Liste noire des locataires d'immeubles d'entités soumises à la CPDT-JUNE (2013.0529)

Les gérances d'immeuble soumises à la CPDT-JUNE ne sont pas en droit d'établir des "listes noires" des personnes qu'elles ont expulsées et de se les échanger. En revanche, une entité propriétaire peut établir une telle liste et échanger des informations avec les gérances qu'elle a mandatées.

Certaines entités/gérances soumises à la CPDT-JUNE souhaiteraient établir et échanger des "listes noires" de locataires qu'elles ont fait expulser.

Préalablement, il faut se rappeler que les gérances communales sont en principe soumises à la CPDT-JUNE parce qu'elles constituent des services communaux, conformément à l'article 2 let. b CPDT-JUNE.

L'établissement et l'échange de données étant deux traitements bien distincts, ils seront développés séparément ci-après :

Etablissement d'une "liste noire" des locataires des immeubles appartenant à des entités

Certaines entités propriétaires d'immeuble(s) désirent établir une liste noire de leurs anciens locataires ayant fait l'objet de décision d'expulsion.

En ce qui concerne la récolte et le stockage de données, il suffit  que cela soit nécessaire pour l'accomplissement d'une tâche légale (art. 16 CPDT-JUNE). Il n'est pas exigé que cette dernière soit clairement définie. Il suffit de respecter le principe de la proportionnalité. Plus l'atteinte est conséquente et plus la tâche devrait être clairement définie.

Par exemple, l'article 50 de la Loi instituant une Caisse de pensions unique pour la fonction publique du canton de Neuchâtel (LCPFPub; RSN 152.550) prévoit que  "La fortune de la Caisse est administrée de manière à garantir la sécurité des placements, un rendement raisonnable, une répartition appropriée des risques, la couverture des besoins prévisibles de liquidités tout en veillant à préserver l'équilibre des investissements dans les différentes régions du canton et en étant attentif aux principes de développement durable" devrait constituer une tâche légale justifiant l'établissement d'une liste noire des personnes expulsées. En effet, pour assurer un rendement raisonnable des immeubles, il est nécessaire d'éviter les locataires qui pourraient l'influencer négativement, telles que les personnes ayant déjà fait l'objet de procédure d'expulsion.

Quant à l'art. 400 du Code des obligations (CO, RS 220), il prévoit que les gérances mandatées ont l'obligation de renseigner le mandant, notamment à propos des difficultés rencontrées avec des locataires.

Les entités propriétaires bénéficient donc des bases légales pour traiter les données des personnes expulsées de leurs immeubles, sous réserve du respect des autres principes de la protection des données.

Pour plus de précisions concrètes à ce propos, il suffit de suivre l'avis du préposé fédéral à la protection des données (PFPDT) à propos de la liste noire dans la restauration et l'hôtellerie (à la page 108 du rapport). Concrètement,  les entités propriétaires d'immeuble(s) peuvent établir une liste noire des locataires expulsés qui remplissent les conditions posées par la PFPDT.

Elles peuvent communiquer cette liste à leurs mandataires, pour autant que les conditions de l'article 54 CPDT-JUNE soient remplies.

Le mandat doit notamment prévoir expressément cette communication et l'assurance que le mandataire s'engage à ne pas utiliser ces données à d'autres fins que celle de la gestion des immeubles du mandant.

Echanges de listes noires entre les gérances soumises à la CPDT-JUNE

Des gérances soumises à la CPDT-JUNE souhaiteraient échanger leurs listes noires de leurs anciens locataires ayant fait l'objet de décisions d'expulsion.

Bien qu'il s'agisse de liste de locataires, la loi fédérale sur la protection des données (LPD; 235.1) n'est pas applicable car les conditions de la restriction de l'application de la CPDT-JUNE (art. 15 let. c) ne sont pas remplies. La liste noire prévue n'est pas destinée à un usage exclusivement interne à l'entité qui la constitue.

Aucune base légale ne prévoit expressément l'échange de telles informations entre les entités concernées.

Toutefois, l'article 25 al.1 let.a CPDT-JUNE permet les  communications si l'accomplissement par le destinataire d'une tâche légale clairement définie l'exige.

Les jurisprudences, citées ci-dessous, de l'ancienne Commission cantonale jurassienne de la protection des données, et celles relatives à la LPD auxquelles elles renvoient, ne sont pas directement transposables pour interpréter cette disposition. Les lois faisant l'objet de ces décisions ne sont pas rédigées de manière identique à ces dernières.

En effet, la LPD prévoit qu'un traitement ne peut être fondé sur l'accomplissement d'une tâche légale que dans un cas d'espèce (art. 19 al. 1 let. a). Le message à propos de cette disposition précise que "la restriction aux cas d'espèces implique qu'il ne saurait y avoir de consultation permanente d'un fichier sans base juridique; partant, sont bannis et l'accès en ligne et la fourniture systématique de listes. Par cas d'espèce au sens de la lettre a, on entend la communication de données à une finalité unique". Bien que l'ancienne loi jurassienne ne contenait pas la notion  "en l'espèce",  la Commission a affirmé qu'une communication régulière et généralisée était exclue sur le fondement de la tâche légale (RJJ 2008 p. 93 (108) consid. 5.3; RJJ 1999 p. 117 (128) consid. 3c).

L'article 25 al. 1 let. a CPDT-JUNE n'est pas aussi exigeant puisqu'il ne contient pas la notion  "en l'espèce".  Mais surtout cette disposition a repris intégralement le texte de l'ancienne loi neuchâteloise. Or, le rapport explicatif accompagnant cette loi dit que "Le principe de la légalité est également respecté s'il existe une relation claire entre un traitement de données et l'accomplissement d'une tâche légale pour laquelle il est effectué, sans que le traitement de données ait été prévu expressément. Conformément au principe de proportionnalité, le niveau de la base légale et son degré de précision dépendront de différents facteurs, notamment des catégories de données traitées, du domaine d'activité du maître du fichier, des catégories de personnes concernées, des risques d'atteinte aux droits de la personnalité, du fait que des données sont ou non communiquées à  des tiers, de la taille du fichier et du nombre plus ou moins grand de personnes membres d'une ou plusieurs autorités ayant accès aux données" (BOGC mai 2008-mars 2009, p. 955)

Cette interprétation s'impose d'autant plus que l'article 28 CPDT-JUNE prévoit qu'une communication en ligne (procédure automatisée permettant à un tiers de disposer de données sans l’intervention de celui qui les communique) est possible si une entité en a régulièrement besoin pour l'accomplissement des tâches légales qui lui incombent, pour autant que l'exécutif cantonal concerné l'autorise, après consultation du PPDT.

Par conséquent, la CPDT-JUNE permet d'autoriser un traitement régulier s'il est nécessaire à l'accomplissement d'une tâche légale clairement définie.

Toutefois, selon la jurisprudence, si le destinataire des informations n'est pas en mesure d'accomplir une tâche légale, clairement définie, sans la connaissance des données pertinentes, il lui incombe d'établir que le besoin d'obtenir les informations pour exécuter ses tâches légales répond à une nécessité absolue (Arrêt de la Cour administrative jurassienne ADM 65/2012 du 25 octobre 2012, consid. 4.3; RJJ 199 p. 106 (110) consid. 2).

En l'occurrence, la condition de l'existence de tâches clairement définies fait manifestement défaut à l'heure actuelle. Il n'existe pas de règles imposant aux gérances soumises à la CPDT-JUNE de s'assurer de ne pas prendre des locataires "à risques", ou d'agir d'une manière similaire.

Autrement dit, les gérances soumises à la CPDT-JUNE ne sont dès lors pas en droit de s'échanger des listes noires, à moins qu'elles bénéficient d'une tâche légale ou d'une base légale.

De plus, les mandataires d'une même entité n'osent en aucun cas s'échanger directement des données à propos des immeubles de leur mandant.