Communications spontanées de données personnelles à d'autres services de la même administration (2015.1130)

Les communications spontanées utiles pour l'accomplissement des tâches de l'entité qui en est l'auteure sont autorisées si elles bénéficient d'une base légale expresse et qu'elles respectent les principes généraux de la protection des données. Mais si la communication spontanée est utile à l'accomplissement des tâches du service à qui elle est adressée, il suffit que ces dernières figurent clairement dans une base légale (formelle pour les données sensibles) et que les principes généraux de la protection des données, ainsi que les conditions des articles 26 (notamment l'absence de secret fiscal, professionnel, d'enquête (73 CPP), ou de fonction qualifié) et 30 CPDT-JUNE soient respectés. Plus les données sont sensibles, plus le degré de précision de la base légale est élevé.

Il n'est pas rare que dans le cadre de l'exécution de leurs tâches légales, des services découvrent des données personnelles susceptibles d'en intéresser d'autres.

S'il s'agit d'informations relatives à une infraction pénale, les personnes soumises à la loi sur le statut de la fonction publique (art. 22; RSN 152.510) sont tenues d'informer leur hiérarchie si elles acquièrent, dans l'exercice de leurs fonctions, la connaissance d'une infraction se poursuivant d'office. Celles soumises à la loi sur le personnel de l'État (art. 24; RSJU 173.11) doivent en faire de même, mais pour toutes les infractions. Dans le Canton de Neuchâtel la hiérarchie est tenue d'aviser sans délai le Ministère public (et non pas l'éventuel service concerné), alors que dans celui du Jura, elle décide de la suite à donner.

Dans les autres cas, lorsque par exemple, une entité chargée de traiter les questions de l'attribution de l'aide sociale, découvre des informations qui intéresseraient les autorités fiscales ou d'autres prestataires sociaux, sans qu'il s'agisse d'une infraction pénale, elle doit respecter ce qui suit :

Cette problématique soulève évidemment des questions relatives au respect des règles de la protection des données personnelles, ainsi que du secret de fonction. Les services hésitent souvent à communiquer des données personnelles, craignant de violer ces règles.

Le droit de communiquer des données personnelles dans ce cas de figure est principalement régi par les articles 25 et 26 CPDT-JUNE, ainsi que par les principes généraux de la protection des données (art. 16ss CPDT-JUNE).

Les services sont en droit de communiquer des données, d'office ou sur requête, notamment s'il existe une base légale ou si l'accomplissement par le destinataire d'une tâche légale clairement définie l'exige (art. 25 al. 1 CPDT-JUNE).

La communication de données est refusée ou restreinte lorsqu'un intérêt prépondérant public ou privé, en particulier de la personne concernée, l’exige ou qu'une base légale interdit la communication (26 al. 1 CPDT-JUNE).

Au vu de la limite imposée par cette dernière disposition, on peut s'interroger préalablement sur le rôle du secret de fonction dans les communications internes au sein d'une même administration.

Il est admis par la doctrine et la jurisprudence que le secret de fonction n'est pas opposable dans les rapports verticaux au sein d'une hiérarchie, mais qu'il l'est en revanche dans les rapports horizontaux au sein de l'administration, sauf dispositions contraires.

Dans le canton de Berne, il a été interprété que le secret de fonction non qualifié (secret de fonction qui n'est pas spécifique à certaines tâches et ne figurant pas dans des lex specialis, tel que le secret fiscal, des services sociaux, de la police) n'entre pas dans la notion de "aucune obligation de garder le secret ne s'y oppose" (art 10 LCPD, RS BE 152.04). Les autorités bernoises jugent que l'article 320 CP "a un but organisationnel: il établit qu'il n'appartient pas aux agents et aux agentes d'une branche de l'administration de déterminer ce qu'il convient de faire des informations portées à leur connaissance dans l'exercice de leur fonction. Le secret de fonction n'a donc pas pour but d'interdire par principe les échanges de données.". (Buchli Martin, Friederich Ueli, Guide Echanges d'informations entre les autorités, Berne, octobre 2012, p. 44 ss, pt. 1.10).

Se pose dès lors la question de savoir si ce raisonnement est transposable dans le droit jurassien et neuchâtelois puisque l'article 26 CPDT-JUNE contient une notion indéterminée similaire : "lorsqu'une base légale interdit la communication".

La lecture du rapport explicatif de la CPDT-JUNE offre la précision que "Cette disposition, qui n’existe pas dans la LPD-JU, s’inspire de l’article 21 LCPD, qui est lui-même repris du droit fédéral. Elle tempère quelque peu la portée de l’article 25 en fixant les cas dans lesquels une communication peut être refusée ou restreinte.". Or, le rapport explicatif de la LCPD neuchâteloise dit clairement que "une base légale interdit la communication; nous pensons en particulier à l'article 62 de la loi cantonale de santé du 6 février 1995 (RSN 800.1), qui renvoie à l'article 321 du code pénal (RS 311.0; secret professionnel, dont le secret médical), ou à l'article 20 de la loi cantonale sur le statut de la fonction publique (RSN 152.510; secret de fonction), ou à l'article 176 de la loi sur les contributions directes du 21 mars 2000 (RSN 631.0; le secret fiscal), ou encore au secret de fabrication ou d'affaires;" (BOGC, mai 2008-mars 2009, p. 964).

Puisqu'il s'agit d'une reprise du droit fédéral (article 19 al. 4 let. b LPD), la lecture du message accompagnant la LPD, offre quant à lui la précision que l'équivalent de l'article 25 CPDT-JUNE (communication des données) "constitue en quelque sorte une disposition générale sur l'entraide administrative et judiciaire et une disposition d'exécution du secret général de fonction. En effet, il détermine à quelles conditions les organes fédéraux peuvent communiquer des données personnelles." Mais il ajoute que l'article 19 aliéna 4 let. b LPD "réserve les obligations légales de garder le secret ou une des dispositions particulières de protection des données. Certains domaines, notamment celui des assurances sociales, connaissent des obligations spéciales de garder le secret; celles-ci n'autorisent la communication de données personnelles que dans des cas exceptionnels, expressément spécifiés par le Conseil fédéral (art. 50 LAVS (RS 831.10); art. 102 LAA (RS 832.20); art. 97 LACI sur l'assurance-chômage (RS 837.0), ainsi que l'article 125 de l'ordonnance sur l'assurance accidents (RS 832.202) et l'article 125 de l'ordonnance sur l'assurance-chômage (RS 837.02). De même, il existe déjà un certain nombre de dispositions de protection des données valables pour des domaines particuliers (ordonnance sur le registre central des étrangers (RS 142.215); celles-ci déterminent le cercle des destinataires des données et, quelquefois même, la nature des données qui peuvent être transmises. Ces dispositions doivent être considérées comme des normes spéciales […]"(FF 1988 425ss).

Ces précisions fédérales permettent de constater une incohérence dans le contenu du rapport neuchâtelois qui mentionne expressément le secret de fonction. Tout d'abord l'ancienne Loi cantonale neuchâteloise de protection des données (LCPD) est postérieure à la Loi neuchâteloise sur le statut de la fonction publique (LSt; RSN 152.510), qui excluait d'ores et déjà l'application du secret de fonction au sein de l'administration (art. 21 LSt et 11 RSt (RSN 152.511)). Ces derniers articles autorisent la communication de renseignements ou de documents à l'intérieur de l'administration lorsqu'elle est nécessaire à l'accomplissement des tâches du service. Pourquoi rappeler que l’article 26 CPDT-JUNE peut interdire une communication qui est déjà autorisée ? Il est sans doute fait référence au secret de fonction qualifié mentionné dans l'interprétation bernoise, exposée ci-dessus.

Ensuite, la prise en compte du secret de fonction dans la notion de bases légales interdisant la communication, remettrait en cause la logique de l'articulation entre secret de fonction et les règles de protection des données. Comme l'indique le message de la Confédération, il faut considérer les articles 25 al. 1 et 26 al. 1 CPDT-JUNE comme des lex specialis, des exceptions au secret de fonction, autorisant l'administration à échanger des données personnelles, sous certaines conditions. Il serait donc incohérent d'offrir une levée du secret de fonction à travers l'article 25 CPDT-JUNE pour le réintroduire par l'application de l'article 26 CPDT-JUNE. Cela reviendrait à annuler l'exception prévue par la première disposition.

À relever que l'article 13 de l'ancienne loi jurassienne de protection des données prévoyait expressément que le secret de fonction était réservé pour les communications de données personnelles. Ce qui avait amené l'ancienne Commission de protection des données à juger qu'une communication fondée sur l'accomplissement d'une tâche légale nécessitait une levée expresse du secret de fonction (RJJ 1995 p. 111 (120); décision du 12 septembre 2008 de la Commission cantonale jurassienne de protection des données à caractère personnel, consid. 5.4). Cependant, le commentaire à propos de l'article 25 CPDT-JUNE figurant dans le rapport accompagnant cette loi dit que "cet article reprend l’article 14 LCPD, car sa terminologie est plus récente et analogue à la législation fédérale ; elle correspond pour l’essentiel au contenu des articles 13 et 14 LPD-JU, même si elle en diffère par sa structure". Cette affirmation démontre qu'il a été expressément voulu que l'article 25 CPDT-JUNE s'écarte de l'ancien article 13 de l'ancienne loi jurassienne de protection des données et par conséquent, de la jurisprudence qui en a découlé.

En conclusion de ce point, le secret de fonction n'entre pas dans les bases légales interdisant les communications auxquelles fait référence l'article 26 CPDT-JUNE. Une communication de données personnelles doit donc s'examiner avant tout à la lumière des articles 25 et 26 CPDT-JUNE en faisant abstraction du secret de fonction prévu dans la LSt (art. 20) et la loi jurassienne sur le personnel (art. 25).

Reste encore à déterminer si la formulation de l'article 25 al. 1 CPDT-JUNE permet les communications spontanées de données personnelles à d'autres services de la même administration. 

À nouveau, il est considéré dans le canton de Berne que "Les communications spontanées utiles pour l’accomplissement des tâches de l’autorité qui en est l’auteure sont autorisées même si elles n’ont pas de base dans la législation spéciale. Mais si la communication spontanée est utile à l’accomplissement des tâches du service à qui elle est adressée, il faut qu’elle repose sur une base légale qui l’autorise explicitement ou la rend obligatoire."  (Buchli Martin, Friederich Ueli, Guide Echanges d'informations entre les autorités, Berne, octobre 2012, p. 51). Cette considération est fondée sur l'article 10 al. 1 de la loi bernoise (LCDP, RSB 152.04) qui ne prévoit des communications que si l'autorité responsable y est obligée ou autorisée par la loi pour accomplir ses tâches ou qu'une autorité le demande.

L'art. 36 LPD, comme le texte bernois, ne prévoit également pas expressément les communications spontanées. C'est pourquoi, la doctrine affirme que la communication ne peut se faire que sur demande (^{Astrid Epiney, in Commentaire romand, Loi fédérale sur la protection des données, 2023, art. 36 n. 26.}).

En renvanche, l'article 25 al. 1 CPDT-JUNE prévoit expressément que les communications peuvent se faire, d'office ou sur requête, s'il existe une base légale ou si l'accomplissement par le destinataire d'une tâche légale clairement définie l'exige.

Cette différence de rédaction conduit concrètement à une inversion des conditions pour les entités soumises à la CPDT-JUNE. Autrement dit, les communications spontanées utiles pour l'accomplissement des tâches de l'entité qui en est l'auteure sont autorisées si elles bénéficient notamment d'une base légale. Mais si la communication spontanée est utile à l'accomplissement des tâches du service à qui elle est adressée, il faut au moins que ces dernières figurent clairement dans une base légale.

En conclusion finale et au vu de ce qui précède, les communications spontanées utiles pour l'accomplissement des tâches de l'entité expérditrice sont autorisées si elles bénéficient d'une base légale et qu'elles respectent les principes généraux de la protection des données. Mais si la communication spontanée est utile à l'accomplissement des tâches du service destinataire, il suffit que ces dernières figurent clairement dans une base légale (formelle pour les données sensibles) et que les principes généraux de la protection des données, ainsi que les conditions des articles 26 (notamment l'absence d'intérêts privés prépondérant, de secret fiscal, professionnel, d'enquête (73 CPP) ou de fonction qualifié) et 30 CPDT-JUNE soient respectés. Plus les données sont sensibles, plus le degré de précision de la base légale est élevé.

À propos de l'intérêt privé prépondérant prévu à l'article 26 CPDT-JUNE, le PPDT est d'avis que l'intérêt public relatif à la sauvegarde des deniers de l'Etat ou au respect de la bonne foi dans les relations avec l'administration devrait, en principe, être jugé prépondérant à celui d'un administré qui n'aurait pas communiqué toutes les données personnelles exigées par un service devant contrôler activement son droit à une prestation ou à une autorisation. En cas de doute, l'administration est invitée à appliquer une procédure similaire à celle décrite sur cette page : droit d'opposition et d'être entendu. Autrement dit, offrir le droit d'être entendu à la personne concernée et la possibilité de saisir le PPDT.

À relever enfin que si une entité soumise à la CPDT-JUNE a besoin de communiquer des données personnelles à un autre service de la même administration, elle peut examiner la question sous l'angle des règles sur la transparence (art. 57 ss CPDT-JUNE).

Dans le cas spécifique des personnes chargées d'appliquer la loi cantonale sur l'action sociale (LASoc; RSN 831.0; Loi sur l'action sociale (RSJU 850.1), la qualification du secret auquel elles sont tenues varie entre les cantons du Jura et de Neuchâtel.

En rédigeant l'étendue du secret ainsi (art. 11 Loi sur l'action sociale) :

Les membres des autorités et les employés de l'action sociale sont soumis au secret de fonction; les autres personnes chargées de tâches d'action sociale sont tenues de respecter le même devoir de discrétion.

Le législateur n'a pas souhaité imposer un secret qualifié. Selon le journal des débats (séance du 15 novembre 2000, n°19, p. 782), cet article 11 a pour objectif de soumettre l'ensemble des personnes chargées de tâches d'action sociale au secret de fonction. Par conséquent, l'exception de l'article 26 al. 1 let. b CPDT-JUNE n'est pas applicable.

La rédaction du secret en matière d'aide sociale est différente dans le Canton de Neuchâtel (art. 28 LASoc) :

¹Les membres des autorités et les personnes chargées de l'aide sociale sont tenus à un devoir général de réserve et de discrétion.

²Ils ne peuvent divulguer sans l'accord de l'intéressé ou de l'autorité compétente les faits dont ils ont eu connaissance dans le cadre de leur activité et qui doivent rester secrets. Des renseignements et documents peuvent toutefois être communiqués à l'intérieur des collectivités publiques ou entre elles, lorsque cette communication est nécessaire à l'exécution de leur tâche.

³Demeurent en outre réservées les dispositions particulières applicables en matière de secret de fonction.

Selon le rapport accompagnant la loi (BOGC NE, mai 1996-novembre 1996, p. 571), l'article 28 LASoc :

institue un devoir général de réserve et de discrétion. En effet, le secret de fonction vise avant tout à protéger l’Etat et non pas le bénéficiaire d’un service social. En outre, se référer aux règles professionnelles comporte un certain danger dans la mesure où les divers codes de déontologie qui existent ne sont pas immuables. La notion de divulgation limitée des faits a donc été inscrite au deuxième alinéa.

Il est néanmoins précisé que :

Toutefois, cette limitation pourrait servir de prétexte à certains pour ne pas transmettre les informations et les renseignements nécessaires au bon fonctionnement des collectivités publiques concernées. La seconde partie du deuxième alinéa tend à régler cette question en s’inspirant de ce que prévoit l’article 11, alinéa 1, de la loi sur la protection de la personnalité, du 14 décembre 1982.

La loi à laquelle il est fait référence mentionnait ceci :

¹La communication des données est limitée aux seuls utilisateurs prévus dans la déclaration; ceux-ci ne peuvent utiliser ces données que dans l'accomplissement de leur tâche.

²Sur demande écrite adressée à l'exploitant, des données, renseignements ou documents peuvent toutefois être communiqués à l'intérieur des collectivités publiques ou entre elles lorsque cette communication est nécessaire à l'exécution de leur tâche.

À relever que cette loi prévoyait que tous les traitements par des autorités cantonales devaient être déclarés préalablement au Conseil d'Etat. On constate particulièrement qu'elle ne parle à aucun moment d'une communication spontanée. Bien au contraire, elle exige une demande écrite pour qu'une transmission puisse avoir lieu.

Par conséquent, il ressort de ces passages que le législateur a instauré un secret qualifié, mais pas absolu. Cependant, au vu de l'évolution de la jurisprudence, l'exception prévue permettant à une autorité nécessitant certaines données pour l'accomplissement de ses tâches légales, de les obtenir auprès de personnes chargées de tâches d'action sociale, ne semble plus répondre aux exigences de la protection des données. Une base légale prévoyant la communication de données sensibles nécessite davantage de précisions (voir aussi cet avis).

En conclusion, ces dernières ne sont pas en droit de communiquer spontanément des informations utiles à l'accomplissement de tâches légales d'une autre entité.