Accès indu aux données, traitement illicite, sanction

Photo de Neo sur Pexels.com

Employé communal auprès des services industriels, l’Employé est en charge de relever les compteurs de gaz et d’électricité. En litige avec son bailleur concernant la facturation de ses frais de chauffage, il consulte, collecte et organise les données de consommation de gaz de son bailleur et les enregistre sur un fichier informatique. Il s’en ouvre audit bailleur, qui dénonce le cas. L’autorité d’engagement prononce un avertissement, l’Employé recourt.

La décision attaquée retient qu’en consultant et en utilisant à des fins privées des <données> de consommation de gaz, le recourant a contrevenu à loi vaudoise du 11 septembre 2007 sur la protection des <données> personnelles (LPrD; BLV 172.65) et à ses obligations contractuelles.

La LPrD vise à protéger les personnes contre l’utilisation abusive des <données> personnelles les concernant (art. 1). Elle s’applique à tout traitement de <données> des personnes physiques ou morales (art. 3 al. 1 LPrD). Y sont notamment soumises les personnes physiques auxquelles une commune confie des tâches publiques, dans l’exécution desdites tâches (art. 3 al. 2 let. e LPrD).

En l’espèce, dès lors que le recourant est employé de la Commune de ******** et qu’il exerce son métier de releveur-encaisseur des compteurs d’électricité et de gaz au sein des SI********, il est soumis à l’application de la LPrD dans le cadre de ses activités professionnelles.

En revanche, la loi fédérale du 19 juin 1992 sur la protection des <données> (LPD; RS 235.1), invoquée par le recourant, ne lui est pas applicable, dès lors qu’elle régit le traitement de <données> effectué par des personnes privées dans le cadre d’une relation de droit privé (cf. art. 2 al. 1 let. a LPD) ou par des organes fédéraux chargés d’une tâche de la Confédération (cf. art. 2 al. 1 let. b et 3 let. h LPD), ce qui n’est pas le cas ici (voir aussi notamment CDAP GE.2016.0084 du 16 décembre 2016 consid. 2).

Selon l’art. 4 LPrD, on entend par « donnée personnelle » toute information qui se rapporte à une personne identifiée ou identifiable (ch. 1). On entend par « donnée sensible » toute donnée personnelle se rapportant: aux opinions ou activités religieuses, philosophiques, politiques ou syndicales, ainsi qu’à une origine ethnique; à la sphère intime de la personne, en particulier à son état psychique, mental ou physique; aux mesures et aides individuelles découlant des législations sociales; aux poursuites ou sanctions pénales et administratives (ch. 2). On entend par « traitement de <données> personnelles » toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des <données> personnelles, notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction (ch. 5). Enfin, on entend par « communication » le fait de rendre des <données> accessibles, notamment de les transmettre, les publier, autoriser leur consultation ou fournir des renseignements (ch. 6).

En l’occurrence, les factures de gaz ne sont certes pas des <données> sensibles, mais demeurent des <données> personnelles soumises à la LPrD, ce que le recourant admet d’ailleurs expressément dans son recours.

Aux termes de l’art. 5 al. 1 LPrD, les <données> personnelles ne peuvent être traitées que si: une base légale l’autorise (let. a); leur traitement sert à l’accomplissement d’une tâche publique (let. b). L’art. 6 LPrD précise que les <données> ne doivent être traitées que dans le but indiqué lors de leur collecte, tel qu’il ressort de la loi ou de l’accomplissement de la tâche publique concernée. L’art. 15 al. 1 LPrD prévoit pour sa part ce qui suit:

« Les <données> personnelles peuvent être communiquées par les entités soumises à la présente loi lorsque:

a.    une disposition légale au sens de l’article 5 le prévoit;

b.    le requérant établit qu’il en a besoin pour accomplir ses tâches légales;

c.    le requérant privé justifie d’un intérêt prépondérant à la communication primant celui de la personne concernée à ce que les <données> ne soient pas communiquées;

d.    la personne concernée a expressément donné son consentement ou les circonstances permettent de présumer ledit consentement;

e.    la personne concernée a rendu les <données> personnelles accessibles à tout un chacun et ne s’est pas formellement opposée à leur communication; ou

f.     le requérant rend vraisemblable que la personne concernée ne refuse son accord que dans le but de l’empêcher de se prévaloir de prétentions juridiques ou de faire valoir d’autres intérêts légitimes; dans ce cas, la personne concernée est invitée, dans la mesure du possible, à se prononcer, préalablement à la communication des <données> ».

Dans le cas d’espèce, ainsi qu’il l’a lui-même indiqué dans ses écritures et lors de son entretien du 14 août 2020, le recourant a consulté les <données> de consommation de gaz concernant son ancien bailleur, client des SI********, dans le but de s’assurer que celui-ci lui facturait correctement les frais de chauffage. Il a expliqué que son propriétaire avait refusé de lui fournir un décompte de charges précis et qu’il avait donc dressé un tableau Excel détaillant les factures des années 2018 et 2019. Le recourant est ensuite allé en discuter avec son ex-bailleur et lui a déclaré qu’il était en possession de ses <données> de consommation de gaz et qu’il pouvait les lui remettre.

En d’autres termes, le recourant a non seulement consulté, grâce à ses accès professionnels aux SI********, les <données> personnelles de son ex-bailleur, mais les a de surcroît collectées, organisées et enregistrées dans un fichier informatique privé. Il les a ainsi conservées par-devers lui, avant de les utiliser pour ses propres besoins en les communiquant à son propriétaire. Ce faisant, il s’est donc indubitablement livré au traitement et à la communication de <données> personnelles au sens de l’art. 4 ch. 5 et 6 LPrD.

Le recourant ne prétend pas, à juste titre, que ces opérations étaient autorisées par une base légale (cf. art. 5 al. 1 let. a et 15 al. 1 let. a LPrD) ou autrement nécessaires à l’accomplissement d’une tâche publique (cf. art. 5 al. 1 let. b et 15 al. 1 let. b LPrD). Il ne soutient pas non plus, toujours à raison, que les <données> de consommation de gaz de son ancien bailleur auraient été traitées conformément au but de leur collecte (cf. art. 6 LPrD). Au contraire, il a reconnu avoir agi dans l’objectif de « faire la lumière sur des potentielles erreurs de facturation », soit à des fins purement privées.

Le recourant soutient néanmoins qu’il disposait d’un intérêt privé prépondérant (cf. art. 15 al. 1 let. c LPrD) à obtenir les <données> de consommation de gaz de son ancien bailleur, dans le cadre d’un différend touchant aux charges de leur contrat de bail. Il se prévaut en particulier des art. 257b al. 2 du code des obligations du 30 mars 1911 (CO; RS 220) et 8 al. 2 de l’ordonnance fédérale du 9 mai 1990 sur le bail à loyer et le bail à ferme d’habitations et de locaux commerciaux (OBLF; RS 221.213.11). Bien que ces dispositions permettent effectivement au locataire de consulter les pièces justificatives relatives aux frais accessoires de chauffage et d’eau chaude, elles ne l’autorisent pas pour autant à obtenir et à utiliser de son propre chef les <données> personnelles du bailleur contre son gré. Comme il le souligne lui-même, le recourant aurait dû saisir les juridictions civiles compétentes en matière de bail s’il s’estimait lésé dans ses droits de locataire, plutôt que de tirer avantage de sa fonction de collecteur aux SI******** pour se procurer directement les informations confidentielles souhaitées. Contrairement à ce qu’il avance au reste, le seul fait que son ex-bailleur n’ait pas immédiatement mis fin à leur conversation ne suffit assurément pas à en conclure qu’il aurait tacitement consenti à pareil procédé (cf. art. 15 al. 1 let. d LPrD). Quant aux autres circonstances permettant la communication de <données> personnelles (cf. art. 15 al. 1 let. e et f LPrD), elles ne sont manifestement pas réalisées.

Il s’ensuit que les agissements du recourant constituent bel et bien une utilisation abusive de <données> personnelles prohibée par la LPrD.

L’autorité intimée y voit une violation des obligations contractuelles du recourant, singulièrement du devoir de diligence et de fidélité, ainsi que du secret de fonction.

En sa qualité de fonctionnaire de la Commune de ********, le recourant est soumis aux art. 15 et 19 du Statut du personnel, dont la teneur est la suivante:

« Art. 15   Exercice de la fonction a) en général

Les fonctionnaires doivent exercer leur fonction personnellement, avec diligence, conscience et fidélité; ils doivent y consacrer tout leur temps réglementaire.

 […]

Art. 19   Secret de fonction

Le personnel est tenu tant au secret professionnel qu’au secret de fonction. Cette obligation subsiste même après la cessation des rapports de service ».

Le recourant argue que dans la mesure où il a confié verbalement à son ex-bailleur des <données> de consommation de gaz qui appartenaient à celui-ci et lui étaient donc connues, il n’y aurait pas de place pour une violation du secret de fonction au sens de l’art. 320 du code pénal suisse du 21 décembre 1937 (CP; RS 311.0). Il affirme en outre qu’il a toujours respecté son devoir de fidélité, qu’il n’a pas une seule fois fait l’objet de blâmes, d’avertissements ou de mesures disciplinaires pendant toutes ses années de service et qu’il n’a pas lésé les intérêts de son employeur dans cette affaire. Enfin, il fait valoir qu’il n’a jamais bénéficié d’une formation sur la protection des <données> et que les « carences organisationnelles » des SI******** à cet égard sont de la responsabilité de son employeur.

Premièrement, il sied de préciser qu’il n’appartient pas à la Cour de céans de juger d’une éventuelle violation de l’art. 320 CP, mais aux juridictions pénales (cf. CDAP GE.2016.0084 du 16 décembre 2016 consid. 2). Cela étant, il a été établi au considérant précédent que le recourant s’est servi, pour son propre usage, des <données> personnelles de consommation de gaz de son ex-bailleur, auxquelles il a eu accès grâce à sa fonction de releveur-encaisseur aux SI********. Les <données> énergétiques ne sont toutefois pas recueillies à des fins privées, mais d’utilité publique (cf. en particulier les art. 55 ss de la loi fédérale du 30 septembre 2016 sur l’énergie [LEne; RS 730.0] et 11 de la loi vaudoise du 16 mai 2006 sur l’énergie [LVLEne; BLV 730.01]); c’est pourquoi elles ne sont pas accessibles à tout un chacun, mais uniquement à un cercle limité de personnes. Le recourant en était conscient puisque c’est précisément à défaut d’avoir réussi à obtenir ces informations de son ancien propriétaire qu’il a eu recours à ses outils professionnels. Partant, en profitant de ses accès privilégiés aux SI******** pour satisfaire ses besoins privés, le recourant a non seulement exposé des <données> confidentielles à une personne non initiée (contre son gré), mais aussi déçu la confiance que son employeur était en droit d’attendre de lui et terni l’image de celui-ci vis-à-vis du citoyen. De son propre aveu, le recourant s’est d’ailleurs bien rendu compte que ce procédé « n’était pas correct », comme il ressort du protocole de son audition.

Force est ainsi d’admettre que le recourant n’a pas exercé sa fonction avec diligence, conscience et fidélité, contrevenant ainsi à l’art. 15 du Statut du personnel. Dans ces conditions, la question de savoir si ces agissements constituent également une violation du secret de fonction au sens de l’art. 19 dudit statut – les <données> ayant été communiquées à la personne qui les connaissait déjà, et pour cause – souffre de demeurer indécise.

Pour le surplus, c’est en vain que le recourant tente de tenir son employeur pour responsable de ses propres manquements, au motif qu’il n’aurait pas reçu de formation interne au sujet de la LPrD. Le fait qu’un employé ne doive pas utiliser à des fins privées les <données> personnelles d’autrui dont il a connaissance dans le cadre de son activité professionnelle est en effet un principe de base qui ne devrait pas nécessiter d’instruction particulière. Le recourant est d’autant plus malvenu de se retrancher derrière son ignorance qu’il compte déjà trente ans de service passés aux SI********, durant lesquels son devoir de confidentialité lui a régulièrement été rappelé, ainsi qu’en attestent les formulaires d’entretiens annuels de collaboration figurant au dossier. Enfin et comme déjà dit, le recourant a lui-même reconnu l’inadéquation de son comportement.

Il s’ensuit que le recourant a bel et bien failli à ses obligations contractuelles et que l’autorité intimée était dès lors fondée, sur le principe, à prononcer une mesure à son endroit. [Confirmation de la décision prononçant un avertissement et rejet du recours]

(Arrêt de la CDAP du 12 août 2021 (GE.2020.0238)

Me Philippe Ehrenström, LL.M., avocat, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Fonction publique, Protection des données, est tagué , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s