui pourraient renseigner la fille sur ses questions. En outre, le family office ne pouvait pas transmettre les informations bancaires relatives au père. Il avait donc transmis à juste titre uniquement des relevés mensuels, qui comprenaient les données personnelles de la fille, mais non du père.

En tout état de cause, la Cour juge la requête de la fille comme étant abusive. En effet, sa démarche vise en réalité exclusivement à obtenir des informations concernant le trust dont elle n’est plus bénéficiaire et la situation financière de son père. Un tel but est étranger aux intérêts protégés par la LPD.

Partant, la Cour rejette l’appel de la fille.

Cet arrêt suit la tendance de la récente jurisprudence qui admet de plus en plus souvent l’abus de droit d’une requête en droit d’accès (en plus de l’ATF 147 III 139 susmentionné, cf. 4A_277/2020, commenté in Hirsch, swissprivacy.law/45/ et ACJC/562/2022, commenté in Hirsch, cdbf.ch/1243). En l’espèce, non seulement la requête visait l’obtention de preuves pour une autre procédure, mais elle semblait aussi particulièrement large. En outre, le family office avait déjà communiqué à la requérante de nombreuses informations. Ces éléments ont probablement contribué à retenir le caractère abusif de la demande d’accès fondée sur la LPD.

L’entrée en vigueur de la nouvelle LPD en septembre 2023 (après le jugement attaqué) ne modifie pas la situation. En effet, le législateur a expressément prévu (1) que le droit d’accès ne porte que sur les « données personnelles traitées en tant que telles » (art. 25 al. 2 let. b LPD) et (2) qu’il peut être refusé s’il « poursuit un but contraire à la protection des données », comme obtenir des preuves normalement inaccessibles (art. 26 al. 1 let. c LPD).