Cour de justice du canton de Genève, arrêt ACJC/​1610/​2023 du 05 décembre 2023

Un homme d’affaires italien très fortuné dispose d’un family office à Genève, lequel effec­tue divers services en faveur de sa fille. Les paie­ments en faveur de celle-ci sont effec­tués depuis le compte du père. Ce dernier indique au family office que sa fille peut dispo­ser d’un budget limite de EUR 100’000 par mois. La fille reçoit un réca­pi­tu­la­tif mensuel des paie­ments ordon­nés, répar­tis par caté­go­ries. Les infor­ma­tions rela­tives au compte bancaire de son père sont cepen­dant caviardées.

Le père consti­tue ensuite un trust, dont sa fille est la béné­fi­ciaire pendant une certaine période. Le but était que ce trust paie les dépenses de sa fille, mais cela n’a fina­le­ment pas été mis en œuvre. En raison du compor­te­ment dépen­sier de sa fille et d’une procé­dure qu’elle a intenté contre ses deux sœurs, le père décide de cesser tout contact avec elle et de bloquer tous les paie­ments en sa faveur.

La fille demande alors au family office l’accès complet à son dossier en se fondant sur l’art. 8 LPD. Après avoir reçu certaines infor­ma­tions, elle soutient que tous les docu­ments ne lui ont pas été trans­mis. Elle reçoit ensuite du family office plus de 6’000 cour­riels dont elle était desti­na­taire ou expéditrice.

Insatisfaite, elle saisit le Tribunal de première instance du canton de Genève d’une requête en droit d’accès. Elle désire obte­nir notam­ment des infor­ma­tions finan­cières et fiscales, en parti­cu­lier sur le trust dont elle était béné­fi­ciaire ainsi que sur la prove­nance des fonds qui ont servi à payer ses factures.

Le Tribunal consi­dère que la requête est abusive. Elle ne serait pas moti­vée par des consi­dé­ra­tions de protec­tion des données, mais unique­ment pour obte­nir des infor­ma­tions finan­cières concer­nant le père et la sœur avec qui la fille est en litige. En outre, le family office a déjà produit toutes les données person­nelles de la fille. Cette dernière attaque ce juge­ment devant la Cour de justice.

En vertu de l’art. 8 aLPD (qui était encore en vigueur lors du juge­ment de première instance), toute personne peut deman­der au maître d’un fichier si des données la concer­nant sont trai­tées (al. 1). Le maître du fichier doit lui commu­ni­quer toutes les données la concer­nant qui sont conte­nues dans le fichier, y compris les infor­ma­tions dispo­nibles sur l’origine des données (al. 2 let. a) ainsi que le but et éven­tuel­le­ment la base juri­dique du trai­te­ment, les caté­go­ries de données person­nelles trai­tées, de parti­ci­pants au fichier et de desti­na­taires des données (al. 2 let. b).

La Cour de justice rappelle les limites du droit d’accès, telles qu’exposées par le Tribunal fédé­ral dans l’ATF 138 III 425 (cf. Fischer in cdbf​.ch/​821), l’ATF 141 III 119 (cf. Richa in cdbf​.ch/​927) et l’ATF 147 III 139 (cf. Fischer in cdbf​.ch/​1​200). En résumé, si la demande d’accès vise à récol­ter des preuves en vue d’une procé­dure, elle peut être consi­dé­rée comme abusive (art. 2 al. 2 CC).

En outre, l’accès aux données person­nelles ne permet pas d’obtenir des données concer­nant des tiers. Le débi­teur du droit d’accès doit s’organiser et prendre les mesures de sécu­rité néces­saires (trier les données, caviar­der les noms ou d’autres données) pour éviter que le requé­rant n’ait accès aux données de tiers (en parti­cu­lier les données de tiers couvertes par le secret de fonc­tion ou professionnel).

En l’espèce, le family office a non seule­ment four­nit de nombreux docu­ments, dont plus de 6’000 cour­riels, mais aussi les coor­don­nées de personnes qui pour­raient rensei­gner la fille sur ses ques­tions. En outre, le family office ne pouvait pas trans­mettre les infor­ma­tions bancaires rela­tives au père. Il avait donc trans­mis à juste titre unique­ment des rele­vés mensuels, qui compre­naient les données person­nelles de la fille, mais non du père.

En tout état de cause, la Cour juge la requête de la fille comme étant abusive. En effet, sa démarche vise en réalité exclu­si­ve­ment à obte­nir des infor­ma­tions concer­nant le trust dont elle n’est plus béné­fi­ciaire et la situa­tion finan­cière de son père. Un tel but est étran­ger aux inté­rêts proté­gés par la LPD.

Partant, la Cour rejette l’appel de la fille.

Cet arrêt suit la tendance de la récente juris­pru­dence qui admet de plus en plus souvent l’abus de droit d’une requête en droit d’accès (en plus de l’ATF 147 III 139 susmen­tionné, cf. 4A_​277/​2020, commenté in Hirsch, swiss​pri​vacy​.law/​45/ et ACJC/​562/​2022, commenté in Hirsch, cdbf​.ch/​1​243). En l’espèce, non seule­ment la requête visait l’obtention de preuves pour une autre procé­dure, mais elle semblait aussi parti­cu­liè­re­ment large. En outre, le family office avait déjà commu­ni­qué à la requé­rante de nombreuses infor­ma­tions. Ces éléments ont proba­ble­ment contri­bué à rete­nir le carac­tère abusif de la demande d’accès fondée sur la LPD.

L’entrée en vigueur de la nouvelle LPD en septembre 2023 (après le juge­ment atta­qué) ne modi­fie pas la situa­tion. En effet, le légis­la­teur a expres­sé­ment prévu (1) que le droit d’accès ne porte que sur les « données person­nelles trai­tées en tant que telles » (art. 25 al. 2 let. b LPD) et (2) qu’il peut être refusé s’il « pour­suit un but contraire à la protec­tion des données », comme obte­nir des preuves norma­le­ment inac­ces­sibles (art. 26 al. 1 let. c LPD).