La communication de données personnelles effectuée par Postfinance à un institut bancaire situé sur le territoire américain doit reposer sur un motif justificatif et la personne concernée doit être informée de manière appropriée. Suite à notre intervention, Postfinance a adapté sa pratique et proposé des mesures tenant compte de nos remarques.
Un client a donné l’ordre à Postfinance, par le biais de yellownet, de verser sur le compte d’une agence de voyages cubaine auprès d’une banque à Zürich une certaine somme en dollars américains. Le compte postal du client a été débité du montant en question, mais la société cubaine ne l’a pas reçu. Le client s’est adressé à Postfinance qui lui a répondu que son versement était bloqué par les autorités américaines en raison de l’embargo décidé à l’encontre de Cuba et que le montant se trouvait sur un compte du ministère des finances (U.S. Department of Treasury). Cette situation s’explique par le fait que les transactions en monnaies étrangères passent par un institut bancaire à l’étranger, dans le cas d’espèce un institut bancaire américain soumis à la législation américaine qui oblige cette banque à communiquer toutes les transactions financières touchant Cuba. Le client a indiqué à Postfinance que son versement concernait deux instituts financiers situés en Suisse (Postfinance et la banque à Zürich) et qu’il n’était indiqué nulle part sur le site «yellownet» que les transactions en monnaies étrangères à l’intérieur de la Suisse pourraient être effectuées via un Etat étranger.
Sur la demande de la personne concernée, nous avons analysé les traitements de données personnelles effectués par Postfinance dans le cadre de cette affaire. La loi fédérale sur la protection des données s’applique à la communication de données personnelles effectuée par Postfinance à la banque aux Etats-Unis. Par contre, les communications de données ultérieures effectuées par cette banque aux autorités américaines ne sont pas soumises à la législation suisse mais à la législation américaine. Postfinance n’est en droit de communiquer des données personnelles à la banque américaine qu’en présence d’un motif justificatif. Par motif justificatif, on entend le consentement de la personne concernée, un intérêt prépondérant public ou privé, ou une disposition légale. Dans le cas d’espèce, deux motifs justificatifs peuvent être envisagés: le consentement de la personne concernée ou un intérêt prépondérant privé. Pour être valable, le consentement doit toutefois être libre et éclairé. La personne concernée doit être ainsi clairement informée de la liste des données qui seront communiquées et du fait que celles-ci seront transmises dans un Etat qui ne dispose pas d’une législation sur la protection des données équivalente à la législation suisse. Elle doit également être informée du fait que le destinataire des données pourrait être tenu de les livrer aux autorités en vertu de la législation de l’Etat en question. Outre le consentement de la personne concernée, Postfinance peut également faire valoir un intérêt prépondérant privé à communiquer à la banque les données nécessaires à l’exécution du contrat passé avec son client. L’exigence de transparence - qui découle du principe de la bonne foi - nécessite cependant une information appropriée, notamment dans le cas où la personnalité de la personne concernée devrait se trouver gravement menacée en raison de l’absence d’une protection des données équivalente à celle qui est garantie en Suisse. En l’occurrence, nous avons constaté que l’information n’était pas suffisante. De plus, pour les communications régulières vers un destinataire se trouvant dans un Etat ne disposant pas d’une législation équivalente, le fournisseur de données personnelles doit garantir, par le biais d’un contrat avec le destinataire, un niveau de protection des données équivalent à celui garanti par la législation suisse.
Sur la base des résultats de notre analyse, nous avons demandé à Postfinance d’informer les personnes concernées de manière appropriée et de garantir par le biais d’un contrat avec le destinataire que les données communiquées seront traitées d’une manière adéquate. En réponse à notre demande, Postfinance a proposé des mesures qui tiennent compte de nos remarques. Postfinance communique à la banque correspondante à l’étranger uniquement le montant de la transaction, le nom et le numéro de compte de la banque destinataire en Suisse ainsi qu’un numéro de référence. Postfinance, après avoir obtenu une procuration de la personne concernée, intervient auprès des autorités étrangères en cas de blocage d’une transaction. Afin d’informer les personnes concernées, Postfinance modifiera la clause de protection des données, dans le cadre des prochaines adaptations des conditions générales.
[Juillet 2006]