swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

La garantie de confidentialité dans l’affaire Swisscom

Kastriot Lubishtani, le 10 mai 2021
Une garan­tie de confi­den­tia­lité au sens de l’art. 7 al. 1 let. h LTrans doit en prin­cipe être deman­dée « expli­ci­te­ment » et donnée « expres­sé­ment ». Lorsqu’elle donnée « impli­ci­te­ment » ou « taci­te­ment », son exis­tence ne peut être admise qu’avec une très grande rete­nue. Dans tous les cas, il appar­tient aux parti­cu­liers voulant s’en préva­loir d’entreprendre les démarches pour l’obtenir, alors que l’autorité n’est pas tenue d’attirer leur atten­tion à ce sujet.

Arrêt TF 1C_​500/​2020 du 11 mars 2021

Après avoir été victime d’une fuite de données de ses clients, Swisscom commu­nique avec le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence et de nombreux échanges de cour­riels entre les deux ont lieu. Ces échanges font l’objet d’une demande d’accès au sens de l’art. 6 LTrans par la RTS. Le PFPDT fait droit à cette requête, tout en caviar­dant quelques données person­nelles, dont celles des colla­bo­ra­teurs de l’entreprise.

S’opposant à cette déci­sion devant le Tribunal admi­nis­tra­tif fédé­ral, Swisscom fait grief au Préposé fédé­ral de ne pas avoir respecté la garan­tie de confi­den­tia­lité au sens de l’art. 7 al. 1 let. h LTrans qu’il lui aurait donnée, mais l’existence de celle-ci est niée dans un arrêt A‑2564/​2018 du 5 août 2020. Le raison­ne­ment retenu par cette auto­rité a été commenté par Hirsch. Swisscom (la recou­rante) l’a égale­ment contesté devant le Tribunal fédé­ral qui s’est prononcé par arrêt 1C_​500/​2020 du 11 mars 2021.

La recou­rante se prévaut en premier lieu de l’existence d’une garan­tie de confi­den­tia­lité de l’art. 7 al. 1 let. h LTrans, au terme duquel une restric­tion est justi­fiée lorsque l’accès « peut avoir pour effet de divul­guer des infor­ma­tions four­nies libre­ment par un tiers à une auto­rité qui en a garanti le secret ».

Le Tribunal fédé­ral énonce trois condi­tions cumu­la­tives pour que cette dispo­si­tion s’applique en se réfé­rant à la doctrine : (1) l’information doit émaner d’un privé, à l’exclusion d’une admi­nis­tra­tion, et être desti­née à l’autorité ; (2) elle doit être four­nie libre­ment, ce qui implique l’absence à la fois de contrainte ou d’obligation légale ou contrac­tuelle ; (3) enfin, le privé commu­ni­quant l’information doit « expli­ci­te­ment » avoir requis que celle-ci demeure secrète et l’autorité doit « expres­sé­ment » avoir accordé une garan­tie de confidentialité.

En l’espèce, la réali­sa­tion des deux premières condi­tions n’est pas contes­tée et le cœur du litige réside dans l’existence ou non d’une garan­tie de confidentialité.

À cet égard, le Préposé fédé­ral en personne ne nie pas avoir fourni une garan­tie par oral à l’occasion d’un appel télé­pho­nique. Il précise toute­fois que sa garan­tie s’appuyait sur son secret de fonc­tion et n’avait que pour but de permettre à l’entreprise d’informer elle-même les personnes concer­nées par la fuite et de prendre des mesures de protec­tion des données person­nelles. Dès lors, le PFPDT consi­dère s’être engagé à ne pas infor­mer le public de la fuite avant Swisscom (« infor­ma­tion active »), mais que le public restait en droit de requé­rir de lui des infor­ma­tions en se fondant sur la LTrans (« infor­ma­tion passive »).

Pour la recou­rante toute­fois, le secret de fonc­tion est garanti de par la loi, si bien que lorsqu’une garan­tie est four­nie par le Préposé fédé­ral avant que l’information ne soit dévoi­lée, il ne peut que s’agir de la garan­tie, à tout le moins « tacite », de confi­den­tia­lité au sens de l’art. 7 al. 1 let. h LTrans.

Le Tribunal fédé­ral rejette l’interprétation de la recou­rante, en la jugeant contraire « au but et au sens » de la LTrans, mais aussi à la « volonté du Conseil fédé­ral (sic) ». Il est d’avis que l’art. 7 al. 1 let. h LTrans impose à toute auto­rité et, en l’espèce, au PFPDT une « pratique très restric­tive » néces­si­tant un examen « au cas par cas ». S’il devait en aller autre­ment et que l’administration était auto­ri­sée à offrir de façon éten­due des garan­ties de secret, la Loi sur la trans­pa­rence serait privée de sa substance et son appli­ca­tion concrète ne corres­pon­drait plus à la volonté du légis­la­teur. Une demande et une garan­tie peuvent être « impli­cites », mais ces dernières ne doivent être admises qu’avec une « très grande rete­nue » selon le Conseil fédé­ral (FF 2003 1807, 1853).

Sans le dire, le Tribunal fédé­ral ne perçoit pas dans les éléments avan­cés par la recou­rante une quel­conque garan­tie de confi­den­tia­lité dont l’existence n’est donc pas démon­trée. Swisscom se réfère en outre à la mention « Geheim » (« Secret ») sur une présen­ta­tion à desti­na­tion du Préposé fédé­ral et à l’un de ses cour­riels à ce dernier préci­sant que les infor­ma­tions trans­mises sont « natür­lich […] vertrau­lich » (« bien sûr […] confi­den­tielles »), mais ces éléments ne permettent pas de rete­nir qu’une garan­tie de confi­den­tia­lité, même taci­te­ment, aurait été octroyée.

La forme écrite pour la garan­tie de confi­den­tia­lité est recom­man­dée à des fins proba­toires, mais elle n’est pas « obli­ga­toire » pour autant selon l’art. 7 al. 1 let. h LTrans. Néanmoins, le Tribunal fédé­ral juge que la recou­rante, repré­sen­tée par des personnes expé­ri­men­tées, aurait dû se réfé­rer « clai­re­ment » à cette dispo­si­tion légale ou deman­der que la garan­tie soit formu­lée par écrit, cela d’autant plus en raison du fait que certains des hauts cadres de Swisscom impli­qués dans cette affaire étaient « suffi­sam­ment quali­fiés » dans le domaine pour ne pas se conten­ter d’une promesse orale. Par ailleurs, il n’appartient pas à l’autorité d’attirer l’attention des admi­nis­trés au sujet de la confidentialité.

Invoquant en outre une viola­tion du prin­cipe de la bonne foi décou­lant de l’art. 9 de la Constitution fédé­rale, la recou­rante ne démontre toute­fois pas avoir subi un quel­conque préju­dice. Enfin, le grief rela­tif à la viola­tion de l’art. 7 al. 2 LTrans est égale­ment mal fondé, dans la mesure où aucune atteinte à la sphère privée de tiers n’est établie. En effet, les noms des colla­bo­ra­teurs ont été anony­mi­sés sur déci­sion du PFPDT et l’autorité infé­rieure a égale­ment exigé le « noir­cis­se­ment » d’un élément particulier.

Partant, le Tribunal fédé­ral rejette le recours.

Comme Hirsch l’a relevé, tout parti­cu­lier solli­ci­tant le conseil du PFPDT au sens de l’art. 28 LPD devrait requé­rir expli­ci­te­ment une garan­tie de confi­den­tia­lité en se réfé­rant expli­ci­te­ment à l’art. 7 al. 1 let. h LTrans s’il entend s’en préva­loir pour s’opposer à la trans­pa­rence de ses échanges avec le Préposé fédéral.

Pour autant, la critique de cet auteur selon laquelle l’exigence d’une preuve écrite « frôle le forma­lisme exces­sif » ne peut être suivie. À cet égard, il ne saurait être perdu de vue que la demande d’accès fondée sur l’art. 6 LTrans est la clé de voûte de la loi et du but de trans­pa­rence qu’elle promeut (art. 1), tandis qu’une garan­tie de confi­den­tia­lité au sens de l’art. 7 al. 1 let. h LTrans y fait obstacle. Dans la mesure où une telle garan­tie permet­trait à l’autorité elle-même de déro­ger au prin­cipe de la trans­pa­rence, elle ne peut et ne doit être donnée que de façon « très restric­tive », retient le Tribunal fédéral.

Certes, le légis­la­teur n’érige aucune exigence de forme pour cette garan­tie. En raison de sa portée déro­ga­toire toute­fois et de son admis­sion restric­tive, il s’impose de rete­nir selon nous qu’elle doit être claire ou expresse et d’exclure ainsi toute garan­tie tacite. À défaut, l’autorité pour­rait contour­ner la trans­pa­rence et par là vider la loi de sa substance. En somme, le doute doit profi­ter à la trans­pa­rence et la déro­ga­tion à celle-ci dans une garan­tie de confi­den­tia­lité doit être transparente.

En l’espèce, c’est bel et bien le résul­tat auquel abou­tit le Tribunal fédé­ral en ayant des exigences de forme parti­cu­lières lorsqu’une procé­dure implique des personnes dispo­sant de connais­sances parti­cu­lières en matière de protec­tion des données et de trans­pa­rence ou qui sont assis­tées par des conseils jouis­sant de telles connais­sances. Cela revient à admettre que l’existence d’une garan­tie impli­cite ou tacite dans ces circons­tances est vrai­sem­bla­ble­ment exclue.

L’entrée en vigueur prochaine de la révi­sion totale de la Loi sur la protec­tion des données aura un impact lorsqu’une garan­tie de confi­den­tia­lité sera deman­dée à la suite d’une fuite de données. En effet, l’art. 24 al. 1 nLPD instaure une obli­ga­tion légale d’annonce du respon­sable de trai­te­ment au PFPDT des « cas de viola­tion de la sécu­rité des données entraî­nant vrai­sem­bla­ble­ment un risque élevé pour la person­na­lité ou les droits fonda­men­taux de la personne concer­née ». Il s’ensuit que cette annonce ne sera plus libre, mais au contraire obli­ga­toire. Par consé­quent, une garan­tie de confi­den­tia­lité ne pourra plus être requise en présence d’un « risque élevé ». Cela suppo­sera donc d’apprécier ce dernier, car en son absence, l’annonce ne sera pas obli­ga­toire. Dans ce cas de figure, l’annonce restera à la libre appré­cia­tion du respon­sable du trai­te­ment et sera donc libre au sens de l’art. 7 al. 1 let. h LTrans, si bien qu’une garan­tie pour­rait être demandée.



Proposition de citation : Kastriot Lubishtani, La garantie de confidentialité dans l’affaire Swisscom, 10 mai 2021 in www.swissprivacy.law/71


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law