Une banque rappelée à l’ordre par le PFPDT

Dans sa décision du 29 janvier 2025, publiée le 1ᵉʳ juillet 2025, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a adressé un avertissement à une banque suisse pour violations répétées des dispositions de la LPD relatives au droit d’accès. Cette décision fixe des standards clairs : respect strict du délai de 30 jours pour répondre à la personne concernée et obligation de fournir les données personnelles «  en tant que telles  ».

Cette décision intervient à la suite de deux plaintes déposées par des clients ayant exercé leur droit d’accès. Dans un cas, la banque n’a pas répondu dans le délai légal et, dans l’autre, elle s’est limitée à un courrier générique énumérant les catégories de données traitées et renvoyant, pour le reste, à sa politique de confidentialité.

Le PFPDT a estimé qu’il disposait d’indices suffisants laissant présumer que la banque enfreignait les règles de protection des données dans le traitement des demandes d’accès, ce qui justifiait l’ouverture d’une enquête. Celle-ci a établi que, sur treize demandes d’accès adressées à la banque entre décembre 2023 et août 2024, neuf avaient été traitées hors délai et toutes avaient reçu des réponses standardisées.

Dans sa décision clôturant la procédure, le PFPDT a ordonné la communication complète des données, assorti cette injonction de la menace de la peine prévue à l’art. 63 LPD, adressé un avertissement à la banque et mis un émolument à sa charge.

S’agissant du contenu de la réponse à apporter à une requête d’accès, il convient de tenir compte de deux objectifs complémentaires poursuivis par l’art. 25 LPD : (i) garantir la transparence et (ii) permettre l’exercice effectif d’autres droits, notamment le droit de rectification. Répondre de manière standardisée à une demande d’accès vidant ce droit de sa substance, la simple communication de catégories abstraites de données ou le renvoi à une politique de confidentialité ne sauraient suffire.

En l’espèce, la banque aurait dû fournir les données concrètes relatives au client, y compris celles ayant servi à refuser l’octroi d’une carte de crédit, afin que l’intéressé puisse en vérifier l’exactitude et, le cas échéant, en demander la rectification.

L’art. 25 al. 2 let. b LPD impose au responsable du traitement de communiquer les données personnelles traitées en tant que telles. Cela inclut les données identifiantes et toutes les informations associées, y compris celles issues d’analyses ou d’outils internes. Les exceptions prévues à l’art. 26 LPD sont strictement encadrées et doivent être invoquées et motivées par écrit.

Cette obligation revêt une importance particulière dans le secteur bancaire, où les établissements traitent de grandes quantités de données et recourent à des systèmes complexes. La doctrine admet qu’en cas de demande très étendue, le responsable du traitement puisse inviter la personne concernée à la préciser. Cela ne saurait toutefois justifier l’absence d’une réponse individualisée. Le responsable conserve en outre la faculté de restreindre l’accès ou de refuser certaines données en invoquant un motif justificatif, par exemple en caviardant des informations sensibles ou relatives à des tiers, conformément à l’art. 26 LPD.

S’agissant du délai de traitement d’une demande d’accès, les art. 25 al. 7 LPD et 18 al. 1 OPDo fixent un délai de 30 jours. Malgré la formule « en règle générale » (in der Regel) figurant dans les versions française et allemande de la loi, le PFPDT considère ce délai comme impératif. Sa prolongation n’est possible qu’à condition d’en informer la personne concernée et de motiver la décision, conformément à l’art. 18 al. 2 OPDo.

L’argument tiré du manque de personnel, avancé par la banque pour justifier ses retards, n’a pas convaincu le PFPDT : l’établissement aurait pu recourir au mécanisme de prolongation prévu par l’art. 18 al. 2 OPDo, mais ne l’a pas fait. En l’absence de réponse dans les 30 jours, la personne concernée peut saisir la justice pour faire valoir son droit d’accès.

Le PFPDT a constaté que la banque avait enfreint à plusieurs reprises la LPD, en violant l’art. 25 al. 2 let. b et al. 7. Sur la base de l’art. 51 al. 3 let. g LPD, il lui a enjoint de répondre aux demandes d’accès conformément à la loi, sous menace de la peine prévue à l’art. 63 LPD. Le non-respect intentionnel de cette injonction expose son auteur à une amende pouvant atteindre CHF 250’000.

La banque ayant, au cours de l’enquête, pris les mesures nécessaires pour rétablir une situation conforme à la LPD, le PFPDT s’est limité à prononcer un avertissement (art. 51 al. 5 LPD). Il a également mis à la charge de l’établissement un émolument de CHF 5’829.40, correspondant au temps consacré à la procédure (art. 59 al. 1 let. d LPD cum art. 44 OPDo).

La décision sur le fond comme celle relative à sa publication n’ayant pas été contestées, elles sont entrées en force à l’expiration du délai de recours de 30 jours.

Le message envoyé par le PFPDT est clair : le délai de 30 jours doit être respecté et la réponse ne peut pas être réduite à un modèle standard. Même si la mesure administrative prise à l’encontre de cette banque se limite à un avertissement, sa portée symbolique est forte. Le PFPDT montre sa volonté d’intervenir face à des pratiques systématiques contraires à la LPD. Les responsables de traitement qui tardent à se mettre en conformité s’exposent non seulement à un risque juridique, mais surtout à un risque réputationnel, dans un contexte où la transparence en matière de traitement des données constitue désormais un marqueur essentiel de fiabilité.