Hanspeter Thür, le préposé fédéral à la protection des données et à la transparence, a écrit aux banques ayant transmis le nom de certains de leurs collaborateurs aux autorités américaines. Il va également s’adresser à l’Association suisse des banquiers (ASB) et à l’Association des banquiers privés suisses (ABPS). «Notre message est d’insister pour dire que la transmission de données personnelles pose des problèmes de compatibilité avec la loi», indique-t-il pour expliquer sa démarche.

Les employés, eux, ont été nombreux à s’adresser au préposé. «Nous leur avons dit qu’ils avaient le droit de savoir s’ils étaient concernés.» Hanspeter Thür a précisé au Temps quelques-uns des points les plus importants sur le plan juridique pour apprécier si les banques sont, comme elles le soutiennent, en droit de livrer au Département américain de la justice (DoJ) des informations contenant l’identité de collaborateurs.

Tout d’abord, selon Hanspeter Thür, la loi fédérale sur la protection des données est bel et bien applicable, en dépit de son article 2 selon lequel elle ne concerne pas les «procédures pendantes civiles, pénales, d’entraide judiciaire internationale ainsi que de droit public et de droit administratif […]». La position de Hanspeter Thür est claire: la loi ne serait hors jeu que si la transmission des données s’était effectuée dans une procédure formelle d’entraide judiciaire ou d’assistance administrative. Or on sait que les banques n’ont précisément pas agi dans ce cadre, mais qu’elles ont répondu aux demandes pressantes du DoJ en vue de la conclusion d’un accord extrajudiciaire pour échapper à des poursuites pénales.

Les banques, selon nos informations, estiment pouvoir se fonder sur une disposition particulière de la loi sur la protection des données, l’article 6 alinéa 2 lettre d) qui autorise exceptionnellement la transmission de données à l’étranger. L’opération est soumise à un régime restrictif, pour éviter que les données, une fois à l’étranger, soient hors de tout contrôle. Parmi les motifs qui rendent légale la communication de données à l’extérieur des frontières, la loi mentionne le cas où la transmission est «indispensable, soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, l’exercice ou la défense d’un droit en justice».

«Ce serait alors aux banques de prouver que ces conditions sont remplies, observe Hanspeter Thür. Or, je ne crois pas que la transmission des données nominatives ait été effectuée dans le cadre d’une procédure judiciaire formelle. Il n’est pas possible de pratiquer une forme de quasi-entraide hors de toute procédure. Au surplus, on peut se demander si l’on est vraiment en présence d’un intérêt public prépondérant, car c’est avant tout l’intérêt des banques elles-mêmes qui est en jeu.» Pour l’heure, les banques impliquées discutent avec le Département américain de la justice d’un accord extrajudiciaire. Wegelin, cependant, a déjà fait l’objet d’un acte d’inculpation et a été sommée de répondre en justice.

Quoi qu’il en soit, les principes généraux de la loi restent valables. En particulier, des données personnelles ne peuvent être traitées que conformément au but dans lequel elles ont été collectées. «Les employés concernés n’ont pas été informés et n’ont pas donné leur consentement à ce que leur identité soit révélée aux autorités américaines», souligne Hanspeter Thür.

Quant à la décision prise par le gouvernement d’autoriser les banques à coopérer avec les autorités américaines, le cas échéant en transmettant l’identité de collaborateurs, elle n’a pas fini d’attiser le débat. Cette décision, aux yeux de Hanspeter Thür, ne peut pas justifier à elle seule que des données personnelles soient transmises. Le gouvernement s’est fondé sur une disposition du Code pénal qui réprime les actes exécutés sans droit, sur le territoire suisse, pour le compte d’un Etat étranger. Le Conseil fédéral peut effectivement donner sa permission, et l’acte en question n’est alors plus punissable. Mais pour Hanspeter Thür, cette règle du Code pénal ne tranche en rien la question d’une éventuelle atteinte à des intérêts personnels protégés par la loi sur la protection des données. «C’est une manœuvre dangereuse pour les banques elles-mêmes, car ce sont elles qui en supporteront les risques juridiques.»

«Ce serait alors aux banques de prouver que ces conditions sont remplies»