Articles

Le droit d’accès à l’origine des données

TF, 10.12.2020, 4A_125/2020*

Une ordonnance de preuve ne doit pas avoir pour effet de procurer au requérant les informations visées par la demande au fond.

Les informations qui se trouvent dans la mémoire humaine ne tombent pas sous le coup du droit d’accès selon l’art. 8 LPD.

Faits

Un associé d’une étude d’avocats zurichoise est inculpé par les autorités pénales américaines de complicité à des délits fiscaux.

Quelques années plus tard, après avoir été exclu de son étude, l’ancien associé apprend que sa banque veut mettre un terme à sa relation contractuelle avec lui. L’avocat soupçonne qu’un associé de son ancienne étude a informé le General Counsel de la banque du fait qu’il avait été inculpé aux États-Unis. Il dépose alors une demande de droit d’accès fondée sur la protection de données.

Le Bezirksgericht de Zurich rend une ordonnance de preuve afin d’entendre l’associé de l’étude, un autre avocat, ainsi que le General Counsel de la banque au sujet d’une potentielle conversation téléphonique entre l’associé et le General Counsel.

L’Obergericht confirme l’ordonnance de preuve. Il considère en particulier que le droit de connaître l’origine des données (art. 8 al. 2 let. a LPD) comprend tant les informations structurées que les données non structurées.… Lire la suite

L’absence de protection des données lors d’entraide pénale internationale

TF, 26.11.2019, 1C_550/2019

Le nouvel art. 11f EIMP, qui prévoit les conditions de communication de données personnelles à un Etat tiers dans le cadre de l’entraide pénale internationale, ne revêt en réalité qu’une portée très restreinte.

Faits

Dans le cadre d’une demande d’entraide judiciaire formée par la Russie, le Ministère public genevois ordonne notamment la transmission de documents relatifs à un compte bancaire détenu par une société. Cette dernière forme recours auprès du Tribunal pénal fédéral en invoquant notamment le grief que les données personnelles de centaines de ses employés ne pouvaient pas être transmis à la Russie. Le Tribunal pénal fédéral considère que la société n’a pas qualité pour représenter ses employés. Dans tous les cas, la transmission des données personnelles d’employés serait conforme au nouvel art. 11f EIMP (communication de données personnelles à un État tiers ou à un organisme international) (RR.2019.65+66).

Saisi par la société, le Tribunal fédéral est amené à préciser la portée des restrictions de la communication de données personnelles à un État tiers dans le cadre de l’entraide pénale internationale (art. 11f EIMP).

Droit

En matière d’entraide judiciaire internationale, le recours est recevable à l’encontre d’un arrêt du Tribunal pénal fédéral si celui-ci a pour objet la transmission de renseignements concernant le domaine secret.… Lire la suite

Fashion ID, Facebook, le bouton “j’aime” et la notion de coresponsable du traitement

CJUE, 29.07.2019, C-40/17 (Fashion ID GmbH & Co. KG vs Verbraucherzentrale NRW eV)

Le gestionnaire d’un site Internet qui insère sur celui-ci le bouton “j’aime” de Facebook devient coresponsable (avec Facebook) du traitement des données personnelles des visiteurs de son site Internet pour la collecte et la transmission de ces données à Facebook . Si le gestionnaire désire se prévaloir du consentement comme motif justifiant le traitement, il doit l’obtenir et informer les visiteurs de leurs droits avant la collecte des données. 

Faits

Fashion ID est une entreprise de vente de vêtements de mode en ligne. Elle insère sur son site Internet le bouton « j’aime » de Facebook. Grâce à l’insertion de ce bouton, Facebook reçoit de Fashion ID des données personnelles de chaque visiteur du site de cette entreprise, sans que celui-ci en soit informé et indépendamment du fait qu’il soit inscrit sur Facebook ou qu’il clique sur le bouton “j’aime”.

La Verbraucherzentrale NRW, association d’utilité publique de défense des intérêts des consommateurs, reproche à Fashion ID d’avoir transmis à Facebook des données personnelles appartenant aux visiteurs de son site Internet, d’une part, sans le consentement de ces derniers et, d’autre part, en violation des obligations d’information prévues par les dispositions relatives à la protection des données personnelles.… Lire la suite

La transmission spontanée de données personnelles relevant d’une procédure pénale

ATF 145 IV 80TF, 27.12.2018, 6B_91/2018*

L’art. 96 CPP permet la transmission spontanée par l’autorité pénale de données personnelles issues de la procédure pénale aux autorités administratives ou civiles dans les limites de l’art. 101 al. 2 CPP, c’est-à-dire lorsqu’aucun intérêt privé ou public prépondérant ne s’y oppose.

Faits

Lors d’une enquête pénale, le Ministère public met sous séquestre CHF 7’000 que le prévenu a gagné deux jours avant au casino. Constatant que le registre des poursuites du prévenu contient plusieurs actes de défaut de biens, le Ministère public informe l’Office des poursuites de l’argent séquestré. Sur demande de celui-ci, le Ministère public transfère l’argent séquestré à l’Office qui l’inclut dans la procédure de saisie concernant le prévenu.

Contre cette décision du Ministère public de transférer l’argent à l’Office des poursuites, le prévenu recourt auprès de l’Obergericht de Zurich, recours qui est rejeté (pour la décision cantonale, voir Beschluss des Obergerichts vom 5. Dezember 2017, UH170287-O/U/TSA). Par la suite, le prévenu recourt au Tribunal fédéral et demande le transfert des CHF 7’000 à son avocat.

Le Tribunal fédéral est amené à trancher la question de savoir si le droit de divulguer des données personnelles pour permettre leur utilisation dans une “autre procédure pendante” prévu à l’art.Lire la suite

US Program : le transfert de données clients pseudonymisées

TF, 26.02.2018, 4A_365/2017

Les données pseudonymisées de façon à empêcher l’identification de la personne concernée ne constituent pas des données personnelles. Cela étant, il incombe à l’auteur de la pseudonymisation de prouver que l’identification est effectivement rendue impossible.

Faits

Dans le cadre du Joint Statement de 2013 destiné à mettre un terme au contentieux fiscal américain impliquant des banques suisses, une banque décide de participer au programme américain avec l’autorité fiscale américaine et le Département fédéral de la justice des États-Unis (DoJ) dans la catégorie 2, ce qui signifie qu’elle estime avoir violé le droit américain. Les banques de catégorie 2 sont notamment tenues de communiquer au DoJ diverses données relatives à tout compte lié aux États-Unis et clos pendant la période visée par le programme (Closed US Related Account), notamment le nom du relationship manager concerné, certaines informations concernant le trafic de paiements, ainsi que la nature de la relation entre le compte et la personne américaine (p. ex. qualité de cliente ou d’ayant droit économique de cette dernière) (liste II.D.2).

La liste II.D.2 ne contient en revanche aucune information permettant d’identifier directement le client, les données telles que le nom du client et le numéro de compte étant remplacées par des pseudonymes.… Lire la suite