Envoi de certificats de caisse de pension – Difficultés rencontrées dans la pratique

À l’occasion de notre contrôle auprès de AXA Winterthur concernée par l’arrêt du 10 avril 2012 du Tribunal administratif fédéral, nous avons pu constater que la caisse de pension avait modifié sa pratique conformément au jugement. Il apparaît néanmoins que d’autres acteurs de la prévoyance professionnelle n’ont pas encore changé leur pratique.

Dans son arrêt du 10 avril 2012, le Tribunal administratif fédéral (TAF) a posé des principes bienvenus en matière de transmission des données par les institutions de prévoyance suisses. Cet arrêt a notamment mis fin à la pratique, attentatoire aux droits de la personnalité des employés, qui consistait à transmettre - sous pli non fermé - les certificats de caisse de pension aux employeurs. Selon la jurisprudence désormais établie, les certificats doivent être remis de telle sorte que seule la personne assurée - à l'exclusion de tout tiers, notamment l'employeur - puisse prendre connaissance de leur contenu (cf. notre 20e rapport d'activités 2012/2013, ch. 1.7.2).

La notion de tiers a été centrale pour la résolution du problème. Bien que souvent utilisée dans la loi sur la protection des données (LPD), elle n'y est pas définie. Le TAF a dès lors clarifié la question à la lumière de la théorie de la fonction. Selon celle-ci, un tiers est toute personne qui, du point de vue de la nature de ses attributions au sein d'une entreprise, ne nécessite pas l'accès aux données personnelles en jeu pour accomplir ses tâches. L'exemple que donne le TAF pour illustrer ce cas est celui du chef de service qui prend connaissance, volontairement ou non, du dossier personnel d'un employé appartenant à un service différent.

Selon le TAF, cet état de fait est constitutif d'une communication de données à un tiers, quand bien même elle a lieu au sein de la même organisation. Une telle diffusion de l'information n'est légitime, du point de vue de la protection des données, qu'en présence d'un motif justificatif (à savoir la loi, le consentement, un intérêt prépondérant privé ou public), sans quoi la communication des données constitue une atteinte illicite à la personnalité de l'employé concerné.

En l'espèce, il a été retenu que les institutions de prévoyance professionnelle, indépendamment de leur forme juridique, remplissent des tâches publiques. Elles sont ainsi considérées comme des organes fédéraux lorsqu'elles accomplissent les obligations qui leur sont dévolues par la loi fédérale sur la prévoyance professionnelle vieillesse, survivants et invalidité (LPP). Ce constat est important, car suivant qu'un traitement est effectué par une entreprise privée ou l'administration publique, les dispositions applicables sont différentes.

En effet, le législateur a prévu des conditions plus restrictives en matière de traitements de données par les organes fédéraux. Seule une base légale peut justifier un traitement dans un cas pareil, contrairement aux privés qui bénéficient de plusieurs motifs justificatifs. En l'occurrence, le TAF a conclu qu'il n'existe aucune base légale permettant de déroger à l'obligation de garder le secret applicable en matière de prévoyance, et aucune justification de la communication des certificats aux employeurs ou à tout autre tiers ne peut ainsi être invoquée.

Rappelons de plus que les certificats des caisses de pension contiennent des informations qui dans les rapports de travail peuvent avoir une portée stratégique. On peut notamment y découvrir: les prestations de libre passage qu'apportent avec eux de nouveaux collaborateurs, les rachats d'années d'assurance, le prélèvement d'une partie de l'avoir pour l'acquisition d'un logement, si et quand l'avoir a changé suite à un divorce, les références à une éventuelle incapacité de travail temporaire, etc.; autant d'éléments qui peuvent être exploités à d'autres fins que celles de la prévoyance professionnelle.

L'institution doit par conséquent prendre toutes les mesures nécessaires pour garantir que les informations, parfois sensibles, de ses assurés ne soient pas divulguées lors de l'envoi. La sécurité des données doit être préservée, c'est un élément inhérent aux devoirs de diligence de l'institution de prévoyance. Concrètement, cela signifie que les certificats doivent être envoyés soit directement sous pli fermé à l'adresse privée des assurés, soit à l'employeur pour distribution dans une enveloppe cachetée portant le nom du destinataire et la mention «personnel».

Malgré une prise de position claire du TAF en la cause, des indications relatives à des manquements nous parviennent encore. Il convient de ce fait de rappeler que l'arrêt, bien qu'étant un acte individuel et concret ne concernant dans un premier temps que les parties au contentieux, constitue une précision du droit de la protection des données qui trouve une application générale et abstraite. La jurisprudence, ainsi développée, est par essence applicable à tous les acteurs concernés, favorisant simultanément la sécurité du droit.

Au vu de ce qui précède, nous continuerons de garder un oeil attentif sur les développements futurs dans ce domaine.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/21e-rapport-d-activites-2013-2014/envoi-de-certificats-de-caisse-de-pension--difficultes-rencontre.html