swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Fuite de données, confidentialité et droit d’accès

Célian Hirsch, le 11 septembre 2020

Les conseils donnés par le Préposé aux parti­cu­liers confor­mé­ment à l’art. 28 LPD sont en prin­cipe soumis au prin­cipe de trans­pa­rence. Un accord exprès de confi­den­tia­lité peut néan­moins s’op­po­ser à la trans­pa­rence (art. 7 al. 1 let. h LTrans).

Arrêt du Tribunal admi­nis­tra­tif fédé­ral du 5 août 2020 A‑2564/​2018, arrêt confirmé par le Tribunal fédé­ral (1C_​500/​2020, commenté in swiss​pri​vacy​.law/71).

Nous sommes le 7 février 2018. Swisscom annonce une « utili­sa­tion abusive des droits d’accès subti­li­sés à un parte­naire de distri­bu­tion » durant l’automne 2017 qui concerne envi­ron 800‘000 clients. Le même jour, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence publie un commu­ni­qué. Il souligne que Swisscom l’avait informé de cet inci­dent et « qu’il n’existe pas de raison de prendre des mesures formelles ».

Le lende­main déjà, la RTS dépose une demande d’accès auprès du Préposé fondée sur la loi sur la trans­pa­rence (LTrans) afin d’avoir accès aux échanges entre le Préposé et Swisscom. Cette dernière, infor­mée de la demande par le Préposé, s’y oppose formel­le­ment. Le Préposé décide néan­moins d’accorder le droit à la RTS à accé­der à ces échanges, sous réserve du caviar­dage des noms d’employés.

Saisi par Swisscom, le Tribunal admi­nis­tra­tif fédé­ral se prononce dans un arrêt du 5 août 2020 sur les argu­ments soule­vés contre le droit d’accès invo­qué par le RTS (A‑2564/​2018). Cet arrêt n’est néan­moins pas défi­ni­tif, un recours ayant été déposé devant le Tribunal fédéral.

Pour rappel, la LTrans a pour but d’ériger la trans­pa­rence comme prin­cipe, sous réserve du secret. Elle crée ainsi une présomp­tion en faveur du libre accès aux docu­ments offi­ciels. Cette loi s’applique égale­ment aux acti­vi­tés du Préposé.

L’art. 6 LTrans dispose que toute personne a le droit de consul­ter des docu­ments offi­ciels et d’obtenir des rensei­gne­ments sur leur contenu de la part des auto­ri­tés. Le Tribunal admi­nis­tra­tif fédé­ral examine ainsi si les docu­ments requis par la RTS, à savoir les échanges entre le Préposé et Swisscom, sont des docu­ments offi­ciels au sens de cette disposition.

Selon l’art. 28 LPD, le Préposé conseille les personnes privées en matière de protec­tion des données. Le Tribunal admi­nis­tra­tif fédé­ral consi­dère que les conseils donnés par le Préposé ne relèvent pas de la procé­dure admi­nis­tra­tive, mais sont des actes maté­riels. Or la LTrans s’applique à l’adoption d’actes maté­riels. En l’espèce, les échanges entre le Préposé et Swisscom consti­tuent des conseils au sens de l’art. 28 LPD et doivent ainsi être consi­dé­rés comme des docu­ments offi­ciels au regard de l’art. 6 LTrans.

L’art. 7 al. 1 let. h LTrans dispose que le droit d’accès est limité, différé ou refusé, lorsque l’accès à un docu­ment offi­ciel peut avoir pour effet de divul­guer des infor­ma­tions four­nies libre­ment par un tiers à une auto­rité qui en a garanti le secret.

Le Préposé soutient qu’il n’est pas possible de garan­tir la confi­den­tia­lité au sens de cette dispo­si­tion lorsque l’autorité exerce sa mission légale, car son acti­vité ne peut alors être sous­traite du prin­cipe de la trans­pa­rence. Le Tribunal admi­nis­tra­tif fédé­ral tempère cette argu­men­ta­tion. En effet, tant la lettre que l’esprit de cette dispo­si­tion légale visent préci­sé­ment à permettre à l’autorité de garan­tir une confi­den­tia­lité sur des infor­ma­tions qui lui sont libre­ment trans­mises par des privés. Les auto­ri­tés doivent néan­moins adop­ter une pratique très restric­tive au cas par cas, laquelle peut être contrô­lée par le Préposé.

Dès lors que l’art. 7 al. 1 let. h LTrans peut trou­ver appli­ca­tion, le Tribunal admi­nis­tra­tif fédé­ral examine (1) si les infor­ma­tions ont été four­nies libre­ment et (2) si le Préposé en a garanti la confidentialité.

Comme mentionné ci-dessus, le fait pour le Préposé de conseiller un tiers au sens de  l’art. 28 LPD ne crée pas pour autant une procé­dure admi­nis­tra­tive. Les parti­cu­liers sont libres de deman­der au Préposé des conseils et n’ont aucune obli­ga­tion de lui trans­mettre de la docu­men­ta­tion dans ce cadre. Partant, les infor­ma­tions four­nies au Préposé lui sont commu­ni­quées « libre­ment » au sens de l’art. 7 al. 1 let. h LTrans. La première condi­tion est ainsi remplie.

Concernant la seconde condi­tion, le Préposé recon­naît avoir garanti orale­ment la confi­den­tia­lité lors d’un échange télé­pho­nique. Il prétend néan­moins qu’il faisait réfé­rence à son secret profes­sion­nel, non pas à d’éventuelles demandes d’accès fondées sur la LTrans. Or Swisscom affirme pour sa part notam­ment que l’employé qui était au télé­phone avec le Préposé ne pouvait pas faire la distinc­tion entre le secret de fonc­tion et la confi­den­tia­lité au sens de la LTrans.

Le Tribunal admi­nis­tra­tif fédé­ral souligne d’emblée la diffé­rence entre le secret de fonc­tion (secret profes­sion­nel) et la confi­den­tia­lité au sens de la LTrans. Le premier existe de par la loi et s’applique aux employés, alors que la seconde doit être octroyée par les organes de l’autorité compé­tente après un examen juri­dique préa­lable. Par ailleurs, la confi­den­tia­lité ne devrait pas être donnée orale­ment, mais unique­ment par écrit.

En l’espèce, le Préposé a unique­ment garanti son secret de fonc­tion. Par ailleurs, aucune garan­tie de confi­den­tia­lité ne figure dans la note télé­pho­nique du Préposé. Or, vu la sensi­bi­lité média­tique de cette fuite de données, une telle garan­tie aurait dû être verba­li­sée dans cette note. Swisscom n’apporte pas non plus de preuve écrite de l’octroi d’une telle garan­tie. En outre, le but des échanges était préci­sé­ment d’informer les personnes concer­nées par la fuite de données. Enfin, Swisscom était repré­sen­tée pas des hauts cadres suffi­sam­ment quali­fiés pour ne pas se conten­ter d’une promesse orale.

Partant, aucune garan­tie de confi­den­tia­lité au sens l’art. 7 al. 1 let. h LTrans n’a été donnée par le Préposé. Cette dispo­si­tion ne trouve ainsi pas appli­ca­tion et le recours est rejeté tant sur ce grief que sur les autres (non déve­lop­pés dans ce bref commentaire).

Ce raison­ne­ment peine à convaincre et donne peu de poids au prin­cipe de la protec­tion de la bonne foi de l’administré. Même s’il n’y a aucune preuve écrite, le Préposé lui-même recon­naît avoir garanti orale­ment la confi­den­tia­lité lors du premier échange télé­pho­nique. Même si l’on peut admettre que Swisscom aurait dû exiger une garan­tie écrite, on frôle le forma­lisme exces­sif lorsque le Tribunal admi­nis­tra­tif fédé­ral exige une preuve écrite. Par ailleurs, il n’est pas convain­cant de consi­dé­rer que le Préposé faisait réfé­rence à son secret de fonc­tion. En effet, celui-ci s’applique d’office et n’a pas besoin d’être expres­sé­ment garanti. Enfin, même si le but des échanges était de publier une commu­ni­ca­tion publique de la fuite de données, cela ne veut pas pour autant dire que les échanges préa­lables devaient égale­ment être consi­dé­rés comme devant être publiés.

Les parti­cu­liers deman­dant conseil au Préposé confor­mé­ment à l’art. 28 LPD seraient désor­mais bien avisés d’exiger par écrit une demande de confi­den­tia­lité au sens de l’art. 7 al. 1 let. h LTrans. A défaut, les échanges avec le Préposé pour­raient se retrou­ver un jour dans la presse.



Proposition de citation : Célian Hirsch, Fuite de données, confidentialité et droit d’accès, 11 septembre 2020 in www.swissprivacy.law/1


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Droit d'accès : quelles limites pour l'ancien employé ?
  • Compteurs d’eau intelligents et principes de l’évitement et de la minimisation des données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • La garantie de confidentialité dans l’affaire Swisscom
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law