Le droit d’accès selon la LPD actuelle

A teneur de l’art. 8 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD ; RS 235.1), toute personne peut demander au maître d’un fichier si des données la concernant sont traitées (droit d’accès).[Sur le droit d’accès en général : Félise Rouiller /Astrid Epiney, Le droit d’accès à ses données personnelles, in : Sylvain Métille (éd.), Le droit d’accès, Berne, Stämpfli, 2021, pp. 1-28]. Le maître du fichier doit lui communiquer:  a. toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l’origine des données; b. le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données (art. 8 al. 2 LPD). Les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme d’imprimé ou de photocopie (art. 8 al. 5 LPD). Nul ne peut renoncer par avance au droit d’accès (art. 8 al. 6 LPD).

Les restrictions du droit d’accès sont contenues à l’art. 9 LPD. Le maître du fichier peut refuser ou restreindre la communication des renseignements demandés, voire en différer l’octroi, dans la mesure où une loi au sens formel le prévoit ou les intérêts prépondérants d’un tiers l’exigent. Un maître de fichier privé peut en outre refuser ou restreindre la communication des renseignements demandés ou en différer l’octroi, dans la mesure où ses intérêts prépondérants l’exigent et à condition qu’il ne communique pas les données personnelles à un tiers.  Le maître du fichier doit indiquer le motif pour lequel il refuse de fournir, restreint ou ajourne les renseignements.

Les modalités pratiques de la mise en œuvre du droit d’accès sont réglées aux art. 1 et 2 de l’ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD ; RS 235.11). Toute personne qui demande au maître du fichier si des données la concernant sont traitées doit en règle générale le faire par écrit et justifier de son identité. La demande d’accès et la communication des renseignements demandés peuvent être faites par voie électronique, pour autant que le maître du fichier le prévoie expressément et qu’il prenne des mesures adéquates afin d’assurer l’identification de la personne concernée et de protéger les données de la personne concernée de tout accès de tiers non autorisés lors de la communication des renseignements. Les renseignements sont fournis dans les 30 jours suivant réception de la demande. Il en va de même d’une décision restreignant le droit d’accès.

La fourniture intentionnelle de renseignements inexacts ou incomplets est punie de l’amende (art. 34 al. 1 let. a LPD). Le maître de fichier s’expose par ailleurs, en cas d’inexécution ou d’exécution partielle ou défectueuse, à une action judiciaire civile en exécution du droit d’accès.

L’usage abusif du droit d’accès

Dans la pratique, le droit d’accès a été très fréquemment utilisé, en droit du travail comme dans d’autre domaine, pour préparer et évaluer des actions judiciaires. Il sert de levée de rideau du contentieux, orchestré par le travailleur et son conseil.

Or il faut rappeler que la LPD n’est pas applicable aux procédures « pendantes » civiles, pénales, d’entraide judiciaire internationale et de droit public et de droit administratif (art. 2 al. 2 let. c LPD). Cette exception repose sur l’idée que la protection de la personnalité est réglée de manière suffisante et satisfaisante par les normes spéciales des procédures en question. En effet, dès l’introduction d’une procédure, ce sont les règles spécifiques à celle-ci qui lui seront applicables et qui primeront sur celles de la LPD.  Ce seront donc par exemple les dispositions du Code de procédure civile qui s’appliqueront à la production de pièces, aux demandes de renseignement et autres mesures d’instruction dans le cadre d’un litige de droit du travail, mais plus les dispositions de la LPD.

La notion de « procédure civile pendante » renvoie à la saisine du tribunal et à l’application des dispositions de procédure pertinente. Une procédure civile est donc « pendante » lorsqu’une instance judiciaire a été saisie, et au plus tard au moment de la litispendance au sens du droit civil (art. 62 CPC). Cela ne concerne donc pas les étapes antérieures, pendant lesquelles les parties constituent et préparent leurs dossiers, mettent en demeure les parties défaillantes, réunissent des preuves et évaluent les chances des actions projetées. [ATF 138 III 425 = SJ 2013 I 81, consid. 4.3].

S’est alors posé la question de l’abus de droit, i.e. de l’utilisation d’une voie de droit (le droit d’accès) d’une manière contraire ou non conforme à son but (art. 2 al. 2 CC). L’utilisation très large du droit d’accès dans le cadre de contentieux en préparation a découlé en tout cas en partie d’un arrêt du Tribunal fédéral ATF 138 III 425 = SJ 2013 I 81 dans lequel il a été retenu qu’un client pouvait demander à sa banque, sur la base de la LPD, la communication de toutes les données personnelles internes le concernant, quand bien même il envisageait d’introduire une action en responsabilité contre la banque (voir aussi dans le même sens l’ATF 141 III 119).

Le Tribunal fédéral a eu toutefois l’occasion de préciser depuis lors dans un arrêt 4A_277/2020 du 18 novembre 2020 qu’une demande de droit d’accès qui visait à procurer des preuves en vue d’une procédure civile sans chercher à vérifier les données ou le traitement effectué était abusive. Cet arrêt est apparemment plus restrictif que les ATF 141 III 119 et 138 III 425, où des demandes dont le caractère « préparatoire » ne faisait guère de doute ont été jugées non abusives. [Cf. Sylvain Métille, Le traitement de données personnelles sous l’angle de la (nouvelle) loi fédérale sur la protection des données du 25 septembre 2020, SJ 2021 II 3-46, 32) ;  Célian Hirsch, Le droit d’accès abusif, 29 décembre 2020 in www.swissprivacy.law/45); Livio di Tria, Droit d’accès : quelles limites pour l’ancien employé ?, 14 mars 2021 in www.swissprivacy.law/62]

Le droit d’accès dans la nouvelle LPD

Selon l’art. 25 de la nouvelle loi fédérale du 25 septembre 2020 sur la protection des données (nLPD ; FF 2020 7397), dont l’entrée en vigueur aura probablement lieu courant 2022, toute personne peut demander au responsable du traitement si des données personnelles la concernant sont traitées. Selon l’art. 25 al. 2, la personne concernée reçoit alors les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie. Dans tous les cas, elle reçoit les informations suivantes:l’identité et les coordonnées du responsable du traitement;les données personnelles traitées en tant que telles;la finalité du traitement;la durée de conservation des données personnelles ou, si cela n’est pas possible, les critères pour fixer cette dernière; les informations disponibles sur l’origine des données personnelles, dans la mesure où ces données n’ont pas été collectées auprès de la personne concernée;le cas échéant, l’existence d’une décision individuelle automatisée ainsi que la logique sur laquelle se base la décision;le cas échéant, les destinataires ou les catégories de destinataires auxquels des données personnelles sont communiquées, ainsi que les informations prévues à l’art. 19 al. 4 nLPD (notamment les garanties prévues en cas de transfert de données à l’étranger).

L’art. 26 nLPD mentionne quant à lui les restrictions au droit d’accès, dont celle-ci : c. la demande d’accès est manifestement infondée notamment parce qu’elle poursuit un but contraire à la protection des données ou est manifestement procédurière (art. 26 al. 1 let. c nLPD).

La nLPD semble donc limiter la portée du droit d’accès. Il vise en effet explicitement et uniquement à aider une personne concernée à faire valoir ses droits en matière de protection des données et à garantir la transparence du traitement des données. En revanche, le droit d’accès ne saurait servir de simple « conduit » pour obtenir facilement et à faibles coûts des moyens de preuve afin de faire valoir diverses prétentions dans le cadre d’une procédure ultérieure. [David Rosenthal, Samira Studer/Alexandre Lombard (pour la traduction), La nouvelle loi sur la protection des données, in : Jusletter 16 novembre 2020, N 122, 125]

La nLPD a par ailleurs apporté deux modifications aux motifs justificatifs permettant de limiter ou de refuser le droit d’accès. Selon l’art. 26 al. 1 let. c nLPD, la transmission des renseignements peut ainsi être refusée ou du moins restreinte ou différée si la demande est « manifestement » infondée ou procédurière. Sont « procédurières » les demandes d’accès qui servent de toute évidence à nuire au responsable du traitement ou à le solliciter inutilement. Les demandes d’information sont « manifestement infondées » si elles ne poursuivent pas les objectifs mentionnés à l’art. 25 al. 2 nLPD, i.e. si elles ne servent pas à faire valoir des droits en matière de protection des données ou à garantir la transparence du traitement. [Ibid.]

Selon Rosenthal, il s’agit d’un « changement de système  : pour présumer un abus, il n’est plus nécessaire de démontrer que la demande d’accès ne poursuit aucun objectif de protection des données (ce qui était impossible en pratique), il suffit de démontrer qu’elle poursuit manifestement un objectif étranger à la protection des données. Cela pourrait être le cas, par exemple, si un employé, suite à son licenciement prétendument injustifié, exige de son ancien employeur par l’entremise de son avocat la remise de tous les e-mails et procès-verbaux le concernant : il est évident qu’il tente de justifier des prétentions de droit du travail. A la lumière du nouveau droit, même l’ATF 138 III 425 – cet audacieux arrêt de principe du Tribunal fédéral qui a ouvert la voie aux abus en matière de droit d’accès – devrait être réévalué. » [Ibid.]

La porte se ferme ?

Sous l’empire de la nLPD, les praticiens pourront toujours prétendre, en préparant un contentieux, que leur demande de droit d’accès vise effectivement à s’assurer du respect des dispositions relatives à la protection des données ou de la transparence du traitement. La partie défenderesse, dans le cadre d’un procès civil ultérieur, aurait alors beau jeu d’opposer que les données ont été récoltées purement à des fins procédurales et qu’elles constituent en conséquence des moyens de preuve illicites au sens de l’art. 152 al. 2 CPC. On verra ce que les tribunaux feront de ces arguments prévisibles.

On peut par contre regretter que la porte semble se fermer, et que les employeurs puissent plus facilement limiter, restreindre ou empêcher le droit d’accès en cas de litige potentiel. En effet, on oublie que les arrêts susmentionnés – dont l’ATF 138 III 425 – parlent certes de préparation d’un litige, mais aussi, ce qu’on souligne moins d’évaluation de leurs chances et de leurs mérites. En d’autres termes, l’accès au dossier personnel permet aussi d’éviter des contentieux, d’en limiter la portée et d’insuffler un peu de raisons dans des litiges souvent très émotionnels. Renvoyer l’accès aux données contenues dans le dossier du personnel à plus tard, dans le cadre de la procédure, ne servira donc les intérêts de personne, ni ceux du travailleur, qui devra procéder pour avoir accès à ses données, ni ceux de l’employeur qui suscitera ainsi des contentieux parfois inutiles. Il est donc à espérer que la pratique suscitée par l’art. 138 III 425 continuera à prospérer, malgré le « changement de système » mis en place par les dispositions de la nLPD.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)