Jurisprudence actuelle en matière de protection des données

(1)

Book Chapter

Reference

Jurisprudence actuelle en matière de protection des données

FLÜCKIGER, Alexandre

FLÜCKIGER, Alexandre. Jurisprudence actuelle en matière de protection des données. In:

Epiney, Astrid/Nüesch, Daniela. La mise en oeuvre des droits des particuliers dans le domaine de la protection des données . Zürich : Schulthess, 2015. p. 157-182

Available at:

http://archive-ouverte.unige.ch/unige:74731

Disclaimer: layout of this document may differ from the published version.

1 / 1

(2)

Jurisprudence actuelle en matière de protection des données

Alexandre Flückiger •

Sommaire

A. Indépendance des autorités en matière de protection des données B. Restriction à 1 'autodétermination en matière de données personnelles C. Droit d'accès, de rectification et de destruction des données

personnelles

1. Droit d'accès aux données personnelles

Il. Droit de rectification et de suppression des données personnelles D. Sort des preuves obtenues en violation de la législation sur la

protection des données l. En procédure pénale

II. En procédure administrative

E. Protection des données dans les rapports de travail F. Divers

A. Indépendance des autorités en matière de protection des données

Tribunal fédéral - Arrêt 1C_359!2013 du 14 novembre 2013 (français) (= SJ 2014 I 141)- Réduction du budget d'un préposé cantonal à la protec- tion des données et à la transparence - Compétence pour agir et acte atta- quable.

Le Grand Conseil du canton de Genève a réduit en 2011 de 300'000.- francs le budget alloué pour 2012 au préposé cantonal à la protection des données et à la transparence, impliquant de supprimer deux postes de colla-

Cette chronique résume les affaires jugées entre le 15 février 20 13 et le 1•' juin 2014 par les tribunaux fédéraux et, en partie, par les tribunaux cantonaux. Je remercie M""' Stéphanie Dahmen, assistante auprès du Département de droit public de la Faculté de droit de 1 'Université de Genève, pour son aide à la recherche de la jurisprudence.

!57

(3)

Jurisprudence actuelle en matière de protection des données

borateurs. Saisie d'un recours pour déni de justice par la préposée, la Chambre administrative de la Cour de justice a déclaré le recours irrece- vable. Le Tribunal fédéral a rejeté le recours en matière de droit public inter- jeté par la préposée.

(c. 2.2) Aucune disposition de droit cantonal ne confère la capacité d'ester en justice au préposé pour ce qui concerne son propre fonctionnement et son organisation. Le préposé est une simple branche de l'administration sans personnalité juridique, rattaché administrativement à la Chancellerie d'Etat (art. 54 de la loi sur l'information du public, l'accès aux documents et la protection des données personnelles du 5 octobre 2001 [LIP ADJ). La capacité du préposé d'agir en justice se limite au droit de recours et de participation aux procédures dans le cadre des recommandations qu'il peut adresser, de J'accès aux documents, du droit de rectification et dans les autres cas prévus par la loi (art. 56 al. 3 let. i, al. 5 et 62 LIPAD).

(c. 3.3) Les ressources mises à disposition du préposé et de son secrétariat sont définies par la loi budgétaire annuelle et libellées sous un centre de res- ponsabilité spécifique (art. 55 al. 1 LlP AD). Le budget, adopté sous la forme d'une loi non soumise au référendum (art. 54 de l'ancienne Constitution genevoise), est un acte administratif interne ne déployant pas d'effet obligatoire à l'égard des tiers, de nature politique et non susceptible de recours.

Une réduction de budget n'est en rien comparable à une modification législa- tive remettant en cause l'existence même du préposé, ou restreignant ses compétences d'une manière qui apparaîtrait contraire au droit supérieur.

Note: Vers une action en déni de mise en œuvre d'obligations positives?

Le Tribunal fédéral confirme ici sa jurisprudence constante selon laquelle le budget n'est pas un acte susceptible de recours. Une réflexion autour de la présente affaire nous montrera qu'il importe désormais de réviser cette conclusion dans le cas d'une atteinte à un droit fondamental, en particulier en présence d'obligations positives.

Si le Tribunal fédéral a laissé longtemps indécise la question des sanc- tions en sa compétence dans le cas où un parlement resterait législativement inactif, il est entré récemment en matière sur une demande d'obliger le canton de Zoug à créer les bases légales relatives à un bureau pour 1 'égalité entre homme et femme. Le plaideur doit dans ce cas rendre plausible le fait que le législateur cantonal a un devoir d'action suffisamment précis; la pré- tention découlant directement de la norme contenant le mandat législatif. ¹

1 ATF 1371305 (315).

158

(4)

Alexandre Flückiger

On en déduit que, dorénavant, le Tribunal fédéral a compétence pour sanc- tionner un «déni de législation » ou un retard injustifié à légiférer. ²

La configuration est en l'espèce un peu différente.

r

.es bases légales exis- tent, mais une mesure budgétaire les vide potentiellement de leur substance.

Du point de vue du résultat, Je fait de ne pas disposer de loi ou d'avoir à disposition une loi volontairement non mise en œuvre est pourtant analogue.

Dans la présente configuration, le Protocole additionnel du 8 novembre 2001 à la Convention pour la protection des personnes à 1 'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données³exige d'instaurer des auto- rités de contrôle en matière de protection des données exerçant leurs fonc- tions «en toute indépendance)) (art. 1 al. 3). Selon le rapport explicatif au Protocole, «l'octroi à l'autorité de ressources suffisantes)) fait partie d'un

« faisceau d'indices » qui contribue au respect de cette indépendance. ⁴ La Cour européenne des droits de l'homme a considéré dans le cadre des garanties de procédure rattachées à 1 'article 8 CEDH que l'intervention d'un organe indépendant était une garantie adéquate d'un «contrôle effectif» de l'ingérence d'une autorité dans l'exercice des droits prévus à J'article 8.⁵On

2 Pierre Moor!Aiexandre Fhïckiger/Vincent Martener, Droit administratif 1 : Les fonde- ments généraux, Berne 2012,357.

3 RS 0.235.11.

4 Rapport explicatif au Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les autorités de contrôle et les flux transfrontières de données, ad art. 1.3, <http://conve ntions.coe.int/Treaty/FR/Reports/Htmlll81.htm> (consulté le 18 décembre 20 14). Sur l'indépendance des autorités en matière de protection des données, cf. Dominique Nou- veau Stoffel, Vingt ans de protection des données, RFJ 2013, 3 (18 s.) ; Bernhard Waldmann/André Spielmann, L'indépendance de l'autorité cantonale de surveillance en matière de protection des données , avis de droit réalisé sur mandat de la Direction de la Sécurité et de la Justice du Canton de Fribourg, février 2010; ainsi que les textes pu- bliés dans les actes de la 4< Journée suisse de droit de la protection des données : Astrid Epiney/Julia Hiinni/Flavia Briilisauer (éd.), Die Unabhangigkeit der Aufsichtsbehôrden und weitere aktuelle Fragen des Datenschutzrechts 1 L'indépendance des autorités de surveillance et autres questions actuelles en droit de la protection des données, Zurich 2012.

5 Gaskin c. Royaume Uni, arrêt du 7 juillet 1989, série A n° 160, par. 49, cité in : Rapport explicatif au Protocole additionnel à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel concernant les auto- rités de contrôle et les flux transfrontières de données, note 2. Sur la nécessité d'un examen par une autorité indépendante, cf. également CourEDH, arrêt du 4 mai 2000, Rotart1 c. Roumanie, Rec. 2000-V, par. 61 ss, cité in: Bernhard Waldmann/André Spielmann, 2010 (n. 4), 17.

159

(5)

peut par ailleurs se reporter par analogie en droit comparé à la jurisprudence de 1 'Union européenne sur 1 'indépendance de tels organes. ⁶

La pratique de la Cour européenne des droits de 1 'homme relative aux obligations positives montre que ces dernières ne se limitent pas à 1 'obligation de protéger ( duty to protee!) mais également à celle de mettre en œuvre (duty to .fulfi/).¹Adopter une législation adéquate n'est pas toujours suffisant ; des mesures de mise en œuvre efficaces doivent aussi être prises par les Etats. A de multiples reprises, la Cour a critiqué ces derniers pour n'avoir pas (correctement) mis en œuvre des réglementations pourtant exis- tantes.8

Cette évolution de la jurisprudence internationale exige à notre avis du Tribunal fédéral qu'il fasse désormais un pas de plus : il devrait reconnaître une véritable action en« déni de mise en œuvre d'obligations positives» s'il veut éviter de devoir réviser son anêt à la suite d'un constat par la Cour eu- ropéenne des droits de l'homme d'une violation d'une telle obligation (art.

122 LTF). L'objet litigieux serait plus large que le simple refus de légiférer, englobant 1 'ensemble des moyens d'exécution et de mise en œuvre si ces derniers découlent d'une obligation précise.

Dans une hypothèse semblable au cas d'espèce, il ne serait pourtant pas nécessaire à notre avis, sous l'angle procédural, de recourir à la figure du déni de justice au sens de l'article 94 LTF. Le parlement a en effet clairement signalé dans un acte juridique interne - le budget - son déni de mettre en œuvre le financement nécessaire à l'exécution correcte d'obligations positives. L'acte attaquable au sens de l'article 82 let. b LTF peut dans ces conditions consister dans l'adoption du budget litigieux lui-même, car ce dernier déploie dans de telles circonstances un effet normatif externe. On relèvera en passant que le Tribunal fédéral est déjà entré en matière sur la restriction à un droit fondamental décidée au moyen d'un décret financier (et non d'un budget il est vrai), cependant soumis à référendum et qui imposait simultanément la fluorisa ti on de 1 'eau potable. ⁹

6 En dernier lieu, cf. CJUE (GC), arrêt du 8 avril 2014, affaire C-288/12, Commission contre Hongrie, où la Cour a condamné la Hongrie pour avoir mis tin de manière anti- cipée au mandat de l'autorité de contrôle de la protection des données.

7 Sur le triptyque de l'obligation de protéger, de respecter et de mettre en oeuvre les droits humains, cf. Grégor Chatton, Vers la pleine reconnaissance des droits écono- miques, sociaux et culturels, Zurich 2014, 276 ss.

8 En matière environnementale, cf. par exemple CourEDH, arrêt du 30 novembre 2004, Oneryildiz c. Turquie, par. 90 et 104 ss ; CourEDH, arrêt du 10 janvier 2012, Di Sarno et autres c. Italie, par. Il 0 ss; CourEDH, arrêt du 27 janvier 2009, Tatar c. Roumanie, par. 88 et 97 ss. Cf. ég. Chal/on, 2014 (o.?), 354 s.

9 ZBI 1991,25 (cité in: Moor/Flückiger/Martenet 2012 (n. 2], 663).

160

(6)

Dans 1 'affaire zou go ise, le Tribunal fédéral a jugé selon un schéma diffé- rent ; considérant que la décision en jeu. celle du parlement cantonal de ne pas renouveler la commission de l'égalité, n'avait pas d'effet normatif, ¹⁰il a examiné la cause sous 1 'angle du déni de justice (art. 94 LTF). ¹¹

Une troisième voie reste à notre avis ouverte si le Tribunal fédéral ne voulait ni ouvrir le recours direct contre 1 'adoption du budget, ni y discerner un déni de justice: celle de l'article 25a de la loi fédérale sur la procédure administrative (PA), ¹²ou plus précisément en 1 'espèce les dispositions équi- valentes en droit cantonal. ¹³La procédure serait cependant inutilement com- pliquée; il serait plus efficient que le juge examine directement l'acte dimi- nuant ou supprimant illicitement le financement plutôt que d'exiger des personnes touchées de requérir préalablement auprès de l'autorité compétente une révocation ou un constat d'illicéité du budget sur la base de 1 'article 25a PA ou des dispositions équivalentes en droit cantonal.

Dès lors, lorsque le Tribunal fédéral, dans 1 'arrêt commenté dans la pré- sente note, juge qu'une réduction budgétaire n'est en rien comparable à une modification législative (c. 3.3), il faut à notre avis comprendre ce considé- rant dans le contexte que nous venons d'esquisser: une réduction de budget devient comparable à une modification législative si elle devait remettre en cause l'existence même du préposé ou restreindre ses compétences d'une manière qui apparaîtrait contraire au droit supérieur.

Dans le cas d'espèce, il aurait pourtant fallu établir de manière bien plus documentée et plus convaincante l'effet de la réduction du budget tant sur l'activité que sur l'indépendance de la préposée. Il aurait également fallu que recoure, non pas la préposée elle-même, mais un citoyen ou une ci- toyenne qui n'aurait pas eu accès à un premier contrôle de ses prétentions en protection des données par un préposé indépendant dû à la mesure litigieuse et qui disposerait ainsi d'un intérêt digne de protection au sens de l'article 89 al. 1 LTF. Un tel intérêt doit être reconnu, même si le recourant en question n'est pas plus touché qu'un autre habitant du canton en question.¹⁴

Enfin, on n'oubliera pas de mentionner 1 'existence des moyens non juridictionnels orientés vers la mise en œuvre, à l'instar de l'évaluation des politiques publiques. La feue Commission externe d'évaluation des politiques

10 ATF 137 1 305 (309).

11 ATF 1371305 (310 ss).

12 RS 172.021.

13 Thierry Tanquerel, Manuel de droit administratif, Genève/Zurich/Bâle 20 Il, 241 ss ; Moor/Poltier, Droit administratif II, 3• éd, Berne 2011,42 ss; Daniela Thurnherr, Ver- fahrensgrundrechte und Verwaltungshandlungen : Die verfassungsrechtlichen Mindest- garantien prozeduraler Gerechtigkeit unter den Bedingungen der Diversitlit administra- ti ver Handlungsmodalitatcn, Züricb 2013, 453 ss.

14 ATF 1371305 (316).

(7)

publiques du canton de Genève, dont la mission a été reprise par la Cour des comptes sous 1 'empire de la nouvelle constitution cantonale (art. 128 al. 3

2ème phrase Cst.-GE), avait très clairement recommandé, dans son évaluation de la loi sur l'information du public, l'accès aux documents et la protection des données personnelles (LIP AD), d'allouer des ressources suffisantes au futur préposé cantonal à la protection des données et à la transparence.¹⁵

Si la Cour des comptes peut être saisie par toute personne (art. 2 de la loi instituant une Cour des comptes du 10 juin 2005 [LICC]), ¹⁶elle ne dispose cependant que d'un pouvoir recommandationnel (art. 128 al. 2 Cst.-GE; art.

1 al. 3 et 10 al. 3 LICC). Ce point n'est pas problématique en soi. Le plaideur peut en effet déduire de notre analyse l'intérêt d'utiliser le produit des instances d'évaluation pour fonder une action en déni de mise en œuvre d'obligations positives.

On peut dès lors se hasarder à prédire que Je développement de l'effectivité dans la mise en œuvre des obligations positives passera dans Je futur par une intrication plus étroite des instances d'évaluations avec les organes juridictionnels.

B . Restriction à l 'autodétermination en matière de données personnelles

Tribunal fédéral- ATF 14012 du 7 janvier 2014 (allemand)-Admissibilité au regard du droit à l'autodétermination en matière de données person- nelles du concordat instituant des mesures contre la violence lors de mani- festations sportives instituant un contrôle d'identité obligatoire et une com- paraison avec le système d'information HOOGAN.

Le concordat instituant des mesures contre la violence lors de manifestations sportives du 15 novembre 2007 a été révisé le 2 février 2012. Il institue notamment un contrôle d'identité obligatoire et une comparaison avec le sys- tème d'information HOOGAN. Procédant à un contrôle abstrait, le Tribunal fédéral n'a pas censuré le concordat sur ces deux points.

(c. 9.1) Le droit fondamental à l'autodétermination informationnelle (art.

10 al. 2 cum art. 13 al. 2 Cst.) peut êh·e restreint aux conditions posées à 1 'article 36 Cst. Il comprend Je droit de chaque personne de pouvoir déter-

15 Commission externe d'évaluation des politiques publiques, Le principe de transparence dans l'administration : Evaluation des dispositions légales concernant l'accès aux documents et l'information du public (LIPAD), Genève 2009, Recommandation Rl6, 72.

16 La Cour des comptes décide cependant librement si elle entend donner suite aux dé- marches (art. 2 al. l LICC).

162

(8)

miner si et à quelles fins les informations qui la concernent sont traitées et enregistrées.

(c. 9.3.1) Selon l'article 3a al. 3 du concordat révisé, l'autorité« peut ordonner que les spectatrices et les spectateurs doivent présenter des passe- ports ou des cartes d'identité pour monter dans des transports organisés de supporters ou pour accéder aux stades ou aux salles de sports, et que l'on s'assure par une comparaison avec le système d'information HOOGAN qu'aucune personne frappée d'une interdiction de périmètre valide ou de mesures actives au sens du présent concordat n'est admise. »

(c. 9.3.2) Le contrôle d'identité et la comparaison des spectateurs et des spectatrices avec la base de données HOOGAN servent à mettre en œuvre la mesure de l'interdiction de périmètre édictée dans l'intérêt de prévenir la violence et dont l'admissibilité a été confirmée par le Tribunal fédéral dans I'ATF 137 I 31. Le présent concordat offre la base légale nécessaire.

L'intérêt public au maintien de la sécurité et de l'ordre dans les stades, de même que Je droit des autres spectateurs et spectatrices à la protection de leur intégrité corporelle, sont incontestés.

(c. 9.3.3) Ces restrictions à la liberté de mouvement et à l'auto- détermination en matière de données personnelles s'avèrent proportionnées compte tenu des débordements de violence lors de certaines manifestations sportives. L'intensité de l'atteinte est faible par rapport au but visé et aux biens juridiques à protéger. Il ne s'agit en effet que de comparer électroni- quement une pièce d'identité avec la base de données HOOGAN. La communication des données qui sont contenues dans cette dernière aux organisa- teurs de manifestations sportives repose sur une base légale expresse (art.

24a al. 8 de la loi fédérale instituant des mesures visant au maintien de la sûreté intérieure [LM SI]) complétée en particulier par 1 'article 10 de 1 'ordonnance du 4 décembre 2009 sur les mesures de police administrative de l'Office fédéral de la police et sur le système d'information HOOGAN (OMAR, RS 120.52).

Tribunal fédéral- Arrêt JB_57/2013 du 2juillet 2013 (allemand) - Admis- sibilité au regard du droit à l'autodétermination en matière de données per- sonnelles de la saisie et de la conservation de données signalétiques. ¹⁷

Un individu a requis dans le cadre d'une procédure pénale la destruction des frottis de la muqueuse jugale et des profils d'ADN ainsi que la suppression des données correspondantes dans les systèmes d'identification biomé- triques. Le Tribunal fédéral a rejeté Je recours en matière pénale.

17 Même cas de figure in: Tribunal fédéral, arrêt lB_324/2013 du 21 janvier 2014 (allemand), c. 3.2.2.

(9)

(c. 3.2) La saisie de données signalétiques et leur conservation constituent une atteinte légère à la liberté personnelle du recourant (art. 10 al. 2 Cst.), au droit à 1 'autodétermination en matière de données personnelles (art. 13 al. 2 Cst.) et au droit au respect de la vie privée et familiale (art. 8 CEDH). Ces restrictions doivent être proportionnées selon l'article 36 al. 3 Cst. On trouve en l'espèce une expression du principe de proportionnalité à l'article 197 CPP prévoyant que les mesures de contrainte ne peuvent être prises notamment que si les buts poursuivis ne peuvent pas être atteints par des mesures moins sévères (let. c) et si elles apparaissent justifiées au regard de la gravité de l'infraction (let. d).

(c. 3.3) Ces mesures sont en l'espèce proportionnées et répondent à un in- térêt public prépondérant.

Tribunal administratif fédéral - Arrêt B-317/2014 du 5 mars 2014 (alle- mand) - La transmission de données bancaires dans le cadre d'une procé- dure d'entraide administrative internationale constitue une atteinte qualifiée à l'autodétermination en matière de données personnelles- Admissibilité de la restriction au droit fondamental.

L'Allemagne a adressé en octobre 2013 une requête d'entraide administrative internationale à 1 'autorité fédérale de surveillance des marchés financiers (FINMA) dans le cadre d'une enquête relative à un délit d'initiés. Le client d'une banque visé a recouru sans succès auprès du Tribunal administratif fédéral.

(c. 2) Le relevé d'office et le traitement d'informations à caractère personnel, à l'instar de données bancaires, contre la volonté expresse de laper- sonne concernée ou à l'insu de celle-ci constituent une atteinte à son droit à 1 'autodétermination en matière de données personnelles et, partant, à son droit au respect de sa sphère privée (art. 13 al. 2 Cst. ; art. 8 CEDH ; art. 17 Pacte II ONU). La transmission à l'étranger de telles données crée même une atteinte qualifiée en raison du changement de contexte juridique. Une base légale précise s'impose ainsi que le respect du principe de proportion- nalité. Tel est le cas en l'espèce.

Les principes de l'activité de l'Etat régi par le droit posés à l'article 5 Cst.

forment tout à la fois les conditions et les limites de l'entraide administrative et judiciaire internationale.

L'article 38 de la loi sur les bourses (LBVM, RS 954.1) et l'article 42 de la loi sur la surveillance des marchés financiers (LFINMA, RS 956.1) éta- blissent les bases légales.

164

(10)

(c. 4.1) Les mesures d'entraide administrative intemationale doivent être proportionnées (art. 5 al. 2 Cst.). Ce principe est repris à 1 'article 38 al. 4 LBVM.

(c. 6.2) La loi fédérale sur la protection des données (LPD) ne trouve en principe pas à s'appliquer de manière autonome dans le cadre d'une procé- dure d'entraide administrative fondée sur la législation boursière en raison de la réglementation particulière et spécifique codifiée à 1 'article 38 LBVM.

Note : Le droit à l'autodétermination informationnelle comme pierre angu- laire de la protection des données personnelles

On relèvera avec intérêt dans les trois affaires précédentes que la jurisprudence continue de lire l'article 13 al. 2 Cst. dans son esprit plutôt (droit à l'autodétermination, i.e. le pouvoir de maîtrise sur ses données persoru1elles) que dans sa lettre (protection contre l'emploi abusif seulement) comme l'a exigé une partie de la doctrine récemment¹⁸• En effet, les tribunaux lisent dans ces trois jugements la disposition constitutionnelle comme conférant un véritable droit à 1 'autodétermination en matière de données personnelles ( « informationelle Selbstbestimmung »). Cette interprétation semble d'autant plus naturelle aux tribunaux que ceux-ci n'ont dans aucun cas même pris la peine de se référer à la controverse doctrinale, qui ne semble ainsi revêtir qu'un intérêt purement académique.

La Cour de Justice de l'Union européenne, dans un arrêt retentissant, vient de renforcer récemment ce droit, même si ce dernier n'y est pas expli- citement évoqué. L'exploitant d'un moteur de recherche peut désormais en principe être obligé de supprimer des liens vers des pages web contenant des données personnelles même si les pages subsistent et même si la publication de ces données est en soi licite; la Cour s'est fondée sur les articles 12 let. b (droit à la rectification, l'effacement ou au verrouillage des données) et 14 al. 1 let. a (droit d'opposition au traitement des données) de la directive 95/46, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circula- tion de ces données et des articles 7 et 8 de la charte des droits fondamen- taux de l'Union européenne.¹⁹Consacrant ainsi un droit à l'oubli (ou, plus

18 Cf. réf. cit. in: Alexandre Flückiger, L'autodétermination en matière de données personnelles : un droit (plus si) fondamental à l'ère digitale ou un nouveau droit de proprié- té?, PJA 2013, 853 ss.

19 CJUE (GC), arrêt du 13 mai 2014, affaire C-131112, Google Spain, c. 88. On peut éga- lement mentionner les deux arrêts de Grande Chambre également du 8 avril 2014, affaires jointes C-293/12 et C-594/12, Digital Rights freland Ltd & Michael Seitlinger e.a., (au sujet de conservation de données relatives aux communications électroniques) 165

(11)

précisément, un droit au déréférencement), dans les moteurs de recherche, la Cour redonne à chacune et à chacun un véritable pouvoir de maîtrise sur ses données personnelles que d'aucuns ont trop rapidement cm perdu. Un tel droit est une concrétisation implicite du droit à 1 'autodétennination en ma- tière de données personnelles en droit de l'Union européenne.

Le rôle du droit de la protection des données est de recréer des barrières juridiques là où les protections de fait ont disparu du fait du développement technologique.²⁰Le juge européen reconstruit ici celles-ci de manière déci- dée en s'attaquant à un géant du secteur, tout en restant cependant mesuré:

il réserve l'intérêt public prépondérant et ne demande pas la suppression des pages web originales mais uniquement le lien à celles-ci lorsqu'une recherche par nom est effectuée.²¹Le juge rétablit ici juridiquement un peu de cette « obscurité pratique » ( « practical obscurity ») qui résultait autrefois de la difficulté d'établir manuellement des profils de personnalité en parcourant des documents publics disséminés un peu partout dans des bibliothèques ou des archives à l'ère pré-informatique. La Cour suprême des Etats-Unis avait relevé en 1989 déjà qu'il existait une «vaste différence entre des dossiers publics qui peuvent être retrouvés à la suite d'une recherche diligente dans les fichiers des tribunaux, des archives municipales et des postes de police locaux à travers le pays et un relevé informatique situé dans un bureau cen- tralisé ». ²²

Renvoi : sur le droit à l'autodétennination en matière de données personnelles et la propriété des données personnelles, voir la note ad ch. C.IJ.4. if ci-dessous.

C. Droit d 'accès, d e rectification et de destruction des données personnell es

I. Droit d'accès aux données personnelles

1. Droit d'accès à ses propres données

Tribunal fédéral- ATF 139 V 492 du 23 octobre 2013 (allemand) - Droit de consulter le dossier vs droit d'accès à ses données personnelles.

et affaire C-288112, Commission contre Hongrie (au sujet de la nécessaire indépendance des autorités nationales de protection des données).

2

°

Flückiger, 2013 (note 1 8), 839 ss.

21 Consid. 99.

22 U.S. Dept. of Justice v. Reporters Committee, 489 U.S. 749 (1989), cit. in: Flückiger, 20 13 (note .18), 841.

166

(12)

(c. 3.2) Le droit de consulter Je dossier dans le cadre d'une procédure por- tant sur des prestations d'assurance sociale ne découle pas du droit d'accès tel que prévu dans les dispositions du droit de la protection des données (art.

8 LPD et art. 20 de la loi zurichoise du 12 février 2007 sur l'information et la protection des données). Dans le cas d'espèce, la consultation du dossier est fondée exclusivement sur une revendication relevant des assurances sociales si bien que cette consultation ne revêt aucune dimension de protection des données supplémentaire.

(c. 3.3) La question des modalités du droit de consulter n'est donc pas tranchée dans le cadre d'une procédure indépendante par le biais d'une déci- sion finale pouvant être directement attaquée.

Tribunal fédéral- Arrêt JC_57112012 du 26 novembre 2013 (français) - Pas d'obligation de produire des données inexistantes ou manquantes.

(c. 3.1) «En vertu de l'art. 25 LPrD, toute personne a, en tout temps, libre accès aux données la concernant (al. 1) ; elle peut également requérir du responsable du traitement la confirmation qu'aucune donnée la concernant n'a été collectée (al. 2). Quant à l'art. 39 LPrD, il prévoit une obligation de renseigner le Préposé dans l'accomplissement de ses tâches (parmi lesquelles la surveillance de l'application des prescriptions relatives à la protection des données selon l'art. 36 al. 1 LPrD), à la charge du responsable du traitement de données. »

(c. 3.2) «En l'espèce, le Tribunal cantonal a retenu qu'il ressortait du dossier que les autorités concernées et le Préposé avaient procédé à des re- cherches relatives aux données sollicitées par les recourants et que ceux-ci avaient eu accès aux données encore disponibles. Ces autorités avaient con- firmé ne pas disposer d'autres données concernant les époux. Quant à d'éven- tuels documents qui ne seraient plus disponibles compte tenu de leur ancien- neté, on ne pouvait faire grief aux autorités administratives de ne pas en avoir conservé de traces au-delà des exigences légales de conservation de telles données. »

Tribunal administratif fédéral - Arrêt A-6315/2012 du 19 novembre 2013 (français) - Le droit d'accès indirect prévu dans la loi sur les systèmes d'information de police de la Confédération ne saurait être contourné par le droit d'accès au dossier d'une autre procédure.

(c. 4.3) Le législateur a choisi d'élaborer une réglementation spéciale pour le traitement des demandes de renseignements concernant les données ayant trait à la protection de la sûreté intérieure ou extérieure du pays (art. 7 et 8

167

(13)

de la loi fédérale du 13 juin 2008 sur les systèmes d'information de police de la Confédération (LSIP, RS 361 ). Suivant cette procédure, la personne con- cernée ne peut en aucune manière vérifier personnellement l'information qui demeure provisoire et indirecte.

(c. 5.4) La personne concernée peut demander au Préposé fédéral à la protection des données et à la transparence de vérifier si les éventuelles données la concernant sont traitées conformément au droit et si des intérêts prépondé- rants liés au maintien du secret justifient le report (art. 8 al. 2 LSIP).

«Il s'ensuit qu'il est exclu que le recourant puisse obtenir, par la bande, un nouvel examen des conditions d'application de l'art. 8 LSIP en invoquant des garanties procédurales relatives au droit d'accès au dossier d'une autre procédure, faute de quoi cette disposition deviendrait lettre morte. »

Tribunal administratif fédéral- Arrêt A-36/2013 du 7 août 2013 (allemand) - Forme de la réponse au droit d'accès et rapport avec le déni de justice.

(c. 2.4.3) L'article 8 LPD comprend le droit d'une personne de demander si des données la concernant sont traitées et d'obtenir une réponse sous forme de décision lorsque la demande est adressée à une autorité. Cette disposition n'exclut cependant pas d'autres modes de donner suite à la demande. Elle ne confère ainsi pas un droit absolu à une réponse écrite ou, le cas échéant, à une décision sous forme écrite.

(c. 2.4.4) Un refus de donner suite au droit d'accès est en principe apte à former un déni de justice formel. En l'occurrence cependant, l'instance pré- cédente n'a pas refusé en soi de renseigner le recourant mais simplement refusé de donner la correspondance écrite après avoir fourni des renseignements complémentaires à ce dernier, en particulier communiqué l'inexistence de données. On n'est donc pas en présence ici d'un déni de justice au sens de l'article 46a PA.

2. Droit d'accès aux documents officiels contenant des données personnelles

Selon le principe de transparence, les documents détenus par les autorités sont en principe publics sous réserve d'exceptions parmi lesquelles on trouve le respect de la sphère privée. Les autorités sont appelées à opérer une pesée d'intérêt. Interpellés à plusieurs reprises à se prononcer sur le droit d'accès aux documents officiels contenant des données personnelles, les tribunaux fédéraux ont systématiquement tranché en faveur de l'intérêt public à la transparence au détriment de l'intérêt privé à la protection des données personnelles :

168

(14)

Alexandre FIOckiger

communication d'un jugement de la Commission de recours en matière d'asile archivé et droit de connaître la composition de l'autorité qui asta- tué ;²³

communication sans condition des noms et prénoms des surveillants des zones naturelles protégées, mais non de leur domicile ;²⁴

communication partielle du procès-verbal d'une séance du Conseil de 1 'hôpital universitaire de Zurich ainsi que des membres qui étaient pré- sents ;²⁵

- communication des rapports établis par les membres d'un jury de thèse de doctorat à l'EPFZ / ⁶

communication des documents relatifs à la modification de l'extension du champ d'application de la convention collective de travail romande du se- cond œuvre, en particulier ceux destinés à prouver les quorums exis- tants ;²⁷

communication par le Secrétariat d'Etat à l'économie (SECO) des comptes 2010 des commissions paritaires ;²⁸

communication d'un contrat sur l'utilisation de l'aérodrome de Buochs ;²⁹ - obligation de motiver suffisamment les refus de communiquer des documents relatifs à la demande d'autorisation de mise sur le marché de médi- caments (existence de secrets d'affaire ou de données personnelles). ³⁰ La Chambre administrative de la Cour de justice genevoise a refusé quant à elle de donner accès à un rapport du groupe de confiance chargé de veiller à la protection de la personnalité des employés de l'Etat.³¹

Enfin, on rappellera le cas spécifique de la transmission de documents contenant des données personnelles par les autorités dans le cadre des pro- cédures d'entraide administrative internationales. ³²

23 ATF 1391 129 du 26 mars 2013.

24 TF, arrêt 1C_664/2012 du 15janvier2014.

25 TF, arrêt IC_780/2013 du 4 mars 2014.

26 TAF, arrêt A-5176/2012 du 28 février 2013.

27 T AF, arrêt A-5489/2012 du 8 octobre 2013.

28 TAF, arrêt A-2434/2013 du 9 décembre 2013.

29 TAF A-2186/2013 du 14 février 2014.

30 TAF, arrêt IC_50112013, IC_502/2013, IC_503/2013 du 12 février 2014; arrêt A- 4307/2010 du 28 février 2013.

31 Chambre administrative de la Cour de justice genevoise, arrêt AT A/753/20 13 du 12 novembre 2013. Elle a en revanche validé la transmjssion de renseignements par l'Office cantonal de la population (annonces d'arrivées et de départs) concernant un époux demandés par l'épouse de celuj-ci durant la procédure de divorce (arrêt A/3487/2011 du 30 avril 2013).

32 Sur la transmission de données bancaires, cf. TAF, arrêt B-317/2014 du 5 mars 2014, cité ci-dessus ch. B.

169

(15)

II. Droit de rectification et de suppression des données personnelles

1. Rectification de noms, prénoms et dates de naissance

Tribunal administratif fédéral - ATAF 2013/30 du 18 mars 2013 {= ZBI 2014, 218) (allemand) - Le caractère litigieux d'une donnée personnelle doit être mentionné d'office dans le système d'information central sur la migration (SYMJC) lorsque ni l'exactitude de l'indication enregistrée ni celle de la modification exigée ne peut être prouvée.

Un requérant d'asile afghan a indiqué au centre d'enregistrement et de procédure être né le 1er mars 1995. Doutant de la véracité de ses propos, 1 'Office fédéral des migrations (OFM) a introduit la date du 1 cr janvier 1993 dans le système d'infonnation central sur la migration (SYMIC). Se basant sur une pièce d'identité afghane, désignée « tazkara »et produite ultérieure- ment, le requérant a recouru avec succès jusqu'au Tribunal administratif fédéral.

( c. 4.1) La demande de corriger sa date de naissance dans SYMIC est ré- gie par les dispositions de la loi fédérale sur la protection des données (LPD) et de la loi fédérale du 20 décembre 1968 sur la procédure administrative (PA, RS 172.021) selon l'article 19 al. 1 de l'ordonnance du 12 avril 2006 sur Je système d'information central sur la migration (ordonnance SYMIC, RS 142.513).

L'autorité qui traite des données personnelles doit s'assurer de leur exactitude en vertu de 1 'article 5 al. J LPD. Toute personne concernée peut re- quérir la rectification de données inexactes (art. 5 al. 2 LPD cum art. 25 al 3 let. a LPD). Ce droit est absolu et indépendant. S'il appartient à l'autorité fédérale de prouver l'exactitude des données traitées lorsque la personne concernée les conteste, il incombe en revanche à la personne qui demande la rectification d'une donnée de prouver l'exactitude de la modification deman- dée.

(c. 4.2.1) L'estimation de l'âge d'une personne sur la base de son appa- rence physique revêt une valeur probante fortement amoindrie lorsque l'on se trouve - comme en l'espèce - en présence d'une personne prétendant se situer dans la tranche d'âge entre quinze et vingt-cinq ans.

(c. 4.2.2) Le recourant se fonde sur une« tazkara »pour prouver son âge.

Bien qu'il ne s'agisse pas d'un document de voyage officiel, ce papier est le document d'identité le plus répandu en Afghanistan. Il constitue dès lors un document officiel avec photographie établi dans le but de prouver l'identité de son détenteur. N'étant pas protégé contre la falsification, sa valeur pro-

170

(16)

bante est toutefois diminuée. Il fournit simplement un indice dans le sens des dires du recourant.

(c. 4.2.3) Une analyse de l'âge osseux ne serait en l'espèce pas non plus un moyen de preuve approprié dans la mesure où la différence d'âge doit être de trois ans au moins pour qu'elle ait une certaine valeur probante. Dans le cas présent, la différence d'âge contestée est inférieure à cette limite.

(c. 4.3) Aucune des deux dates ne peut être en conclusion prouvée.

(c. 5.1) Les conséquences de l'absence de preuve ont été codifiées dans la loi. En vertu de l'article 25 al. 2 LPD, si ni l'exactitude ni l'inexactitude d'une donnée personnelle ne peut être prouvée, 1 'autorité fédérale doit ajou- ter à la donnée la mention de son caractère litigieux.

(c. 5.2 à 5.4) La date la plus probable doit être indiquée dans le système, soit ici le 1er mars 1995, même si celle-ci n'est pas prouvée. La date de naissance du recourant doit être corrigée dans SYMIC et complétée par la mention de son caractère litigieux.

La requête du requérant, présentée en instance de recours auprès du Tri- bunal administratif seulement, de corriger la date au 31 décembre 1995 pour des motifs de rattrapage scolaire doit en revanche être rejetée.

Note

Cet arrêt a fait l'objet d'un commentaire de Christoph Auer (ZBI 2014 223) se demandant, avec raison, si le Tribunal n'aurait pas dû se limiter à ordonner la mention du caractère litigieux de la date de naissance et renvoyer l'affaire à l'autorité inférieure pour examiner la plausibilité de la troi- sième date invoquée et curieusement thématisée à la fin de l'arrêt seulement.

Le Tribunal administratif fédéral a par ailleurs eu 1 'occasion de statuer à plusieurs reprises sur la valeur probante de la « tazkara »afghane, qu'il or- thographie parfois aussi « tazkira ». ³³D'autres affaires concernent la rectification de la date de naissance également³⁴ou celle de noms ou prénoms dans la base de données SYMIC. ³⁵

33 TAF, arrêt A-5291/2012 du 26 juin 2013 (Taskira); TAF, arrêt A-181/2013 du 5 novembre 2013 (Taskira); TAF, arrêt A-6731/2013 du 4 février 2014 (taskara); TAF, ar- rêt A-3684/2013 du 13 mars 2014 (taskara).

34 TAF, arrêt A-52612013 du 9 juillet 2013; TAF, arrêt A-2399/2013 du 4 septembre 2013; TAF, arrêt A-4174/2013 du 12 septembre 2013.

35 TAF, arrêt A-35552013 du 26 mars 2014; TF, arrêt JC_11/2013 du 21 octobre 2013 (prénom et date de naissance litigieux).

(17)

2. Rectification de procès-verbaux

Tribunal fédéral - Arrêt JC_516/2013 du 22 janvier 2014 (allemand) Droit de consulter ses propres données personnelles dans des documents soustraits au public - Pas de droit de rectification pour des propos effecti- vement tenus et correctement retranscrits dans des procès-verbaux commu- naux.

La présidente d'une association locale a requis la rectification de certains passages dans des procès-verbaux communaux par lesquels elle s'estimait atteinte dans sa personnalité. Déboutée par Je Tribunal administratif du canton de Zurich, elle a succombé devant Je Tribunal fédéral (recours en ma- tière de droit public).

(c. 2.3) La recourante se fonde sur le droit de faüe rectifier ou de supprimer des données personnelles prévu à l'article 21 let. a de la loi cantonale sur 1 'infonnation et la protection des données (!DG).

(c. 2.4) Les extraits de procès-verbaux décrivant le comportement de la recourante sont des données personnelles au sens de 1 'article 3 al. 3 IDG.

(c. 2.5) Les passages contenant des données personnelles dans des procès- verbaux de séances communales tenues à huis-clos, c'est-à-dire non acces- sibles au public en général, peuvent être consultés par la personne concernée en vertu du droit d'accès à ses propres données tel qu'il découle du droit de la protection des données.

(2.6.2) Un procès-verbal est correct s'il reproduit avec exactitude les dé- cisions et les propos tenus, qu'il consigne ou résume ces derniers.

L'exactitude du fond n'importe pas. Le droit de la protection des données n'a pas pour fonction de modifier des procès-verbaux reproduisant fidèle- ment les propos effectivement tenus en séance. Ce faisant, les procès- verbaux seraient non seulement falsifiés mais des éléments de preuve poten- tiels pour d'autres procédures seraient également détruits.

(2.6.3) L'éventuelle apposition d'une mention du caractère litigieux des jugements de valeurs protocolés dans les procès-verbaux peut être laissée

indécise dans la mesure où la recourante n'en a pas fait la requête.

3. Rectification d'un dossier hospitalier

Chambre administrative de la Cour de justice genevoise - Arrêt ATA/22/2014 du 14 janvier 2014 - Compétence en cas de concours d'application entre les prescriptions légales régissant les professions de la santé et les institutions de la santé et la LJPAD.

172

(18)

Une patiente hospitalisée au département de psychiau·ie des Hôpitaux universitaires de Genève (HUG) demande la rectification de données qu'elle estime inexactes (mociification de son adresse et du résumé dt:: séjour) ou incomplètes (ajout des faits précédant immédiatement son hospitalisation) ainsi que la suppression de données (échanges de correspondances versées au dossier par des tiers).

(c. 2) L'accès des personnes soignées dans un établissement public médi- cal aux dossiers et fichiers contenant des informations qui les concernent personnellement est régi par la loi sur la santé du 7 avril 2006 (LS, K 1 03) (art. 9 al. 9 de la loi sur les établissements publics médicaux du 19 septembre 1980 (LEPM, K 2 05).

(c. 3, 4) La loi sur la santé institue une commission de surveillance des professions de la santé et des droits des patients (art. 10 LS et loi sur la commission de surveillance des professions de la santé et des droits des patients du 7 avril 2006 [LComPS]). En cas de concours d'application entre les prescriptions légales régissant les professions de la santé et les institutions de la santé et la loi sur l'information du public, l'accès aux documents et la protection des données personnelles du 5 octobre 2001 (LIPAD), il revient au président de cette commission de statuer sur l'ensemble des griefs et pré- tentions fondés sur l'une ou l'autre de ces lois selon les dispositions de pro- cédure de la LComPS ; la chambre administrative de la Cour de justice doit cependant inviter le préposé cantonal à la protection des données et à la transparence à participer à la procédure de recours (art. 7 al. 2 LComPS).

( c. 7) La loi sur la santé précise que le traitement des données est notamment régi par la LIPAD et les dispositions spéciales de celle-là (art. 56 al. 1).

(c. 8) «A rigueur du texte de l'art. 7 al. 2 LComPS, seul le président de la commission serait compétent. Toutefois, selon les travaux préparatoires, dès lors qu'il ne s'agit pas d'accès aux données de la commission, l'art. 7 al. 2 ne devrait pas trouver application. Cette interprétation est confortée par le fait qu'il serait contraire à l'esprit de la loi que le président statue seul sur un cas comprenant tout à la fois des aspects de droit des patients et de LIPAD, alors que la commission serait compétente si Je dossier se limitait aux aspects des droits des patients.

De surcroît, la teneur de l'art. 7 al. 2 aLComPS, entérinait déjà cette solu- tion.

Dès lors que la totalité des conclusions du présent recours concerne des violations des droits de la patiente et qu'il ne s'agit pas d'une problématique d'accès au dossier de la commission, celle-ci est compétente pour statuer en application de l'art. 7 al. 1, et non son seul le président au sens de l'art. 7 al.

2 LComPS. La chambre administrative ne pourrait être compétente dans le

173

(19)

présent litige que dans l'hypothèse d'un recours contre la décision que pourrait prendre la commission.

La question de la compétence en cas de concours d'application entre les prescriptions légales régissant les professions de la santé et les institutions de la santé et la LIPAD pour les cas sans violation des droits des patients souffrira de rester ouverte. »

4. Suppression de données personnelles

Tribunal fédéral - Arrêt 5A_771/2013 du 3 février 2014 (français) - L'intérêt public à la conservation des archives 1 'emporte sur 1 'intérêt privé du recourant à la destruction d'un dossier archivé contenant des données personnelles sensibles.

Une assistante sociale a utilisé les données personnelles sensibles d'un dossier dont elle était responsable concernant une personne prise en charge par le service de protection de la jeunesse vaudois (SPJ) pour rédiger un mémoire de diplôme dont le texte a été publié en 2010 sur le réseau des bi- bliothèques de Suisse occidentale (RERO). L'auteure, n'ayant ni demandé d'autorisation ni requis le consentement de l'intéressé, n'a pas anonymisé son texte de manière adéquate. La personne concernée, ayant conclu à la destruction de son dossier en mains du SPJ, a succombé tant devant la Cour de droit administratif et public du Tribunal cantonal par arrêt du 30 août 2013 que devant le Tribunal fédéral (recours en matière civile).

(c. 3.1) L'art. 29 de la loi vaudoise du 11 septembre 2007 sur la protection des données personnelles (LPrD ; RSY 172.65) confère le droit de solliciter la destruction des données ayant fait l'objet d'un traitement illicite. Le SPJ est pour sa part tenu de conserver sous sa garde le dossier en tant qu'autorité responsable de ses archives au sens de l'art. 1 de la loi vaudoise du 14 juin 2011 sur l'archivage (LArch ; RSY 432.11 ). Cette autorité a adopté sur le fondement de l'article 5 LArch une directive n° 01.20 qui arrête un calen- drier de conservation de ses archives lequel prévoit une durée de conservation de huitante ans sous sa garde des dossiers d'enfants bénéficiaires de ses prestations.

(c. 4) Le SPJ est en droit, conformément à l'art. 24 al. 1 LPrD, de consti- tuer un dossier contenant des données sensibles au sens de l'art. 4 al. 1 ch. 2 LPrD. L'accès aux archives est ensuite soumis à l'autorisation de l'autorité qui a versé les documents, laquelle doit se prononcer conformément à la lé- gislation sur l'information et sur la protection des données personnelles (art.

10 al. 1 LArch). Selon l'article 24 al. 1 LPrD, les données personnelles peuvent être communiquées à des fins de recherche, de planification ou pour

174

(20)

établir des statistiques pour autant qu'elles soient rendues anonymes, que le destinataire ne les communique qu'avec le consentement de l'entité qui les lui a transmises et que les résultats du traitement soient publiés sous une forme ne permettant pas d'identifier les personnes concernées.

(c. 5.3) Les données archivées ont fait l'objet d'une utilisation abusive par l'assistante sociale. Cette question n'a cependant pas à être examinée, n'ayant pas fait l'objet de conclusions devant l'autorité de première instance.

(c. 6.1) L'intérêt public à la conservation des archives (légitimation des mesures prises à l'égard des mineurs, recherche de la vérité dans le cadre d'éventuelles actions en responsabilité contre l'Etat, mémoire de la collecti- vité, vérification a posteriori de l'activité des autorités, intérêts des personnes concernées et de leurs descendants à connaître leur histoire familiale, intérêt scientifique des historiens) l'emporte sur l'intérêt privé du recourant (droit à l'oubli, prévention contre une utilisation illicite des données) à la destruction de ses données personnelles. Le fait que les directives internes du SPJ n'aient pas été respectées dans un cas particulier ne suffit pas à dé- montrer qu'elles ne seraient pas aptes à prévenir l'utilisation abusive de don- nées sensibles lorsqu'elles sont appliquées correctement.

(c. 6.2) Le délai d'archivage de huitante ans, exceptionnellement long, respecte le principe de proportionnalité (art. 5 al. 2 Cst.). Il s'avère néces- saire au regard de l'intérêt public concerné.

Tribunal fédéral- arrêt 5A_7/2014 du 12 mars 2014 (français) - Destruc- tion de données personnelles sensibles contenues dans un arrêt et restitution d'une copie d'arrêt.

Dans la foulée de l'arrêt qui précède (cf. ci-dessus l'arrêt 5A_771/2013 du 3 février 20 14), le président du Tribunal cantonal vaudois a, dans deux courriers successifs, informé le recourant dans 1 'affaire précédente que la Cour de droit administratif et public du Tribunal cantonal avait décidé, d'une part, de renoncer à la publication de l'arrêt du 30 août 2013 sur le site inter- net du Tribunal cantonal mais avait, d'autre part, refusé tant de le détruire ou de le modjfier pour en soustraire les passages contenant des données personnelles sensibles que de donner l'ordre à la partie adverse (le SPJ) de restituer la copie de l'arrêt. Le Tribunal fédéral a annulé la décision du président du Tribunal cantonal et a renvoyé la cause à 1 'autorité cantonale pour nouvelle décision.

(c. 1) Selon l'article 112 al. 1 let. b LTF, les décisions qui peuvent faire l'objet d'un recours devant le Tribunal fédéral doivent contenir les motifs déterminants de fait et de droit. Si une décision attaquée ne satisfait pas à ces exigences, le Tribunal fédéral peut alternativement la renvoyer à l'autori-

(21)

té cantonale en invitant celle-ci à la parfaire, ou l'annuler (art. 112 al. 3 LTF). En l'occurrence les deux courriers successifs du président du Tribunal cantonal forment la décision attaquée qui doit être annulée en raison de vices formels trop importants.

Chambre administrative de la Cour de justice genevoise - Arrêt ATA/357/201 3 du 11 juin 2013- Refus de restituer le dossier original d'une patiente et de détruire les données informatiques correspondantes - Pro- priété des archives contenant des données personnelles.

La préposée cantonale à la protection des données et à la transparence a émis une recommandation invitant les Hôpitaux Universitaires de Genève (HUG) à rendre une décision de restitution du dossier original complet d'une patiente à cette dernière et à détruire les données informatiques correspondantes, moyennant signature d'une décharge. Les HUG ayant refusé de donner suite, la préposée a recouru sans succès devant la Chambre administrative de la Cour de justice.

(c. 3) Lorsque les médecins exercent une activité privée aux HUG, « les dossiers patients et les documents y afférents sont et restent la propriété des HUG où ils sont conservés, y compris ceux des patients privés des ayants droits. » (art. 125 du règlement des services médicaux du 23 juin 2011 [RSM]).

(c. 4) L'accès des personnes soignées dans un établissement public médi- cal aux dossiers et fichiers contenant des informations qui les concernent personnellement est régi par la loi sur la santé du 7 avril 2006 (LS, K 1 03) (art. 9 al. 9 de la loi sur les établissements publics médicaux du 19 septembre 1980 [LEPM, K 2 05]).

(c. 5) En vertu de 1 'article 57 LS, les éléments du dossier médical doivent être conservés aussi longtemps qu'ils présentent un intérêt pour la santé du patient, mais au moins pendant dix ans dès la dernière consultation. Si aucun intérêt prépondérant pour la santé du patient ou pour la santé publique ne s'y oppose, le dossier est détruit après vingt ans au plus tard. Les dispositions de la loi sur les archives publiques du 1er décembre 2000 (LArch, B 2 15) im- posant un délai de conservation plus long sont réservées.

(c. 6) Tous les documents des institutions publiques qui ont une valeur juridique, politique, économique, historique, sociale ou culturelle sont archi- vés conformément à l'article 2 al. l LArch. Les institutions conservent la propriété et la garde de leurs archives (art. 5 al. 3 LArch).

(c. 8 f) Les HUG sont propriétaires du dossier de la patiente en cause. Ils ne pourront le détruire que vingt années après le dernier passage de la patiente aux HUG.

176

(22)

Alexandre FIUckiger

Note : A propos du rapport entre la propriété des données personnelles et la propriété du support de ces dernières

A première lecture, le raisonnement de la Cour laisse penser dans son dernier considérant que l'obligation de conserver les archives et l'interdiction de détruire celles-ci découlent du droit de propriété sur ces dernières. La Préposée cantonale â la protection des données et à la transparence, pour sa part, a motivé son recours en prétendant que « le droit â l'autodétermination en matière informationnelle des patients [ ... ] interdisait la constitution d'un droit de propriété sur des données personnelles de patients, contrairement â ce que prévoyait le RSM. » (c. 14 des faits). Faudrait- il en tirer la conclusion que la Cour fait dorénavant sienne la proposition de considérer la protection des données personnelles comme un nouveau type de droit de propriété comme une partie de la doctrine le propose en raison de la valeur économique toujours croissante des données personnelles ?³⁶

Une telle conclusion serait pourtant à notre sens trop hâtive. En effet, on semble ici confondre la propriété du document physique contenant des don- nées personnelles (quel que soit son support, papier ou électronique) et la propriété des données personnelles. Au sens où nous l'avons esquissée, la propriété des données personnelles est le droit de contrôler/maîtriser ses données personnelles, même - et surtout ajouterons-nous - lorsque celles-ci sont consignées physiquement dans des documents en papier ou électro- niques dont tant la possession que la propriété échappent à la personne con- cernée. En ce sens, la propriété des données personnelles peut être considé- rée comme un synonyme du droit à l'autodétermination en matière informationnelle. ³⁷

En d'autres termes, l'acquéreur d'un support sur lequel des données per-

sonnelles sont consignées en devient le propriétaire au sens du droit civil sans forcément et pour autant en devenir le propriétaire des données personnelles qui y sont inscrites au sens du droit à J'autodétermination en matière de données personnelles.

36 Thomas Hoeren, Sieben Beobachtungen und eine Katastrophe, sic! 2014, 212 ss (216);

Thomas Hoeren, Dateneigentum : Versuch einer Anwendung von § 303a StGB im Zivil- recht, MMR 2013, 486 ss; Flückiger, 2013 (o. 18), 858 ss; Elia Schunck, Propertisie- rung von Personendaten?, digma 2013, 66 ss.

37 Si et dans la mesure où le droit â l'autodétermination en matière de protection des don- nées devait déployer un effet horizontal direct, cf. Fliickiger, 2013 (n. 18), 862.

177

(23)

HU ·~·HUU\.I.Iv\. (lvlUvllC Cil llldtll::ll: uc JJIUU::CllOil Ot:S oonnecs

Chambre administrative de la Cour de justice genevoise - Arrêt ATA/717/2013 du 29 octobre 2013-Obligation de radier des données per- sonnelles dans un dossier de police.

La cheffe de la police a refusé de radier du dossier de police des données personnelles relatives à une procédure pénale classée sans inculpation. La Chambre administrative de la Cour de justice a admis le recours de la personne concernée.

(c. 3) La conservation de renseignements dans les dossiers de police porte une atteinte pour le moins virtuelle à la personnalité de l'intéressé, car ces renseignements peuvent être utilisés ou consultés par les agents de la police, être pris en considération lors de demandes d'infonnations présentées par certaines autorités, voire être transmis à ces dernières.

( c. 4 d) La personne concernée par des données personnelles a le droit d'y accéder (art. 3A al. 1 LIPAD) et d'obtenir des autorités la destruction de celles qui ne sont pas pertinentes ou nécessaires (art. 47 al. 1 let. a LJPAD).

( c. 7 et 8) En 1 'occurrence, la procédure ouverte par le Ministère public avait été classée le même jour sans que Je recourant, mis en cause, soit même entendu par la police ou un juge d'instruction. L'intégralité des pièces de l'enquête de police figurant dans le dossier de la procédure pénale restera en outre en main du Ministère public. Ces circonstances justifient de retour- ner la cause à l'autorité intimée pour qu'elle fasse détruire les données personnelles litigeuses.

D. Sort des preuves obtenues en violation de la législation sur la protection des données I. En procédure pénale

Obergericht de Zurich - Arrêt du 3février 2014 (Bliitter fiir Zürcherische Rechtsprechung [ZR] 2014, 34) (allemand) - Utilisation en procédure pé- nale de données obtenues en violation du droit de la protection des données (adresse IP).

Saisi d'une dénonciation par IFPI Suisse pour violation du droit d'auteur contre inconnu, respectivement contre l'utilisateur d'une adresse IP détermi- née auprès du fournisseur d'accès P à une date et à une heure précises, le Ministère public du canton de Zurich a rendu une décision de classement que I'IFPI a contestée avec succès auprès de l'Obergericht de Zurich.

178