Quelles limites au droit d’accès selon l’art. 8 LPD ?

TF, 18.11.2020, 4A_277/2020

Une demande d’accès fondée sur l’art. 8 LPD ayant pour seul but l’évaluation des chances de succès d’une éventuelle action future est constitutive d’un abus de droit.  

Faits

Une société et un de ses actionnaires négocient un investissement avec quatre potentiels investisseurs privés. Dans ce cadre, se suivent divers meetings et conférences téléphoniques. À l’issue de ce processus, les investisseurs procèdent à des investissements de peu d’importance dans la société.

Par la suite, les investisseurs demandent à la société et à l’actionnaire de leur remettre toutes les données les concernant. Suite au refus de ceux-ci, les investisseurs introduisent devant le tribunal compétent une demande tendant à la remise de l’ensemble de ces informations et en particulier toute correspondance relative aux négociations, tout document concernant les transferts d’actions de la société (en lien avec les investissements) et les paiement y relatifs ainsi que tout autre document concernant les investisseurs. La demande est rejetée en première instance au motif qu’elle serait abusive. Elle est en revanche admise par l’Obergericht bernois en appel. Ce dernier considère en particulier que la demande n’avait pas pour but la recherche de moyens de preuve (fishing expedition).

La société et l’actionnaire forment recours au Tribunal fédéral lequel doit préciser les limites du droit d’accès selon l’art.Lire la suite

Schrems II : Validation des clauses types (CJUE) (2/2)

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Les clauses types de protection des données adoptées par la Commission européenne sont valides, bien qu’elles ne soient pas opposables aux autorités du pays vers lequel les données sont transférées. Cela étant, le recours aux clauses types ne dispense pas l’exportateur de données d’évaluer les risques dans le cas concret et, le cas échéant, d’établir des garanties supplémentaires. L’exportateur doit en particulier vérifier que le droit du pays de destination permet au destinataire des données de respecter ses engagements et n’autorise pas d’ingérence disproportionnée de la part des autorités.

Faits

Maximilian Schrems, juriste et activiste autrichien, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite

Le devoir d’informer les tiers de l’existence d’une procédure d’assistance administrative

ATF 146 I 172 | TF, 13.07.2020, 2C_376/2019*

Le devoir d’information de l’Administration fédérale des contributions selon l’art. 14 al. 2 LAAF est limité aux seuls cas dans lesquels la qualité pour recourir du tiers selon l’art. 19 al. 2 LAAF est évidente. Le fait que le tiers peut, même à juste titre, plaider que son nom ne constitue pas un renseignement vraisemblablement pertinent (art. 4 al. 3 LAAF) ne suffit pas à lui seul à justifier une telle information.

Faits

L’autorité fiscale espagnole adresse une demande d’assistance administrative à l’Administration fédérale des contributions (AFC) au sujet d’un contribuable espagnol. La demande porte sur un contrat de cession conclu entre une société suisse et une société brésilienne au sujet des droits d’image du contribuable. Les noms de plusieurs sociétés brésiliennes tierces sont cités dans le contrat.

L’AFC accorde l’assistance administrative. Sur recours, le Tribunal administratif fédéral constate la nullité de la décision de l’AFC au motif que le droit d’être entendu des sociétés brésiliennes a été violé. Ces sociétés n’ont en effet pas été informées par l’AFC de l’existence de la procédure et ne se sont également pas vu notifier la décision de l’AFC, alors que des informations à leur propos sont transmises (TAF, 08.04.2019, A-6871/2018, résumé in LawInside.ch/815).… Lire la suite

Schrems II : Invalidation du Privacy Shield (CJUE) (1/2)

CJUE, 16.07.2020, Maximilian Schrems et Data Protection Commissioner contre Facebook Ireland Ltd. (C-311/18)

Le Privacy Shield UE-US n’offre pas un niveau de protection des données adéquat au sens de l’art. 45 RGPD. En effet, le Privacy Shield permet des dérogations disproportionnées à la protection des données en vue de la surveillance par les services de renseignement américains et n’offre aucun recours effectif aux personnes concernées. La décision d’adéquation correspondante de la Commission est dès lors invalide. Partant, les transferts de données vers les États-Unis ne peuvent valablement reposer sur le Privacy Shield.

Faits

Maximilian Schrems, juriste et activiste autrichien, introduit une plainte concernant le transfert de ses données personnelles par la filiale européenne de Facebook à une entité du groupe aux États-Unis. À l’issue d’une enquête, l’autorité de contrôle irlandaise saisit la High Court afin que celle-ci vérifie la validité des motifs justificatifs sur lesquels s’appuie Facebook pour exporter les données vers les États-Unis. La High Court sursoit à statuer et saisit la Cour de Justice de l’Union européenne (CJUE) de questions préjudicielles.

La CJUE est notamment invitée à examiner la validité de (1) la décision d’adéquation de la Commission européenne permettant les transferts de données vers les États-Unis dans le cadre du Privacy Shield et (2) la décision de la Commission européenne selon laquelle les clauses types de protection des données offrent des garanties suffisantes pour un transfert de données vers un pays tiers.… Lire la suite