Moneyhouse collecte et publie des données personnelles à votre insu : explications détaillées
Il y a plusieurs semaines, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a demandé au Tribunal administratif fédéral (TAF) des mesures d’urgence (appelées en droit “mesures superprovisionnelles”) à l’encontre du site web Moneyhouse.ch. Le TAF avait dans un premier temps accédé à la demande du PFPDT, avant de lever ces mesures d’urgence plus tôt cette semaine. Moneyhouse est donc de retour aux affaires.
Que s’est-il passé avec le PFPDT et le TAF ?
Après avoir reçu plusieurs plaintes et/ou demandes de la part de citoyens suisses, le PFPDT a ouvert une procédure d’établissement des faits selon l’art. 29 de la loi fédérale sur la protection des données (LPD) afin de déterminer s’il y a lieu de rédiger une recommandation quant au traitement de données en cause.
La recommandation n’a pas d’effet juridiquement contraignant (ce n’est pas une décision administrative au sens de l’art. 5 de la loi fédérale sur la procédure administrative). La personne destinataire peut décider de l’appliquer ou de la rejeter. Si elle est acceptée, elle déploiera des effets juridiques sur le destinataire. Si elle est rejetée, le PFPDT peut porter l’affaire devant le TAF afin qu’il rende une décision juridiquement contraignante. La décision du TAF peut faire l’objet d’un ultime recours en matière de droit public au Tribunal fédéral.
Les mesures d’urgence accordées par le TAF au PFPDT peuvent être demandées pendant l’enquête de ce dernier (et pendant le procès) ; elles sont régies par la loi fédérale de procédure civile fédérale (art. 33 LPD et art. 79 et suivants PCF).
Malgré la vraisemblance d’une atteinte aux droits de la personnalité des personnes concernées, le TAF n’a pas jugé utile de maintenir les mesures d’urgence, car il estime qu’il appartient aux personnes concernées de demander la suppression de leurs données, à charge ensuite à Moneyhouse de les supprimer.
La décision du TAF est sans doute juridiquement correcte, mais elle n’est pas opportune. En effet, selon l’art. 29 LPD, le PFPDT établit les faits d’office ou à la demande de tiers lorsqu’une méthode de traitement est susceptible de porter atteinte à la personnalité d’un nombre important de personnes. Cette disposition vise clairement à pallier l’inefficacité des voies civiles classiques (art. 28 et suivants du Code civil suisse) dans un tel cas, puisque celles-ci sont individuelles et doivent donc être mises en oeuvre par chaque personne atteinte. Le PFPDT remplit alors un rôle d’intérêt public, qu’il a d’ailleurs honoré en ouvrant une enquête sur Moneyhouse. Le TAF semble avoir “oublié” le rôle que joue le PFPDT dans cette situation…
Que fait exactement Moneyhouse ?
Moneyhouse est un service proposé par l’entreprise suisse itonex SA. Ce service permet de procéder à des recherches d’informations sur des sociétés mais aussi des personnes physiques. Moneyhouse utilise des outils publics et officiels pour récolter des données (par exemple, le Registre du commerce pour des sociétés ou des personnes liées à des sociétés autrement que par un contrat de travail – Moneyhouse avait d’ailleurs déjà fait l’objet d’une procédure devant le TAF, mais ce dernier lui avait donné raison – ou le Registre foncier pour les propriétaires fonciers). Mais d’autres informations sont collectées auprès d’autres sociétés, notamment des sociétés de recouvrement, voire même des banques de données sur des locataires mauvais payeurs.
Ces données sont ensuite collectées puis offertes (en général contre paiement) aux personnes désireuses d’obtenir ces informations, par exemple une société avant d’accorder un crédit. Si les informations concernant principalement les entreprises sont en premier lieu demandées par des entreprises, rien n’empêche une personne comme vous et moi de demander à accéder aux informations que détient Moneyhouse (ou une autre société de renseignement économique) sur votre voisin(e), pour autant que vous ayez un intérêt particulier autre que la simple curiosité à obtenir ces informations.
Vous êtes très certainement concerné(e)
Pour vous en convaincre, je vous conseille fortement de regarder le reportage de la RTS concernant notre fichage simplement dans le cas où on n’aurait pas payé une facture dans le délai.
C’est légal de collecter des données me concernant sans mon consentement ?
La LPD limite les données qui peuvent être collectées. N’importe quelle information ne peut pas être collectée comme ça, au bon vouloir d’une personne, aussi bien intentionnée soit-elle. La LPD contient une série de principes à respecter. On y trouve en particulier :
- Le principe de la proportionnalité (art. 4 al. 2 LPD) qui implique que seules les données nécessaires pour atteindre le but visé peuvent être collectées et traitées. Dans le cas de Moneyhouse, toutes données se rapportant directement à votre situation financière peuvent être collectées.
- Le principe de la bonne foi (art. 4 al. 2 LPD) qui dispose que le traitement doit être transparent et reconnaissable pour les personnes concernées. Cela signifie qu’on doit avoir été informé de la collecte et du traitement ou pouvoir s’y attendre en fonction de la situation.
- Le principe de la finalité (art. 4 al. 3 LPD) qui dit que les données personnelles ne peuvent être traitées que dans le but qui a été indiqué lors de leur collecte, qui est prévu par une loi ou qui ressort des circonstances.
- Le principe de la reconnaissabilité de la collecte (art. 4 al. 4 LPD) qui impose que la collecte de données personnelles, et en particulier les finalités du traitement, doivent être reconnaissables pour la personne concernée.
- Le principe de l’information (art. 4 al. 5 LPD) qui déclare que lorsque son consentement est requis pour justifier le traitement de données personnelles la concernant, la personne concernée ne consent valablement que si elle exprime sa volonté librement et après avoir été dûment informée. Lorsqu’il s’agit de données sensibles et de profils de la personnalité (voir la définition à l’art. 3 LPD), son consentement doit être au surplus explicite.
- Le principe de l’exactitude des données (art. 5 al. 1 LPD) impose à la société de renseignements de s’assurer que les données qu’elle collecte sont correctes.
- Le principe du droit à la rectification immédiate de données (art. 5 al. 2 LPD) pour les personnes concernées lorsqu’elles sont inexactes.
- Le principe de la sécurité des données (art. 7 al. 1 LPD) qui oblige les sociétés de renseignements à prendre les mesures organisationnelles et techniques qui s’imposent pour éviter que des personnes non autorisées aient accès aux données et puissent les modifier.
- Et enfin le principe du droit d’accès (art. 8 LPD et art. 1 et 2 de l’Ordonnance relative à la loi fédérale sur la protection des données) qui permet à toute personne de demander à la société de renseignements de lui communiquer les données qui la concernent (à moins qu’un motif de l’art. 9 LPD ne puisse restreindre de droit d’accès).
Pour autant que ces principes soient respectés, Moneyhouse ou d’autres sociétés peuvent librement collecter et traiter des informations à notre sujet.
C’est légal de traiter ces données et de les fournir à des tiers ?
Poser la question, c’est y répondre. Oui, c’est légal.
La LPD dispose qu’un traitement de données ne porte pas atteinte à la personnalité si :
- la personne en question a donné son consentement, ou
- la personne (physique ou morale) qui traite les données peut faire valoir un intérêt prépondérant public ou privé à celui de la personne concernée, ou
- une loi le prévoit.
L’atteinte se définit généralement comme un trouble dans personnalité à cause du comportement d’un tiers. Pour déterminer si le traitement de données entraîne une atteinte à l’intégrité informationnelle de la personne concernée, il convient de prendre en compte les conséquences effectives et potentielles du traitement sur la personne. (Source : MEIER, Protection des données, Fondements, principes généraux et droit privé, Stämpfli Editions, Berne, 2011).
S’il est évident qu’aucun d’entre nous n’a donné son consentement à être fiché, c’est qu’un intérêt prépondérant existe ou qu’une autre loi autorise le traitement de données.
L’intérêt prépondérant existe sous de multiples formes. L’article 13 alinéa 2 de la LPD en fait une liste non exhaustive. Il dispose notamment que :
Les intérêts prépondérants de la personne qui traite des données personnelles entrent notamment en considération si :
a. le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant ; […]
c. les données personnelles sont traitées dans le but d’évaluer le crédit d’une autre personne, à condition toutefois qu’elles ne soient ni sensibles ni constitutives de profils de la personnalité et qu’elles ne soient communiquées à des tiers que si ceux-ci en ont besoin pour conclure ou exécuter un contrat avec la personne concernée ; […]
Ici, Moneyhouse ou d’autres sociétés de renseignement sont au bénéfice des deux paragraphes ci-dessus. Il est par contre incontestable que de telles sociétés n’ont en aucun cas le droit de traiter des données sensibles ou des profils de la personnalité sans votre accord exprès.
Que faire ?
Avant toute chose, il faut commencer par demander l’accès aux données qui vous concernent. Vous trouverez des lettres-type sur le site du PFPDT. Cela vous permettra de consulter toutes les données qui sont en possession de la société de renseignement et d’en connaitre l’origine.
Ensuite, vous avez le choix de laisser ces données là où elles se trouvent, de demander la rectification de celles qui sont inexactes (et donc d’interdire la communication de données inexactes) ou de demander la suppression de toutes les données vous concernant.
Cela étant, il faut avoir conscience qu’une société de renseignement a obtenu vos données auprès d’une personne, et qu’il faut également demander à cette personne d’obtenir l’accès à vos données (pour en connaitre l’origine) puis de lui demander la suppression, et ainsi de suite. Et je ne mentionne pas les autres sociétés de type Moneyhouse qui ont obtenu des données auprès d’autres personnes. Bref, vu le nombre d’intermédiaires, préparez-vous à envoyer beaucoup de lettres.
Enfin, il reste l’option législative en faisant pression sur nos chers partis politiques pour qu’ils modifient la LPD de façon à ce que cette pratique ne soit plus possible. (Encore faudrait-il mettre en balance la liberté économique et la protection des données, et déterminer laquelle a le plus de poids.)