Transmission illicite de données d’employés à une autorité étrangère: exemple

IMG_3991 (2)IMG_3870

T est employée depuis le 1er mai 2010 comme « Assistant Relationship Manager » au sein du desk « North American International » de la banque E à Genève. Elle a travaillé pour plusieurs gestionnaires du desk, a eu des contacts avec des employés de E aux Etats-Unis et avec de la clientèle. Elle ne s’est jamais rendue aux USA, et ses contacts avec la clientèle à Genève concernaient surtout des réunions d’information relatives à l’état des portefeuilles. Elle ne donnait pas de conseils, mais se chargeait de questions administratives. Ses activités étaient considérées comme subalternes, et n’impliquaient pas de responsabilités par rapport aux clients.

Dans le cadre du litige entre E et les autorités américaines concernant des comptes de clients « non fiscalisés », des données concernant T ont été fournies à ces mêmes autorités par la banque à plusieurs reprises. Le contrat de travail a été résilié par T pour justes motifs, T demandant le paiement d’une indemnité de six mois de salaire.

E a par la suite informé T que de nouvelles transmissions de données allaient prendre place. T a alors déposé au greffe du Tribunal de première instance une action en constatation du caractère illicite de la communication de données aux USA, assortie d’une requête de mesures superprovisionnelles et provisionnelles. Une décision sur mesure urgentes a, le même jour, interdit la transmission des données. D’autres procédures connexes ont été intentées, notamment concernant le droit d’accès aux données.

Le Tribunal de première instance a retenu que la communication de données de E aux Etats-Unis menaçait gravement sa personnalité vu l’absence de législation dans cet Etat assurant un niveau de protection adéquat. La communication ne reposait sur aucun des motifs justificatifs prévus par la loi. L’illicéité de la communication de données était donc constatée et toute nouvelle communication devait être interdite. E forme appel de ce jugement.

Dans un 1er grief, E reproche au Tribunal d’avoir considéré que la transmission de données relatives à T portait à la personnalité de celle-ci une atteinte injustifiée et illicite (art. 28a al. CC ; 328 et 328b CO).

La Cour de justice rappelle que le traitement de données doit être licite et s’effectuer de manière conforme aux principes de bonne foi et de proportionnalité (art. 4 LPD).

La communication transfrontière de données est réglée par l’art. 6 LPD, lequel prévoit qu’aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité de la personne concernée devait s’en trouver gravement menacés, notamment du fait de l’absence de législation assurant un niveau de protection adéquat (art. 6 al. 1). Le droit des Etats-Unis n’assure pas un tel niveau de protection.

En dépit de l’absence d’un niveau de protection adéquat, la communication transfrontière de données peut être licite si elle remplit l’un des six critères justificatifs alternatifs de l’art. 6 al. 2 LPD.

Parmi les critères alternatifs de l’art. 6 al. 2 LPD figure celui de la communication indispensable à la constatation, à l’exercice ou à la défense d’un droit en justice (art. 6 al. 2 let. d 2e phr. LPD). C’est ce que soutient E. Les données doivent toutefois être en lien étroits avec une procédure prévue ou engagée, et ne doivent pas être utilisées à d’autres fins. En cas de doute sur ce critère, il convient de s’abstenir de transmettre les données.

La Cour reconnaît que la transmission des données par E était nécessaire à la défense de ses intérêts en justice. Mais elle souligne qu’il n’est nullement établi que les données transmises n’ont été ou ne seront utilisées que dans le strict cadre de l’enquête diligentée contre E.  Au contraire, les autorités américaines n’ont eu de cesse de souligner que les données collectées leur permettraient d’agir contre les employés et contre les clients de la banque. Dans ces conditions, E ne peut invoquer l’art. 6 al. 2 let. d 2e phr. LPD pour justifier l’atteinte à la personnalité de T constituée par la transmission de données à un pays dont le cadre législatif n’assure pas un niveau de protection « adéquat ».

E, dans un second grief, considère que le Tribunal aurait dû retenir que la transmission de données répondait à un intérêt public prépondérant (art. 6 al. let. d 1ère phr. LPD). On comprend par cela l’intérêt de la Suisse au sens large (image à l’étranger, protection de certaines branches économiques, etc.)

Même dans l’hypothèse où un intérêt public est reconnu, celui-ci doit toutefois être prépondérant par rapport à l’intérêt de la partie qui demande d’interdire la communication de données ou de constater l’illicéité de leur transmission. La Cour ajoute ici :

« L’intérêt public ne permet pas de justifier la communication de données de manière générale ou permanente pour une catégorie de cas. Il faut en particulier tenir compte de l’intérêt de la personne concernée à ce que ses données ne soient pas communiquées vers un Etat sans protection des données adéquates (évaluation notamment du risque de détournement de finalité ou de publication de données (…) » (consid. 7.1).

La Cour ajoute aussi que le fait justificatif découlant de l’intérêt public doit être interprété restrictivement, de manière à ne pas encourager des communications transfrontière de données qui ne répondraient pas aux conditions des traités d’entraide.

Dans le cas d’espèce, l’intérêt public à ce que E puisse trouver une solution à son litige avec les autorités américaines est reconnu, eu égard notamment à la taille systémique de la banque et à son importance pour l’économie suisse. La Cour ajoute toutefois :

« Cela étant, il existe également un intérêt public à ce que les employeurs suisses protègent la personnalité et la sphère privée de leurs employés autant que possible, afin d’assurer un climat de confiance réciproque dans les relations de travail et préserver la paix sociale. Ceci implique notamment que les employeurs ne communiquent pas les données personnelles de leurs employés à des autorités étrangère sans leur consentement lorsque cela n’est pas strictement et concrètement nécessaire. Cet autre aspect de l’intérêt public doit également être pris en compte » (consid. 7.2.1).

La Cour affirme ensuite que les risques d’être arrêtés ou inquiétés pour les employés dont les données avaient été transmises n’étaient pas imaginaires, qu’ils se retrouvaient donc entravés dans leur liberté de mouvement et qu’ils leur étaient aussi difficile de retrouver un emploi dans la branche. Le poste subalterne occupé par T n’y change rien pour la Cour, dans la mesure où les autorités américaines ont manifesté le désir d’enquêter et de poursuivre sans distinction selon les fonctions exercées et les responsabilités assumées. Le fait qu’un accord ait été, entre-temps, trouvé entre E et les autorités américaines ne joue également aucun rôle dans la mesure où il ne prévoit aucune immunité pour les employés concernés. Il en résulte que T avait un intérêt parfaitement fondé à s’opposer à la transmission de données la concernant.

Les intérêts de E doivent aussi être pris en compte. Cela étant E n’a pas démontré en procédure quel risque elle encourrait concrètement en ne transmettant pas les données concernant T. E a aussi pu parvenir à conclure un accord avec les autorités américaines sans avoir pu transmettre toutes les données relatives à T en raison des mesures superprovisionnelles prononcées dans ce dossier.

La Cour ajoute (avec un soupçon d’ironie) :

« L’appelante ne cite l’exemple d’aucune banque dont les négociations avec les autorités américaines auraient échoué, ou à l’encontre de laquelle des poursuites pénales auraient repris, parce qu’elle n’aurait pas été en mesure de transmettre la documentation relative à l’activité d’employés subalternes tels que l’intimée » (consid. 7.2.3.1).

Elle écrit aussi que E n’a pas davantage fait la démonstration que le contenu des documents visés serait pertinent sous l’angle du critère de l’intérêt public. Or il appartient à E d’établir un intérêt public prépondérant à la transmission des données, ce qu’elle n’a pas fait.

Le motif justificatif de l’intérêt public est donc également rejeté.

Comme E n’invoque pas d’autre motif justificatif, la communication transfrontière de données est, dans le cas d’espèce, illicite, viole l’art. 328b CO et constitue une atteinte à la personnalité au sens de l’art. 28 al. 1 CC.

(ACJC/1529/2015, remarquable et très pédagogique décision, qui contient aussi un exposé très complet de l’« histoire » du différent fiscal avec les USA ; il est donc regrettable que ce document ne figure apparemment plus dans la jurisprudence consultable en ligne sur le site internet du Pouvoir judiciaire du canton de Genève, consulté le 9 février 2016)

En savoir plus sur la protection des données dans les rapports de travail ici.

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection de la personnalité, Protection des données, est tagué , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s