- Le 4 mars 2025, la préfecture de Zurich a émis une ordonnance pénale contre un juriste d’entreprise de TX Group pour avoir prétendument fourni des informations incomplètes.
- TX avait indiqué deux séries de données ; Me Steiger a contesté les renseignements fournis, les jugeant manifestement incomplets, et a déposé une plainte pénale.
- La punissabilité suppose une tromperie intentionnelle ; on peut se demander si le juriste d’entreprise a eu un comportement intentionnel ou seulement négligent.
- Critique : l’ordonnance pénale met l’accent sur la responsabilité individuelle plutôt que sur la responsabilité de l’entreprise et pourrait avoir une influence négative sur les pratiques en matière de protection des données.
Le collègue avocat Martin Steiger a parlé sur son blog d’un autres Ordonnance pénale pour violation du droit à l’information rapporte. L’ordonnance pénale fait suite à une demande de renseignements et à une plainte pénale de Me Steiger lui-même. Il est chez RA Steiger et ici en PDF à trouver.
Les faits sont les suivants :
- L’ordonnance pénale émane du Statthalteramt du district de Zurich et a été rendue le 4 mars 2025. Elle n’a apparemment pas force de loi.
- Me Steiger avait demandé à TX Group SA de lui indiquer si des données le concernant étaient traitées.
- TX avait répondu par l’intermédiaire d’un “juriste d’entreprise chez TX Group AG”, qui est “spécialisé entre autres dans la protection des données”. Tamedia aurait localisé deux jeux de données et 20 Minuten n’aurait trouvé aucun jeu de données dans le système avec les informations communiquées par RA Steiger. Dans la suite de l’échange, Me Steiger a estimé que les renseignements fournis étaient “manifestement incomplets”. Par la suite, le juriste de l’entreprise a demandé de préciser où RA Steiger avait indiqué ces données et a mentionné qu’il existait également des articles de presse citant RA Steiger. RA Steiger a répondu, entre autres, qu’il avait été en contact avec 20 minutes pendant des années. Par la suite, TX a invoqué le privilège des médias selon l’article 27 de la LPD.
- Apparemment, Me Steiger a ensuite déposé une plainte pénale (seul le blessé est habilité à déposer une plainte).
- La préfecture a condamné le juriste d’entreprise à payer une amende de 600 CHF et des frais de procédure de 430 CHF.
- Il a motivé l’ordonnance pénale comme suit :
Par courriel du 1er décembre 2023, l’accusé a répondu que pour toutes les opérations de traitement qui concernaient le domaine de la publicité, la rédaction de 20 minutes s’appuyait sur son droit de refus selon l’art. 27, al. 1 ou al. 2 LPD. Les contenus de communication et les notes demandés par le dénonciateur en feraient également partie, pour autant qu’ils ne soient pas déjà couverts par l’art. 2, al. 2, let. a LPD. L’accusé a ainsi admis que “20 Minuten” disposait de données concernant l’auteur de la dénonciation.
Étant donné que l’accusé, en tant que personne responsable de TX Group SA, a donné l’impression, par ses informations selon lesquelles aucune donnée ne se trouvait dans “20 minutes”, que celles-ci étaient complètes, bien que d’autres données concernant le dénonciateur soient disponibles, l’accusé a donné, en connaissance de cause et volontairement, une information inexacte ou incomplète, se rendant ainsi coupable d’une violation intentionnelle de l’article 60, alinéa 1, lettre a de la LPD. Le prévenu doit être sanctionné pour la violation commise.
Le manque de motivation et la plainte pénale soulèvent des questions.
Fausse apparence d’exhaustivité ?
Dans l’état de fait objectif, une peine selon l’art. 60 al. 1 let. a en relation avec l’art. 25 LPD présuppose que la personne concernée a été informée de l’existence d’une violation de la loi. L’art. 25 LPD présuppose que le renseignement est trompeur. Cela peut être le cas si une partie de l’information est fausse ou si elle donne une fausse impression. Cela comprend également le cas où une si des informations effectivement incomplètes apparaissent comme complètes.
En revanche, ne sont pas punissables notamment
- inaction (pas de réaction du tout, prolongation disproportionnée du délai de réponse) ;
- Refus total avec ou sans justification (“nous ne vous parlons pas”, “la LPD n’est pas applicable”, “l’exception XY s’applique”, etc ;)
- l’information incomplète, pour autant que l’on ne donne pas la fausse impression que l’information est complète. C’est également le cas du message :
Le paragraphe 1, point a), couvre la fourniture intentionnelle d’un faux renseignement, mais aussi la fourniture intentionnelle d’un renseignement incomplet tout en donnant l’impression que le renseignement est complet.
La punissabilité présuppose donc que l’information incomplète soit même susceptible de donner l’impression d’être complète :
- Une déclaration d’exhaustivité sans restriction est préjudiciable. Elle est évidemment déconseillée et il n’existe pas de droit à en obtenir une (même si le Modèle de demande de renseignements du PFPDT demande).
- Si un responsable ne recherche pas dans tous les systèmes parce qu’il suppose que la personne concernée ne s’intéresse qu’à certaines données, il devrait donc révéler qu’il a limité ses efforts de recherche. Dans ce cas, une violation pénalement répréhensible du droit d’accès n’entre pas en ligne de compte. Tout dépend des circonstances et des formulations concrètes.
- En l’occurrence, TX n’avait pas fait de déclaration d’exhaustivité. Au contraire, TX a déclaré avoir “pu trouver deux enregistrements dans le système”. Cela indique que la recherche interne des données de RA Steiger a été effectuée avec un effort limité et laisse au moins entendre qu’il pourrait y avoir d’autres données (c’est pourquoi nous avons choisi cette forme de réponse). recommander dans notre réponse type). Quelle que soit l’appréciation que l’on porte sur cette circonstance, il est difficile de comprendre que le Statthalteramt n’ait pas au moins vérifié si, dans ces circonstances, les renseignements fournis par TX pouvaient donner l’impression d’être complets.
On peut également se demander ce qu’il en est lorsqu’un renseignement est en soi susceptible de donner une fausse impression d’exhaustivité, mais que cette impression n’apparaît pas en réalité, parce que le destinataire – quelle qu’en soit la raison – sait ou suppose que le renseignement est complet.immtque le renseignements sont effectivement incomplets.
C’est le cas dans la présente constellation. RA Steiger a fait remarquer à TX que le renseignement était “manifestement incomplète”. Il s’est peut-être énervé à ce sujet, peut-être pas à tort, mais l’énervement prouve justement qu’il n’y avait pas d’erreur.
Pour autant qu’on puisse le voir, la littérature et la jurisprudence ne se sont pas penchées sur la question de savoir si une tromperie concrète est nécessaire. Or, l’élément objectif de l’infraction ne peut être consommé ici que si l’on conçoit le risque d’induire en erreur comme un délit de mise en danger abstraite, c’est-à-dire si l’on admet que le risque abstrait de donner une fausse impression est suffisant.
C’est à peine possible :
- Si un risque abstrait de tromperie ne se manifeste pas dans un cas concret, la personne concernée peut recourir à la voie civile. Mais la punissabilité ne doit pas s’appliquer là où la personne concernée peut recourir à la voie civile. Le message contient une remarque généralisable à ce sujet :
En revanche, la personne privée qui prétend, en se référant aux articles 18 ou 25, qu’elle n’est pas tenue à l’information n’est pas punissable. Dans un tel cas, la personne concernée sait en effet qu’un traitement de données est en cours. Elle est donc en mesure de faire valoir ses droits et d’engager une procédure civile au cours de laquelle il pourra être décidé si le refus ou la limitation du droit d’accès ou de l’obligation d’information est justifié. L’al. 2 reprend l’art. 34, al. 2, let. b, LPD, qui déclare punissable le fait de fournir de faux renseignements ou de refuser de coopérer dans le cadre d’une enquête du préposé.
- De plus, l’information est fournie dans le cadre de la relation interne entre le responsable et la personne concernée. Il ne s’agit pas d’un délit de communication de masse. Il n’est pas nécessaire de chercher une conception de la circulation et donc un critère abstrait.
- Le droit d’accès sert à protéger l’autodétermination informationnelle (ou quel que soit le but de protection de l’art. 13 Cst.), en tout cas la protection individuelle. Il n’est donc pas nécessaire d’empêcher des renseignements abstraitement délicats – il suffit que la personne concernée ne soit pas trompée dans les faits.
Dans ce contexte, il est pas pourquoi un risque abstrait d’induire en erreur devrait suffire si, concrètement, il n’y a pas de risque d’induire en erreur. il n’y a pas d’erreur de représentation. En d’autres termes, il n’y a pas d’infraction : Si, comme dans le cas présent, il est clair que la personne concernée n’a pas été amenée à croire que les informations étaient complètes, le fait qu’elles ne le soient pas ne peut pas être punissable et la personne concernée peut et doit saisir le tribunal civil.
Préméditation ?
Une sanction en vertu de l’article 60 LPD présuppose en outre une intention, le dol éventuel étant suffisant. Dans le cas présent, le juriste d’entreprise aurait donc dû savoir ou supposer et s’accommoder de ce que
- ses renseignements objectivement incomplet est et
- le fausse impression d’exhaustivité (car l’intention doit englober l’ensemble des éléments objectifs de l’infraction).
Ce n’est pas le cas ici et il est très probable que ce ne soit pas le cas :
- Premièrement, il est clair que le juriste de l’entreprise ne recherche pas personnellement les données de Me Steiger dans les systèmes de TX. La communication de renseignements est, du moins dans les grandes entreprises, un processus basé sur la division du travail. C’est pourquoi on ne peut pas simplement imputer au juriste d’entreprise le fait qu’il savait ou supposait que les données qui lui avaient été fournies en interne étaient incomplètes. La réponse selon laquelle Tamedia a “pu trouver deux jeux de données” laisse au contraire clairement entendre qu’il a tout simplement transmis ce qu’une fonction commerciale pouvait localiser, sans le remettre en question. Dans ce cas, seule une négligence consciente peut entrer en ligne de compte, mais elle présuppose également que le juriste d’entreprise s’est fié à l’exhaustivité, contrairement à ses obligations.
- Deuxièmement, on peut supposer que le juriste d’entreprise ne savait pas ou n’a pas supposé que RA Steiger se fierait à tort à l’exhaustivité des informations. Sinon, il aurait formulé différemment ses réponses à RA Steiger.
L’ordonnance pénale ne contient aucune explication sur ces questions, l’intention est simplement supposée :
Étant donné que l’accusé, en tant que personne responsable de TX Group SA, a donné l’impression, par ses informations selon lesquelles aucune donnée ne se trouvait dans ’20 minutes’, que celles-ci étaient complètes, bien que d’autres données concernant le dénonciateur soient disponibles, l’accusé a donné, en connaissance de cause et volontairement, une information inexacte ou incomplète.
La préfecture n’avait manifestement pas envie de se poser des questions ou de clarifier les faits plus en détail, notamment de savoir qui savait quoi et quand chez TX et qui était responsable de quoi et quand. Au vu du faible montant de l’ordonnance pénale, l’amende aurait alors dû être infligée – si elle l’avait été – à TX lui-même (art. 64, al. 2 LPD).
Notes
La plainte pénale et l’ordonnance pénale nuisent à la protection des données qui existe réellement. La responsabilité pénale personnelle n’a toujours été qu’un pis-aller. Il était évident que cela créerait de fausses incitations (voir à ce sujet Glatthaar sur ce blog). On pouvait toutefois espérer que les amendes soient limitées aux cas les plus graves. En l’occurrence, des erreurs ont peut-être été commises, mais si elles l’ont été, c’est certainement par l’entreprise. Or, une ordonnance pénale joue sur l’homme ou la femme. C’est précisément le problème des amendes. En fin de compte, elles ne font que rendre les juristes en matière de protection des données plus difficiles à trouver dans les entreprises, les rendent plus réticents à prendre des risques en matière de conseil et font que des idées exagérées d’indépendance conduisent à un jeu de chaises musicales. Cela complique la collaboration entre les départements ou entre la première et la deuxième ligne. C’est précisément ce qui conduit à des erreurs telles qu’une information incomplète.