La suppression des données de la Watchlist FINMA

Télécharger en PDF

TF, 22.03.2017, 1C_214/2016*

Faits

Suite à la procédure dirigée par la FINMA contre UBS pour la manipulation du taux LIBOR, un ancien employé de la banque demande à la FINMA de lui communiquer les données qu’elle a rassemblées au sujet de sa personne. La FINMA rejette la demande au motif qu’il n’existe pas de procédure à son encontre et que la demande est disproportionnée.

Après quelques échanges de courriers, la FINMA informe l’employé qu’il est inscrit dans la Watchlist de la façon suivante: « Managing Director, Global Head of STIR. Le plus haut responsable manifestement impliqué dans la manipulation des cours. UBS s’est séparée de lui ». Suite à une nouvelle demande de l’employé, la FINMA lui donne une copie partielle et caviardée de documents à son sujet et lui propose une modification de la Watchlist : « il existe des indices qu’il aurait été informé de la manipulation des cours ». L’employé rejette la proposition et demande à la FINMA de rendre une décision sujette à recours.

Dans sa décision, la FINMA rejette formellement la demande de suppression des données de la Watchlist « garantie d’une activité irréprochable ». Elle soutient que, dans le cadre de la procédure administrative contre UBS, des documents ont permis de douter que l’employé respectait la garantie d’activité irréprochable. La tenue de la Watchlist sert ainsi à conserver ces soupçons si l’employé veut à nouveau occuper un poste qui exige le respect de la garantie d’activité irréprochable.

Le Tribunal administratif fédéral rejette le recours de l’employé contre cette décision. Ce dernier dépose un recours en matière de droit public auprès du Tribunal fédéral qui doit déterminer si la FINMA a le droit de conserver dans sa Watchlist les données au sujet de l’employé.

Droit

Le recourant prétend principalement que le jugement du TAF viole l’art. 13 al. 2 Cst. au motif qu’il n’existerait pas de base légale suffisante permettant à la FINMA de traiter ses données.

L’art. 13 al. 2 Cst. dispose que toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent. Selon l’art. 17 al. 2 LPD première partie, des données sensibles ou des profils de la personnalité ne peuvent être traités que si une loi au sens formel le prévoit expressément. La même exigence découle de l’art. 36 al. 1 Cst.

L’art. 23 al. 1 LFINMA précise que, dans le cadre de la surveillance prévue par la LFINMA et les lois sur les marchés financiers, la FINMA traite des données personnelles, y compris des données sensibles et des profils de la personnalité. Elle règle les modalités.

L’art. 1 de l’Ordonnance de la FINMA sur les données précise que la FINMA saisit dans un fichier les données des personnes ne présentant pas toutes garanties d’une activité irréprochable d’après les lois sur les marchés financiers et la LFINMA ainsi que de celles dont une telle garantie doit être contrôlée.

Le Tribunal fédéral constate en premier lieu que la Watchlist contient bel et bien des profils de la personnalité au sens de l’art. 3 let. d LPD. Selon l’art. 9 de l’Ordonnance de la FINMA sur les données, les données sont conservées pendant dix ans depuis la dernière entrée, ce que le Tribunal fédéral considère comme une longue période.

Dans un deuxième temps, le Tribunal fédéral considère que le fait d’être inscrit dans la Watchlist compromet déjà les chances de l’employé de retrouver un emploi dans le domaine financier, alors même qu’il n’a pas fait l’objet d’une procédure administrative avec les droits de partie qui en découlent.

Enfin, le Tribunal fédéral souligne que, bien que la personne inscrite dans la Watchlist a le droit d’avoir accès à ses informations (art. 6 de l’Ordonnance de la FINMA sur les données), la procédure pour demander une modification des données n’est pas réglée. Le cas d’espèce démontre bien la difficulté que cette démarche implique pour l’employé.

Ces trois considérations permettent au Tribunal fédéral de souligner que l’atteinte aux droits de l’employé doit être considérée comme grave et qu’une base légale au sens formel doit prévoir cette atteinte.

La légitimité de l’Ordonnance de la FINMA sur les données est affaiblie puisqu’elle est de la compétence de la FINMA, et non du Conseil fédéral. La base légale doit ainsi être plus précise. De plus, l’atteinte aux droits fondamentaux doit être prévue directement dans la loi, ce qui ne doit pas ressortir seulement du texte de la norme, mais également du but et de la systématique de la loi.

Le Tribunal fédéral analyse ensuite la notion de garantie d’une activité irréprochable, qui est mentionnée dans cinq des sept lois sur les marchés financiers. Il constate que sont soumises à l’exigence de cette garantie également des personnes qui ne sont pas directement surveillées par la FINMA. La Watchlist, même si elle n’est pas directement nommée dans la loi, trouve ainsi son origine dans une base légale au sens formel, à savoir l’art. 23 LFINMA.

Toutefois, cette norme ne permet pas à la FINMA de conserver des données sur la base de simples soupçons. Au contraire, les informations doivent provenir de données récoltées dans le cadre de procédure dans laquelle la personne a les droits de partie, telles que les procédures disciplinaires, pénales et administratives, ou d’autres sources sûres comme les audits internes ou externes ou des évaluations de personnels.

En l’espèce, les informations concernant l’employé ne proviennent ni d’une procédure dans laquelle celui-ci était partie, ni d’une autre source sûre, mais elles découlent de simples soupçons. Partant, le stockage de ces données ne repose pas sur une base légale au sens formel si bien qu’elles doivent être détruites.

Dès lors, le Tribunal fédéral admet le recours et ordonne à la FINMA d’effacer de la Watchlist les données au sujet de l’employé.

 

Proposition de citation : Célian Hirsch, La suppression des données de la Watchlist FINMA, in: www.lawinside.ch/444/