TAF, A‑788/2014 : Bureau de com­mu­ni­ca­ti­on en matiè­re de whistleblowing

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

,

Lois

,

Thè­mes

, , , ,
Ven­te à emporter (AI)
  • Le Tri­bu­nal admi­ni­stra­tif fédé­ral a obli­gé le Con­trô­le fédé­ral des finan­ces à décla­rer ses fichiers liés au whist­le­b­lo­wing con­for­mé­ment à l’ar­tic­le 11a de la LPD et à éta­b­lir un règle­ment de trai­te­ment con­for­mé­ment à l’OLPD 21.
  • La défi­ni­ti­on de “fichier” est con­tro­ver­sée ; une inter­pré­ta­ti­on lar­ge engl­oberait de nombreux sup­ports de don­nées élec­tro­ni­ques, rai­son pour laquel­le des critères étroits (plu­sieurs per­son­nes, péren­ni­té, acce­s­si­bi­li­té) sont proposés.

Mise à jour 7 août 2016Le juge­ment a été publié dans la sic ! 2016, 387 ss, avec le mot-clé “Whist­le­b­lo­wing-Mel­de­stel­le”.

Le TAF obli­ge le Con­trô­le fédé­ral des finan­ces à décla­rer, con­for­mé­ment à l’OLPD 11a II, ses fichiers de don­nées en rap­port avec les com­mu­ni­ca­ti­ons qu’il reçoit en tant que bureau de com­mu­ni­ca­ti­on en matiè­re de whist­le­b­lo­wing, et il doit éta­b­lir un règle­ment de trai­te­ment con­for­mé­ment à l’OLPD 21. La noti­on de fichier a été contestée.

L’ar­rêt est entré en force ; le TF a sta­tué sur le recours du CDF (à ce pro­pos NZZ) ne s’est pas pro­duite (1C_66/2015).

5.4.1 Selon le mes­sa­ge, le fichier doit être un ensem­ble de don­nées se rap­portant à plus d’u­ne per­son­ne. L’or­ga­ni­sa­ti­on et la struc­tu­re du fichier peu­vent être très diver­ses. Il est essen­tiel que les don­nées rela­ti­ves à une per­son­ne don­née pui­s­sent être retrou­vées. (Mes­sa­ge du Con­seil fédé­ral du 23 mars 1988 rela­tif à la LPD, FF 1988 II 413, 447 s. [ci-après : mes­sa­ge rela­tif à la LPD]). En ce qui con­cer­ne le critère de l’ac­ce­s­si­bi­li­té, la doc­tri­ne défend par­fois l’i­dée que le fichier est une défi­ni­ti­on ouver­te com­pa­ra­ble, de sor­te que même les fichiers qui n’ont pas été cré­és en tant que tels en tant que fichiers de don­nées et qui n’ont pas de fina­li­té pro­pre et recon­naissa­ble, com­me le dis­que dur d’un PC ou l’In­ter­net en tant que tel, doi­vent être con­sidé­rés com­me des fichiers de don­nées.Les don­nées per­son­nel­les peu­vent être enre­gi­strées dans des fichiers de don­nées, mais les pos­si­bi­li­tés tech­ni­ques per­met­tent d’i­den­ti­fier les per­son­nes. Dans ce sens, tout sup­port de don­nées élec­tro­ni­que, com­me un dis­que dur, une dis­quet­te ou un CD-ROM, peut être con­sidé­ré com­me un sup­port de fichier, pour autant qu’il ser­ve à stocker des don­nées per­son­nel­les et qu’un accès per­son­nel soit pos­si­ble au moy­en d’un pro­gram­me cor­re­spond­ant, ce qui est le cas stan­dard des pro­gram­mes Office. Ain­si, un ensem­ble de docu­ments tex­tu­els enre­gi­strés élec­tro­ni­quement con­sti­tue régu­liè­re­ment un fichier au sens de la LPD. Seuls les clas­se­ments dés­or­don­nés et disper­sés de docu­ments papier ne peu­vent donc pas être con­sidé­rés com­me des fichiers (cf. Blech­ta, BSK DSG/BGÖ, n. 81 ad art. 3 LPD).

Cet­te inter­pré­ta­ti­on lar­ge de la défi­ni­ti­on léga­le de l’art. 3, let. g, LPD est cri­ti­quée à juste tit­re dans la doc­tri­neAvec les pro­gram­mes de recher­che actuels, il est géné­ra­le­ment pos­si­ble de recher­cher le con­te­nu de tous les dis­ques durs, par exemp­le à par­tir d’un nom de per­son­ne. En out­re, il est éga­le­ment pro­ba­ble que des don­nées per­son­nel­les soi­ent pré­sen­tes sur de nombreux dis­ques durs. Cepen­dant, il est peu pro­ba­ble que le légis­la­teur ait vou­lu – et cela ne cor­re­spond pas non plus au sens et au but de la loi sur la pro­tec­tion des don­nées – que de nombreux fichiers, tels que les dis­ques durs d’or­di­na­teurs, soi­ent con­sidé­rés com­me des fichiers, avec pour con­sé­quence qu’ils soi­ent sou­mis au droit d’ac­cès selon l’ar­tic­le 8 LPD ou – com­me dans le cas pré­sent – à l’ob­li­ga­ti­on d’en­re­gi­stre­ment selon l’ar­tic­le 11a LPD. (cf. Rosen­thal, Hand­kom­men­tar DSG, Rz. 82 zu Art. 3 DSG). Rosen­thal sou­hai­te donc que la noti­on soit com­pri­se de maniè­re plus étroi­te et pose donc les con­di­ti­ons sui­van­tes, qui doi­vent être rem­plies de maniè­re cumu­la­ti­ve pour que l’on pui­s­se par­ler d’un fichier au sens de la LPD : Il doit s’a­gir de don­nées per­son­nel­les de plus d’u­ne per­son­ne agir en con­sé­quence. Ceux-ci doi­vent rete­nu et – par néces­si­té con­cep­tu­el­le – de plus d’un enre­gi­stre­ment pour être con­sidé­ré com­me un recueil. En out­re, les caté­go­ries de don­nées per­son­nel­les qui figu­rent dans le fichier doi­vent être pré­ala­blem­ent d’u­ne maniè­re géné­ra­le et abstrai­te. Les dif­fér­ents enre­gi­stre­ments doi­vent avoir un thé­ma­tique, logi­que et que la coll­ec­tion a une cer­taine Rési­stance de la per­son­ne con­cer­née. Enfin, les don­nées per­son­nel­les doi­vent être clas­sées par per­son­ne con­cer­née. acce­s­si­ble être des don­nées. Un fichier ne com­prend des don­nées que dans la mesu­re où elles sont de fac­to sou­mi­ses à une seu­le et même régle­men­ta­ti­on en ce qui con­cer­ne leur con­te­nu et leur fina­li­té. règ­ne uni­fié (voir Rosen­thal, Hand­kom­men­tar DSG, Rz. 83 ss. ad art. 3 DSG).

5.4.2 La que­sti­on de savoir s’il faut s’en tenir défi­ni­ti­ve­ment à ces critères peut rester ouver­te à ce sta­de.Com­me nous le ver­rons, il s’a­git ici d’un cas d’e­spè­ce. d’u­ne maniè­re ou d’u­ne aut­re, on peut con­sidé­rer qu’il s’a­git de fichiers au sens de la loi.