Tribunal admi­nis­tra­tif fédé­ral, arrêt A‑4873/​2021 du 11 avril 2024

Introduction

Pour atteindre son but statu­taire, une asso­cia­tion orga­nise divers événe­ments d’envergure, y compris des mani­fes­ta­tions. Entre 2020 et 2021, elle demande plusieurs fois au Service de rensei­gne­ment de la Confédération (le « SRC ») d’accéder à ses données person­nelles. Le SRC extrait alors les données conte­nues dans ses docu­ments et les compile dans un tableau qu’elle trans­met ensuite à l’association. À titre illus­tra­tif, le SRC lui remet égale­ment quelques docu­ments anonymisés.

Non satis­faite de ce procédé et de l’absence de trans­mis­sion de la copie des docu­ments conte­nant ses données, l’association recourt auprès du Tribunal admi­nis­tra­tif fédé­ral. Elle demande aussi l’effacement de ses données.

À titre limi­naire, il convient de rele­ver que le Tribunal admi­nis­tra­tif fédé­ral juge ici sous l’angle de la aLPD car la nLPD n’est pas appli­cable aux recours pendants contre les déci­sions de première instance rendues avant le 1^er septembre 2023, date d’entrée en vigueur de la la nLPD (art. 70 nLPD). Il n’en demeure pas moins que les ensei­gne­ments tirés de cet arrêt sont toujours valables.

Le trai­te­ment de données person­nelles par le SRC

L’une des tâches du SRC est de recher­cher et de trai­ter des infor­ma­tions dans le but de déce­ler à temps et préve­nir les menaces pour la sûreté inté­rieure ou exté­rieure de la Suisse (art. 6 al. 1 let. a LRens). À cet effet, le SRC peut trai­ter des données person­nelles (art. 44 al. 1 LRens) et les verser dans les systèmes d’information qu’il exploite (art. 44 al. 3  cum 47 ss LRens).

En l’espèce, le SRC consi­dère ne pas trai­ter de données person­nelles de l’association dans la mesure où celle-ci ne présente, en tant que telle, aucun inté­rêt du point de vue du rensei­gne­ment. En effet, le trai­te­ment de ses données ne sert qu’à décrire des événe­ments suscep­tibles de présen­ter un risque pour la sûreté de la Suisse.

Cet argu­ment ne convainc pas le Tribunal admi­nis­tra­tif fédé­ral. Indépendamment du but pour­suivi par le trai­te­ment, les données de l’association figu­rant dans les systèmes d’information du SRC (cf. art. 47 LRens) sont bien des données person­nelles au sens de l’art. 3 let. a aLPD. En présence d’un trai­te­ment effec­tué par un organe fédé­ral (art. 2 al. 1 let. b aLPD), l’association peut donc exer­cer ses droits consa­crés par le droit de la protec­tion des données, en parti­cu­lier le droit d’accès à ses données person­nelles (art. 63 al. 1 LRens cum art. 8 aLPD) – qui peut toute­fois être sujet à des restric­tions (art. 9 aLPD cum art. 63 al. 2 LRens) – et le droit à l’effacement (art. 25 al. 1 aLPD).

L’accès aux documents

L’association demande l’accès à certains docu­ments dans lesquels sont conte­nues ses données person­nelles. Afin d’évaluer le bien-fondé de cette conclu­sion, le Tribunal admi­nis­tra­tif fédé­ral inter­prète l’art. 8 al. 5 aLPD (art. 25 al. 6 nLPD) et procède égale­ment à une compa­rai­son avec le RGPD. Il arrive à la conclu­sion que l’association n’est pas titu­laire d’un droit géné­ral à obte­nir des copies des docu­ments dans lesquels ses données person­nelles sont contenues.

Une trans­mis­sion de docu­ments est néan­moins excep­tion­nel­le­ment envi­sa­geable si elle est néces­saire à la trans­pa­rence du trai­te­ment et à l’exercice, par la personne concer­née, de droits consa­crés par le droit de la protec­tion des données. Cette excep­tion ne s’applique toute­fois pas au cas d’espèce car le tableau établi par le SRC contient des expli­ca­tions claires, complètes et trans­pa­rentes rela­tives à chaque document.

À cet égard, le Tribunal admi­nis­tra­tif fédé­ral que le légis­la­teur a, lors de la révi­sion de la LPD, expres­sé­ment analysé la ques­tion de l’accès aux docu­ments et a adopté un art. 25 al. 2 let. b nLPD dont la teneur est la suivante :

« La personne concer­née reçoit les infor­ma­tions néces­saires pour qu’elle puisse faire valoir ses droits selon la [nLPD] et pour que la trans­pa­rence du trai­te­ment soit garan­tie. Dans tous les cas, elle reçoit les infor­ma­tions suivantes :

a. […] ;

b. les données person­nelles trai­tées en tant que telles ;

c‑g. […] ».

Ainsi, la nLPD ne confère pas non plus de droit géné­ral à l’obtention des docu­ments dans lesquels les données person­nelles sont conte­nues. La trans­mis­sion de docu­ments doit demeu­rer exceptionnelle.

Le contenu du droit d’accès

L’art. 8 al. 2 aLPD (art. 25 al. 2 nLPD) liste les infor­ma­tions que le respon­sable de trai­te­ment doit trans­mettre à la personne concer­née exer­çant son droit d’accès. Doivent notam­ment être commu­ni­quées les infor­ma­tions dispo­nibles sur l’origine des données person­nelles (art. 8 al. 2 let. a aLPD ; art. 25 al. 2 let. e nLPD) et la fina­lité du trai­te­ment (art. 8 al. 2 let. b aLPD ; art. 25 al. 2 let. c nLPD).

En l’espèce, l’association consi­dère que le SRC l’a insuf­fi­sam­ment rensei­gnée sur ces deux aspects. Le Tribunal admi­nis­tra­tif fédé­ral lui donne partiel­le­ment raison.

Premièrement, les infor­ma­tions rela­tives à l’origine doivent permettre à la personne concer­née de s’adresser à la source pour exer­cer ses droits, notam­ment son droit à la recti­fi­ca­tion (art. 25 al. 3 let. a aLPD ; art. 41 al. 2 let. a nLPD) ou à l’effacement des données person­nelles (art. 25 al. 1 let. a aLPD ; art. 41 al. 1 let. a nLPD). Partant, la mention « autre auto­rité » consti­tue une infor­ma­tion insuffisante.

Secondement, l’indication de la fina­lité du trai­te­ment (cf. art. 4 al. 3 aLPD, art. 6 al. 3 nLPD) et, le cas échéant, celle de la base légale sur laquelle il repose, doivent permettre à la personne concer­née d’apprécier la licéité du trai­te­ment. Le SRC n’aurait pas dû se limi­ter à mention­ner que la fina­lité découle de l’art. 6 LRens, mais aurait dû préci­ser sur quelle hypo­thèse de l’art. 6 LRens se fonde chaque traitement.

De l’illicéité du trai­te­ment à l’effacement des données

Avant de saisir des données person­nelles dans un système d’information (cf. art. 47 LRens), le SRC doit évaluer leur perti­nence et leur exac­ti­tude (art. 45 al. 1 LRens). Ce n’est que si le trai­te­ment est néces­saire à l’accomplissement des tâches du SRC (art. 6 LRens) que les données person­nelles peuvent être saisies (art. 45 al. 2 LRens). Si les données person­nelles ne peuvent être saisies, elles doivent être détruites ou renvoyées à l’expéditeur (art. 45 al. 3 LRens).

Le Tribunal admi­nis­tra­tif fédé­ral se penche ensuite sur le régime parti­cu­lier appli­cable aux infor­ma­tions rela­tives aux acti­vi­tés poli­tiques ou à l’exercice de la liberté d’opinion (art. 16 Cst.), de réunion (art. 22 Cst.) ou d’association (art. 23 Cst.) en Suisse. En prin­cipe, le trai­te­ment de ces données est inter­dit (art. 5 al. 5 LRens), à moins que le SRC dispose d’indices concrets selon lesquels la personne concer­née exerce des droits fonda­men­taux pour prépa­rer ou exécu­ter des acti­vi­tés terro­ristes, d’espionnage ou d’extrémisme violent (art.5 al. 6 LRens). En revanche, dès que ce risque est exclu, l’art. 5 al. 7 LRens impose l’effacement de ces données au plus tard dans un délai d’un an.

In casu, l’association conclut à l’effacement de ses données person­nelles (art. 25 al. 1 let. a aLPD, art. 41 al. 1 let. a nLPD) car la saisie de données rela­tives aux événe­ments qu’elle orga­nise serait contraire à l’art. 5 al. 5 à 7 LRens.

Pour tran­cher la ques­tion, le Tribunal admi­nis­tra­tif fédé­ral inter­prète l’art. 5 al. 5 et 6 LRens et arrive à la conclu­sion qu’une inter­dic­tion abso­lue de trai­ter les données de l’association au seul motif qu’elle orga­nise des événe­ments n’entre pas en ligne de compte. Même lorsque l’association ne présente aucun inté­rêt du point de vue du rensei­gne­ment, le SRC doit pouvoir décrire préci­sé­ment la menace. À cet effet, il peut être néces­saire de trai­ter les données de l’association si d’autres personnes sont suscep­tibles d’utiliser ses événe­ments pour mettre en danger la sûreté de la Suisse.

En outre, le Tribunal admi­nis­tra­tif fédé­ral retient que le SRC n’a pas néces­sai­re­ment à effa­cer les données de l’association dans le délai maxi­mal d’un an prévu par l’art. 5 al. 7 LRens. En effet, l’interprétation a mis en évidence que ce délai maxi­mal d’un an vise unique­ment l’hypothèse de la « fiche » au sujet d’une personne déter­mi­née, et non la situa­tion où la personne concer­née, en l’occurrence l’association, n’est d’aucun inté­rêt du point de vue du rensei­gne­ment. La loi est lacu­naire sur le délai d’effacement appli­cable à cette dernière situa­tion. Le Tribunal admi­nis­tra­tif fédé­ral comble cette lacune en appli­quant, par analo­gie, le délai maxi­mal d’un an (art. 5 al. 7 LRens) aux données d’un tiers, sauf si le SRC démontre qu’une conser­va­tion plus longue est néces­saire. En tout état, si les données ne sont plus utiles, le SRC les propose aux Archives fédé­rales (art. 68 al. 1 LRens).

Une appré­cia­tion

Cet arrêt répond à plusieurs ques­tions qui se posent dans le contexte du trai­te­ment de données person­nelles par le SRC. En parti­cu­lier, il confirme que la personne concer­née n’a pas de droit géné­ral à obte­nir les docu­ments dans lesquels figurent ses données personnelles.

Il est néan­moins inté­res­sant de rele­ver que pour arri­ver à ce résul­tat, le Tribunal admi­nis­tra­tif fédé­ral procède non seule­ment à une inter­pré­ta­tion de l’art. 8 al. 5 aLPD, mais aussi à une analyse de droit compa­rée avec l’art. 15 RGPD. Cette démarche s’explique vrai­sem­bla­ble­ment par l’argumentaire du SRC, selon lequel le légis­la­teur fédé­ral n’a pas voulu s’écarter de la solu­tion consa­crée par le droit euro­péen. Cette compa­rai­son avec le RGPD n’a certes pas impacté le résul­tat de l’interprétation, mais elle n’était pas justi­fiée en l’espèce, étant donné que l’art. 15 RGPD n’a pas servi de réfé­rence pour la rédac­tion de l’art. 8 al. 5 aLPD.

Il sera donc utile d’observer si, à l’avenir, ces compa­rai­sons avec le RGPD viennent à se géné­ra­li­ser. Le cas échéant, il siéra égale­ment d’examiner si elles sont fondées.