Données d’ex-employés de banque transmises à une autorité étrangère : simple consultation ou droit à une copie ?

IMG_3715

Deux ex-employés de banque, dont les noms ont été transmis aux autorités américaines parmi un certain nombre d’autres informations, requièrent de pouvoir consulter les données transmises et d’en obtenir copie. La banque autorise la consultation en ses locaux mais refuse la levée de copie.

Dans un arrêt destiné à la publication, le Tribunal fédéral balaie l’argumentation de la banque (ATF 4A_406/2014 et 4A_408/2014). Sans reprendre toute l’argumentation, très riche, on peut en tout cas relever ce qui suit dans les considérants :

Sur le principe, la recourante (= la banque) reconnaît que les employés peuvent prendre connaissance du contenu des documents litigieux. Elle refuse toutefois de leur remettre ceux-ci sous forme écrite (copie des données). La recourante reproche à la cour cantonale d’avoir violé l’art. 8 al. 5 LPD. Les circonstances d’espèce seraient telles qu’elles justifieraient une exception au principe de la communication écrite. Elle invoque également une transgression de l’art. 9 al. 1 let. a et b LPD, ainsi que de l’art. 9 al. 4 LPD, son refus de fournir des copies écrites, dicté par la prise en compte d’intérêts de tiers et des siens propres, étant légitime.

Pour le Tribunal fédéral, il convient, dans un premier temps, de définir si c’est de manière légitime que la banque a opposé son refus aux employés, soit de déterminer si elle pouvait se fonder sur une loi au sens formel pour restreindre l’accès aux données litigieuses (cf. art. 9 al. 1 let. a LPD), et d’établir si, comme le prétend la banque (maître du fichier), ses propres intérêts – ou ceux de tiers – (cf. art. 9 al. 1 let. b et al. 4 LPD) l’emportent sur ceux des employés. Dans un deuxième temps, il conviendra d’examiner si la banque peut justifier son refus sur la base des circonstances exceptionnelles dont elle tente de démontrer l’existence par le biais de divers arguments soulevés sous l’angle de l’art. 8 al. 5 LPD.

La recourante reproche à la cour cantonale d’avoir violé l’art. 9 al. 1 let. a LPD. Selon elle, une base légale au sens formel interdisant à la banque de communiquer les renseignements demandés (subsidiairement prévoyant une restriction à cette communication) est contenue à l’art. 47 de la loi sur les banques (LB; RS 952), ainsi qu’à l’art. 162 CP.

L’art. 47 LB ne règle pas le secret bancaire en tant que tel, mais il prévoit la sanction (pénale) en cas de violation de ce secret. L’art. 47 LB fait en principe partie des bases légales formelles au sens de l’art. 9 al. 1 let. a LPD.

Dans le cadre d’un droit à la consultation des données transmises, la communication aux ex-employés d’informations sur les clients de la banque équivaut aujourd’hui à une remise à des tiers (et ce, même si, après la fin des relations contractuelles, ils sont encore soumis au secret bancaire), ce qui constitue en soi, dans la perspective de la banque, un comportement punissable au sens de l’art. 47 LB (ce qui est d’ailleurs également le cas pour la simple consultation, sur place, des données).

Il faut toutefois d’emblée relever dans ce contexte que le Conseil fédéral, dans sa décision du 4 avril 2012, a expressément interdit aux banques de livrer à l’étranger des informations sur les clients ( » Kundendaten « ). Lors de leur transmission aux autorités américaines, les documents ne contenaient d’ailleurs pas d’informations permettant d’identifier les clients. La banque a elle-même expressément admis avoir caviardé toutes les données permettant d’identifier ses clients dans les documents transmis aux autorités étrangères afin de respecter la décision du Conseil fédéral. Dès lors, si les documents livrés par les banques à un Etat étranger ne contiennent pas de telles informations, on ne voit pas en quoi ces mêmes documents, communiqués aux employés, mettraient le secret bancaire en danger.

La recourante considère que l’infraction (art. 47 LB) pourrait quand même être réalisée de par le fait que les employés ont pu prendre connaissance des documents intégraux et qu’ils seraient donc en mesure, en cas de remise écrite des données, d’identifier (en reconstituant de mémoire les éléments caviardés) les clients en cause.

Le raisonnement ne convainc pas. En réalité, ce n’est pas la remise écrite aux employés des documents litigieux qui leur permettrait d’identifier les clients en cause, puisqu’ils les connaissent déjà.

Dès lors, la banque ne saurait violer l’art. 47 LB pour la seule raison qu’elle serait amenée à remettre par écrit, dans le contexte ainsi décrit, des données caviardées.

La recourante ne peut donc se prévaloir de l’art. 47 LB (en lien avec l’art. 9 al. 1 let. a LPD) pour refuser de remettre aux employés une copie des documents litigieux.

La recourante soutient que  » l’argumentation valable pour l’art. 47 LB est transposable à l’art. 162 CP « . Selon elle, si les employés sont en possession de copies, ils pourraient alors identifier les noms des clients et d’autres informations couvertes par le secret commercial, au vu de leur activité passée au sein de l’établissement bancaire.

L’infraction (art. 162 CP) peut uniquement être réalisée par la personne tenue au secret, soit celle qui a un devoir (légal ou contractuel) de garder le secret. Le maître du secret n’est pas visé par l’infraction et, partant, la banque ne saurait en l’espèce s’en prévaloir à titre de base formelle au sens de l’art. 9 al. 1 let. a LPD.

La recourante invoque ensuite une transgression de l’art. 9 al. 1 let. b LPD.

En vertu de l’art. 9 al. 1 let. b LPD, le maître du fichier peut refuser ou restreindre la communication des renseignements demandés, voire en différer l’octroi, dans la mesure où les intérêts prépondérants d’un tiers l’exigent.

Ce motif peut (et doit) être invoqué par le maître du fichier lorsque les données sur lesquelles porte l’accès sont intimement liées aux données personnelles de tiers.

En principe, si l’anonymisation des documents concernés suffit à protéger les tiers, le droit d’accès du titulaire des données (requérant sous l’angle de l’art. 8 LPD) ne devrait pas, sous peine d’une violation du principe de la proportionnalité (cf. art. 4 al. 2 LPD), faire l’objet d’une plus grande restriction.

Selon les constatations cantonales, lors de leur transmission aux autorités américaines, les documents ne contenaient pas d’informations permettant d’identifier les clients. Il en ressort également que la banque a été autorisée par le premier juge à anonymiser les éléments permettant d’identifier ses (ex-) collaborateurs et les tiers. Il ne résulte pas des constatations cantonales que le caviardage ne permettrait pas de protéger suffisamment les tiers.

Ainsi, même à considérer l’argumentation subsidiaire de l’autorité précédente, on ne saurait reprocher à celle-ci d’avoir nié un intérêt prépondérant de tiers.

La recourante reproche à la cour cantonale d’avoir appliqué de manière incorrecte l’art. 9 al. 4 LPD.

Elle commence par soutenir qu’on peut renoncer à procéder à une pesée d’intérêts sous cet angle en insistant sur le fait que les employés, à qui elle reconnaît le droit de consulter les informations les concernant sur place (données à l’écran), ne disposent en réalité d’aucun intérêt à obtenir une communication écrite.

Il faut rappeler ici qu’en soi le droit d’accès selon l’art. 8 LPD – donc la remise écrite d’information – peut être exercé sans la preuve d’un intérêt. Ce n’est que si le maître du fichier veut refuser ou restreindre l’accès qu’une pesée des intérêts aura lieu. La prise en compte de l’intérêt du titulaire du droit d’accès joue également un rôle lorsqu’un abus de droit entre en considération.

Cela est ainsi le cas, dans la perspective de l’art. 8 LPD, lorsque le droit d’accès est exercé dans un but étranger à la protection des données, par exemple lorsque le droit d’accès n’est utilisé que pour nuire au débiteur de ce droit. Il faudrait probablement aussi considérer comme contraire à son but et donc abusive l’utilisation du droit d’accès dans le but exclusif d’espionner une (future) partie adverse et de se procurer des preuves normalement inaccessibles. Ce serait ainsi le cas d’une requête qui ne constitue qu’un prétexte à une recherche indéterminée de moyens de preuve (fishing expedition). La requête de l’employé visant à obtenir les données le concernant en vue d’une éventuelle action en dommages-intérêts contre le maître du fichier n’est par contre, en soi, pas abusive.

En l’espèce, les employés expliquent qu’ils tiennent à obtenir une copie de leurs données pour deux raisons: premièrement, afin de pouvoir juger d’une possible illicéité de traitement effectué par la recourante et formuler d’éventuelles futures prétentions civiles contre la banque. Deuxièmement, afin d’être en mesure d’anticiper de probables ennuis qui leur seront causés par le Department of Justice (DoJ) et de préparer leur défense sur la base des informations et données transmises et d’ores et déjà en mains de l’autorité pénale étrangère.

Il n’a par contre pas été constaté que les intimés souhaiteraient prospecter des preuves de manière répréhensible ou qu’ils exigeraient la remise de documents auxquels ils ne pourraient pas prétendre dans la procédure civile.

A la lumière des principes évoqués ci-dessus, on ne saurait ainsi dire que la requête des employés, qui n’est pas chicanière, ni contraire au but qu’elle est censée poursuivre, est abusive.

Quant à la forme de l’accès aux données, les employés ont un intérêt évident à obtenir une copie des informations en cause. Premièrement, l’obtention d’une copie leur permettra de consulter leurs données où ils veulent et quand ils veulent, et d’avoir, en tout temps, la possibilité de comparer les documents litigieux avec d’autres informations éventuellement en leur possession. Force est également de constater, deuxièmement, qu’à défaut de pouvoir présenter une copie des informations en cause dans l’hypothèse d’une procédure contre la banque, les employés se heurteraient rapidement à la difficulté de fournir la preuve de leurs allégués. Troisièmement, les employés ont un intérêt à bénéficier de tous les instruments leur permettant d’évaluer les risques d’être inquiétés par les autorités américaines, le cas échéant de se défendre; les copies des informations étant en possession de l’autorité pénale étrangère, l’intérêt des employés à disposer également d’une copie des mêmes documents (même s’ils en ont déjà connaissance) est indéniable.

La requête visant la remise écrite des documents litigieux permet de procurer aux employés l’avantage qu’ils en attendent et, partant, elle ne peut être qualifiée d’abusive.

Quant à la pesée d’intérêts évoquée par la recourante dans le même contexte, elle doit maintenant être examinée sous l’angle de l’art. 9 al. 4 LPD.

En vertu de cette disposition légale, un maître de fichier privé peut refuser ou restreindre la communication des renseignements demandés ou en différer l’octroi, dans la mesure où ses intérêts prépondérants l’exigent et à condition qu’il ne communique pas les données personnelles à un tiers.

Il faut donc procéder à une pesée des intérêts, le débiteur du droit d’accès devant invoquer les siens en premier. Il faut ensuite examiner leur bien-fondé et les opposer aux intérêts du demandeur d’accès. L’accès ne peut être refusé, restreint ou différé que lorsque les premiers l’emportent sur les deuxièmes.

La preuve de l’existence d’un intérêt prépondérant à restreindre le droit d’accès incombe au maître du fichier.

La recourante invoque son intérêt fondé, d’une part, sur la nature sensible des documents et, d’autre part, sur les règles de sécurité auxquelles elle soumet son personnel. Elle insiste sur le fait que la remise de documents écrits entraînerait la perte de maîtrise par la banque et la mise en circulation potentielle – notamment par le biais de fax, photocopies et scans – de centaines de documents d’importance stratégique pour elle. Dans ce contexte, la recourante rappelle également sa réglementation interne qui interdit aux employés d’emporter chez eux des documents confidentiels.

S’agissant de l’intérêt sur la base duquel la banque tente de restreindre le droit d’accès dont les employés sont titulaires, il a été rappelé ci-dessus que les documents ne contenaient pas d’informations permettant d’identifier les clients, de sorte qu’on ne voit pas en quoi la banque pourrait avoir un intérêt à restreindre le droit d’accès aux documents litigieux pour un motif lié au secret bancaire.

Certes, on ne peut écarter le risque qu’un employé communique les copies à un tiers intéressé en révélant de mémoire le nom d’un client pourtant caviardé sur les documents litigieux. A cet égard, la banque n’allègue toutefois ni ne donne le moindre indice qui permettrait de comprendre que les deux employés (intimés) auraient l’intention de divulguer ces documents en dehors d’une procédure judiciaire. Quant à l’existence d’un risque potentiel, celui-ci est relativisé par l’engagement contractuel des (ex-) employés; il n’est en effet pas contesté que ceux-ci sont, de par leur contrat de travail, encore assujettis au secret bancaire et aux peines sanctionnant sa violation (art. 47 al. 4 LB).

Au sujet des documents d’importance stratégique évoqués par la banque, on peut là aussi souligner que les employés en ont déjà pris connaissance, aussi bien au cours de leur ancienne activité professionnelle que par le biais de leur consultation sur place, et que les éventuelles informations confidentielles de la banque qui y sont contenues leur sont déjà connues. Ainsi, le risque potentiel d’une divulgation (évoqué par la banque) n’est, en soi, pas lié à la remise d’une copie des documents litigieux. Ce risque découle déjà d’une prise de connaissance préalable du contenu des documents litigieux par les employés.

Certes, on peut admettre que le risque s’accroît dans une certaine mesure si les employés disposent de documents qui permettent de prouver les informations déjà en leur possession. A cet égard, la banque se limite toutefois à évoquer la nature sensible des documents  » sur le plan organisationnel, commercial ou opérationnel « , sans fournir un seul élément concret (exemples de documents effectivement transmis aux autorités américaines) permettant de comprendre en quoi ces documents sont d’une importance stratégique pour elle et de démontrer son intérêt à restreindre en l’espèce le droit d’accès des employés.

Au demeurant, le risque potentiel évoqué par la banque est, ici aussi, en grande partie relativisé par l’engagement contractuel des (ex-) employés; ceux-ci sont, de par leur contrat de travail, soumis aux secrets de fabrication et d’affaires (art. 321a al. 4 CO) et ils restent soumis à ces secrets même après la fin des rapports de travail, à tout le moins  » tant que l’exige la sauvegarde des intérêts légitimes de l’employeur  » (art. 321a al. 4 in fine CO).

Quant à l’intérêt des employés à avoir en leur possession une copie des documents transmis aux autorités américaines, il a déjà été reconnu plus haut. Il en résulte qu’à défaut d’obtenir une copie, les employés risquent de se heurter à des difficultés importantes (et concrètes) sous plusieurs aspects.

Cela étant, l’existence d’un  » simple  » risque potentiel (par ailleurs limité), tel qu’évoqué par la banque, ne saurait en l’occurrence démontrer que son intérêt à restreindre le droit d’accès des employés l’emporte sur l’intérêt de ceux-ci à obtenir une remise écrite des données litigieuses.

L’argumentation de la banque relative à la réglementation interne semble suggérer que les employés auraient renoncé contractuellement à faire valoir leur droit d’accès (art. 8 LPD), à tout le moins à la possibilité de recevoir une copie des documents litigieux. Une renonciation par avance au droit d’accès est explicitement contraire à l’art. 8 al. 6 LPD et elle doit être considérée comme nulle. La même conclusion s’impose lorsque la clause contractuelle liant les parties ne vise pas la renonciation (pure et simple), mais une restriction du droit d’accès.

Puisque la condition d’un intérêt prépondérant de la banque n’a pas été démontrée par celle-ci, il importe peu de savoir si la deuxième condition posée par l’art. 9 al. 4 LPD, à savoir que le maître du fichier ne communique pas les données personnelles à un tiers, est également remplie.

La recourante reproche également à la cour cantonale d’avoir violé l’art. 8 al. 5 LPD. Elle estime qu’en l’espèce les circonstances sont telles qu’elles justifient une exception au principe de la communication écrite.

En vertu de l’art. 8 al. 5 LPD,  » les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme d’imprimé ou de photocopie. Le Conseil fédéral règle les exceptions « .

Se fondant sur cette délégation législative (reprise à l’art. 36 al. 1 LPD), le Conseil fédéral a prévu, à l’art. 1 al. 3 OLPD, que,  » d’entente avec le maître du fichier ou sur proposition de celui-ci, la personne concernée peut également consulter ses données sur place. Si elle y a consenti et qu’elle a été identifiée, les renseignements peuvent également lui être fournis oralement « .

Il ressort clairement des dispositions précitées que, pour le législateur, la communication écrite des données constitue la règle. La seule exception explicite figure à l’art. 1 al. 3 de l’ordonnance; selon cette disposition une consultation sur place – voire une communication orale – des pièces du dossier ne peut remplacer une communication écrite que dans le cas où la personne intéressée est d’accord avec ce mode de faire.

Dans ce contexte, le Tribunal fédéral a déjà eu l’occasion d’expliquer que l’inconvénient résultant de la communication systématique des dossiers aux personnes qui le demandent (soit en particulier le surcroît de travail) est propre à tous les détenteurs de fichiers. Il a d’ailleurs été pris en compte par le législateur, qui n’a pas voulu en faire une cause de refus de la communication écrite, mais qui a préféré prévoir des exceptions à la gratuité de celle-ci.

Le Tribunal fédéral rejette donc le recours interjeté par la banque contre deux décisions cantonales ordonnant à l’employeur de remettre aux ex-employés, sur un support papier ou sur un support électronique, une copie des documents qui avaient été transmis aux autorités américaines et qui contenaient des données les concernant.

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Procédure, Protection de la personnalité, Protection des données, est tagué , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s