I. Introduction

Le Tribunal fédé­ral a rendu le 6 octobre 2023 la déci­sion 8C_​723/​2022 rela­tive, notam­ment, à la ques­tion du droit d’accès suite à un recours contre la déci­sion du tribu­nal des assu­rances sociales du canton de Zurich. La recou­rante a souhaité exer­cer son droit d’accès afin d’obtenir des infor­ma­tions lui permet­tant de prou­ver qu’elle a été limi­tée dans le cadre de l’expertise menant aux conclu­sions faites par l’assurance inva­li­dité. Cet arrêt renforce et confirme l’avis du Tribunal fédé­ral au sujet du droit d’accès octroyé par le nouvel art. 25 de la loi fédé­rale du 25 septembre 2020 sur la protec­tion des données [LPD ; RS 235.1], en vigueur depuis le 1er septembre 2023 (ancien­ne­ment l’art. 8 de la loi fédé­rale du 19 juin 1992 sur la protec­tion des données).

II. Le rappel du Tribunal fédéral

Cet arrêt rendu sous l’égide de l’ancienne loi, mais prenant en compte et mention­nant la nouvelle LPD, prévoit que le droit d’accès se destine à permettre à la personne concer­née d’exer­cer ses autres droits en matière de protec­tion des données. Sa fina­lité est de véri­fier le trai­te­ment qui est fait des données person­nelles afin que la personne concer­née se trouve en mesure d’apprécier si le trai­te­ment est conforme à la règle­men­ta­tion en vigueur et si les données sont correctes et à jour. En d’autres termes, le droit d’accès permet à la personne concer­née de véri­fier s’il se justi­fie de faire usage de son droit de recti­fi­ca­tion, d’effacement ou de destruc­tion des données, du droit d’interdiction du trai­te­ment ou de commu­ni­ca­tion à des tiers.

En l’espèce, la recou­rante souhaite, à travers l’exercice de son droit d’accès auprès de l’assurance inva­li­dité, obte­nir les infor­ma­tions démon­trant qu’elle est limi­tée dans sa capa­cité de travailler. Son but est donc de faire usage du droit d’accès  afin de deman­der l’exécution  d’une préten­tion rele­vant du droit des assu­rances sociales. Le Tribunal fédé­ral est d’avis que cette fina­lité ne corres­pond mani­fes­te­ment pas à l’objectif visé par la LPD [« Nachdem diese Zielsetzung offen­kun­dig nicht mit derje­ni­gen des DSG übereins­timmt (vgl. dazu ferner : Art. 26 Abs. 1 lit. c DSG) »].

Le Tribunal fédé­ral rappelle ici l’ATF 140 V 464 dans lequel il avait, le 19 septembre 2014, consa­cré son consi­dé­rant 4.2 à l’objectif visé par le droit d’accès de l’ancienne LPD. Dans le cadre d’une succes­sion, une héri­tière souhai­tait consul­ter le dossier AVS de ses défunts-parents. Pour cela, elle a dans un premier temps fait valoir son droit à la consul­ta­tion de l’art. 47 al. 1 let. a LPGA. Le Tribunal fédé­ral avait consi­déré que ce droit n’est trans­mis­sible par voie succes­so­rale que dans le cadre du droit procé­du­ral d’être entendu qui ne trouve ici pas appli­ca­tion (consid. 4.1). La recou­rante a égale­ment fait valoir son droit d’accès au sens de l’art. 8 de l’ancienne LPD qui est un droit stric­te­ment person­nel et donc, en premier lieu, n’est pas trans­mis­sible par voie de succes­sion et en second lieu ne trouve appli­ca­tion que dans la mesure où il corres­pond aux objec­tifs visés par la loi sur la protec­tion des données.

Dans le cas d’espèce, la juris­pru­dence a retenu que la fina­lité de la demande visant exclu­si­ve­ment à évaluer les chances de succès dans le cadre d’une procé­dure tierce est abusive. Le Tribunal fédé­ral insiste sur le fait que ce droit est destiné à permettre à la personne concer­née à exer­cer ses autres droits en matière de protec­tion des données [« Das Auskunftsrecht nach Art. 8 DSG ist dazu bestimmt, den Betroffenen in die Lage zu verset­zen, seine übri­gen Datenschutzrechte wahr­zu­neh­men (BGE 139 V 492 E. 3.2 S. 494 mit Hinweisen). […] Das Gesuch der Beschwerdeführerin ist ausschliess­lich in der Verfolgung eines erbrecht­li­chen Anspruchs begrün­det. Eingedenk dieser Zielsetzung, welche nicht mit derje­ni­gen des DSG übereins­timmt, kann sich die Beschwerdeführerin nicht auf das daten­schutz­recht­liche Auskunftsrecht beru­fen. »]. Il s’agit donc d’une juris­pru­dence constante en Suisse sur laquelle les respon­sables de trai­te­ments peuvent s’appuyer.

III. Quelques éléments de réflexions discur­sifs autour du droit d’accès

Le 1^er septembre 2023 a été marqué par l’entrée en vigueur de la nouvelle loi fédé­rale du 25 septembre 2020 sur la protec­tion des données qui a égale­ment impac­tée le droit d’accès octroyé aux personnes concer­nées. L’art. 25 LPD apporte de nouvelles préci­sions à son alinéa 2 s’agissant des infor­ma­tions qui doivent être reçues par la personne concer­née insis­tant égale­ment sur la fina­lité du droit d’accès, soit le fait pour la personne concer­née de rece­voir « […] les infor­ma­tions néces­saires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la trans­pa­rence du trai­te­ment soit garan­tie ».

Dans la pratique, il est impor­tant d’avoir connais­sance de la posi­tion du Tribunal fédé­ral dans le cadre des obli­ga­tions rela­tives à la protec­tion des données person­nelles au sein d’une personne morale qui, dans le cadre de son exer­cice, traite des données person­nelles. Le droit d’accès de l’art. 25 LPD fait partie des droits octroyés aux personnes concer­nées au même titre que le droit à la remise ou à la trans­mis­sion des données person­nelles (art. 28 LPD). Le droit d’accès impose un délai de réponse de 30 jours dès la récep­tion de la demande (art. 25 al. 7 LPD cum art. 18 al. 1 de l’Ordonnance sur la protec­tion des données du 31 août 2022 (OPDo), ce délai pouvant être prolongé moyen­nant une infor­ma­tion à la personne deman­dée et une indi­ca­tion du délai dans lequel une réponse sera appor­tée (art. 18 al. 2 OPDo).

Malgré le fait que cette respon­sa­bi­lité incombe géné­ra­le­ment au Délégué à la Protection des Données (DPO), il s’agit en réalité d’un travail d’équipe qu’il est néces­saire de centra­li­ser auprès d’une personne respon­sable, c’est-à-dire que toutes les demandes, peu importe par quel canal elles sont reçues, doivent être trans­mises au DPO s’il a été nommé ou à une personne respon­sable de coor­don­ner les exer­cices de réponses aux demandes des personnes concer­nées. A cette fin, un travail de commu­ni­ca­tion tant interne à l’organisation qu’externe – s’agissant des infor­ma­tions néces­saires aux personnes concer­nées afin d’exercer leurs droits – est vive­ment conseillé. Une orga­ni­sa­tion interne et un plan d’action cohé­rent, fonc­tion­nel et opéra­tion­nel sont des objec­tifs fonda­men­taux au sein d’une entité qui traite des données person­nelles, étant donné qu’un refus de commu­ni­ca­tion ainsi qu’une commu­ni­ca­tion inten­tion­nel­le­ment incom­plète ou fausse peut être sanc­tion­née, sur plainte,  d’une amende de 250 000.- CHF au plus (art. 60 al. 1 let. a LPD).

A la récep­tion de la requête, le respon­sable de trai­te­ment devra s’appuyer sur les art. 16 ss OPDo, en commen­çant notam­ment par procé­der aux véri­fi­ca­tions qu’il juge néces­saires afin de s’assurer que la demande a bien été faite par la personne concer­née (art. 16 al. 5 OPDo). La demande doit être faite par la personne concer­née, géné­ra­le­ment par écrit, et cette dernière a pour obli­ga­tion de coopé­rer dans le cadre de son identification.

Dans un deuxième temps, le respon­sable de trai­te­ment devra égale­ment procé­der à une évalua­tion de l’objectif et de la fina­lité visés par le droit d’accès dans le cas d’espèce. Il n’est pas rare de rece­voir des demandes d’accès qui ne visent pas direc­te­ment à véri­fier le trai­te­ment qui est fait des données person­nelles, mais plutôt de réunir des preuves comme dans le cadre des deux juris­pru­dences précitées.

Pour éviter cela, il convient pour le respon­sable de trai­te­ment d’être vigi­lant face aux divers indices qui peuvent se glis­ser dans la requête de la personne concer­née. Des signes d’un usage inap­pro­prié du droit d’accès pour­raient être, notam­ment, une demande d’accès prove­nant d’un ancien colla­bo­ra­teur avec lequel la rési­lia­tion des liens de travail ne s’est pas faite en de bons termes. Il a été constaté et énoncé, tant en doctrine qu’en juris­pru­dence, que le droit d’accès peut être utilisé en guise de repré­sailles par l’employé contre son ex-employeur. Même si une telle demande ne doit certai­ne­ment pas être auto­ma­ti­que­ment refu­sée, il est néan­moins conseillé d’être parti­cu­liè­re­ment atten­tif quand elle est reçue par un cour­rier d’avocat avec une demande de trans­mis­sion de docu­ments précis et/​ou sélec­tifs pouvant lais­ser penser que la demande entre dans le cadre d’un poten­tiel contentieux.

Dans le cadre notam­ment des assu­rances et des enti­tés bancaires par exemple, il n’est pas inha­bi­tuel de rece­voir une demande d’accès d’un client pouvant être étroi­te­ment liée à un conten­tieux fami­lial dans le cadre d’une succes­sion, car ces enti­tés peuvent jouer un rôle impor­tant au sein d’une hoirie. Il est donc néces­saire d’être méti­cu­leux s’agissant des infor­ma­tions qui vont être trans­mises au deman­deur. La véri­fi­ca­tion de l’identité dans ces cas est d’autant plus impor­tante que la personne dont les données sont concer­nées et le deman­deur peuvent avoir le même nom de famille mais être des personnes différentes.

Pour rappel, le droit d’accès vise géné­ra­le­ment seule­ment les données person­nelles de la personne concer­née, c’est-à-dire que toutes les infor­ma­tions trans­mises ne peuvent pas conte­nir des données de personnes tierces iden­ti­fiées ou iden­ti­fiables. Il est néan­moins possible que des données de tiers appa­raissent sur les données de la personne faisant valoir son droit et pour cela, il convient de procé­der à une pesée des inté­rêts afin de déter­mi­ner s’il est adéquat de trans­mettre lesdites données à la personne concer­née. Dans le cas contraire, un travail de caviar­dage minu­tieux doit donc être entre­pris à cette fin. Cet exer­cice fait en sorte de ne pas trans­mettre au deman­deur des preuves lui permet­tant de pour­suivre ou mettre en œuvre des préten­tions légales qui ne touchent pas direc­te­ment au trai­te­ment des données person­nelles confor­mé­ment à la LPD et à la juris­pru­dence constante.

L’ancienne circu­laire FINMA 2008/​21 rela­tive aux Risques opéra­tion­nels prévoyait qu’un établis­se­ment bancaire rece­vant une demande d’accès devait four­nir à la personne concer­née toutes les infor­ma­tions prévues par la LPD mais égale­ment toute docu­men­ta­tion conte­nant des infor­ma­tions dont la trans­mis­sion se justi­fie par le test de singu­la­rité mais ne conte­nant pas des données person­nelles. Il s’agissait là d’inclure des docu­ments suffi­sam­ment singu­liers vis-à-vis du client de la banque qui justi­fient une telle trans­mis­sion, par exemple nous pouvons évoquer le profil de risque du client. Cette circu­laire a été rempla­cée par la circu­laire FINMA 2023/​1 du 7 décembre 2022 sur les Risques et rési­liences opéra­tion­nels pour les banques suisses qui ne fait plus mention au test de singu­la­rité et suppri­mant ainsi l’obligation pour les banques de trans­mettre une telle docu­men­ta­tion. Néanmoins, il ne semble pas y avoir d’impossibilité légale pour les banques suisse de trans­mettre au deman­deur une telle docu­men­ta­tion à la personne en faisant la demande.

Si l’on sort du cadre stric­te­ment suisse, on constate que la pratique de la Cour de justice de l’Union euro­péenne est diffé­rente. Dans l’affaire C‑307/​22 du 10 mai 2022, elle a jugé qu’aucune moti­va­tion de la personne concer­née n’est néces­saire dans le cadre d’une demande de droit d’accès : « […] la personne concer­née n’est pas tenue de moti­ver la demande d’accès aux données, la première phrase du consi­dé­rant 63 [du Règlement Général sur la Protection des Données, ci-après « RGPD »] ne saurait être inter­pré­tée en ce sens que cette demande doit être reje­tée si elle vise un objec­tif autre que celui de prendre connais­sance du trai­te­ment des données et d’en véri­fier la licéité. Ce consi­dé­rant ne saurait en effet restreindre la portée de l’article 15, para­graphe 3, du RGPD, tel que rappelé au point 35 du présent arrêt » (consid. 43). Certes, le droit suisse n’exige pas non plus que la personne concer­née fasse état du motif la condui­sant à exer­cer son droit. Toutefois, la juris­pru­dence de la CJUE diverge de celle du Tribunal fédé­ral en indi­quant que le droit d’accès doit être respecté sans prise en consi­dé­ra­tion de la moti­va­tion de la personne concer­née « […] l’article 12, para­graphe 5, et l’article 15, para­graphes 1 et 3, du RGPD doivent être inter­pré­tés en ce sens que l’obligation de four­nir à la personne concer­née, à titre gratuit, une première copie de ses données à carac­tère person­nel faisant l’objet d’un trai­te­ment s’impose au respon­sable du trai­te­ment même lorsque cette demande est moti­vée dans un but étran­ger à ceux visés au consi­dé­rant 63, première phrase, dudit règle­ment » (consid. 52).

Ces avis diver­geant fonda­men­ta­le­ment l’un de l’autre, et le droit d’accès étant octroyant tant sous l’égide du droit euro­péen que du droit suisse, il est légi­time de se deman­der, est-ce qu’une personne concer­née peut exiger l’application du RGPD en lieu et place de la LPD dans le cadre de sa demande d’accès ? Prenons l’exemple d’un respon­sable de trai­te­ment qui est une personne morale exclu­si­ve­ment établie en Suisse ne tombant pas dans le critère de l’extraterritorialité du RGPD et d’une personne concer­née qui est une personne physique rési­dente dans l’EEE au sujet de qui le respon­sable de trai­te­ment traite des données person­nelles. Ce dernier, n’est pas soumis au RGPD, néan­moins la personne concer­née pour­rait souhai­ter faire valoir un droit d’accès en s’appuyant sur le droit appli­cable dans l’EEE, car ceci lui permet­trait d’exercer son droit d’accès pour des fina­li­tés autres que celles prévues par la LPD et la juris­pru­dence actuelle.

Dans ce cas de figure, il est impor­tant de déter­mi­ner quel serait le droit appli­cable. Du point de vue de la loi fédé­rale sur le droit inter­na­tio­nal privé du 18 décembre 1987 (LDIP), s’agissant d’une atteinte à la person­na­lité, notam­ment résul­tant du trai­te­ment de données person­nelles et/​ou d’une entrave à l’exercice du droit d’accès (art. 139 al. 3 LDIP), l’art. 139 al. 1 LDIP trouve appli­ca­tion directe. Ce dernier prévoit que les préten­tions seront régies au choix du lésé soit « par le droit de l’État dans lequel le lésé a sa rési­dence habi­tuelle, pour autant que l’auteur du dommage ait dû s’attendre à ce que le résul­tat se produise dans cet État » (let. a), soit « par le droit de l’État dans lequel l’auteur de l’atteinte a son établis­se­ment ou sa rési­dence habi­tuelle » (let. b) ou encore « par le droit de l’État dans lequel le résul­tat de l’atteinte se produit, pour autant que l’auteur du dommage ait dû s’attendre à ce que le résul­tat se produise dans cet État » (let. c). En l’espèce, la personne concer­née pour­rait donc poten­tiel­le­ment impo­ser l’application du RGPD dans le cadre de sa demande d’accès pour autant qu’elle soit la partie lésée, habi­tuel­le­ment rési­dente dans un Etat membre de l’EEE et que le respon­sable de trai­te­ment puisse s’attendre à ce qu’un dommage puisse être subi dans l’EEE. La doctrine semble s’accorder sur le fait que le fait de faire obstacle au droit d’accès consti­tue­rait un dommage à la personne concer­née qui, par défi­ni­tion, coïn­ci­de­rait très certai­ne­ment avec son lieu de rési­dence. Cela lui permet­trait de passer outre le critère de la juris­pru­dence du Tribunal fédé­ral qui impose que la demande d’accès vise les objec­tifs de la LPD et ainsi accé­der à ses propres données afin de, poten­tiel­le­ment, évaluer ses chances de succès dans le cadre d’une procé­dure judiciaire.

IV. Conclusion

En conclu­sion, nous pouvons rele­ver qu’hormis le chal­lenge orga­ni­sa­tion­nel de la four­ni­ture des infor­ma­tions néces­saires dans le cadre d’une demande d’accès, le respon­sable de trai­te­ment va devoir évaluer au cas par cas la fina­lité visée et le droit appli­cable à la demande afin de pouvoir trans­mettre des infor­ma­tions stric­te­ment néces­saires au deman­deur sans violer la juris­pru­dence constante du Tribunal fédéral.