Statthalteramt Bezirk Zürich (Autorité de district en charge, notam­ment, des contra­ven­tions), Décision ST.2024.1046 /​ ZM

I. Un contexte révélateur

Une personne concer­née (le « Requérant ») a exercé son droit d’accès auprès de TX Group SA et ainsi demandé si TX Group SA trai­tait des données person­nelles la concer­nant. Le juriste d’entreprise de TX Group SA a initia­le­ment répondu qu’au sein du groupe, Tamedia avait pu trou­ver deux données person­nelles concer­nant le Requérant dans leur système, tandis que le 20 Minuten n’avait trouvé aucune donnée person­nelle le concer­nant. Le Requérant a alors signalé que les infor­ma­tions commu­ni­quées à propos du 20 Minuten étaient mani­fes­te­ment incom­plètes. TX Group SA a de ce fait reconnu l’existence d’autres données person­nelles, mais a refusé leur commu­ni­ca­tion en se fondant sur les restric­tions au droit d’accès appli­cables aux médias de l’art. 27 LPD. Ainsi, selon l’art. 27 al. 1 LPD, lorsque les données person­nelles sont trai­tées exclu­si­ve­ment pour la publi­ca­tion dans la partie rédac­tion­nelle d’un média à carac­tère pério­dique, le respon­sable du trai­te­ment peut refu­ser, restreindre ou diffé­rer la commu­ni­ca­tion des rensei­gne­ments si (i) les données four­nissent des indi­ca­tions sur les sources d’information, (ii) un droit de regard sur des projets de publi­ca­tion en résul­te­rait ou (iii) la libre forma­tion de l’opinion publique serait compromise.

Sur plainte, le Statthalteramt Bezirk Zürich a consi­déré qu’en indi­quant que le 20 Minuten ne trai­tait aucune donnée person­nelle du Requérant, le juriste d’entreprise avait donné l’impression que les infor­ma­tions trans­mises suite à la requête d’accès du Requérant étaient complètes, alors que d’autres données person­nelles du Requérant étaient en réalité trai­tées. Le juriste d’entreprise aurait donc sciem­ment fourni des infor­ma­tions inexactes ou incom­plètes tout en donnant l’impression erro­née que ces infor­ma­tions étaient exhaus­tives. Ce faisant, le juriste d’entreprise a inten­tion­nel­le­ment violé l’art. 60 al. 1 let. a LPD et a été condamné par le Statthalteramt Bezirk Zürich à payer une amende de CHF 600.-. La moti­va­tion de cette déci­sion est parti­cu­liè­re­ment lacu­naire, en ce qu’elle n’examine, inter alia, ni le pouvoir déci­sion­nel effec­tif ni l’intention sous-jacente à la première réponse incom­plète du juriste d’entreprise.

II. Une fausse appa­rence d’exhaustivité ?

La respon­sa­bi­lité pénale prévue à l’art. 60 al. 1 let. a LPD ne s’applique que lorsque la réponse à une requête d’accès est inten­tion­nel­le­ment inexacte ou incom­plète, tout en donnant l’impression, à tort, qu’elle est exhaus­tive. Autrement dit, ni le refus pur et simple ni une réponse partielle indi­quée comme telle ne suffisent pour que l’infraction soit commise. À l’inverse, pour que celle-ci soit réali­sée, la personne concer­née doit avoir été inten­tion­nel­le­ment induite en erreur quant à l’existence ou à l’étendue des données en cause.

Cette inter­pré­ta­tion a par ailleurs été confir­mée par une déci­sion non publiée du Ministère public de Soleure, rappor­tée par daten​recht​.ch, selon laquelle seule la commu­ni­ca­tion d’informations fausses ou incom­plètes donnant une fausse impres­sion d’exhaustivité est péna­le­ment répré­hen­sible. Le simple fait de refu­ser ou d’ignorer une requête d’accès n’est donc pas réprimé. Dans cette affaire, le Ministère public n’a constaté aucune fausse infor­ma­tion ou omis­sion trom­peuse : le respon­sable de trai­te­ment s’était simple­ment abstenu de répondre dans le délai de 30 jours prévu par l’art. 25 al. 7 LPD. Aucune infrac­tion à l’art. 60 al. 1 let. a LPD n’était dès lors réalisée.

Il est toute­fois inté­res­sant de noter que, par la présente déci­sion, le Statthalteramt Bezirk Zürich consi­dère que le simple risque théo­rique d’induire la personne concer­née en erreur, sans que cette dernière ne soit effec­ti­ve­ment et concrè­te­ment trom­pée, est suffi­sant pour violer l’art. 60 al. 1 let. a LPD.

Or, à notre sens, une telle appré­cia­tion doit être stric­te­ment limi­tée : seule une trom­pe­rie effec­tive — c’est-à-dire une erreur concrète et avérée de la personne concer­née — devrait être rete­nue comme fonde­ment d’une sanc­tion pénale. En l’absence d’une telle erreur concrète, la ques­tion devrait plutôt rele­ver du droit civil, qui offre les méca­nismes appro­priés pour répa­rer un éven­tuel préju­dice causé par l’erreur en question.

Cela étant dit, la déci­sion du Statthalteramt Bezirk Zürich n’est pas défi­ni­tive. Il sera donc inté­res­sant d’observer si le juriste d’entreprise fait oppo­si­tion, et si tel est le cas, quelle sera l’appréciation que portera l’autorité de deuxième instance sur ce point.

III. Un pouvoir de sanc­tion important

Les dispo­si­tions pénales de la LPD (art. 60 ss LPD) confèrent aux auto­ri­tés compé­tentes le pouvoir de pronon­cer des amendes pouvant atteindre 250 000 CHF.— en cas de viola­tion grave. Ce montant, bien que sensi­ble­ment infé­rieur aux plafonds prévus par le RGPD euro­péen (EUR 20’000’000.- ou 4 % du chiffre d’affaires annuel de l’entreprise, art. 83 al. 5 RGPD), demeure excep­tion­nel dans le contexte du droit suisse (en effet, les amendes sont en prin­cipe d’un montant maxi­mum de CHF 10’000.- (art. 106 al. 1 CP).

Il convient en outre de souli­gner que les sanc­tions prévues par la LPD visent exclu­si­ve­ment les personnes physiques — contrai­re­ment au RGPD qui vise égale­ment les personnes morales. La possi­bi­lité de pronon­cer une amende pouvant atteindre 250 000 CHF.— à l’encontre d’une personne physique consti­tue donc une sanc­tion parti­cu­liè­re­ment lourde, ce qui renforce encore la portée dissua­sive de ces amendes. Ce choix légis­la­tif traduit ainsi la volonté claire du légis­la­teur d’assurer un véri­table effet préven­tif face aux atteintes graves à la protec­tion des données.

Par ailleurs, il y a lieu de rele­ver que, selon le montant de l’amende pronon­cée, l’infraction pourra être inscrite au casier judi­ciaire de la personne condam­née : en effet, confor­mé­ment à l’art. 18 al. 1 let. c ch. 3 de la Loi fédé­rale sur le casier judi­ciaire infor­ma­tique VOSTRA (« LCJ »), les juge­ments portant sur une contra­ven­tion de plus de CHF 5’000.- sont, notam­ment, inscrits au casier judi­ciaire. L’inscription est suppri­mée après dix ans et n’apparaît pas sur l’extrait ordi­naire ou spécial du casier judi­ciaire qu’une personne physique peut deman­der à titre privé​ (art. 41 et 42 LCJ cum art. 40 LCJ).

Dans ce contexte, l’amende de CHF 600.- pronon­cée à l’encontre du juriste d’entreprise, bien qu’inférieure au plafond prévu par la LPD, repré­sente une charge finan­cière non négli­geable pour une personne physique.

Et ce d’autant plus que c’est l’employé, en sa qualité de personne direc­te­ment visée par la sanc­tion pénale, qui en supporte person­nel­le­ment les consé­quences. Il est inté­res­sant de noter à cet égard que la doctrine est divi­sée quant à la licéité pour une entre­prise de prendre en charge une amende pronon­cée à l’en­contre d’un employé. Ainsi, certains auteurs consi­dèrent que, du fait du carac­tère stric­te­ment person­nel de l’amende, son paie­ment par un tiers pour­rait consti­tuer un acte de favo­ri­sa­tion d’un délin­quant au sens de l’art. 305 CP, dans la mesure où cela irait à l’en­contre du but répres­sif visé par la sanc­tion pénale.

D’autres auteurs, majo­ri­taires et dont nous parta­geons l’avis, rejettent cette inter­pré­ta­tion, esti­mant que le paie­ment d’une amende par un tiers n’est pas péna­le­ment répré­hen­sible, dès lors qu’il n’en­trave pas l’exécution de la sanc­tion. Selon ces auteurs, le simple fait que l’amende soit effec­ti­ve­ment acquit­tée — indé­pen­dam­ment de l’identité du payeur — ne saurait être consi­déré comme une entrave à la justice. En tout état de la cause, force est de consta­ter qu’il est, en pratique, diffi­cile de déter­mi­ner qui assume réel­le­ment la charge finan­cière de la sanction.

En l’ab­sence de juris­pru­dence du Tribunal fédé­ral en la matière, les respon­sables de trai­te­ment et employés en char­gés des requêtes d’ac­cès devraient demeu­rer prudents avant de déci­der de l’al­lo­ca­tion d’une amende, que ce soit a poste­riori ou lors de la conclu­sion du contrat de travail.

IV. Enjeux pratiques et perspectives

Pour les entre­prises, cette affaire met en exergue la néces­sité d’instaurer des procé­dures rigou­reuses pour le trai­te­ment des requêtes d’accès au sens de l’art. 25 LPD, ainsi que de former avec dili­gence les colla­bo­ra­teurs char­gés d’y répondre, afin de préve­nir tout risque de sanc­tion. Il est en parti­cu­lier essen­tiel que la première réponse à une requête d’accès soit complète et précise, sans donner lieu à une impres­sion erro­née de divul­ga­tion exhaus­tive. À cet égard, il convient d’éviter toute garan­tie, expli­cite ou impli­cite, d’exhaustivité. Par ailleurs, certaines formu­la­tions, telles que « nous n’avons pas réussi à trou­ver […] », bien qu’elles ne soient pas inexactes, pour­raient trom­per le requé­rant et suffire à moti­ver une condam­na­tion pénale.

Sur le plan insti­tu­tion­nel, il serait souhai­table que les auto­ri­tés compé­tentes en matière d’application des dispo­si­tions pénales de la LPD précisent les condi­tions dans lesquelles l’art. 60 al. 1 let. a LPD trouve à s’appliquer. Comme mentionné plus haut, il convien­drait en parti­cu­lier de déter­mi­ner si la simple possi­bi­lité abstraite d’induire une personne en erreur suffit à consti­tuer une infrac­tion au sens de cette dispo­si­tion, ou s’il est néces­saire qu’une erreur concrète ait effec­ti­ve­ment été provo­quée. Une telle clari­fi­ca­tion est essen­tielle afin de renfor­cer la sécu­rité juridique.

La déci­sion du Statthalteramt Bezirk Zürich n’étant pas défi­ni­tive, il convient d’observer si le juriste d’entreprise formera oppo­si­tion. Le cas échéant, il sera inté­res­sant de voir si cette oppo­si­tion conduira à une rééva­lua­tion du montant de l’amende ou à une réflexion plus large sur les condi­tions d’application des dispo­si­tions pénales de la LPD.