BGE 141 III 119 |
18. Extrait de l'arrêt de la Ire Cour de droit civil dans la cause A. SA contre B. et C. (recours en matière civile) |
4A_406/2014 / 4A_408/2014 du 12 janvier 2015 |
Regeste |
Art. 8 Abs. 5, Art. 9 Abs. 1 und 4 DSG, Art. 1 Abs. 3 VDSG, Art. 47 BankG; Verpflichtung einer Bank, ihren (ehemaligen) Angestellten über die sie betreffenden persönlichen Daten, die an die amerikanischen Behörden übermittelt wurden, schriftlich Auskunft zu erteilen. |
Ein überwiegendes Interesse Dritter im Sinne von Art. 9 Abs. 1 lit. b DSG fehlt (E. 6). |
Eine Interessenabwägung im Sinne von Art. 9 Abs. 4 DSG ergibt, dass im vorliegenden Fall das Interesse der Angestellten, eine Kopie der strittigen Daten zu erhalten, dasjenige der Bank überwiegt, das Auskunftsrecht der Angestellten einzuschränken (E. 7). |
Frage offengelassen, ob ausser den in Art. 1 Abs. 3 VDSG vorgesehenen Fällen andere Ausnahmen vom Grundsatz der schriftlichen Auskunftserteilung in Betracht kommen, nachdem die Bank keinen konkreten Umstand geltend macht, der einer Herausgabe einer Kopie der streitbetroffenen Daten entgegenstünde (E. 8). |
Sachverhalt |
A.a A. SA (ci-après: A. ou la banque), établissement bancaire sis à Genève, a employé C. (ci-après: l'employé) en qualité de responsable du service "Asset Management Private Banking" de 1996 jusqu'à son licenciement en octobre 2008 (pour le 30 avril 2009). L'employé occupait également le poste de directeur de l'unité de gestion basée à New York et s'était rendu aux Etats-Unis dans ce cadre.
|
B. (ci-après: l'employée) a également travaillé pour la banque, du 1er mars 2006 au 30 juin 2007. Elle a notamment été chargée de développer la clientèle américaine.
|
A.b En 2010, les autorités américaines ont ouvert des enquêtes contre onze banques suisses, dont A., qu'elles soupçonnaient d'avoir aidé des clients américains à se soustraire à leurs obligations fiscales ainsi que d'avoir contrevenu à la réglementation applicable lors des contacts intervenus avec ces clients. Elles ont requis l'entraide administrative de la Suisse en vue d'obtenir des renseignements sur les activités des banques visées aux Etats-Unis.
|
A. et les autres banques ont transmis les documents requis aux autorités américaines après avoir, sur requête de la FINMA, caviardé les informations permettant l'identification des clients et remplacé les données de ses employés, de ses ex-employés et de tiers par des codes.
|
Le 18 janvier 2012, le Conseil fédéral a décidé que, provisoirement, seules devaient être transmises, dans le cadre de l'entraide, des données codées concernant les employés.
|
Au début du mois de février 2012, les autorités américaines ont procédé à l'inculpation de la banque E. SA.
|
Mi-mars 2012, plusieurs banques ont demandé au Conseil fédéral d'autoriser la communication des informations exigées, comprenant le nom des employés (non codé) et des tiers.
|
Le 4 avril 2012, le Conseil fédéral a autorisé les banques concernées à transmettre directement aux autorités américaines des données non anonymisées, à l'exception de celles concernant les clients. Cette décision valait autorisation, au sens de l'art. 271 CP, à procéder sur le territoire suisse pour le compte d'un Etat étranger à des actes relevant des pouvoirs publics. L'appréciation de la responsabilité civile des banques demeurait cependant du ressort de ces dernières.
|
Le 11 avril 2012, la FINMA a recommandé aux banques concernées de coopérer avec les autorités américaines dans le cadre prévu par le Conseil fédéral, en précisant que la procédure d'entraide administrative était, de ce fait, suspendue.
|
Parallèlement à quatre autres banques, A., sans avertir les employés concernés, a transmis aux autorités américaines, au mois d'avril 2012, des documents comportant notamment les noms, prénoms, adresses mails et numéros de téléphone d'employés et d'ex-employés, seules les données permettant d'identifier les clients étant restées anonymisées.
|
A.c C. a appris ce qui précède par la presse; il a contacté le service des ressources humaines de A., lequel l'a informé que son identité avait effectivement été communiquée aux autorités américaines.
|
Le 3 juillet 2012, A. a autorisé l'employé à consulter une seconde fois les documents, ce qu'il a fait le 10 juillet 2012. Il n'a toutefois pas pu en faire des copies.
|
A.d Le 11 juillet 2012, B., ayant eu connaissance de ce qui précède par la presse, a demandé à A. si elle était également concernée; la banque lui a confirmé que tel était le cas.
|
Le 24 juillet 2012, l'employée s'est rendue dans les locaux de la banque pour prendre connaissance des documents litigieux la concernant.
|
Le 6 septembre 2012, B. a requis de A. une copie, sous forme informatique, des documents litigieux, ainsi que de la lettre d'accompagnement remise aux autorités américaines et de divers autres éléments.
|
Le 13 septembre 2012, A. s'y est opposée.
|
A.e Le 17 août 2012, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a ouvert une procédure d'éclaircissement au sens de l'art. 29 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD; RS 235.1), afin de vérifier si les principes de la loi avaient été respectés lors de la transmission des données par les banques suisses aux autorités américaines.
|
Le 6 septembre 2012, le PFPDT a adressé des recommandations à plusieurs banques, parmi lesquelles A., selon lesquelles la banque devait accorder aux personnes concernées (collaborateurs actuels et anciens, ainsi que tiers externes) le droit d'accès aux données selon l'art. 8 LPD. Le PFPDT a adhéré à l'argumentation de la banque qui faisait valoir que des copies de documents ne pouvaient pas être remises au vu de leur sensibilité liée au secret bancaire et à celui de la clientèle, ainsi que de ses propres règles de sécurité.
|
La banque ne s'est pas opposée aux recommandations du PFPDT, qui ont été publiées le 13 novembre 2012.
|
Le 3 juillet 2013, le Conseil fédéral a fixé les principes de coopération des banques suisses avec les autorités américaines en vue de régler leur différend fiscal, et il a donné la possibilité aux banques de demander une autorisation individuelle au sens de l'art. 271 CP. Il a notamment précisé qu'une telle autorisation excluait uniquement une punissabilité en vertu de cette disposition, mais qu'elle ne dispensait pas du respect des autres règles du droit suisse, notamment de la prise en compte du secret d'affaires et du secret bancaire existants, des dispositions sur la protection des données et des obligations de l'employeur.
|
B.
|
B.a Par acte du 14 décembre 2012, agissant au bénéfice d'une autorisation de procéder du 15 novembre 2012, C. a saisi le Tribunal de première instance de Genève d'une requête contre A.
|
Par acte du 14 décembre 2012, agissant au bénéfice d'une autorisation de procéder du 5 décembre 2012, B. a saisi ce même Tribunal d'une requête contre A.
|
Dans leurs conclusions (réduites lors des plaidoiries du 10 juillet 2013), les employés requièrent la production d'une copie des documents transmis aux autorités américaines, sous forme informatique et caviardée s'agissant des noms des clients ou des tiers, ainsi que la communication de la date de la transmission et de la manière dont les données avaient été communiquées, avec suite de frais.
|
B.b Par deux jugements séparés du 24 octobre 2013, le Tribunal de première instance de Genève a ordonné à A. de remettre aux demandeurs, sur un support papier ou sur un support électronique, une copie des documents qui avaient été transmis aux autorités américaines et qui contenaient des données les concernant, soit des informations qui les identifiaient ou qui permettaient de les identifier (nom, prénom, adresse e-mail, numéro de téléphone, fonction, description de l'activité, etc.). Le Tribunal a en outre dit que les données des clients, des autres employés et ex-employés de A. ainsi que des tiers figurant dans ces documents pourraient être caviardées. Il a en sus ordonné à A. d'indiquer aux demandeurs à quelles dates et à quelles autorités américaines les documents avaient été transmis.
|
Par deux arrêts séparés datés du 23 mai 2014, la Cour de justice a confirmé les jugements entrepris par la défenderesse et débouté les parties de toutes autres conclusions.
|
C. Contre ces deux arrêts cantonaux, la banque (ci-après: la recourante ou la banque) exerce deux recours en matière civile séparés mais comportant les mêmes critiques et conclusions (sauf en ce qui concerne l'objet de la requête d'accès aux données et la décision entreprise). Sous suite de frais et dépens, elle conclut à l'annulation des arrêts visés et à ce que les employés soient déboutés de toutes autres conclusions, subsidiairement, à l'annulation des arrêts entrepris et au renvoi de la cause à l'autorité cantonale.
|
La requête d'effet suspensif sollicitée dans chaque cause par la recourante a été admise, faute d'opposition, par ordonnances présidentielles du 1er septembre 2014.
|
Le Tribunal fédéral a rejeté les recours.
|
(résumé)
|
Extrait des considérants: |
La recourante reproche à la cour cantonale d'avoir violé l'art. 8 al. 5 LPD. Les circonstances d'espèce seraient telles qu'elles justifieraient une (nouvelle) exception au principe de la communication écrite. Elle invoque également une transgression de l'art. 9 al. 1 let. a et b LPD, ainsi que de l'art. 9 al. 4 LPD, son refus de fournir des copies écrites, dicté par la prise en compte d'intérêts de tiers et des siens propres, étant légitime.
|
Il convient, dans un premier temps, de définir si c'est de manière légitime que la banque a opposé son refus aux employés, soit de déterminer si elle pouvait se fonder sur une loi au sens formel pour restreindre l'accès aux données litigieuses (cf. art. 9 al. 1 let. a LPD), et d'établir si, comme le prétend la banque (maître du fichier), ses propres intérêts - ou ceux de tiers - (cf. art. 9 al. 1 let. b et al. 4 LPD) l'emportent sur ceux des employés (cf. infra consid. 5, 6 et 7).
|
Dans un deuxième temps, il conviendra d'examiner si la banque peut justifier son refus sur la base des circonstances exceptionnelles dont elle tente de démontrer l'existence par le biais de divers arguments soulevés sous l'angle de l'art. 8 al. 5 LPD (cf. infra consid. 8).
|
La doctrine majoritaire est d'avis que l'art. 47 LB fait en principe partie des bases légales formelles au sens de l'art. 9 al. 1 let. a LPD (DAVID ROSENTHAL, in Handkommentar zum Datenschutzgesetz, 2008, n° 7 ad art. 9 LPD; PHILIPPE MEIER, Protection des données, 2011, n. 1139 p. 405 et les auteurs cités).
|
Il faut toutefois d'emblée relever dans ce contexte que le Conseil fédéral, dans sa décision du 4 avril 2012, a expressément interdit aux banques de livrer à l'étranger des informations sur les clients ("Kundendaten"). A cet égard, la cour cantonale constate que, lors de leur transmission aux autorités américaines, les documents ne contenaient pas d'informations permettant d'identifier les clients. La banque a elle-même expressément admis avoir caviardé toutes les données permettant d'identifier ses clients dans les documents transmis aux autorités américaines afin de respecter la décision du Conseil fédéral. Dès lors, si les documents livrés par les banques à un Etat étranger ne contiennent pas de telles informations, on ne voit pas en quoi ces mêmes documents, communiqués aux employés, mettraient le secret bancaire en danger (cf. GABRIEL AUBERT, La communication aux autorités américaines, par des banques, de données personnelles sur leurs employés: aspects de droit du travail, RSDA 2013 p. 42).
|
Le raisonnement ne convainc pas. En réalité, ce n'est pas la remise écrite aux employés des documents litigieux qui leur permettrait d'identifier les clients en cause, puisqu'ils les connaissent déjà.
|
Dès lors, la banque ne saurait violer l'art. 47 LB pour la seule raison qu'elle serait amenée à remettre par écrit, dans le contexte ainsi décrit, des données caviardées.
|
L'argument est sans consistance. L'infraction (art. 162 CP) peut uniquement être réalisée par la personne tenue au secret, soit celle qui a un devoir (légal ou contractuel) de garder le secret (cf. BERNARD CORBOZ, Les infractions en droit suisse, vol. I, 3e éd. 2010, nos 3 et 9 s. ad art. 162 CP; STRATENWERTH/JENNY, Besonderer Teil I: Straftaten gegen Individualinteressen, 6e éd. 2003, n° 6 ad § 22). Le maître du secret n'est pas visé par l'infraction et, partant, la banque ne saurait en l'espèce s'en prévaloir à titre de base formelle au sens de l'art. 9 al. 1 let. a LPD.
|
La cour cantonale présente toutefois une argumentation subsidiaire dans laquelle elle affirme qu'un tel moyen aurait dû être d'emblée rejeté.
|
Ce motif peut (et doit) être invoqué par le maître du fichier lorsque les données sur lesquelles porte l'accès sont intimement liées aux données personnelles de tiers (MEIER, op. cit., n. 1144 s. p. 406 s.; BRACHER/TAVOR, Das Auskunftsrecht nach DSG, RSJ 109/2013 p. 49).
|
En principe, si l'anonymisation des documents concernés suffit à protéger les tiers, le droit d'accès du titulaire des données (requérant sous l'angle de l'art. 8 LPD) ne devrait pas, sous peine d'une violation du principe de la proportionnalité (cf. art. 4 al. 2 LPD), faire l'objet d'une plus grande restriction (BELSER/EPINEY/WALDMANN, Datenschutzrecht, 2011, n. 53 ad § 11; FRIEDRICH/KAISER, Datenschutzrechtliches Auskunftsrecht und Arbeitspapiere einer Revisionstelle, L'expert-comptable suisse 2013, p. 527 et les auteurs cités).
|
Ainsi, même à considérer l'argumentation subsidiaire de l'autorité précédente, on ne saurait reprocher à celle-ci d'avoir nié un intérêt prépondérant de tiers.
|
L'existence d'un abus de droit (cf. art. 2 al. 2 CC) doit être reconnue lorsque l'exercice du droit par le titulaire ne répond à aucun intérêt digne de protection, qu'il est purement chicanier ou, lorsque, dans les circonstances dans lesquelles il est exercé, le droit est mis au service d'intérêts qui ne correspondent pas à ceux que la règle est destinée à protéger (cf. PAUL-HENRI STEINAUER, Le Titre préliminaire du Code civil, TDPS vol. II/1, 2009, n. 570 p. 213 et n. 573 s. p. 214 s.; HAUSHEER/JAUN, Die Einleitungsartikel des ZGB, 2003, nos 125 s. ad art. 2 CC).
|
Cela est ainsi le cas, dans la perspective de l'art. 8 LPD, lorsque le droit d'accès est exercé dans un but étranger à la protection des données, par exemple lorsque le droit d'accès n'est utilisé que pour nuire au débiteur de ce droit (cf. arrêt 4A_36/2010 du 20 avril 2010 consid. 3.1). Il faudrait probablement aussi considérer comme contraire à son but et donc abusive l'utilisation du droit d'accès dans le but exclusif d'espionner une (future) partie adverse et de se procurer des preuves normalement inaccessibles (ATF 138 III 425 consid. 5.5 p. 432; KLEINER/SCHWOB/WINZELER, in Kommentar zum Bundesgesetz über die Banken und Sparkassen, 22e éd. 2014, no 406 ad art. 47 LB et les auteurs cités). Ce serait ainsi le cas d'une requête qui ne constitue qu'un prétexte à une recherche indéterminée de moyens de preuve (fishing expedition) (en lien avec l'art. 8 LPD: NICOLAS PASSADELIS, Datenschutzrechtliches Auskunftsrecht erlaubt keine Beweisausforschung, Push-service Entscheide, CJN, 4 mars 2013 n. 12; FRIEDRICH/ KAISER, op. cit., p. 527).
|
La requête de l'employé visant à obtenir les données le concernant en vue d'une éventuelle action en dommages-intérêts contre le maître du fichier n'est par contre, en soi, pas abusive (ATF 138 III 425 consid. 5.6 p. 432; BRACHER/TAVOR, op. cit., p. 50 note de pied 60).
|
Il n'a par contre pas été constaté que les intimés souhaiteraient prospecter des preuves de manière répréhensible ou qu'ils exigeraient la remise de documents auxquels ils ne pourraient pas prétendre dans la procédure civile.
|
7.1.3 A la lumière des principes évoqués ci-dessus (cf. supra consid. 7.1.1), on ne saurait ainsi dire que la requête des employés, qui n'est pas chicanière, ni contraire au but qu'elle est censée poursuivre, est abusive. On peut au demeurant observer qu'il serait en l'espèce paradoxal de considérer leur requête comme un prétexte à une recherche indéterminée de moyens de preuve (fishing expedition), les employés ayant en effet déjà pris connaissance du contenu des documents visés, aussi bien à travers leur ancienne activité que par le biais des consultations entreprises - les 14 juin et 10 juillet 2012 pour l'employé et le 24 juillet 2012 pour l'employée - dans les locaux de la banque.
|
La requête visant la remise écrite des documents litigieux permet de procurer aux employés l'avantage qu'ils en attendent et, partant, elle ne peut être qualifiée d'abusive.
|
En vertu de cette disposition légale, un maître de fichier privé peut refuser ou restreindre la communication des renseignements demandés ou en différer l'octroi, dans la mesure où ses intérêts prépondérants l'exigent et à condition qu'il ne communique pas les données personnelles à un tiers.
|
Il faut donc procéder à une pesée des intérêts, le débiteur du droit d'accès devant invoquer les siens en premier. Il faut ensuite examiner leur bien-fondé et les opposer aux intérêts du demandeur d'accès. L'accès ne peut être refusé, restreint ou différé que lorsque les premiers l'emportent sur les deuxièmes (ATF 138 III 425 consid. 6.1 p. 433; BRACHER/TAVOR, op. cit., p. 49).
|
La preuve de l'existence d'un intérêt prépondérant à restreindre le droit d'accès incombe au maître du fichier (GRAMIGNA/MAURER-LAMBROU, in Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3e éd. 2014, n° 8 ad art. 9 LPD; ROSENTHAL, op. cit., n° 4 ad art. 9 LPD; CEREGATO/MÜLLER, op. cit., ch. II/2.2.1).
|
Erwägung 7.4 |
Certes, on ne peut écarter le risque qu'un employé communique les copies à un tiers intéressé en révélant de mémoire le nom d'un client pourtant caviardé sur les documents litigieux. A cet égard, la banque n'allègue toutefois ni ne donne le moindre indice qui permettrait de comprendre que les deux employés (intimés) auraient l'intention de divulguer ces documents en dehors d'une procédure judiciaire. Quant à l'existence d'un risque potentiel, celui-ci est relativisé par l'engagement contractuel des (ex-)employés; il n'est en effet pas contesté que ceux-ci sont, de par leur contrat de travail, encore assujettis au secret bancaire et aux peines sanctionnant sa violation (art. 47 al. 4 LB).
|
7.4.2 Au sujet des documents d'importance stratégique évoqués par la banque, on peut là aussi souligner que les employés en ont déjà pris connaissance, aussi bien au cours de leur ancienne activité professionnelle que par le biais de leur consultation sur place, et que les éventuelles informations confidentielles de la banque qui y sont contenues leur sont déjà connues. Ainsi, le risque potentiel d'une divulgation (évoqué par la banque) n'est, en soi, pas lié à la remise d'une copie des documents litigieux. Ce risque découle déjà d'une prise de connaissance préalable du contenu des documents litigieux par les employés.
|
Certes, on peut admettre que le risque s'accroît dans une certaine mesure si les employés disposent de documents qui permettent de prouver les informations déjà en leur possession. A cet égard, la banque se limite toutefois à évoquer la nature sensible des documents "sur le plan organisationnel, commercial ou opérationnel", sans fournir un seul élément concret (exemples de documents effectivement transmis aux autorités américaines) permettant de comprendre en quoi ces documents sont d'une importance stratégique pour elle et de démontrer son intérêt à restreindre en l'espèce le droit d'accès des employés (sur le lien avec le cas concret, cf. encore infra consid. 8.2).
|
Au demeurant, le risque potentiel évoqué par la banque est, ici aussi, en grande partie relativisé par l'engagement contractuel des (ex-)employés; ceux-ci sont, de par leur contrat de travail, soumis aux secrets de fabrication et d'affaires (art. 321a al. 4 CO) et ils restent soumis à ces secrets même après la fin des rapports de travail, à tout le moins "tant que l'exige la sauvegarde des intérêts légitimes de l'employeur" (art. 321a al. 4 in fine CO).
|
Cela étant, l'existence d'un "simple" risque potentiel (par ailleurs limité), tel qu'évoqué par la banque, ne saurait en l'occurrence démontrer que son intérêt à restreindre le droit d'accès des employés l'emporte sur l'intérêt de ceux-ci à obtenir une remise écrite des données litigieuses.
|
7.6.1 On peut comprendre, sur la base de cette réglementation interne, l'importance (générale) pour la banque de garantir la confidentialité des documents sensibles. A nouveau, celle-ci ne désigne toutefois aucun élément concret qui permettrait de saisir quels types de documents entrant dans cette définition ont été livrés aux autorités américaines, afin de déterminer leur impact sur la pesée des intérêts entreprise plus haut.
|
Une renonciation par avance au droit d'accès est explicitement contraire à l'art. 8 al. 6 LPD et elle doit être considérée comme nulle (cf. art. 20 al. 1 CO; GRAMIGNA/MAURER-LAMBROU, op. cit., n° 60 ad art. 8 LPD; MEIER, op. cit., n. 973 p. 364; BELSER/EPINEY/WALDMANN, op. cit., n. 42 ad § 11). La même conclusion s'impose lorsque la clause contractuelle liant les parties ne vise pas la renonciation (pure et simple), mais une restriction du droit d'accès (GRAMIGNA/ MAURER-LAMBROU, op. cit., n° 60 ad art. 8 LPD; cf. ROSENTHAL, op. cit., n° 27 ad art. 8 LPD).
|
Une renonciation (non anticipée) ne peut être envisagée que si la personne concernée connaît déjà l'essentiel de l'information à laquelle elle pourrait avoir accès (pour les détails: GRAMIGNA/MAURER-LAMBROU, op. cit., n° 61 ad art. 8 LPD; MEIER, op. cit., n. 974 p. 364).
|
Il a en outre été établi que, lorsque les employés ont accepté (par la conclusion du contrat de travail) de se soumettre à la réglementation interne, ils ignoraient que la banque communiquerait aux autorités américaines leurs données personnelles en lien avec les activités transfrontalières qu'ils ont exercées pour le compte de celle-ci. La banque ne les a jamais informés de cette communication. Ils ne connaissaient donc pas l'essentiel de l'information objet de leur droit d'accès, de sorte qu'on ne saurait reconnaître que, depuis la conclusion du contrat de travail, ils auraient pu renoncer à se prévaloir de leur droit à une communication écrite.
|
7.7 Enfin, c'est en vain que la recourante tente de se prévaloir de la décision du 25 avril 2013 de la Cour des plaintes du Tribunal pénal fédéral (BB.2112.133 consid. 2.2.1) qui mentionne, selon ses propres explications, qu'aucun élément probant ne permet de prouver que l'ex-employé (alors objet de la procédure fédérale) serait contraint de rester en Suisse de peur de se faire interroger, arrêter et/ou extrader aux Etats-Unis et que rien au dossier n'amène à conclure que les employés de A. font l'objet d'une poursuite aux Etats-Unis.
|
En l'espèce, l'intérêt des employés à obtenir une copie des données litigieuses ne se limite pas à pouvoir évaluer la situation sur le seul territoire des Etats-Unis, le cas échéant, à se défendre dans ce contexte (cf. supra consid. 7.1.4).
|
Quoi qu'il en soit, les constatations - faites sous l'angle bien précis des éventuelles conséquences d'une violation de l'art. 271 CP - du Tribunal pénal fédéral, qui n'est pas l'"autorité précédente" dans la présente procédure (cf. art. 105 al. 1 LTF), ne lient pas le Tribunal fédéral. En l'espèce, il résulte des constatations de la Cour de justice que la procédure américaine ouverte contre la banque n'est pas terminée et que l'issue est encore incertaine pour les deux employés. Il n'importe à cet égard qu'il n'existe encore aucune procédure à leur encontre. Le droit d'accès aux données personnelles a précisément pour but de leur permettre d'évaluer eux-mêmes une telle éventualité et, si nécessaire, de se défendre. A cet égard, la remise d'une copie des données litigieuses est nécessaire, ne serait-ce que pour permettre aux employés de prendre connaissance en tout temps du contenu des documents qui sont déjà en possession des autorités américaines (cf. supra consid. 7.1.4).
|
Il n'est donc pas nécessaire d'entrer en matière sur le grief, soulevé par la recourante dans ce contexte, d'un établissement manifestement inexact, par l'autorité précédente, des faits qui, selon la banque, révèlent l'obligation qui était la sienne de communiquer ses données aux autorités américaines.
|
8. La recourante reproche également à la cour cantonale d'avoir violé l'art. 8 al. 5 LPD. Elle estime qu'en l'espèce les circonstances sont telles qu'elles justifient une exception au principe de la communication écrite (en dehors de l'exception prévue par le Conseil fédéral). Elle fournit divers arguments visant à convaincre de l'existence de telles circonstances (cf. infra consid. 8.2-8.6).
|
Se fondant sur cette délégation législative (reprise à l'art. 36 al. 1 LPD), le Conseil fédéral a prévu, à l'art. 1 al. 3 de l'ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD; RS 235.11), que, "d'entente avec le maître du fichier ou sur proposition de celui-ci, la personne concernée peut également consulter ses données sur place. Si elle y a consenti et qu'elle a été identifiée, les renseignements peuvent également lui être fournis oralement".
|
Il ressort clairement des dispositions précitées que, pour le législateur, la communication écrite des données constitue la règle (sur le constat cf. aussi: URS BELSER, Das Recht auf Auskunft, die Transparenz der Datenbearbeitung und das Auskunftsverfahren, in Das neue Datenschutzgesetz des Bundes, 1993, p. 60). La seule exception explicite figure à l'art. 1 al. 3 de l'ordonnance; selon cette disposition une consultation sur place - voire une communication orale - des pièces du dossier ne peut remplacer une communication écrite que dans le cas où la personne intéressée est d'accord avec ce mode de faire (ATF 125 II 321 consid. 3b p. 323; ATF 123 II 534 consid. 3c p. 540 s.; MEIER, op. cit., n. 1076 s. p. 391 et les références; ROSENTHAL, op. cit., n° 23 ad art. 8 LPD).
|
Dans ce contexte, le Tribunal fédéral a déjà eu l'occasion d'expliquer que l'inconvénient résultant de la communication systématique des dossiers aux personnes qui le demandent (soit en particulier le surcroît de travail) est propre à tous les détenteurs de fichiers. Il a d'ailleurs été pris en compte par le législateur, qui n'a pas voulu en faire une cause de refus de la communication écrite, mais qui a préféré prévoir des exceptions à la gratuité de celle-ci (art. 8 al. 5 LPD, art. 2 OLPD; cf. ATF 125 II 321 consid. 3b p. 324).
|
La jurisprudence a jusqu'ici laissé indécise la question de savoir si, en plus du cas de figure envisagé par le Conseil fédéral (cf. art. 1 al. 3 OLPD), d'autres exceptions au principe de la communication écrite peuvent être envisagées, en dehors des cas prévus par l'ordonnance (cf. ATF 125 II 321 consid. 3b p. 323 s.; cf. BELSER/EPINEY/ WALDMANN, op. cit., n. 35 ad § 11). Cette question peut également rester ouverte en l'espèce, la recourante ne faisant valoir aucune circonstance concrète s'opposant à l'envoi d'une copie du dossier (cf. infra consid. 8.2-8.6).
|
D'autre part, l'argument tiré des inconvénients qui résulteraient du caviardage de l'ensemble des informations visées ne peut être suivi puisque l'arrêt cantonal constate que les données, qui sont actuellement contenues sur un support électronique, ont déjà été réunies, triées et même caviardées (données visant les clients de la banque) avant leur transmission aux autorités américaines; on voit donc mal comment ces informations pourraient mettre le secret bancaire en danger et leur remise écrite aux employés représenter une difficulté disproportionnée d'ordre pratique.
|
La difficulté qui peut être générée par le surcroît de travail n'est, à la lumière des principes rappelés ci-dessus, quoi qu'il en soit pas déterminante.
|
Or, le PFPDT, qui s'adresse au maître du fichier (cf. art. 3 let. i LPD), agit dans un cadre qui excède celui d'une pure contestation entre deux parties (ATF138 II 346 consid. 10.1 p. 363; ATF 136 II 508 consid. 6.3.2 p. 523). Les recommandations qu'il émet, qui n'ont pas été déclarées contraignantes par le Tribunal administratif fédéral, n'ont pas force de chose jugée (MEIER, op. cit., n. 1925 p. 618 s.). Elles sont toutefois prises en compte dans le cadre de la pesée des intérêts (sous l'angle de l'art. 13 LPD: cf. ATF 138 II 346 consid. 10.1 p. 363).
|
La Cour de céans a tenu compte des intérêts de la banque (maître du fichier) mis en évidence par le PFPDT (notamment la sensibilité des documents bancaires, les règles de sécurité de la banque), mais elle a considéré, dans la pesée globale des intérêts entreprise sous l'angle de l'art. 9 LPD, que la banque n'a en l'espèce pas apporté la preuve d'un intérêt prépondérant à restreindre le droit d'accès dont les employés sont titulaires (cf. supra consid. 7).
|
Cet argument ne lui est toutefois d'aucune aide. Au contraire, les commentateurs allemands expliquent qu'il s'agit de prendre en compte les circonstances du cas d'espèce dans la seule perspective de la personne concernée par les données. S'il apparaît que celle-ci (et non le maître du ficher) aura un accès plus rapide aux données sous une autre forme, elle peut renoncer, si elle l'estime opportun, à la remise de l'information sous forme écrite (ALEXANDER DIX, in Bundesdatenschutzgesetz, Simitis [éd.], 7e éd. 2011, nos 52 s. ad § 34 BDSG; GOLA/KLUG/KÖRFFER/SCHOMERUS, BDSG, Bundesdatenschutzgesetz, Kommentar, 11e éd. 2012, nos 13 s. ad § 34 BDSG).
|
Il est par ailleurs établi que l'autorisation du Conseil fédéral du 4 avril 2012, tout comme celle octroyée à d'autres banques à partir du 3 juillet 2013, n'a pas exempté les établissements concernés d'une éventuelle responsabilité civile ni, de manière plus générale, de leurs obligations à l'égard de leurs (ex-)employés. Cette autorisation visait uniquement à exempter les banques de tout reproche sous l'angle de l'art. 271 CP (actes exécutés sans droit pour un Etat étranger) et elle était donc moins étendue que celle accordée dans l'affaire D. (cf. ATF 137 II 431 consid. 4 p. 445 ss).
|
8.6 La recourante estime enfin qu'une remise écrite des données se heurte au contenu de l'art. 339a al. 1 CO qui prévoit qu'au moment où le contrat prend fin, les parties se rendent tout ce qu'elles se sont remis pour la durée du contrat, de même que tout ce que l'une d'elles pourrait avoir reçu de tiers pour le compte de l'autre. Selon elle, cette disposition de droit impératif serait vidée de sa substance s'il suffisait à un ancien employé d'entreprendre une action sur la base de la LPD pour récupérer toutes les données le concernant en possession de son employeur, ce d'autant plus sous l'angle de la réglementation idoine faisant partie intégrante des contrats de travail liant la banque à ses employés.
|
L'argument est sans consistance.
|
L'art. 339a al. 1 CO vise certes également les copies de documents en possession de l'employé (cf. arrêt 4A_611/2011 du 3 janvier 2012 consid. 4.3, JdT 2012 II p. 208), mais il poursuit un objectif totalement différent et distinct de celui auquel tend l'art. 8 LPD. Il vise une prétention de l'employeur à l'issue des relations contractuelles (ayant notamment pour objet la restitution des documents en mains de l'employé), alors que l'art. 8 LPD accorde à la personne concernée (en l'occurrence deux ex-employés) un droit d'accès aux données personnelles, institution centrale du droit de la protection des données (sur la fonction particulière du droit d'accès: OLIVER SCHNYDER, Das datenschutzrechtliche Auskunftsrecht, 2002, p. 89 s.).
|