Les conseils donnés par le Préposé aux parti­cu­liers confor­mé­ment à l’art. 28 LPD sont en prin­cipe soumis au prin­cipe de trans­pa­rence. Un accord exprès de confi­den­tia­lité peut néan­moins s’op­po­ser à la trans­pa­rence (art. 7 al. 1 let. h LTrans).

Arrêt du Tribunal admi­nis­tra­tif fédé­ral du 5 août 2020 A‑2564/​2018, arrêt atta­qué devant le Tribunal fédéral.

Nous sommes le 7 février 2018. Swisscom annonce une « utili­sa­tion abusive des droits d’accès subti­li­sés à un parte­naire de distri­bu­tion » durant l’automne 2017 qui concerne envi­ron 800‘000 clients. Le même jour, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence publie un commu­ni­qué. Il souligne que Swisscom l’avait informé de cet inci­dent et « qu’il n’existe pas de raison de prendre des mesures formelles ».

Le lende­main déjà, la RTS dépose une demande d’accès auprès du Préposé fondée sur la loi sur la trans­pa­rence (LTrans) afin d’avoir accès aux échanges entre le Préposé et Swisscom. Cette dernière, infor­mée de la demande par le Préposé, s’y oppose formel­le­ment. Le Préposé décide néan­moins d’accorder le droit à la RTS à accé­der à ces échanges, sous réserve du caviar­dage des noms d’employés.

Saisi par Swisscom, le Tribunal admi­nis­tra­tif fédé­ral se prononce dans un arrêt du 5 août 2020 sur les argu­ments soule­vés contre le droit d’accès invo­qué par le RTS (A‑2564/​2018). Cet arrêt n’est néan­moins pas défi­ni­tif, un recours ayant été déposé devant le Tribunal fédéral.

Pour rappel, la LTrans a pour but d’ériger la trans­pa­rence comme prin­cipe, sous réserve du secret. Elle crée ainsi une présomp­tion en faveur du libre accès aux docu­ments offi­ciels. Cette loi s’applique égale­ment aux acti­vi­tés du Préposé.

L’art. 6 LTrans dispose que toute personne a le droit de consul­ter des docu­ments offi­ciels et d’obtenir des rensei­gne­ments sur leur contenu de la part des auto­ri­tés. Le Tribunal admi­nis­tra­tif fédé­ral examine ainsi si les docu­ments requis par la RTS, à savoir les échanges entre le Préposé et Swisscom, sont des docu­ments offi­ciels au sens de cette disposition.

Selon l’art. 28 LPD, le Préposé conseille les personnes privées en matière de protec­tion des données. Le Tribunal admi­nis­tra­tif fédé­ral consi­dère que les conseils donnés par le Préposé ne relèvent pas de la procé­dure admi­nis­tra­tive, mais sont des actes maté­riels. Or la LTrans s’applique à l’adoption d’actes maté­riels. En l’espèce, les échanges entre le Préposé et Swisscom consti­tuent des conseils au sens de l’art. 28 LPD et doivent ainsi être consi­dé­rés comme des docu­ments offi­ciels au regard de l’art. 6 LTrans.

L’art. 7 al. 1 let. h LTrans dispose que le droit d’accès est limité, différé ou refusé, lorsque l’accès à un docu­ment offi­ciel peut avoir pour effet de divul­guer des infor­ma­tions four­nies libre­ment par un tiers à une auto­rité qui en a garanti le secret.

Le Préposé soutient qu’il n’est pas possible de garan­tir la confi­den­tia­lité au sens de cette dispo­si­tion lorsque l’autorité exerce sa mission légale, car son acti­vité ne peut alors être sous­traite du prin­cipe de la trans­pa­rence. Le Tribunal admi­nis­tra­tif fédé­ral tempère cette argu­men­ta­tion. En effet, tant la lettre que l’esprit de cette dispo­si­tion légale visent préci­sé­ment à permettre à l’autorité de garan­tir une confi­den­tia­lité sur des infor­ma­tions qui lui sont libre­ment trans­mises par des privés. Les auto­ri­tés doivent néan­moins adop­ter une pratique très restric­tive au cas par cas, laquelle peut être contrô­lée par le Préposé.

Dès lors que l’art. 7 al. 1 let. h LTrans peut trou­ver appli­ca­tion, le Tribunal admi­nis­tra­tif fédé­ral examine (1) si les infor­ma­tions ont été four­nies libre­ment et (2) si le Préposé en a garanti la confidentialité.

Comme mentionné ci-dessus, le fait pour le Préposé de conseiller un tiers au sens de  l’art. 28 LPD ne crée pas pour autant une procé­dure admi­nis­tra­tive. Les parti­cu­liers sont libres de deman­der au Préposé des conseils et n’ont aucune obli­ga­tion de lui trans­mettre de la docu­men­ta­tion dans ce cadre. Partant, les infor­ma­tions four­nies au Préposé lui sont commu­ni­quées « libre­ment » au sens de l’art. 7 al. 1 let. h LTrans. La première condi­tion est ainsi remplie.

Concernant la seconde condi­tion, le Préposé recon­naît avoir garanti orale­ment la confi­den­tia­lité lors d’un échange télé­pho­nique. Il prétend néan­moins qu’il faisait réfé­rence à son secret profes­sion­nel, non pas à d’éventuelles demandes d’accès fondées sur la LTrans. Or Swisscom affirme pour sa part notam­ment que l’employé qui était au télé­phone avec le Préposé ne pouvait pas faire la distinc­tion entre le secret de fonc­tion et la confi­den­tia­lité au sens de la LTrans.

Le Tribunal admi­nis­tra­tif fédé­ral souligne d’emblée la diffé­rence entre le secret de fonc­tion (secret profes­sion­nel) et la confi­den­tia­lité au sens de la LTrans. Le premier existe de par la loi et s’applique aux employés, alors que la seconde doit être octroyée par les organes de l’autorité compé­tente après un examen juri­dique préa­lable. Par ailleurs, la confi­den­tia­lité ne devrait pas être donnée orale­ment, mais unique­ment par écrit.

En l’espèce, le Préposé a unique­ment garanti son secret de fonc­tion. Par ailleurs, aucune garan­tie de confi­den­tia­lité ne figure dans la note télé­pho­nique du Préposé. Or, vu la sensi­bi­lité média­tique de cette fuite de données, une telle garan­tie aurait dû être verba­li­sée dans cette note. Swisscom n’apporte pas non plus de preuve écrite de l’octroi d’une telle garan­tie. En outre, le but des échanges était préci­sé­ment d’informer les personnes concer­nées par la fuite de données. Enfin, Swisscom était repré­sen­tée pas des hauts cadres suffi­sam­ment quali­fiés pour ne pas se conten­ter d’une promesse orale.

Partant, aucune garan­tie de confi­den­tia­lité au sens l’art. 7 al. 1 let. h LTrans n’a été donnée par le Préposé. Cette dispo­si­tion ne trouve ainsi pas appli­ca­tion et le recours est rejeté tant sur ce grief que sur les autres (non déve­lop­pés dans ce bref commentaire).

Ce raison­ne­ment peine à convaincre et donne peu de poids au prin­cipe de la protec­tion de la bonne foi de l’administré. Même s’il n’y a aucune preuve écrite, le Préposé lui-même recon­naît avoir garanti orale­ment la confi­den­tia­lité lors du premier échange télé­pho­nique. Même si l’on peut admettre que Swisscom aurait dû exiger une garan­tie écrite, on frôle le forma­lisme exces­sif lorsque le Tribunal admi­nis­tra­tif fédé­ral exige une preuve écrite. Par ailleurs, il n’est pas convain­cant de consi­dé­rer que le Préposé faisait réfé­rence à son secret de fonc­tion. En effet, celui-ci s’applique d’office et n’a pas besoin d’être expres­sé­ment garanti. Enfin, même si le but des échanges était de publier une commu­ni­ca­tion publique de la fuite de données, cela ne veut pas pour autant dire que les échanges préa­lables devaient égale­ment être consi­dé­rés comme devant être publiés.

Les parti­cu­liers deman­dant conseil au Préposé confor­mé­ment à l’art. 28 LPD seraient désor­mais bien avisés d’exiger par écrit une demande de confi­den­tia­lité au sens de l’art. 7 al. 1 let. h LTrans. A défaut, les échanges avec le Préposé pour­raient se retrou­ver un jour dans la presse.