Quelles limites au droit d’accès selon l’art. 8 LPD?
Une demande d’accès fondée sur l’art. 8 LPD ayant pour seul but l’évaluation des chances de succès d’une éventuelle action future est constitutive d’un abus de droit.
Faits
Une société et un de ses actionnaires négocient un investissement avec quatre potentiels investisseurs privés. Dans ce cadre, se suivent divers meetings et conférences téléphoniques. À l’issue de ce processus, les investisseurs procèdent à des investissements de peu d’importance dans la société.
Par la suite, les investisseurs demandent à la société et à l’actionnaire de leur remettre toutes les données les concernant. Suite au refus de ceux-ci, les investisseurs introduisent devant le tribunal compétent une demande tendant à la remise de l’ensemble de ces informations et en particulier toute correspondance relative aux négociations, tout document concernant les transferts d’actions de la société (en lien avec les investissements) et les paiement y relatifs ainsi que tout autre document concernant les investisseurs. La demande est rejetée en première instance au motif qu’elle serait abusive. Elle est en revanche admise par l’Obergericht bernois en appel. Ce dernier considère en particulier que la demande n’avait pas pour but la recherche de moyens de preuve (fishing expedition).
La société et l’actionnaire forment recours au Tribunal fédéral lequel doit préciser les limites du droit d’accès selon l’art. 8 LPD, notamment en ce qui concerne l’obtention d’informations permettant d’évaluer l’opportunité d’une future action potentielle.
Droit
D’après l’art. 8 al. 1 LPD, toute personne peut demander au maître d’un fichier si des données la concernant sont traitées. Le maître du fichier doit communiquer à la personne qui en fait la demande toutes les données la concernant qui sont contenues dans le fichier, y compris les informations disponibles sur l’origine des données (al. 2. let. a) ainsi que le but et éventuellement la base juridique du traitement, les catégories de données personnelles traitées, de participants au fichier et de destinataires des données (al. 2 let. b). L’art. 9 LPD prévoit les motifs permettant au maître du fichier de refuser ou de restreindre le droit d’accès.
Le Tribunal fédéral retient d’abord que la LPD est applicable dans le cas particulier. La demande d’accès est intervenue avant le dépôt de la requête de conciliation et donc avant la création de la litispendance (cf. art. 62 CPC). Ainsi, l’art. 2 al. 2 let. c LPD, selon lequel la LPD ne s’applique pas aux procédures pendantes (à l’exception des procédures administratives de première instance), n’exclut pas l’application de cette loi à des demandes d’accès effectuées dans la phase pré-contentieuse. C’est ce que le Tribunal fédéral avait déjà eu l’occasion de préciser dans l’ATF 138 III 425.
Reste à déterminer si une demande d’accès effectuée exclusivement dans le but de préparer une procédure, et donc d’évaluer les chances de succès d’une action future – circonstance qui n’est plus contestée devant le Tribunal fédéral – est abusive ou non.
Le droit d’accès prévu à l’art. 8 LPD vise à faire valoir le respect de la personnalité. Il donne la possibilité à la personne dont les données sont traitées de vérifier si le traitement est conforme aux principes juridiques applicables. Le texte de la LPD révisée reprend ce concept et en précise la portée (art. 25 al. 2 n-LPD: « la personne concernée reçoit les informations nécessaires pour qu’elle puisse faire valoir ses droits selon la présente loi et pour que la transparence du traitement soit garantie »).
Une demande d’accès peut, en soit, être effectuée sans la preuve d’un intérêt. Cela étant, le motif invoqué pour justifier la demande peut revêtir une importance (a) s’agissant de la pesée des intérêts à effectuer en application de l’art. 9 LPD lorsque le maître du fichier entend restreindre l’accès et (b) lorsqu’un abus de droit entre en considération. Dans sa jurisprudence, le Tribunal fédéral a considéré qu’une demande d’accès était abusive lorsqu’elle était effectuée pour des motifs étrangers aux objectifs de la LPD. Cela est en particulier le cas lorsque la demande est effectuée (i) exclusivement aux fins de nuire au maître du fichier, (ii) dans le but d’espionner une (future) partie adverse et de se procurer des preuves normalement inaccessibles ou encore (iii) afin de poursuivre des d’intérêts qui ne correspondent pas à ceux que l’art. 8 LPD est destiné à protéger, comme le fait d’économiser les coûts liés à l’obtention des informations. Le but de la LPD n’est en effet pas de faciliter l’obtention de tels documents ou d’intervenir dans le régime du CPC.
En l’espèce, le Tribunal fédéral constate que la demande vise exclusivement à évaluer les chances de succès d’une éventuelle action. Le contenu (respectivement l’ampleur) de la demande en est d’ailleurs la preuve. Les investisseurs n’allèguent pas vouloir vérifier le respect des principes du traitement des données les concernant ou leur exactitude dans le but de faire valoir des prétentions fondées sur la LPD. Dans ces circonstances, la demande d’accès est constitutive d’un abus de droit. C’est donc à tort que l’Obergericht a retenu que la demande d’accès pouvait être effectuée exclusivement afin d’évaluer les chances de succès d’une action.
La demande d’accès est donc rejetée et le recours de la société et de l’actionnaire est admis.
Note
Le Tribunal fédéral retient ici le caractère abusif d’une demande d’accès, contrairement à ce qu’il avait fait dans les autres décisions citées dans l’arrêt. Dans les ATF 138 III 425 et 141 III 119 (résumé in LawInside.ch/14) ainsi que dans l’arrêt 4A_506/2014 / 4A_524/2014 du 3 juin 2015, le Tribunal fédéral avait retenu que la demande d’accès n’avait pas pour seul but de nuire au maître du fichier ou d’obtenir des moyens de preuves qui n’auraient pas été accessibles dans le cadre de la procédure civile et avait donc écarté le grief lié à l’abus de droit.
De lege lata, les limites de la légitimité d’une demande d’accès demeurent difficiles à tracer. Alors que la preuve d’un intérêt n’est en soi pas requise – et ne peut en principe pas être requise par le maître du fichier -, il nous semble difficile pour le maître du fichier de juger du caractère abusif d’une demande si celle-ci n’indique pas la raison qui la fonde. L’analyse des critères jurisprudentiels caractérisant une demande abusive nous semblent exiger l’indication du motif par le requérant. C’est également sur cette base que le maître du fichier sera en mesure d’indiquer à son tour le motif pour lequel, cas échéant, il refuse ou il restreint les renseignements demandés, et d’en apporter la preuve (cf. art. 9 al. 5 LPD). Dans la jurisprudence citée ci-dessus, le Tribunal fédéral se limite à indiquer que le motif de la demande peut « jouer un rôle » si le maître a l’intention de refuser la demande (ou restreindre l’accès) en vertu de l’art. 9 LPD ou si un abus de droit entre en considération. Il est toutefois douteux que cela soit suffisant à fonder un droit du maître d’exiger de la personne concernée qu’elle indique les motifs de sa demande. Cela étant dit, un tel droit serait indispensable au maître pour qu’il puisse évaluer le caractère abusif ou non de la demande (dans le même sens cf. David Vasella, 4A_277/2020: Rechtsmissbrauch eines Auskunftsbegehrens bejaht (Fishing Expedition)).
Aussi, à ce jour, le maître d’un fichier confronté à une demande d’accès fondée sur l’art. 8 LPD fait face à une importante insécurité. En matière de droit du travail en particulier, il est très courant pour un employé d’adresser à son (ex)employeur (typiquement après un licenciement), dans la phase pré-contentieuse, une demande d’accès dans le but d’obtenir des moyens de preuves et d’évaluer les chances de succès d’une éventuelle action. Dans sa jurisprudence, le Tribunal fédéral a retenu que « [l]a requête de l’employé visant à obtenir les données le concernant en vue d’une éventuelle action en dommages-intérêts contre le maître du fichier n’est par contre, en soi, pas abusive » (ATF 141 III 119 consid. 7.1.1; 138 III 425 consid. 5.6). L’arrêt résumé ici semble donc entrer en contradiction avec cette jurisprudence. Le critère déterminant réside probablement dans l’examen du caractère accessible – dans le cadre d’une procédure future – des renseignements demandés. Concrètement, cela signifie qu’il appartiendrait à l’employeur (maître du fichier) d’évaluer si les renseignements qui font l’objet de la demande pourraient être obtenus dans le cadre de l’éventuelle procédure future. Toutefois, cette tâche est d’autant plus difficile si la demande n’a pas à être motivée. Compte tenu également des conséquences que la loi rattache au fait de fournir des renseignements incomplets ou inexacts (cf. art. 34 al. 1 let. a LPD, contravention punie sur plainte), le maître du fichier sera généralement amené à fournir les informations demandés sans s’opposer ou demander les motifs à l’origine de la demande.
Cette situation n’est pas entièrement satisfaisante. Le risque qu’une partie tente de contourner les dispositions du CPC en obtenant dans la phase pré-contentieuse des documents et des informations auxquelles elle n’aurait pas accès dans le cadre d’une procédure future est considérable. Les conséquences pratiques de cette façon de faire sont elles aussi importantes.
De lege ferenda, la LPD révisée – dont l’entrée en vigueur n’a pas encore été fixée – prévoit à son art. 26 al. 1 let. c que les renseignements demandés peuvent être refusés ou restreints si « la demande d’accès est manifestement infondée notamment parce qu’elle poursuit un but contraire à la protection des données ou est manifestement procédurière ». Le Message accompagnant la loi indique que le responsable du traitement (soit actuellement le « maître du fichier ») n’est en soi pas habilité à requérir une motivation, ce qui correspond au régime actuel. Se référant à l’ATF 138 III 425, le Message mentionne néanmoins que la personne tenue de fournir les renseignements peut demander une justification « lorsqu’elle estime être en présence d’une invocation abusive du droit d’accès » (FF 2017 6565, 6685).
S’en suivent deux importants constats: d’une part, la jurisprudence fédérale semble pouvoir être lue en ce sens que lorsque le responsable du traitement craint que la demande revête un caractère abusif, il est en droit de requérir que la demande soit motivée – c’est à tout le moins ce qui ressort du Message de la nouvelle loi; d’autre part, si le motif apparaît poursuivre un but « contraire à la protection des données », la demande peut être refusée, ce qui représente un changement de paradigme par rapport au régime actuel où il est difficile de démontrer qu’une demande est faite exclusivement à des fins étrangères à la protection des données (cf. David Rosenthal, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020, p. 48; cf. également Yaniv Benhamou/Guillaume Braidi/Arnaud Nussbaumer, La restitution d’informations: quelques outils à la disposition du praticien, PJA 2017 1302, p. 1313 s.).
Il reste donc à attendre l’entrée en vigueur de la nouvelle loi et de voir quelle sera la lecture que les tribunaux feront de celle-ci.
Proposition de citation : Simone Schürch, Quelles limites au droit d’accès selon l’art. 8 LPD?, in: https://lawinside.ch/1008/
Les commentaires sont désactivés.