Lexipedia

04.1064 · Question · 2004-06-01

Chancellerie fédérale

Liquidé

Wortlaut

Dans une lettre datée du 14 janvier 2004, le préposé fédéral à la protection des données constate que, dans le cas de commerçants qui lui avaient signalé qu'un opérateur d'un niveau commercial plus élevé avait transmis des données de clients à d'autres personnes, il ne devait pas prendre de mesure particulière puisque aucune prescription sur la protection des données n'avait fait l'objet d'une infraction grave.

1. Le Conseil fédéral estime-t-il que, dans un système de distribution vertical, la transmission de données de clients par un opérateur de niveau plus élevé, qui se ferait sans l'accord exprès de ces clients, ne constitue pas une infraction grave aux dispositions sur la protection des données et qu'aucune mesure n'est nécessaire ?

2. Estime-t-il que l'utilisation de données de clients à une toute autre fin que celle pour laquelle elles avaient dû être transmises à un opérateur de niveau supérieur dans un système de distribution vertical ne constitue pas une infraction grave aux dispositions sur la protection des données, sachant en plus qu'un entrepreneur indépendant a été dessaisi de données de clients sans avoir été indemnisé ?

3. Estime-t-il que le préposé fédéral à la protection des données a répondu suffisamment vite (il lui a fallu trois mois et demi) aux personnes qui lui avaient signalé le fait alors que la réponse qu'elles attendaient était capitale pour la survie de leur entreprise ?

4. Est-il selon lui correct que des entreprises - il s'agit ici exclusivement de petites ou de moyennes entreprises - soient contraintes de s'adresser au juge civil pour des questions aussi importantes qui sont à l'évidence de la compétence du préposé fédéral à la protection des données ?

Stellungnahme des Bundesrates

Contexte : à l'occasion de la réorganisation de son réseau de concessionnaires, un importateur d'automobiles a fait savoir aux clients d'un garagiste qui représentait la marque jusque-là que la concession en question était devenue caduque. En même temps, il proposait aux propriétaires de véhicules de la marque de s'adresser à un nouveau concessionnaire. Dans la même lettre, l'importateur précisait que les propriétaires de véhicules avaient la possibilité de s'opposer au transfert de leurs données-clients vers le nouveau représentant de la marque. La question qui se pose est de savoir si l'importateur avait le droit d'utiliser les données-clients de son ancien concessionnaire pour les transmettre au nouveau représentant, ou s'il a enfreint de ce fait la loi fédérale sur la protection des données (LPD ; RS 235.1).

Dans son exposé des faits, le préposé fédéral à la protection des données relève :

1. que c'est avec l'accord des propriétaires de véhicules concernés que le garagiste (représentant la marque jusque-là) a transmis les données-clients à l'importateur, pour les besoins du marketing ;

2. que l'importateur d'automobiles a communiqué par écrit aux propriétaires concernés qu'il prévoyait de remettre leurs données-clients au nouveau représentant de la marque et que le but du traitement de ces données allait de ce fait être modifié ;

3. que l'importateur a donné aux propriétaires de véhicules la possibilité de s'opposer au transfert des données les concernant ; si les personnes en question n'ont pas fait usage de cette possibilité, leur renonciation équivaut à un consentement tacite au transfert des données ;

4. que le transfert de données mis en cause ici, à savoir celui qui s'est effectué entre l'importateur et le nouveau représentant, n'a pas enfreint les principes énoncés par la LPD ;

5. que la LPD n'accorde au précédent représentant de la marque aucun droit sur les données-clients qu'il a communiquées à l'importateur dans le cadre défini par les prescriptions relatives à la protection des données (c'est-à-dire avec l'accord préalable des personnes concernées).

Réponse aux questions :

1. Non : la LPD ne prévoit aucune exigence particulière quant à la forme que doit prendre une déclaration de consentement. L'accord de la personne concernée, par exemple par un transfert de données-clients, peut être obtenu explicitement ou tacitement. Les exigences en matière de consentement applicables à un cas particulier dépendent notamment du caractère plus ou moins sensible des données personnelles à traiter. Dans le cas qui nous occupe, l'opérateur commercial de l'échelon supérieur a informé les clients du fait qu'il entendait transférer leurs données et il leur a donné la possibilité de s'y opposer dans un délai déterminé. D'ailleurs, les données-clients en question ne peuvent pas être considérées comme des données personnelles particulièrement dignes de protection. Le consentement explicite des clients au transfert des données les concernant n'était donc pas nécessaire. Le consentement tacite d'un client peut à bon droit être considéré comme valable au sens de la LPD.

2. Lorsqu'un opérateur commercial d'un échelon inférieur transmet à l'échelon supérieur, en respectant les prescriptions en vigueur, les données-clients qu'il a recueillies, la loi ne lui accorde aucun droit de regard sur le traitement ultérieur des données par l'opérateur de rang supérieur. Conformément à la LPD, seules les personnes concernées (les clients, en l'occurrence) ont le droit d'intervenir dans la procédure de traitement ultérieure. Seul un client peut donc s'opposer à ce que les données le concernant soient transmises à un nouveau distributeur ; l'opérateur commercial de rang inférieur ne le peut pas. Avec le consentement du client, l'opérateur de rang supérieur est autorisé à transmettre les données même si la destination première de leur traitement devait se trouver modifiée.

3. Le délai de réponse à une demande émanant d'un tiers dépend, d'une part, de la quantité de travail que demande l'étude du cas particulier soumis au préposé fédéral à la protection des données et, de l'autre, du volume des affaires courantes que son secrétariat doit traiter. La LPD (art. 26) prévoit que le préposé s'acquitte de ses tâches de manière autonome. C'est pourquoi le Conseil fédéral renonce en principe à s'exprimer au sujet de la durée que prend l'établissement des faits par le préposé.

4. Dans le cas qui nous occupe, le préposé a reconnu d'emblée sa compétence pour ce qui est des aspects relevant de la législation sur la protection des données. La preuve en est qu'il a immédiatement procédé à l'établissement des faits, comme le prévoit la loi, et entrepris un examen exhaustif des aspects légaux de la question. Bien qu'il ait effectivement la possibilité d'émettre des recommandations fondées sur ses interprétations et qu'il puisse soumettre un cas à la décision de la Commission fédérale de la protection des données (art. 29 al. 3 et 4 LPD), le préposé n'a pas jugé nécessaire en l'occurrence de formuler une recommandation. Conformément à l'article 15 LPD, les personnes concernées ont par ailleurs la possibilité d'agir en justice pour faire valoir leurs droits.

Réponse du Conseil fédéral.