Le traitement illicite de données par une personne privée

Photo de Kartik Kacha sur Pexels.com

[Le droit suisse de la protection des données, c’est aussi du droit du travail !

En effet, outre le renvoi de l’art. 328 b CO, le droit de la protection des données s’applique à des degrés divers dans toutes les étapes de la gestion des ressources humaines, de l’engagement au contentieux en passant par la tenue du dossier personnel.

Or le droit suisse de la protection des données va connaître un bouleversement considérable au 2e semestre 2022 avec l’entrée en vigueur de la loi révisée sur la protection des données et de son ordonnance.

Contrairement à ce que l’on peut lire ici ou là, le nouveau droit de la protection des données va entraîner des adaptations substantielles des pratiques et des manières de procéder, particulièrement pour les employeurs qui ne se sont pas adaptés au RGPD car ils n’avaient pas à le faire.

Je vais donc présenter sur ce blog quelques-unes des nouveautés à venir pendant le 2e semestre 2021.]

Le traitement de données par des personnes privées en droit suisse n’a pas besoin de reposer sur un motif justificatif, contrairement à ce qui prévaut en droit européen (art. 12-13 LPD ; 30-31 nLPD ; 6 et 9 RGPD). Il n’est en effet illicite que s’il constitue une atteinte à la personnalité de la personne concernée, illicéité qui doit alors être justifiée par un fait justificatif. Il y a là une différence fondamentale entre le droit européen et le droit suisse de la protection des données, différence que le nouveau droit n’a pas modifiée.

Nous traiterons d’abord du traitement illicite selon la LPD, des motifs justificatifs à celui-ci, du régime instauré par  la nouvelle LPD (nLPD), en concluant avec quelques points de comparaison avec le RGPD.

Traitement illicite (LPD)

Quiconque traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées (art. 12 al. 1 LPD). Une atteinte à la personnalité est par définition illicite car les droits de la personnalité sont des droits absolus.

L’atteinte est un trouble dans la personnalité de la personne concernée par le traitement du fait du comportement d’un tiers. Il y faut donc une certaine intensité qui dépasse de simples usages sociaux. Il y a lieu de déterminer pour chaque traitement les conséquences effectives ou potentielles qu’il présente pour les droits de la personne concernée (droit de décider de son comportement en toute indépendance et à l’abris du regard d’autrui, droit d’organiser ses relations sociales en toute autonomie, droit au libre épanouissement de sa personnalité économique, etc.) [On renverra ici aux développements relatifs à la protection de la personnalité en droit suisse contenus dans une note à venir sur ce blog.]

Selon l’art. 12 al. 2 LPD, personne n’est en droit notamment de:    a. traiter des données personnelles en violation des principes de licéité, bonne foi, proportionnalité, finalité et reconnaissabilité, exactitude et sécurité sans motifs justificatifs (cf. art. 4, 5 al. 1 et 7 al. 1 LPD) ; b. traiter des données contre la volonté expresse de la personne concernée sans motifs justificatifs ;   c. communiquer à des tiers des données sensibles ou des profils de personnalité sans motifs justificatifs. L’art. 12 al. 2 LPD n’est pas exhaustif : d’autres atteintes illicites peuvent relever de la violation d’autres dispositions ; elles ne bénéficieront pas alors de la présomption d’illicéité de 1’art. 12 al. 2 LPD, et la personne concernée devra alors démontrer dans le cas d’espèce l’existence d’une atteinte illicite à la personnalité. Dans l’hypothèse où le traitement de données ne rentrerait pas dans le champ d’application de la LPD, la personne concernée pourra encore se prévaloir de la protection générale de la personnalité découlant des art. 28 ss CC.

L’art. 12 al. 2 LPD facilite la preuve de l’atteinte à la personnalité. Une fois prouvée, l’atteinte est alors présumée illicite et l’auteur du traitement ne peut pas apporter la preuve du contraire. Par contre, il pourra alors évoquer soit l’absence de toute atteinte (art. 12 al. 3 LPD : présomption réfragable d’absence d’atteinte si la personne concernée a rendu les données accessibles à tout un chacun et ne s’est pas opposée formellement au traitement), soit des motifs justificatifs au sens de l’art. 13 LPD (consentement de la victime, intérêt prépondérant privé ou public, loi).

Motifs justificatifs (LPD)

Concernant les motifs justificatifs, une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public ou par la loi (art. 13 al. 1 LPD).

Pour ce qui est du consentement (art. 4 al. 5 LPD), lorsqu’il est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée (consentement libre et éclairé). Lorsqu’il s’agit de données sensibles et de profils de la personnalité, son consentement doit être au surplus explicite.

Un intérêt prépondérant peut lever l’illicéité de l’ensemble des traitements de données concernés, d’une partie d’entre eux ou seulement du traitement de certaines données.

La condition de l’intérêt public prépondérant est remplie lorsqu’une atteinte est destinée à procurer un avantage à la collectivité ou à une multitude de personnes. Ce critère est rarement invoqué, ou seul, dans la mesure où il est souvent déjà traduit dans le droit. On peut penser toutefois à l’intérêt de la collectivité des assurés de ne pas payer des primes trop élevées pour justifier la surveillance des assurés par exemple (assurance RC : ATF 136 III 410).

L’illicéité du traitement de données peut être levée en présence d’un intérêt privé prépondérant. Il faut établir l’intérêt de l’auteur du traitement à l’atteinte causée, le fait qu’il s’agisse d’un intérêt digne de protection, puis l’intérêt de la personne concernée au non-traitement et enfin procéder à une pesée des intérêts.

L’art. 13 al. 2 LPD donne une liste non exhaustive d’intérêts privés prépondérants de l’auteur du traitement qui doivent être pris en considération : intérêts fondés sur l’activité économique (a, b et c), besoins particuliers des médias (d et f) et traitements dans un but ne se rapportant pas à des personnes (e – statistiques p.ex.), étant souligné que les principes généraux doivent aussi être respectés.

L’intérêt prépondérant privé en raison de l’activité économique entre notamment en considération si :

a. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant ; au stade précontractuel, l’auteur du traitement peut ainsi prendre des renseignements sur un partenaire contractuel potentiel (solvabilité, compétences, etc.) ; au stade de l’exécution, cela peut couvrir des traitements de données relatifs à la solvabilité du débiteur, aux retards ou absences du travailleur, etc. ; ce motif justificatif peut s’appliquer à la collecte de données, à leur traitement, à leur conservation, voire à leur communication à des tiers (autres entités d’un groupe, conseillers externes, auxiliaires, etc.) pour autant qu’il y ait un lien avec la conclusion ou l’exécution  contrat ;

b. le traitement s’inscrit dans un rapport de concurrence économique actuel ou futur avec une autre personne, à condition qu’aucune donnée personnelle traitée ne soit communiquée à des tiers ; les renseignements collectés peuvent concerner des concurrents actuels ou potentiels, quels que soient leurs formes juridiques, le type ou l’ampleur de leur activité, leur localisation, etc. ; les données doivent notamment être dans un rapport étroit avec un rapport de concurrence économique et être recueillies licitement, et servir uniquement à des fins internes (pas de communication à des tiers, mais à des employés, des auxiliaires, des mandataires, etc.)

c. les données personnelles sont traitées dans le but d’évaluer le crédit d’une autre personne, à condition qu’elles ne soient ni sensibles ni constitutives de profils de la personnalité et qu’elles ne soient communiquées à des tiers que si ceux-ci en ont besoin pour conclure ou exécuter un contrat avec la personne concernée ; cela vise essentiellement les instituts indépendants d’évaluation de crédit ou les agences de renseignement économique, mais aussi l’évaluation de crédit faite par une entreprise commerciale ou industrielle en vue d’évaluer le crédit de ses clients actuels ou potentiels (application des art. 13 al. 2 let. a et c) ;

L’intérêt prépondérant privé en faveur des médias (art. 13 al. 2 let. d ou f LPD) entre en considération lorsque les données personnelles sont traitées de manière professionnelle exclusivement en vue d’une publication dans la partie rédactionnelle d’un média à caractère périodique ou lorsque les données recueillies concernent une personnalité publique dans la mesure où ces données se réfèrent à son activité publique. Ici aussi l’intérêt privé prépondérant doit être mis en balance avec l’intérêt de la personne concernée au non-traitement.

L’intérêt prépondérant privé (art. 13 al. 2 let. e LPD) en raison du but ne se rapportant pas à des personnes peut être invoqué notamment dans le cadre de la recherche, de la planification ou de la statistique, à condition que les résultats soient publiés sous une forme ne permettant pas d’identifier les personnes concernées.

 Le maître du fichier peut faire valoir d’autres intérêts privés dont il soutient qu’ils seraient prépondérants.

Une atteinte à la personnalité peut enfin être justifiée par la loi (art. 13 al. 1 LPD). Dans ce cas, c’est le législateur qui a procédé à titre préalable à la pesée des intérêts entre ceux de l’auteur du traitement et ceux de la personne concernée. La norme légale peut être de droit fédéral ou cantonale, de droit public ou privé, il peut s’agir d’une base légale formelle ou matérielle, et elle peut ordonner un traitement de données, le permettre, le présupposer, etc. Si un tel motif justificatif existe, il ne peut être invoqué que pour le but prévu par la loi elle-même

La nouvelle LPD

A teneur de l’art. 30 al. 1 nLPD, celui qui traite des données personnelles ne doit pas porter une atteinte illicite à la personnalité des personnes concernées.

Selon l’art. 30 al. 2 nLPD, constitue notamment une atteinte à la personnalité le fait de: a. traiter des données personnelles en violation des principes définis aux art. 6 et 8 nLPD [licéité, bonne foi, proportionnalité, exactitude, sécurité, etc. ;  la protection des données dès la conception et la protection par défaut (art. 7 nLPD) ne sont pas des principes au sens de l’art. 30 al. 2 nLPD, mais bien plutôt des obligations à la charge du responsable de traitement ; en ce sens il est donc normal que leur violation ne rentre pas dans le mécanisme des art. 30-31, i.e. présomption d’illicéité et faits justificatifs] ; b. traiter des données personnelles contre la manifestation expresse de la volonté de la personne concernée [c’est le droit d’opposition, ou opt-out, qui matérialise le droit à l’auto-détermination en matière de données figurant à l’art. 13 al. 2 Cst.] ; c. communiquer à des tiers des données sensibles.

L’art. 30 al. 2 nLPD prévoit donc une présomption irréfragable d’atteinte à la personnalité dans les trois hypothèses qu’il décrit. A nouveau, la disposition n’est pas exhaustive, et d’autres atteintes à la personnalité pourront découler de la violation d’autres normes, à ceci près qu’elles ne bénéficieront alors pas de la présomption et devront être démontrées dans le cas d’espèce. Comme dans la LPD actuelle, on considérera en général qu’il n’y a pas d’atteinte lorsque la personne concernée a rendu les données personnelles accessibles à tout à chacun et ne s’est pas opposée expressément au traitement (art. 30 al. 3 nLPD ; voir aussi art. 12 al. 3 LPD).

Concernant les motifs justificatifs, ceux-ci ressemblent fortement au droit actuel. Une atteinte à la personnalité est ainsi illicite à moins d’être justifiée par le consentement de la personne concernée, par un intérêt privé ou public prépondérant, ou par la loi (art. 31 al. 1 nLPD).

Le motif justificatif du consentement de la personne concernée, comme dans le droit actuel, suppose que le consentement soit libre et éclairé, et que la personne n’ait pas subi de pression ou de menace déraisonnable directe ou indirecte de la part du responsable de traitement ou d’un tiers. Cela suppose notamment que la personne concernée ait reçu une information objective, complète et compréhensible sur le traitement concerné, en particulier sur le responsable du traitement, les finalités, le type et l’étendue des données traitées, les opérations de traitement envisagées, etc. Le consentement peut par exemple se manifester en cochant une case sur un site web ; il doit être donné par un acte clair et positif (pas de consentement par abstention).

Selon l’art. 31 al. 2 nLPD, les intérêts prépondérants du responsable du traitement entrent notamment en considération dans les cas suivants: a. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant; b. le traitement s’inscrit dans un rapport de concurrence économique actuel ou futur avec une autre personne, à condition toutefois qu’aucune donnée personnelle traitée ne soit communiquée à des tiers; ne sont pas considérées comme des tiers au sens de cette disposition les entreprises appartenant au même groupe que le responsable du traitement; c. les données personnelles sont traitées dans le but d’évaluer la solvabilité de la personne concernée pour autant que les conditions suivantes soient réunies: (1) il ne s’agit pas de données sensibles ni d’un profilage à risque élevé, (2) les données ne sont communiquées à des tiers que s’ils en ont besoin pour conclure ou exécuter un contrat avec la personne concernée, (3) les données ne datent pas de plus de dix ans et (4)  la personne concernée est majeure; d. les données personnelles sont traitées de manière professionnelle exclusivement en vue d’une publication dans la partie rédactionnelle d’un média à caractère périodique ou, si la publication n’a pas lieu, servent exclusivement d’instrument de travail personnel;  e. les données personnelles sont traitées à des fins ne se rapportant pas à des personnes, notamment dans le cadre de la recherche, de la planification ou de la statistique, si les conditions suivantes sont réunies: (1) le responsable du traitement anonymise les données dès que la finalité du traitement le permet; si une anonymisation est impossible ou exige des efforts disproportionnés, il prend des mesures appropriées afin que les personnes concernées ne puissent pas être identifiées, (2) s’il s’agit de données sensibles, le responsable du traitement ne les communique à des tiers que sous une forme ne permettant pas d’identifier la personne concernée; si cela n’est pas possible, des mesures doivent être prises qui garantissent que les tiers ne traitent les données qu’à des fins ne se rapportant pas à des personnes, (3) les résultats sont publiés sous une forme ne permettant pas d’identifier les personnes concernées; f. les données personnelles recueillies concernent une personnalité publique et se réfèrent à son activité publique.

La liste de l’art. 31 al. 2 nLPD est non exhaustive. On devra procéder, dans chaque cas d’espèce, à une pesée des intérêts entre les intérêts de la personne concernée au non traitement et ceux du responsable du traitement à ce que celui-ci ait lieu. La liste reprend pour l’essentiel celle du droit actuel, avec pour l’essentiel les ajouts suivants : (i) données recueillies concernant une personnalité publique et se référant à une activité publique, mais cela découlait déjà de la jurisprudence, et (ii) certaines restrictions concernant les données traitées dans le but d’évaluer la solvabilité de la personne concernée.

Le motif de l’intérêt public, comme en droit actuel, sera assez peu fréquemment réalisée, car ledit intérêt découlera de la loi. Il y a intérêt public en tout cas lorsqu’une atteinte est destinée à procurer un avantage à la collectivité ou au moins à une pluralité de personne.

Quant à la loi, comme motif justificatif, il s’agira, comme actuellement, d’une disposition de droit cantonal ou fédéral qui impose le traitement, le permet ou le suppose en lien avec d’autres obligations qu’elle contient. La pesée d’intérêt, ici, est supposée avoir été (bien ?) faite par le législateur. On pensera par exemple aux art. 957 et 962 CO (obligation de conserver des pièces comptables), l’enregistrement de conversations téléphoniques lors de commandes (art. 179 quinquies al. 1 let. b CP), etc.

RGPD

Le RGPD connaît un système différent de celui de la LPD. Le motif justificatif s’applique en effet au traitement en lui-même, et non à l’atteinte à la personnalité. Les données ne peuvent ainsi être traitées que sur la base d’un des motifs de l’art. 6 RGPD. Le traitement portant sur des catégories particulières de données à caractère personnel est interdit, avec certaines exceptions (art. 9 RGPD). Enfin, le traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions nécessite une base légale ou le contrôle d’une autorité publique (art. 10 RGPD).

La justification du traitement selon l’art. 6 RGPD peut ainsi découler du consentement libre de la personne concernée (art. 7 RGPD), des intérêts légitimes du responsable du traitement ou d’un tiers (à moins que ne prévalent les intérêts de la personne concernée), de ce qui est nécessaire à l’exécution d’un contrat ou au respect d’une obligation légale, de la sauvegarde des intérêts vitaux d’une personne physique ou de ce qui est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique.

L’interdiction de traiter des données sensibles (art. 9 RGPD) souffre quant à elle des motifs justificatifs suivants : consentement explicite de la personne concernée ; traitement nécessaire en matière de droit du travail, de la sécurité sociale et de la protection sociale ; sauvegarde d’intérêts vitaux ; traitement par un organisme à but non lucratif à des fins politiques, philosophiques, religieuses ou syndicales ; données rendues publiques par la personne concernée ; traitement nécessaire à une action en justice ou pour des juridictions agissant dans le cadre de leurs fonctions juridictionnelles ; motifs d’intérêts publics importants sur la base du droit de l’Union ou du droit d’un Etat membre ; traitement nécessaire à des fins de médecine préventive, de médecine du travail, de gestion des systèmes et services de soins de santé ou de protection sociale ; traitement lié à des motifs d’intérêts publics dans le domaine de la santé publique ; traitement nécessaire à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques.

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans nouvelle LPD, Protection de la personnalité, Protection des données, est tagué , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s