Watch list de la FINMA
Est-il possible de requérir la suppression de ses données ?
Biba Homsy
Dans un récent arrêt, le Tribunal administratif fédéral (TAF) s’est penché sur la nature de possibles inscriptions dans un registre tenu par la FINMA appelé Watch list.
Pour rappel, ce fichier détient des données liées à certaines personnes qui pourraient potentiellement ne pas présenter toutes les garanties d’une activité irréprochable. La FINMA conserve ces informations notamment dans l’hypothèse où l’autorité serait amenée à se prononcer sur de telles garanties. L’art. 3 de l’Ordonnance de la FINMA sur le traitement des données liste le contenu des données récoltables.
En l’espèce, le recourant « A » est un ancien employé d’une banque ayant elle-même fait l’objet d’une très large procédure administrative d’Enforcement de la FINMA clôturée en décembre 2012 (ci-après procédure « X »). Informé de la procédure, A demanda en mai 2012 de recevoir de la FINMA copie des données le concernant. L’autorité refusa notamment en raison du fait que A n’était pas partie ni visée par la procédure et qu’il était disproportionné de caviarder les informations liées à la banque et aux tiers, au vu du très grand nombre de documents sur lesquels il apparaissait en sa qualité d’employé.
Un an plus tard, la FINMA informa A du fait qu’elle conservait néanmoins les données le concernant accompagnées d’une inscription mentionnant son implication dans la procédure X. A demanda à plusieurs reprises d’obtenir l’intégralité des données collectées le concernant, et obtenu de la FINMA des données partiellement caviardées en raison une fois encore du principe de proportionnalité et de la protection des droits des tiers. A requit alors de la FINMA de s’abstenir à l’avenir de toute collecte de données le concernant et d’effacer celles conservées jusqu’ici. La FINMA refusa en raison notamment du fait que les données collectées permettraient de prendre en compte l’implication et la responsabilité de A dans l’affaire X, dans l’hypothèse où une demande de garanties d’une activité irréprochable devait être formulée à l’avenir.
A l’appui de son recours, le recourant invoqua, au regard de l’art. 17 al. 2 LPD, l’absence de base légale suffisante ou d’exceptions pour la récolte de données sensibles, tout en précisant que l’art. 23 LFINMA était une base légale générale insuffisante pour maintenir une telle Watch List.
Au demeurant, le recourant allégua que les données collectées étaient fausses et trompeuses. Ainsi, en collectant des informations sur le recourant sans en vérifier l’exactitude, la FINMA s’était formée une opinion préalable informelle sur les garanties d’une activité irréprochable relative que pourraient présenter le recourant. De facto, la FINMA avait déjà ouvert une procédure informelle à son encontre, sans que celui-ci n’ait pu être partie ou n’ait pu se prononcer sur l’exactitude des données collectées en raison du caractère partiellement caviardé du dossier. La FINMA aurait alors violé la garantie constitutionnelle d’un procès équitable et la liberté économique du recourant, notamment le libre accès à une activité économique lucrative privée et son libre exercice. Le recourant allégua qu’il devait divulguer son entrée dans la Watch List à tout potentiel employeur tout en risquant de ne pouvoir obtenir une fonction en raison des inscriptions faites dans la Watch List.
Si le TAF laisse ici de côté la question de savoir si les données peuvent être qualifiées de données sensibles ou de profil de la personnalité au sens de l’art. 3 LPD, le Tribunal reconnait l’application de la LPD et de l’art. 23 LFINMA en tant que base légale au sens de l’art. 17 al. 2 LPD. Il confirme la délégation légale en faveur de la FINMA d’arrêter son Ordonnance sur les données (et ce même en l’absence de délégation expresse, tel que l’art. 18 al.1 LBA).
Au surplus, il rappelle que le TF a reconnu la possibilité pour la FINMA de récolter au sens de l’art. 23 al. 1 LFINMA des données personnelles lors d’une procédure administrative, même si les personnes concernées ne sont pas forcément soumises à la surveillance de la FINMA ou parties à une procédure de surveillance (arrêt 2C_1058/2014, consid. 4.5.1). Partant, le TAF reconnaît qu’au sens de l’art. 23 al. 1 LFINMA, la FINMA peut, en vue d’examiner les garanties d’une activité irréprochable, obtenir et traiter des données personnelles. Il n’est dès lors pas pertinent de savoir quand la FINMA examinera spécifiquement ces indices de remise en cause des garanties d’une activité irréprochable. Ceci relève purement de son appréciation technique (« technischen Ermessen »).
Sur le grief de l’inexactitude des informations collectées, le TAF rappelle qu’il incombe à l’autorité de s’assurer de l’exactitude des données collectées au sens de l’art. 5 LPD. Le Tribunal relève néanmoins que la Watch List est un document interne de Knowledge Management accessible seulement à une quarantaine d’employées dans l’unique but de collecter des informations pouvant remettre en cause les garanties d’une activité irréprochable. Collectées uniquement en vue de possible examens futurs, ces documents ne peuvent pas faire encore l’objet d’une clarification définitive au moment de leur collecte. Quant au grief de savoir si les documents et l’entrée dans la Watch List auraient pû être préjudiciables à la liberté économique et de travail du recourant, le Tribunal relève ne pouvoir rentrer en matière, faute pour A de ne pas avoir recouru sur ce point contre la décision de la FINMA.
L’arrêt a le mérite de poser les bases claires quant à l’existence de la Watch List de la FINMA au sens de l’art. 23 LFINMA, la collecte et la conservation des données concernant des personnes mentionnées dans une procédure d’Enforcement. Cependant, il est regrettable de ne pas voir clairement adressée la question de la suppression des données, ni l’argument quant à savoir s’il existe effectivement un droit économique constitutionnel supérieur à voir ses données supprimées et non collectées en vue d’exercer librement un travail.