OGer ZH, 8.2.2016 : une ban­que ne peut pas trans­mett­re les don­nées per­son­nel­les d’u­ne col­la­bora­tri­ce aux Etats-Unis

Dans son juge­ment LB150052 du 8.2.2016, l’O­Ger ZH a tout d’a­bord déci­dé que le tri­bu­nal de district et le tri­bu­nal des pru­d’hom­mes étai­ent com­pé­tents pour les plain­tes dépo­sées par des employés de ban­que cont­re la liv­rai­son de don­nées au DOJ :

Dans le cas pré­sent, la requé­ran­te se fon­de en pre­mier lieu sur l’ar­tic­le 15 LPD. Selon le libel­lé de la loi, de tel­les actions visent à pro­té­ger la per­son­na­li­té et sont régies par les artic­les 28, 28a et 28I du Code civil. Il est donc clair qu’u­ne tel­le action va bien au-delà de la simp­le rela­ti­on de tra­vail ent­re les par­ties et con­cer­ne tou­te la per­son­na­li­té de la deman­der­es­se, rai­son pour laquel­le la com­pé­tence maté­ri­el­le du tri­bu­nal de district est sans aut­re don­née. L’in­stance pré­cé­den­te a cepen­dant exami­né l’ac­tion non seu­le­ment sous l’ang­le de l’art. 15 LPD, mais aus­si sous l’ang­le du cont­rat de tra­vail, à savoir les art. 328 et 328b CO (piè­ce 38 p. 23 – 25). Cela est clai­re­ment admis­si­ble, car l’in­stance pré­cé­den­te devait, au sens de l’art. 57 CPC, exami­ner la deman­de sous tous les aspects déter­mi­nants. Inver­se­ment, il aurait éga­le­ment été conce­va­ble de rat­ta­cher la même action au cont­rat de tra­vail, ce qui aurait eu pour con­sé­quence que le tri­bu­nal des pru­d’hom­mes aurait été com­pé­tent pour juger l’ac­tion et qu’il aurait dû l’ex­ami­ner de la même maniè­re sous tous ses aspects. Il en résul­te que les actions de ce type relè­vent à la fois de la com­pé­tence du tri­bu­nal d’ar­ron­dis­se­ment et de cel­le du tri­bu­nal du travail.

Sur le fond, l’O­Ger ZH ne voit pas d’in­té­rêt public prépon­dé­rant au sens de la LPD 6 II, tant qu’au­cu­ne ban­que d’im­portance sys­té­mi­que n’est concernée :

Pour déter­mi­ner si la mise en dan­ger d’u­ne ban­que est con­trai­re à l’in­té­rêt public sui­s­se au sens de ce qui pré­cè­de, il est justi­fié de se baser sur la que­sti­on de savoir si l’é­ta­blis­se­ment con­cer­né doit être con­sidé­ré com­me d’im­portance sys­té­mi­que ou non. Dans son arrêt de réfé­rence ren­du le 15 juil­let 2011, ATF 137 II 431, rela­tif à la liv­rai­son de don­nées de cli­ents ban­cai­res aux auto­ri­tés amé­ri­cai­nes, le Tri­bu­nal fédé­ral a lui aus­si fait réfé­rence à l’im­portance sys­té­mi­que de la ban­que con­cer­née (cf. ATF 137 II 431 con­sid. 4.1, 4.2, 4.4). Le fait que, dans le con­tex­te qui nous inté­res­se, l’im­portance sys­té­mi­que soit le critère décisif du point de vue de l’in­té­rêt public res­sort notam­ment de la LB : le 1er mars 2012, les art. 7 à 10a ont été insé­rés dans la LB en tant que “Sec­tion 5 : Ban­ques d’im­portance sys­té­mi­que”, où le légis­la­teur a pro­cé­dé aux éva­lua­tions décisi­ves. Selon l’art. 7 al. 1 LB, sont con­sidé­rées com­me d’im­portance sys­té­mi­que les ban­ques “dont la défail­lan­ce por­terait gra­ve­ment att­ein­te à l’é­co­no­mie sui­s­se et au système finan­cier sui­s­se”. Les ban­ques qui ne rem­plis­sent pas ces con­di­ti­ons ne sont pas con­sidé­rées com­me d’im­portance sys­té­mi­que ; on ne peut donc pas non plus sup­po­ser que leur défail­lan­ce “por­terait gra­ve­ment att­ein­te à l’é­co­no­mie et au système finan­cier sui­s­ses”. En d’aut­res ter­mes, si une ban­que qui n’est pas d’im­portance sys­té­mi­que fait défaut, l’in­té­rêt public sui­s­se n’est pas affecté.

L’O­Ger ZH ne voit pas non plus d’aut­res motifs justi­fi­ca­tifs pour la four­ni­tu­re de don­nées, notam­ment l’e­xer­ci­ce de droits juri­di­ques devant les tri­bu­naux au sens de la LPD 6 II let. d :

La défen­der­es­se par­vi­ent cer­tes à citer des auteurs qui sou­ti­en­nent sa thè­se. C’est le cas de Liv­s­chitz (in : Daten­schutz­recht, Bâle 2015, Rz 18.79), qui esti­me que “ce qui vaut pour la pro­cé­du­re judi­ciai­re doit éga­le­ment s’ap­pli­quer à la pro­cé­du­re d’en­quête menée en amont par les auto­ri­tés”. Cet­te argu­men­ta­ti­on, qui n’est pas davan­ta­ge étay­ée, pas­se cepen­dant à côté du tex­te de la loi, qui men­ti­on­ne la “mise en œuvre des droits juri­di­ques devant les tri­bu­naux”. Un aut­re auteur cité par la défen­der­es­se (Wyss, in : Daten­schutz­recht, Bâle 2015, no 11.92) souli­gne les dif­fé­ren­ces ent­re le système judi­ciai­re con­ti­nen­tal euro­pé­en et le système judi­ciai­re amé­ri­cain, en ce sens que dans ce der­nier, le tri­bu­nal n’a qu’u­ne “fonc­tion de coor­di­na­ti­on supé­ri­eu­re” et que les élé­ments du procès sont déjà coll­ec­tés avant la pro­cé­du­re judi­ciai­re for­mel­le sous la for­me de pro­cé­du­res de pre-dis­co­very. C’est peut-être vrai. Mais lorsque la loi par­le de “tri­bu­nal” à l’ar­tic­le 6, para­gra­phe 2, lett­re d de la LPD, elle part d’u­ne com­pré­hen­si­on con­ti­nen­ta­le euro­pé­en­ne de cet­te noti­on et non d’u­ne pro­cé­du­re dans laquel­le des don­nées de per­son­nes dignes de pro­tec­tion sont coll­ec­tées à quel­que fin que ce soit. Aucun tri­bu­nal euro­pé­en ne coll­ec­te­ra des don­nées à des fins étran­gè­res à la pro­cé­du­re, com­me le DoJ a l’in­ten­ti­on de le faire.