Décision du 29 janvier 2025, Cembra Money Bank AG, délais légaux pour le trai­te­ment des demandes d’accès et commu­ni­ca­tion des données person­nelles trai­tées en tant que telles 

Le 29 janvier 2025, le PFPDT a prononcé une déci­sion contre la société Cembra Money Bank AG (ci-après : la Banque) pour non-respect des délais légaux pour le trai­te­ment d’une demande d’accès au sens de l’art. 25 LPD et absence de commu­ni­ca­tion des données person­nelles trai­tées en tant que telles. Cette déci­sion a fait l’objet d’une publi­ca­tion récente sur le site du PFPDT. Conformément à l’art. 57 al. 2 LPD, ce dernier informe le public de ses consta­ta­tions et de ses déci­sions dans les cas présen­tant un inté­rêt géné­ral. Il s’agit de la deuxième déci­sion publiée depuis l’entrée en vigueur de la LPD révi­sée, le 1er septembre 2023. 

Une pratique encore tâton­nante 

Entre 2023 et 2024, le PFPDT est saisi de deux dénon­cia­tions à l’encontre de Cembra Money Bank AG. 

Dans une première dénon­cia­tion, il est repro­ché à la Banque de ne pas avoir donné suite, dans le délai légal de 30 jours, à une demande d’accès fondée sur l’art. 25 LPD. À la suite de cette dénon­cia­tion, le PFPDT se contente d’adresser à la Banque un rappel à l’ordre, en souli­gnant son obli­ga­tion de répondre aux demandes d’accès dans les délais prévus par la loi. En réponse, la Banque indique avoir entre­temps satis­fait à la demande d’accès. Elle précise que le retard était impu­table à un manque tempo­raire de person­nel mais que la situa­tion est désor­mais réso­lue et qu’elle respecte les exigences de la LPD. 

La seconde dénon­cia­tion concerne l’absence de moti­va­tion four­nie par la Banque quant au refus d’octroi d’une carte de crédit. En dépit de plusieurs demandes écrites succes­sives visant à connaître les raisons de ce refus, la Banque n’a jamais fourni d’explication concrète, se conten­tant de renvoyer à des articles de loi et des direc­tives internes. Insatisfait, le dénon­cia­teur finit par dépo­ser une demande d’accès fondée sur l’art. 25 LPD au moyen d’une lettre type mise à dispo­si­tion par le PFPDT dans laquelle il exige que la Banque lui remette les infor­ma­tions mini­males défi­nies par la loi, en parti­cu­lier « les données person­nelles trai­tées en tant que telles ». 

Faute de réponse, la personne concer­née saisit le tribu­nal civil du canton de Bâle-Ville d’une demande de conci­lia­tion en vue de l’exécution de son droit d’accès, à la suite de quoi la Banque lui adresse un cour­rier avec la teneur suivante (traduc­tion assis­tée) : 

« Nous trai­tons toutes les caté­go­ries de données se rappor­tant à une personne physique iden­ti­fiée ou iden­ti­fiable. Cela inclut notam­ment les infor­ma­tions person­nelles (nom, prénom, date de nais­sance, adresse, coor­don­nées telles que télé­phone, e‑mail, etc.), les données parti­cu­liè­re­ment sensibles (par exemple l’orientation sexuelle, pouvant résul­ter de l’état civil), toutes les caté­go­ries de données finan­cières (certi­fi­cats de salaire, avis de taxa­tion, etc.), les infor­ma­tions de crédit (ZEK/​IKO, KREMO, etc.), ainsi que les données pouvant résul­ter d’un profi­lage, comme celles collec­tées lors de la visite de notre site Internet à des fins d’amélioration de la satis­fac­tion client ou à des fins marke­ting. » 

Considérant que sa réponse mettait vrai­sem­bla­ble­ment fin à la procé­dure enga­gée, la Banque ne se présente pas à la séance de conci­lia­tion fixée par le tribu­nal civil. 

Au vu de ces éléments, le PFPDT informe la Banque de l’ouverture d’une enquête préa­lable au sens de l’art. 49 LPD. Dans le cadre de cette enquête, il constate que sur treize demandes d’accès reçues entre décembre 2023 et août 2024, seules quatre ont été trai­tées dans les délais légaux. De plus, les réponses four­nies corres­pondent à des réponses stan­dar­di­sées, sans que les données person­nelles trai­tées en tant que telles ne soient commu­ni­quées. Si la Banque a, en cours d’enquête, régu­la­risé la situa­tion pour les deux plai­gnants, ce n’est en revanche pas le cas pour les 11 autres personnes. 

Par déci­sion du 29 janvier 2025, le PFPDT enjoint la Banque de commu­ni­quer les données person­nelles effec­ti­ve­ment trai­tées à toutes les personnes ayant jusqu’à présent unique­ment reçu une réponse stan­dar­di­sée à leur demande (art. 51 al. 3, let. g cum art. 25 al. 2, let. b LPD). Il prononce en outre, à l’encontre de cette dernière, un aver­tis­se­ment fondé sur l’art. 51 al. 4 LPD pour avoir répondu hors délai aux demandes d’accès et de manière incom­plète. Un émolu­ment de CHF 5’829.40 est mis à la charge de la Banque au titre de cette déci­sion. 

Des réponses hors délai 

Le premier élément liti­gieux de cette affaire concerne la ques­tion du délai pour répondre à une demande d’accès. En l’occurrence, la Banque a reconnu dans le cadre de la première dénon­cia­tion avoir répondu hors délai. Dans la seconde affaire, trois demandes d’accès ont été formu­lées par la personne concer­née, sans réponse dans les délais ni infor­ma­tion sur un éven­tuel report. Ce n’est qu’au bout de neuf mois après la demande initiale que la réponse complète a fina­le­ment été trans­mise. 

Ayant analysé plus large­ment la pratique de la Banque entre décembre 2023 et août 2024, le PFPDT constate que 9 des 13 demandes d’accès reçues par la Banque durant cette période ont été trai­tées hors délai, ce qui repré­sente plus de trois quarts des cas. Dans le cadre de l’enquête en cours, la Banque a tenté de se défendre en argu­men­tant qu’il était inexact de consi­dé­rer que les retards consta­tés corres­pondent à sa pratique usuelle. Elle explique qu’il s’agit au contraire d’une situa­tion excep­tion­nelle due à un manque tempo­raire de person­nel. 

Dans sa déci­sion, le PFPDT relève que confor­mé­ment à l’art. 25 al. 7 LPD, une demande d’accès doit être trai­tée dans un délai de 30 jours. Si ce délai ne peut pas être respecté, il incombe au respon­sable du trai­te­ment, en se fondant sur l’art. 18 al. 2 OPDo, d’en infor­mer la personne concer­née et de lui indi­quer un nouveau délai. Or la Banque n’ayant jamais fait usage de cette faculté, elle a contre­venu à l’art. 25 al. 7 LPD. 

Pareille inter­pré­ta­tion permet de répondre à une contro­verse pratique concer­nant la ques­tion du délai. Selon l’art. 25 al. 7 LPD, les rensei­gne­ments sont « en règle géné­rale » four­nis dans un délai de 30 jours. L’utilisation de l’expression « en règle géné­rale » est plutôt inha­bi­tuelle pour la dési­gna­tion d’un délai légal. Une partie de la doctrine en a conclu qu’il s’agissait dès lors d’un simple délai d’ordre dont l’inobservation n’aurait de ce fait aucune consé­quence juri­dique en soi, si ce n’est qu’elle ouvre la voie à un possible dépôt d’une action judi­ciaire en exécu­tion du droit d’accès. La présente déci­sion tend à montrer le contraire. Elle affirme la portée impé­ra­tive de ce délai, en tout cas lorsque le respon­sable du trai­te­ment ne fait pas usage de l’art. 18 al. 2 OPDo. Dans le cas présent, la viola­tion des délais inscrits dans la LPD a conduit le PFPDT à pronon­cer à l’encontre de la Banque un aver­tis­se­ment soumis à un émolu­ment de CHF 5’829.40. 

Des réponses stan­dar­di­sées 

Le deuxième point liti­gieux soulevé dans cette affaire concerne le contenu de la réponse à une demande d’accès. Plutôt que de four­nir aux personnes concer­nées la liste des données person­nelles effec­ti­ve­ment trai­tées par la Banque à leur sujet, cette dernière leur a adressé une simple réponse stan­dar­di­sée dans laquelle elle indique unique­ment les caté­go­ries de données trai­tées et renvoie pour plus de détail à sa notice de confi­den­tia­lité. 

Sur ce point, le PFPDT rappelle que confor­mé­ment à l’art. 25 al. 1 de la LPD, toute personne physique peut deman­der au respon­sable du trai­te­ment si des données person­nelles la concer­nant sont trai­tées. En vertu de l’al. 2, elle a droit à rece­voir toutes les infor­ma­tions néces­saires pour faire valoir ses droits en vertu de la LPD et garan­tir la trans­pa­rence du trai­te­ment. Cela inclut notam­ment, selon la let. b, les données person­nelles trai­tées en tant que telles. 

En l’espèce, un des dénon­cia­teurs a exercé son droit d’accès après s’être vu refu­ser l’octroi d’une carte de crédit. Le PFPDT relève que l’usage du droit d’accès dans un tel cas doit permettre à la personne concer­née d’évaluer sur la base de quels éléments ce refus lui est opposé afin de pouvoir, le cas échéant, faire valoir d’autres droits confé­rés par la LPD, en parti­cu­lier le droit à la recti­fi­ca­tion des données (art. 32, al. 1, LPD). Si le refus repose sur des données erro­nées ou obso­lètes, cela peut consti­tuer une atteinte signi­fi­ca­tive à la person­na­lité du client de la banque. Or ce dernier ne peut exer­cer effi­ca­ce­ment ses droits ni contes­ter la déci­sion que s’il dispose d’un accès aux données effec­ti­ve­ment déte­nues par la banque. 

Cette déci­sion du PFPDT permet de mieux circons­crire la portée et l’utilité du droit d’accès. Celui-ci ne se limite pas à la four­ni­ture d’une simple expli­ca­tion géné­rale ou une descrip­tion abstraite des caté­go­ries de données trai­tées comme cela se pratique géné­ra­le­ment dans les notices de confi­den­tia­lité. Le droit d’ac­cès oblige le respon­sable du trai­te­ment à four­nir les données concrètes et effec­tives déte­nues par le respon­sable du trai­te­ment sur la personne concer­née en tenant compte aussi, le cas échéant, du contexte dans lequel la demande s’inscrit. 

Lorsqu’une demande de droit d’accès fait suite au refus d’une pres­ta­tion, son exer­cice sert ainsi diffé­rents buts qui sont proté­gés par la LPD, notam­ment : 

• véri­fier l’exactitude des données ayant servi à la déci­sion 

• Faire recti­fier les données éven­tuel­le­ment erro­nées 

• comprendre la déci­sion par rapport aux données en cause 

Le PFPDT ne dit toute­fois pas quelles données devraient être trans­mises. En pratique, les données suivantes peuvent toute­fois entrer en ligne de compte dans un cas comme celui-ci : 

• Score de crédit indi­vi­duel ZEK /​ IKO /​ Moneyhouse  

• Historique des demandes ou inter­ac­tions (Customer Relationship Manager, CRM) 

• Données de revenu ou solva­bi­lité utili­sées dans l’analyse du dossier 

• Justifications de la déci­sion (ex : « score trop faible » ou « revenu jugé insuf­fi­sant ») 

• Origine des données (cour­tier, plate­forme, etc.). 

Cela ne signi­fie toute­fois pas que chacune de ces données doive néces­sai­re­ment être trans­mise sans autre examen. Le respon­sable du trai­te­ment conserve la possi­bi­lité d’in­vo­quer un motif justi­fi­ca­tif permet­tant de refu­ser leur trans­mis­sion ou d’en restreindre la portée, par exemple en caviar­dant certaines infor­ma­tions (art. 26 LPD). Dans un tel cas, il incombe alors à la personne concer­née de contes­ter cette restric­tion par la voie judi­ciaire, si elle la juge injus­ti­fiée. Par contre, le respon­sable du trai­te­ment demeure tenu dans tous les cas d’informer la personne concer­née de l’existence même de ces données. À défaut, il s’expose, comme dans le cas présent, à un risque de sanc­tion admi­nis­tra­tive de la part du PFPDT ou, dans le pire des cas, à un risque de sanc­tion pénale confor­mé­ment à l’art. 60 al. 1 LPD (sur cette ques­tion : https://​swiss​pri​vacy​.law/​3​66/).

Pour une réflexion détaillée autour du droit d’ac­cès, cf. Livio di Tria, Naviguer dans l’incertitude : les défis pratiques liés à l’exercice du droit d’accès, in Jusletter 25 septembre 2023.