Switzerland: Les Limites du Droit d'accès Aux Données de L'art. 8 lpd (Situation Actuelle et Droit À L'avenir)

A l'heure où la collecte de données suscite le plus grand intérêt des entreprises mais affole les particuliers, la protection des données personnelles est devenue un enjeu majeur. La loi fédérale sur la protection des données (LPD ; RS 235.1), entrée en vigueur en 1993, constitue son garde-fou. Elle a pour but de régler le traitement et la communication des données, tant dans le secteur public que privé, ainsi que le droit central du particulier, d'avoir accès à ses données (art. 8 LPD).

I. Droit d'accès (art. 8 Lpd)

Toute personne a le droit de savoir quelles données la concernant sont traitées et conservées, et peut – cas échéant – demander leur rectification ou suppression.

Ce droit d'accès a pour but d'assurer le respect de la personnalité en permettant à toute personne de garder le contrôle sur les données récoltées à son sujet. Il donne également la possibilité à la personne dont les données sont traitées de vérifier si leur traitement est conforme aux règles applicables (arrêt du Tribunal fédéral 4A _277/202 du 18 novembre 2020, consid. 5.2).

La personne qui enregistre des données, appelée maître du fichier, doit alors communiquer toutes les données relatives à la personne concernée en sa possession avec l'indication du but du traitement, les catégories de données personnelles traitées, les personnes ayant accès aux fichiers, les destinataires des données et finalement la base légale applicable (art. 8 al. 2 LPD).

Il s'agit de toutes informations qui se rapportent à cette personne et qui peuvent lui être attribuées, peu importe qu'il s'agisse de constatations de faits ou de jugements de valeur. Sont cependant exclues les données concernant des tiers, qui devront être caviardées (ROUILLER/EPINEY, Le droit d'accès à ses données personnelles in Le droit d'accès, CEDIDAC 2021, p. 5).

II. Restriction du droit d'accès (art. 9 LPD)

Cependant, le maître du fichier peut restreindre, refuser ou reporter la communication des renseignements demandés si des intérêts prépondérants d'un tiers l'exigent ou la loi le prévoit. Le requérant voulant avoir accès à ses données doit alors établir, d'une part, qu'il a un intérêt à demander l'accès aux données visées et, d'autre part, que son intérêt l'emporte sur les intérêts invoqués par le maître du fichier. De plus, la demande d'accès doit avoir pour but de vérifier le respect des normes de protection des données et de faire valoir le cas échéant des prétentions fondées sur la LPD (ACJC/562/2022 du 26 avril 2022, consid, 4.1.3).

La demande abusive peut alors être refusée ou restreinte si elle ne répond à aucun intérêt digne de protection, est purement chicanière/procédurière ou sert des intérêts qui ne sont pas protégés par loi, notamment si cette demande a pour objectif de nuire au maître du fichier. A titre d'exemples, une demande d'accès est abusive si elle vise à espionner une (future) partie adverse dans une procédure judiciaire et récupérer des preuves inaccessibles autrement ou faire une recherche indéterminée de moyens de preuves, appelée fishing expedition. Par contre, la requête de l'employé visant à obtenir les données le concernant en vue d'une éventuelle action en dommages-intérêts contre le maître du fichier n'est par contre, en soi, pas abusive (ATF 141 III 119 consid. 7.1).

III. Etat de la jurisprudence

La nuance est fine ; la jurisprudence a récemment admis une demande tendant à obtenir des données en vue d'une éventuelle action judiciaire contre le maître du fichier mais a retenu comme abusive une demande tendant exclusivement à évaluer les chances de succès du procès (arrêt du Tribunal fédéral 4A_277/2020 du 18 novembre 2020 consid. 5.4).

Ces affaires se distinguent dans la mesure où l'une visait à vérifier le respect des principes du traitement de données cristallisés dans la LPD et éventuellement faire valoir des prétentions en cas de non-respect et que l'autre visait à faciliter l'obtention de preuves ce qui est contraire au but de la loi en question.

Une affaire genevoise toute récente a confirmé les limites de l'art. 8 LPD dans un litige opposant une banque et sa cliente. Cette dernière voulait se servir du droit d'accès pour obtenir des informations aux mains de la banque en prétextant qu'elle souhaitait notamment avoir accès à des informations pour contrôler la conformité du traitement de ses données. Le fait que la cliente avait initialement invoqué le droit de successions et le droit contractuel comme motivation de sa requête et qu'elle avait demandé à la banque de signer une déclaration de renonciation à la prescription démontrait que la demande visait exclusivement à obtenir des preuves pour évaluer l'opportunité d'une action judiciaire selon la Cour de justice. La demande d'accès a donc été qualifiée d'abusive (ACJC/562/2022 du 26 avril 2022).

IV. Conclusion de l'état du droit

Il est dès lors primordial pour une personne souhaitant accéder à ses données d'invoquer immédiatement le but de sa requête et de démontrer le lien avec la protection des données, au risque de se voir refuser l'accès à ses propres données. Cette personne doit démontrer qu'elle souhaite par exemple vérifier si le traitement de ses données est licite au sens de la LPD, si les données sont exactes, ou encore si sa personnalité est lésée par le traitement de ses données.

V. Le droit à venir

La loi sur la protection des données a subi un grand remaniement suite aux avancées technologiques de ces dernières années et l'impulsion du Règlement européen général sur la protection des données (RGPD). Sa nouvelle teneur entrera en vigueur le 1er septembre 2023.

Une grande nouveauté de cette révision consiste dans le fait que la LPD révisée vise exclusivement à protéger la personnalité des personnes physiques qui font l'objet d'un traitement de données. Elle ne concerne dorénavant plus les données des personnes morales (sociétés commerciales, associations, fondations, etc.).

Ainsi, le droit d'accès aux données de personnes morales ne sera plus régi par la LPD, mais par des bases légales plus générales, notamment l'art. 28 du Code civil (la protection de la personnalité), l'art. 162 du Code pénal (protection du secret commercial et de fabrication) et les dispositions pertinentes de la loi fédérale contre la concurrence déloyale et de celle sur les cartels.

S'agissant des personnes physiques, la LPD révisée étend les informations à fournir à la personne qui exerce son droit d'accès et prévoit une liste explicite de ces informations, à savoir notamment la finalité du traitement et la durée de conservation. Elle prévoit également que la personne concernée devra recevoir toutes les informations nécessaires pour qu'elle puisse faire valoir les droits qui lui sont accordés selon la nouvelle LPD et pour que la transparence du traitement soit garantie. De plus, les exceptions permettant de restreindre cet accès sont désormais explicitement mentionnées dans la base légale.

En outre, le devoir d'informer est dès lors également étendu ; la collecte de toutes les données personnelles, et non plus uniquement de données dites sensibles, doit donner lieu à une information préalable de la personne concernée.

On observe ainsi, par cette révision de la LPD, une réelle volonté d'amélioration de la transparence pour les personnes concernées par le traitement de leurs données.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.