Le droit d’accès à l’origine des données

TF, 10.12.2020, 4A_125/2020*

Une ordonnance de preuve ne doit pas avoir pour effet de procurer au requérant les informations visées par la demande au fond.

Les informations qui se trouvent dans la mémoire humaine ne tombent pas sous le coup du droit d’accès selon l’art. 8 LPD.

Faits

Un associé d’une étude d’avocats zurichoise est inculpé par les autorités pénales américaines de complicité à des délits fiscaux.

Quelques années plus tard, après avoir été exclu de son étude, l’ancien associé apprend que sa banque veut mettre un terme à sa relation contractuelle avec lui. L’avocat soupçonne qu’un associé de son ancienne étude a informé le General Counsel de la banque du fait qu’il avait été inculpé aux États-Unis. Il dépose alors une demande de droit d’accès fondée sur la protection de données.

Le Bezirksgericht de Zurich rend une ordonnance de preuve afin d’entendre l’associé de l’étude, un autre avocat, ainsi que le General Counsel de la banque au sujet d’une potentielle conversation téléphonique entre l’associé et le General Counsel.

L’Obergericht confirme l’ordonnance de preuve. Il considère en particulier que le droit de connaître l’origine des données (art. 8 al. 2 let. a LPD) comprend tant les informations structurées que les données non structurées.… Lire la suite

Quelles limites au droit d’accès selon l’art. 8 LPD ?

TF, 18.11.2020, 4A_277/2020

Une demande d’accès fondée sur l’art. 8 LPD ayant pour seul but l’évaluation des chances de succès d’une éventuelle action future est constitutive d’un abus de droit.  

Faits

Une société et un de ses actionnaires négocient un investissement avec quatre potentiels investisseurs privés. Dans ce cadre, se suivent divers meetings et conférences téléphoniques. À l’issue de ce processus, les investisseurs procèdent à des investissements de peu d’importance dans la société.

Par la suite, les investisseurs demandent à la société et à l’actionnaire de leur remettre toutes les données les concernant. Suite au refus de ceux-ci, les investisseurs introduisent devant le tribunal compétent une demande tendant à la remise de l’ensemble de ces informations et en particulier toute correspondance relative aux négociations, tout document concernant les transferts d’actions de la société (en lien avec les investissements) et les paiement y relatifs ainsi que tout autre document concernant les investisseurs. La demande est rejetée en première instance au motif qu’elle serait abusive. Elle est en revanche admise par l’Obergericht bernois en appel. Ce dernier considère en particulier que la demande n’avait pas pour but la recherche de moyens de preuve (fishing expedition).

La société et l’actionnaire forment recours au Tribunal fédéral lequel doit préciser les limites du droit d’accès selon l’art.Lire la suite

Schrems II : Validation des clauses types (CJUE) (2/2)

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Les clauses types de protection des données adoptées par la Commission européenne sont valides, bien qu’elles ne soient pas opposables aux autorités du pays vers lequel les données sont transférées. Cela étant, le recours aux clauses types ne dispense pas l’exportateur de données d’évaluer les risques dans le cas concret et, le cas échéant, d’établir des garanties supplémentaires. L’exportateur doit en particulier vérifier que le droit du pays de destination permet au destinataire des données de respecter ses engagements et n’autorise pas d’ingérence disproportionnée de la part des autorités.

Faits

Maximilian Schrems, juriste et activiste autrichien, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite

Le devoir d’informer les tiers de l’existence d’une procédure d’assistance administrative

ATF 146 I 172 | TF, 13.07.2020, 2C_376/2019*

Le devoir d’information de l’Administration fédérale des contributions selon l’art. 14 al. 2 LAAF est limité aux seuls cas dans lesquels la qualité pour recourir du tiers selon l’art. 19 al. 2 LAAF est évidente. Le fait que le tiers peut, même à juste titre, plaider que son nom ne constitue pas un renseignement vraisemblablement pertinent (art. 4 al. 3 LAAF) ne suffit pas à lui seul à justifier une telle information.

Faits

L’autorité fiscale espagnole adresse une demande d’assistance administrative à l’Administration fédérale des contributions (AFC) au sujet d’un contribuable espagnol. La demande porte sur un contrat de cession conclu entre une société suisse et une société brésilienne au sujet des droits d’image du contribuable. Les noms de plusieurs sociétés brésiliennes tierces sont cités dans le contrat.

L’AFC accorde l’assistance administrative. Sur recours, le Tribunal administratif fédéral constate la nullité de la décision de l’AFC au motif que le droit d’être entendu des sociétés brésiliennes a été violé. Ces sociétés n’ont en effet pas été informées par l’AFC de l’existence de la procédure et ne se sont également pas vu notifier la décision de l’AFC, alors que des informations à leur propos sont transmises (TAF, 08.04.2019, A-6871/2018, résumé in LawInside.ch/815).… Lire la suite

Schrems II : Invalidation du Privacy Shield (CJUE) (1/2)

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Le Privacy Shield UE-US n’offre pas un niveau de protection des données adéquat au sens de l’art. 45 RGPD. En effet, le Privacy Shield permet des dérogations disproportionnées à la protection des données en vue de la surveillance par les services de renseignement américains et n’offre aucun recours effectif aux personnes concernées. La décision d’adéquation correspondante de la Commission est dès lors invalide. Partant, les transferts de données vers les États-Unis ne peuvent valablement reposer sur le Privacy Shield.

Faits

Maximilian Schrems, juriste et activiste autrichien, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite