L’exactitude et ses différents degrés
Arrêt du TAF A‑2630/2020 du 17 février 2022
En Suisse, le Bureau de communication en matière de blanchiment d’argent (MROS) dénonce une personne d’origine ukrainienne au Ministère public de la Confédération (MPC). La procédure ouverte est néanmoins classée. Cependant, le ministère public ukrainien ouvre également une procédure pénale et fait une demande d’entraide judiciaire à l’Office fédéral de la Justice (OFJ), lors de laquelle des données concernant le requérant ont été communiquées.
Le requérant estime que les données transmises au ministère public ukrainien l’ont été en violation de l’art. 30 LBA. Il demande notamment l’accès et la consultation de ses données dans le système goAML (Anti-Money-Laundering, anciennement GEWA) ainsi que la rectification et la suppression des données erronées, ce que fedpol refuse, considérant que les dispositions de la LPD, LPDS, LSIP et PA ne permettent pas de corriger les données.
Le requérant recourt devant le TAF contre la décision de fedpol, avec les mêmes conclusions, invoquant en particulier des violations de la LPD, de la LPDS et de l’art. 8 LSIP.
Le TAF décrit le cadre légal existant. La police judiciaire fédérale (PJF) traite des données relatives au crime international organisé dans le but de lutter contre celui-ci. La Loi fédérale du 13 juin 2008 sur les systèmes d’information de police de la Confédération (LSIP) habilite les autorités fédérales de police à traiter des données sensibles et profils de la personnalité dans des systèmes d’informations ainsi qu’à les communiquer à des autorités suisses ou étrangères (art. 3 al. 2 LSIP). Dans les cas où la protection d’intérêts importants liés à la poursuite pénale l’exige, le traitement peut être effectué à l’insu de la personne concernée (art. 11 al. 6 LSIP).
Le système d’information goAML est géré par le MROS (art. 23 al. 3 LBA). Il ne s’agit cependant pas d’un système d’information de la police et l’activité du MROS, qui est une entité administrative, n’est en principe pas soumis à la LSIP, mais à la Loi fédérale du 7 octobre 1994 sur les Offices centraux de police criminelle de la Confédération (LOC) (art. 35 al. 1 LBA). Cependant, s’agissant du droit d’accès, l’art. 35 al. 1 LBA renvoie à l’art. 8 LSIP.
L’art. 8 LSIP prévoit un droit d’accès indirect dans deux cas, les autres étant régis par les art. 8 et 9 LPD, par renvoi de l’art. 7 LSIP. Le droit d’accès est qualifié d’indirect lorsque le responsable du traitement donne accès aux données à un tiers, qui vérifie si le traitement est conforme aux principes de protection des données et informe la personne concernée du résultat de son analyse (Meier Philippe, Protection des données. Fondements, principes généraux et droit privé, Berne 2011, N 990). Le système de la LSIP prévoit que lorsqu’une personne demande accès aux données la concernant dans le système de traitement des données relatives aux infractions fédérales (art. 11 LSIP), fedpol diffère sa réponse lorsque (i) les données traitées la concernant sont liées à des intérêts prépondérants pour la poursuite pénale, dûment motivés et consignés par la PJF, qui exigent le maintien du secret ou (ii) lorsqu’aucune donnée la concernant n’est traitée (art. 8 LSIP). Le refus de répondre à la demande ne dévoile ainsi pas à la personne concernée, hypothétiquement actrice de la grande criminalité, si une enquête est ouverte à son encontre. Son bon déroulement est ainsi assuré. La personne concernée peut demander au PFPDT, qui joue le rôle d’intermédiaire, de vérifier si les données traitées sont traitées de manière licite (art. 8 al. 2 LSIP).
Le TAF analyse ensuite spécifiquement le cas du droit d’accès aux données figurant dans goAML.
La LSIP est une loi au sens formel permettant la restriction du droit d’accès (art. 9 al. 1 let. a LPD). Celle-ci met les droits fondamentaux des personnes concernées en balance avec les intérêts de la poursuite pénale. Il s’agit là d’une pondération des intérêts différente de celle du système de la LPD. Le TAF relève que, au vu des exigences strictes relatives au traitement des données dans goAML, comme celles ayant trait à la finalité du traitement, aux obligations de sécurité, de journalisation et de chiffrement (art. 14 ss OBCBA), ainsi que du processus de contrôle par le PFPDT (art. 8 al. 2 LSIP), le requérant voit ses intérêts privés préservés. Il conclut que les intérêts publics sont prépondérants.
Le TAF analyse ensuite la demande du requérant de rectification des données figurant dans goAML. De manière générale, un traitement de données effectué en violation des principes, en particulier celui d’exactitude (art. 5 LPD), peut être justifié mais, en faisant preuve d’une grande prudence.
Dans le but de lutter contre la criminalité organisée, afin de garantir la sécurité intérieure et extérieure, les art. 9 et 23 LBA permettent un traitement de données lorsque l’on est en présence de « soupçons fondés ». Autrement dit, l’exactitude stricte n’est pas exigée. Le TAF précise que le degré d’exactitude exigé est différent. Il dit que :
« les données litigieuses, basées sur de simples soupçons, doivent être qualifiées d’exactes […] vu le but de sûreté intérieure et extérieure dans lequel elles sont traitées et du fait qu’elles n’apparaissent pas comme manifestement fausses. »
Il n’y a donc pas de droit à la rectification tel qu’il existe en vertu de l’art. 5 al. 2 LPD car l’art. 8 LSIP, en tant que lex specialis, prévoit que ce n’est que par le biais du PFPDT que ce droit peut être exercé.
Le TAF se contente donc du fait que les informations ne sont pas manifestement fausses dans goAML pour qu’il n’y ait pas besoin de les rectifier. Il met la charge de la preuve sur le requérant, qui échoue à prouver qu’elles sont manifestement fausses, tout en disant que, malgré que la preuve d’exactitude ne soit pas apportée par l’autorité, les données proviennent des sources mentionnées à l’art. 15 OBCBA.
Nous constatons ainsi dans cet arrêt que l’exactitude a différentes acceptations selon le domaine concernée et selon la base légale applicable. Plusieurs dispositions ayant pour but la lutte contre la criminalité organisée se contentent d’un degré d’exactitude inférieur à celui qui prévaut dans la LPD. Cela est contrebalancé par des règles claires sur le traitement des données.
Proposition de citation : Alexandre Barbey, L’exactitude et ses différents degrés, 30 novembre 2022 in www.swissprivacy.law/187
Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.