La décision ci-après est rendue dans le cadre des démêlés d’une banque suisse avec les autorités fiscales US, plus précisément en rapport avec la transmission de données d’un gérant externe à ces mêmes autorités. Les principes développés sont toutefois aisément transposables à la situation d’employés d’une même banque ou de banques similaires.
En vertu de l’art. 6 al. 1 de la loi fédérale du 19 juin 1992sur la protection des données (LPD ; RS 235.1), aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat.
La communication de données dans un Etat ne disposant pas d’une législation assurant un niveau de protection adéquat entraîne de par la loi une grave menace de la personnalité, comme une présomption irréfragable.
Selon la liste publiée par le Préposé fédéral à la protection des données et à la transparence, les Etats-Unis ne disposent pas d’une législation assurant un niveau de protection adéquat des données au sens de l’art. 6 al. 1 LPD (art. 7 OLDP; http://www.edoeb.admin.ch/datenschutz/00626/00753/index.html, version mise à jour au 12 janvier 2017).
Dans un arrêt du 6 octobre 2015, la Cour de justice européenne a eu l’occasion de relever que la législation américaine consacre la primauté des « exigences relatives à la sécurité nationale, [à] l’intérêt public et [au] respect des lois des Etats-Unis » sur les principes de la sphère de sécurité, si bien que les règles de protection prévues peuvent à ce titre être écartées, sans limitation. Le régime américain de la sphère de sécurité rend ainsi possible des ingérences, par les autorités publiques américaines, dans les droits fondamentaux des personnes, sans qu’il n’existe de règles à caractère étatique destinées à limiter ces éventuelles ingérences ni de protection juridique efficace contre celles-ci (arrêt de la CJUE dans l’affaire C/362/2014 du 6 octobre 2015 consid. 86 s. ; [NB : le régime du « Privacy Shield » applicable en pour la Suisse depuis le 12 avril 2017 n’aurait rien changé à l’affaire : on lira là-dessus https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01445/index.html?lang=fr%5D.
Selon l’art. 6 al. 2 LPD, en dépit de l’absence d’une législation assurant un niveau de protection adéquat à l’étranger, des données personnelles peuvent être communiquées à l’étranger dans certains cas, notamment lorsque la communication est indispensable soit à la sauvegarde d’un intérêt public prépondérant (let. d).
Pour être autorisée, la communication des données doit être « indispensable ». La communication est indispensable au sens de cette disposition notamment lorsqu’il faut admettre que, sans la livraison de celles-ci, le litige fiscal avec les Etats-Unis s’intensifierait, que la place financière suisse devrait en supporter les conséquences et que la réputation de la Suisse serait atteinte en tant que partenaire de négociation fiable (arrêt du Tribunal fédéral 4A_83/2016 du 22 septembre 2016 consid. 3.3.4).
Par intérêt public, on entend l’intérêt de la Suisse, qui comprend l’image du pays à l’étranger, notamment du fait de sa coopération avec d’autres Etats ou des organismes internationaux, par exemple en matière de lutte contre le terrorisme ou le blanchiment d’argent. On entend également les cas où les intérêts d’Etats étrangers ont un effet réflexe sur la Suisse et par là coïncident indirectement avec l’intérêt public de la Suisse, notamment lorsqu’il s’agit de protéger une certaine branche de l’économie ou certains consommateurs en Suisse de sanctions explicites ou implicites de la part d’Etats étrangers, auxquelles ils seraient directement ou indirectement exposés en cas de coopération défaillante.
En exigeant que l’intérêt public soit prépondérant, l’art. 6 al. 2 let. d LPD implique une pesée entre les intérêts privés des personnes concernées et l’intérêt public retenu.
L’existence de l’intérêt public prépondérant doit être évaluée dans chaque cas concret, en fonction de l’ensemble des circonstances en présence, notamment les garanties offertes par l’Etat de destination. L’intérêt public ne permet pas de justifier la communication de données de manière générale ou permanente pour une catégorie de cas. Il faut en particulier tenir compte de l’intérêt de la personne concernée à ce que ses données ne soient pas communiquées vers un Etat sans protection des données adéquate (évaluation notamment du risque de détournement de finalité ou de publication des données).
La dérogation fondée sur l’intérêt public doit être interprétée restrictivement, de sorte à ne pas encourager des communications transfrontalières dans des conditions qui ne répondent pas à celles prévues par les traités d’entraide.
Le fardeau de la preuve de l’existence d’un motif justificatif au sens de l’art. 6 al. 2 LPD appartient à celui qui exporte les données (art. 8 CC).
En l’espèce, l’appelante ( = la banque) soutient que la communication des données ne constitue pas une atteinte illicite à la personnalité de l’intimé ( = l’employé), ni ne la menace gravement, dans la mesure où les informations personnelles concernant ce dernier sont déjà en possession des autorités administratives.
Il est acquis, et au demeurant non contesté, que la législation américaine n’offre pas un niveau de protection des données adéquat au sens de l’art. 6 al. 1 LPD. La communication de données vers un Etat ne disposant pas d’un niveau de protection suffisant constitue per se une atteinte grave à la personnalité. Partant, l’argumentation de l’appelante tombe à faux, dès lors que, comme l’a à juste titre relevé le Tribunal, la seule absence de protection législative de l’Etat destinataire constitue à elle seule une grave atteinte à la personnalité de l’intimé.
Par ailleurs, l’appelante part d’une prémisse erronée, ou du moins pas établie, selon laquelle les autorités américaines connaissent déjà l’identité et les activités de l’intimé par le biais des procédures volontaires d’auto-dénonciation de ses clients. Si l’intimé a certes reconnu devant le Tribunal avoir confirmé l’existence de cette possibilité de régularisation avec certains clients, il n’y a toutefois pas participé lui-même et ignore si ses clients y ont finalement pris part et, cas échéant, dans quelle mesure. On ne saurait ainsi inférer de ces déclarations que certains clients auraient effectivement entrepris des démarches en ce sens, ni a fortiori, transmis des données relatives à l’intimé aux autorités américaines. Les pièces produites à cet égard par l’appelante permettent tout au plus de retenir que deux clients de l’intimé auraient effectivement collaboré avec les autorités américaines et transmis les données relatives à leurs relations bancaires, sans que le nom de l’intimé ne soit toutefois expressément mentionné.
En tout état de cause, l’intérêt de l’intimé à s’opposer à la transmission de la documentation litigeuse demeure intact, ne serait-ce qu’afin d’éviter d’attirer davantage l’attention des autorités américaines sur sa personne.
Au vu de ce qui précède, l’appelante ne peut être suivie lorsqu’elle soutient que la transmission des données concernant l’intimé vers les Etats-Unis ne menacerait pas gravement la personnalité de celui-ci et serait, de ce fait, licite au regard de l’art. 6 al. 1 LPD.
L’appelante conteste ensuite la pesée des intérêts opérée par le premier juge en application de l’art. 6 al. 2 LPD, considérant que l’intérêt public dont elle se prévaut est prépondérant à l’intérêt privé de l’intimé.
Contrairement à l’avis de l’appelante, l’intimé conserve un intérêt marqué à ce que ses données ne soient pas transmises aux Etats-Unis. A cet égard, l’argument de l’appelante selon lequel l’intimé n’aurait plus d’intérêt privé à faire valoir pour s’opposer à la transmission des données dans la mesure où celles-ci déjà en mains des autorités américaines doit être rejeté pour les motifs précédemment exposés.
Par ailleurs, il doit être admis que l’association d’une personne physique ou morale au Programme américain et à la lutte de cet Etat contre la fraude fiscale peuvent entraîner la possibilité d’interrogatoires et/ou de poursuites pénales contre les personnes concernées. Les autorités américaines ont en effet constamment affirmé qu’elles déploieraient tous les efforts pour identifier et poursuivre les personnes impliquées, notamment au moyen des informations obtenues par le biais des banques suisses. Le Programme américain prévoit d’ailleurs expressément que les informations obtenues par le biais des banques suisses seront utilisées en vue de faire appliquer le droit américain, lequel autorise, au nom de la sécurité nationale, de l’intérêt public et du respect des lois des Etats-Unis des ingérences par les autorités publiques dans les droits fondamentaux des individus.
S’agissant de l’intérêt public invoqué par la banque, comme l’a retenu à juste titre le Tribunal, il existe un intérêt public général à ce que les accords conclus avec les banques mises en cause par les Etats-Unis soient respectés, afin de mettre un terme définitif au conflit fiscal impliquant lesdites banques et d’assurer la stabilité juridique et économique de la place financière suisse. Toutefois, cela ne signifie pas encore que, dans le cas concret, cet intérêt public justifie la transmission des données, étant rappelé que l’existence de l’intérêt public prépondérant doit être évaluée dans chaque cas concret en fonction de l’ensemble des circonstances en présence.
Il est d’ailleurs aujourd’hui établi que l’appelante a pu parvenir à un accord de non poursuite sans transmettre la documentation litigieuse. Si les autorités américaines se réservent certes le droit de revenir sur cet accord en cas de documentation fausse ou incomplète, rien ne permet d’établir qu’elles considèrent que ce soit en l’occurrence le cas. Au contraire, à teneur de l’accord des ______ et ______ juillet 2015, l’appelante a pour l’heure satisfait son obligation de collaboration en communiquant la liste des noms et les fonctions des individus en lien avec les comptes bancaires présentant un indice d’américanité (US Related Accounts). L’appelante n’a au demeurant pas fait l’objet de relances ou de pressions de la part des autorités américaines afin qu’elle transmette tout ou partie de la documentation concernant l’intimé en particulier.
Ainsi, bien que la possibilité demeure que les autorités US considèrent la collaboration de la banque insuffisante, cette possibilité reste hypothétique, plus d’une année et demie après la signature de l’accord et le paiement d’une amende. L’appelante n’a apporté aucun élément qui permettrait d’établir que la non-communication du nom d’un gérant externe, responsable d’un nombre limité de comptes bancaires, serait de nature à remettre en cause l’accord qu’elle a conclu. Aucune notification n’a été envoyée par le fisc américain qui irait dans ce sens.
Au demeurant, le fait que l’appelante puisse faire l’objet d’une poursuite pénale, susceptible de menacer sa propre existence, représente en l’occurrence un intérêt privé, impropre à justifier la livraison des données litigieuses. A cet égard, la banque ne prétend pas qu’elle aurait une importance systémique, ni ne démontre les répercussions que sa disparition pourrait engendrer sur la place financière suisse ou pour l’image de la suisse. Sur ce point, elle se livre à une critique toute générale, selon laquelle la place financière suisse se trouverait menacée si, de manière générale, il était fait interdiction aux établissements bancaires de transmettre des données personnelles de tiers, telles que requises par le DoJ, dans la mesure où celui-ci serait dès lors susceptible de remettre en question la totalité du Programme américain. Or, force est de constater que même en l’absence d’une telle communication, l’appelante, à l’instar d’autres établissements, a pu parvenir à conclure un accord mettant un terme au litige fiscal la concernant, de sorte qu’il est peu probable que les autorités américaines reviennent sur l’entier du programme offert aux banques suisses. L’appelante ne cite d’ailleurs aucun cas où une banque aurait vu son accord annulé ou aurait fait l’objet d’une poursuite ultérieure en raison d’une communication jugée incomplète. Il n’est pas non plus allégué, ni démontré, que l’activité de l’intimé serait d’une telle ampleur qu’elle justifierait l’annulation de l’accord global conclu. Dans ce contexte, la transmission des données litigieuses n’apparaît pas indispensable pour sauvegarder la place financière suisse.
Au vu de ce qui précède, l’appelante, à qui il incombe d’établir le caractère prépondérant de l’intérêt public qu’elle invoque, ne démontre pas un risque concret plus important que celui encouru par l’intimé.
L’appel sera dès lors rejeté.
(ACJC/494/2017 du 28.04.2017, consid. 2 et ss)
Me Philippe Ehrenström, avocat, ll.m., Genève et Yverdon
Le droit du travail et de la protection des données en Suisse 