Communication aux autorités américaines de données concernant des collaborateurs

Diverses banques ont transmis aux autorités des Etats-Unis des documents qui contenaient des noms, adresses de courriel et numéros de téléphone de collaborateurs actuels ou anciens ainsi que de tierces personnes. Nous avons pour cette raison procédé à un examen des faits auprès des cinq banques concernées, à la suite duquel nous avons émis des recommandations demandant aux banques d’adopter une démarche plus transparente.

Dans le cadre de négociations en cours avec les Etats-Unis, plusieurs banques suisses avaient transmis aux autorités de ce pays des documents concernant des affaires traitées avec des clients américains. Ces documents contenaient entre autres les noms d'actuels ou d'anciens collaborateurs ainsi que de tierces personnes. Plusieurs de ces personnes se sont adressées à nous. Après avoir appris que d'autres communications de données avaient été effectuées par des banques, nous avons décidé en août 2012 d'effectuer un examen des faits afin de tirer au clair les questions touchant à la protection des données. Le but de cette procédure était d'obtenir une vue d'ensemble des communications de données effectuées afin de pouvoir évaluer si celles-ci avaient violé des droits de la personnalité ou de déterminer comment on pouvait mieux protéger les personnes concernées.

Cet examen des faits nous a mené à avoir des entretiens avec le Secrétariat d'Etat aux questions financières internationales, la FINMA et l'Office fédéral de la justice. On nous y a exposé les considérants qui ont amené le Conseil fédéral à prendre ses décisions concernant la coopération des banques avec les autorités des Etats-Unis. Nous avons également reçu les banques impliquées. Comme première mesure, nous leurs avons demandé d'adopter une attitude transparente envers leurs collaborateurs afin de protéger les personnes concernées. Les banques se sont engagées en conséquence, pendant la durée des enquêtes en cours, à informer les collaborateurs avant chaque livraison de documents aux autorités américaines au cas où leur nom devait y figurer. Les banques ont en outre dû remplir un questionnaire et nous fournir une description de la procédure appliquée pour la livraison des documents et l'information des collaborateurs. Dans quelques-unes des banques, nous nous sommes rendus sur place afin de nous faire présenter la démarche appliquée pour la sélection des documents et la procédure relative à l'information et au droit d'accès des collaborateurs.

Sur la base des documents qui nous ont été remis et des explications données, et au vu des organes fédéraux impliqués, nous avons conclu que les communications de données étaient compréhensibles dans le contexte d'un intérêt public prépondérant. On nous a expliqué de manière crédible que les banques risquaient de subir de graves conséquences au cas où elles refuseraient de transmettre les informations demandées par les autorités américaines. Dans nos recommandations, nous avons donc approuvé l'intérêt public prépondérant, qui est une condition préalable à la communication de données personnelles vers un pays ayant un niveau de protection des données insuffisant. Dans le même temps, nous avons cependant clairement démontré que les banques n'ont pas agi en conformité avec les exigences de la protection des données lors des livraisons de données déjà effectuées. Ainsi, les instituts n'ont pas tous informé toutes les personnes concernées des livraisons de données imminentes. D'autre part, l'accès aux documents transmis n'a pas été donné à toutes les personnes concernées. C'est pour cette raison que nous avons inclus dans nos recommandations l'exigence envers les banques de donner aux personnes concernées (collaborateurs actuels ou anciens ainsi que tiers externes) l'accès aux documents qui ont déjà été livrés. Pour toute livraison future de données aux autorités américaines, les banques devront informer les personnes concernées à l'avance sur l'envergure et la nature des documents devant être transmis ainsi que sur la période dont ces derniers datent. Les banques doivent également informer les anciens employés et les parties externes, dans la mesure où ceci est possible moyennant un effort raisonnable.

Elles doivent ensuite accorder aux personnes concernées un délai raisonnable, dans lequel elles peuvent demander des renseignements sur tous les documents qui les concernent. Si la personne se prononce envers la banque, suite aux renseignements obtenus, contre une transmission des documents qui contiennent son nom, la banque devra peser les intérêts en jeu pour le cas d'espèce. Si une banque désire néanmoins transmettre les documents avec le nom de la personne concernée, elle devra l'informer de cette livraison ainsi que de ses droits.

Toutes les banques impliquées ont accepté nos recommandations (en allemand).

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/20e-rapport-d-activites-2012-2013/communication-aux-autorites-americaines-de-donnees-concernant-de.html