BGE-141-III-119

Urteilskopf

141 III 119

18. Extrait de l'arrêt de la Ire Cour de droit civil dans la cause A. SA contre B. et C. (recours en matière civile) 4A_406/2014 / 4A_408/2014 du 12 janvier 2015

Regeste (de):

Art. 8 Abs. 5, Art. 9 Abs. 1 und 4 DSG, Art. 1 Abs. 3 VDSG, Art. 47 BankG; Verpflichtung einer Bank, ihren (ehemaligen) Angestellten über die sie betreffenden persönlichen Daten, die an die amerikanischen Behörden übermittelt wurden, schriftlich Auskunft zu erteilen.

Die Bank (Inhaberin der Datensammlung) kann sich vorliegend nicht auf eine Grundlage in einem Gesetz im formellen Sinne (vgl. Art. 9 Abs. 1 lit. a DSG) berufen, um gegenüber den Angestellten die Herausgabe von Kopien der strittigen Daten zu verweigern (E. 5).

Ein überwiegendes Interesse Dritter im Sinne von Art. 9 Abs. 1 lit. b DSG fehlt (E. 6).

Eine Interessenabwägung im Sinne von Art. 9 Abs. 4 DSG ergibt, dass im vorliegenden Fall das Interesse der Angestellten, eine Kopie der strittigen Daten zu erhalten, dasjenige der Bank überwiegt, das Auskunftsrecht der Angestellten einzuschränken (E. 7).

Frage offengelassen, ob ausser den in Art. 1 Abs. 3 VDSG vorgesehenen Fällen andere Ausnahmen vom Grundsatz der schriftlichen Auskunftserteilung in Betracht kommen, nachdem die Bank keinen konkreten Umstand geltend macht, der einer Herausgabe einer Kopie der streitbetroffenen Daten entgegenstünde (E. 8).

Regeste (fr):

Art. 8 al. 5 , art. 9 al. 1 et 4 LPD, art. 1 al. 3 OLPD, art. 47 LB; obligation d'une banque de communiquer par écrit à ses (ex-)employés les données personnelles les concernant transmises aux autorités américaines.

La banque (maître du fichier) ne peut en l'espèce se prévaloir d'une base légale formelle (cf. art. 9 al. 1 let. a LPD) pour refuser de remettre aux employés une copie des données litigieuses (consid. 5).

Absence d'intérêt prépondérant de tiers au sens de l'art. 9 al. 1 let. b LPD (consid. 6).

Il résulte de la pesée des intérêts entreprise sous l'angle de l'art. 9 al. 4 LPD qu'en l'espèce l'intérêt des employés à obtenir une copie des données litigieuses l'emporte sur celui de la banque à restreindre leur droit d'accès (consid. 7).

Question laissée ouverte de savoir si, en plus du cas de figure envisagé par l'art. 1 al. 3 OLPD, d'autres exceptions au principe de la communication écrite peuvent être envisagées, la banque ne faisant valoir aucune circonstance concrète s'opposant à l'envoi d'une copie des données litigieuses (consid. 8).

Regesto (it):

Art. 8 cpv. 5 , art. 9 cpv. 1 e 4 LPD, art. 1 cpv. 3 OLPD, art. 47 LBCR; obbligo di una banca di comunicare per iscritto ai suoi (ex) collaboratori i dati personali trasmessi alle autorità americane che li concernono.

La banca (detentrice della collezione di dati) non può nella fattispecie prevalersi di una base legale formale (cfr. art. 9 cpv. 1 lett. a LPD) per rifiutarsi di rimettere agli impiegati una copia dei dati litigiosi (consid. 5).

Assenza di un interesse preponderante di terzi nel senso dell'art. 9 cpv. 1 lett. b LPD (consid. 6).

Dalla ponderazione degli interessi di cui all'art. 9 cpv. 4 LPD risulta che nella fattispecie l'interesse degli impiegati a ottenere una copia dei dati litigiosi prevale su quello della banca di limitare il loro diritto d'accesso (consid. 7).

È stata lasciata aperta la questione di sapere se, oltre al caso previsto dall'art. 1 cpv. 3 OLPD, possono essere prese in considerazione altre eccezioni al principio della comunicazione scritta, poiché la banca non ha fatto valere alcuna circostanza concreta che si oppone all'invio di una copia dei dati litigiosi (consid. 8).

Sachverhalt ab Seite 120

BGE 141 III 119 S. 120

A.

A.a A. SA (ci-après: A. ou la banque), établissement bancaire sis à Genève, a employé C. (ci-après: l'employé) en qualité de responsable du service "Asset Management Private Banking" de 1996 jusqu'à son licenciement en octobre 2008 (pour le 30 avril 2009). L'employé occupait également le poste de directeur de l'unité de gestion basée à New York et s'était rendu aux Etats-Unis dans ce cadre. B. (ci-après: l'employée) a également travaillé pour la banque, du 1er mars 2006 au 30 juin 2007. Elle a notamment été chargée de développer la clientèle américaine.
BGE 141 III 119 S. 121

A.b En 2010, les autorités américaines ont ouvert des enquêtes contre onze banques suisses, dont A., qu'elles soupçonnaient d'avoir aidé des clients américains à se soustraire à leurs obligations fiscales ainsi que d'avoir contrevenu à la réglementation applicable lors des contacts intervenus avec ces clients. Elles ont requis l'entraide administrative de la Suisse en vue d'obtenir des renseignements sur les activités des banques visées aux Etats-Unis. A. et les autres banques ont transmis les documents requis aux autorités américaines après avoir, sur requête de la FINMA, caviardé les informations permettant l'identification des clients et remplacé les données de ses employés, de ses ex-employés et de tiers par des codes. Le 18 janvier 2012, le Conseil fédéral a décidé que, provisoirement, seules devaient être transmises, dans le cadre de l'entraide, des données codées concernant les employés. Au début du mois de février 2012, les autorités américaines ont procédé à l'inculpation de la banque E. SA. Mi-mars 2012, plusieurs banques ont demandé au Conseil fédéral d'autoriser la communication des informations exigées, comprenant le nom des employés (non codé) et des tiers. Le 4 avril 2012, le Conseil fédéral a autorisé les banques concernées à transmettre directement aux autorités américaines des données non anonymisées, à l'exception de celles concernant les clients. Cette décision valait autorisation, au sens de l'art. 271 CP, à procéder sur le territoire suisse pour le compte d'un Etat étranger à des actes relevant des pouvoirs publics. L'appréciation de la responsabilité civile des banques demeurait cependant du ressort de ces dernières. Le 11 avril 2012, la FINMA a recommandé aux banques concernées de coopérer avec les autorités américaines dans le cadre prévu par le Conseil fédéral, en précisant que la procédure d'entraide administrative était, de ce fait, suspendue. Parallèlement à quatre autres banques, A., sans avertir les employés concernés, a transmis aux autorités américaines, au mois d'avril 2012, des documents comportant notamment les noms, prénoms, adresses mails et numéros de téléphone d'employés et d'ex-employés, seules les données permettant d'identifier les clients étant restées anonymisées.
A.c C. a appris ce qui précède par la presse; il a contacté le service des ressources humaines de A., lequel l'a informé que son identité avait effectivement été communiquée aux autorités américaines.
BGE 141 III 119 S. 122

Le 14 juin 2012, l'employé a consulté dans les locaux de A. les documents litigieux le concernant. Le 3 juillet 2012, A. a autorisé l'employé à consulter une seconde fois les documents, ce qu'il a fait le 10 juillet 2012. Il n'a toutefois pas pu en faire des copies.
A.d Le 11 juillet 2012, B., ayant eu connaissance de ce qui précède par la presse, a demandé à A. si elle était également concernée; la banque lui a confirmé que tel était le cas. Le 24 juillet 2012, l'employée s'est rendue dans les locaux de la banque pour prendre connaissance des documents litigieux la concernant. Le 6 septembre 2012, B. a requis de A. une copie, sous forme informatique, des documents litigieux, ainsi que de la lettre d'accompagnement remise aux autorités américaines et de divers autres éléments. Le 13 septembre 2012, A. s'y est opposée.

A.e Le 17 août 2012, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a ouvert une procédure d'éclaircissement au sens de l'art. 29 de la loi fédérale du 19 juin 1992 sur la protection des données (LPD; RS 235.1), afin de vérifier si les principes de la loi avaient été respectés lors de la transmission des données par les banques suisses aux autorités américaines. Le 6 septembre 2012, le PFPDT a adressé des recommandations à plusieurs banques, parmi lesquelles A., selon lesquelles la banque devait accorder aux personnes concernées (collaborateurs actuels et anciens, ainsi que tiers externes) le droit d'accès aux données selon l'art. 8 LPD. Le PFPDT a adhéré à l'argumentation de la banque qui faisait valoir que des copies de documents ne pouvaient pas être remises au vu de leur sensibilité liée au secret bancaire et à celui de la clientèle, ainsi que de ses propres règles de sécurité. La banque ne s'est pas opposée aux recommandations du PFPDT, qui ont été publiées le 13 novembre 2012. Le 3 juillet 2013, le Conseil fédéral a fixé les principes de coopération des banques suisses avec les autorités américaines en vue de régler leur différend fiscal, et il a donné la possibilité aux banques de demander une autorisation individuelle au sens de l'art. 271 CP. Il a notamment précisé qu'une telle autorisation excluait uniquement une punissabilité en vertu de cette disposition, mais qu'elle ne
BGE 141 III 119 S. 123

dispensait pas du respect des autres règles du droit suisse, notamment de la prise en compte du secret d'affaires et du secret bancaire existants, des dispositions sur la protection des données et des obligations de l'employeur.
B.

B.a Par acte du 14 décembre 2012, agissant au bénéfice d'une autorisation de procéder du 15 novembre 2012, C. a saisi le Tribunal de première instance de Genève d'une requête contre A. Par acte du 14 décembre 2012, agissant au bénéfice d'une autorisation de procéder du 5 décembre 2012, B. a saisi ce même Tribunal d'une requête contre A. Dans leurs conclusions (réduites lors des plaidoiries du 10 juillet 2013), les employés requièrent la production d'une copie des documents transmis aux autorités américaines, sous forme informatique et caviardée s'agissant des noms des clients ou des tiers, ainsi que la communication de la date de la transmission et de la manière dont les données avaient été communiquées, avec suite de frais.
B.b Par deux jugements séparés du 24 octobre 2013, le Tribunal de première instance de Genève a ordonné à A. de remettre aux demandeurs, sur un support papier ou sur un support électronique, une copie des documents qui avaient été transmis aux autorités américaines et qui contenaient des données les concernant, soit des informations qui les identifiaient ou qui permettaient de les identifier (nom, prénom, adresse e-mail, numéro de téléphone, fonction, description de l'activité, etc.). Le Tribunal a en outre dit que les données des clients, des autres employés et ex-employés de A. ainsi que des tiers figurant dans ces documents pourraient être caviardées. Il a en sus ordonné à A. d'indiquer aux demandeurs à quelles dates et à quelles autorités américaines les documents avaient été transmis. Par deux arrêts séparés datés du 23 mai 2014, la Cour de justice a confirmé les jugements entrepris par la défenderesse et débouté les parties de toutes autres conclusions.
C. Contre ces deux arrêts cantonaux, la banque (ci-après: la recourante ou la banque) exerce deux recours en matière civile séparés mais comportant les mêmes critiques et conclusions (sauf en ce qui concerne l'objet de la requête d'accès aux données et la décision entreprise). Sous suite de frais et dépens, elle conclut à l'annulation des arrêts visés et à ce que les employés soient déboutés de toutes autres conclusions, subsidiairement, à l'annulation des arrêts entrepris et au renvoi de la cause à l'autorité cantonale.

BGE 141 III 119 S. 124

Les employés (ci-après: les intimés ou les employés) concluent, sous suite de frais et dépens, à ce que la banque soit déboutée de toutes ses conclusions. La requête d'effet suspensif sollicitée dans chaque cause par la recourante a été admise, faute d'opposition, par ordonnances présidentielles du 1er septembre 2014. Le Tribunal fédéral a rejeté les recours.
(résumé)

Erwägungen

Extrait des considérants:

4. Sur le principe, la recourante reconnaît que les employés peuvent prendre connaissance du contenu des documents litigieux. Elle refuse toutefois de leur remettre ceux-ci sous forme écrite (copie des données). La recourante reproche à la cour cantonale d'avoir violé l'art. 8 al. 5 LPD. Les circonstances d'espèce seraient telles qu'elles justifieraient une (nouvelle) exception au principe de la communication écrite. Elle invoque également une transgression de l'art. 9 al. 1 let. a et b LPD, ainsi que de l'art. 9 al. 4 LPD, son refus de fournir des copies écrites, dicté par la prise en compte d'intérêts de tiers et des siens propres, étant légitime. Il convient, dans un premier temps, de définir si c'est de manière légitime que la banque a opposé son refus aux employés, soit de déterminer si elle pouvait se fonder sur une loi au sens formel pour restreindre l'accès aux données litigieuses (cf. art. 9 al. 1 let. a LPD), et d'établir si, comme le prétend la banque (maître du fichier), ses propres intérêts - ou ceux de tiers - (cf. art. 9 al. 1 let. b et al. 4 LPD) l'emportent sur ceux des employés (cf. infra consid. 5, 6 et 7). Dans un deuxième temps, il conviendra d'examiner si la banque peut justifier son refus sur la base des circonstances exceptionnelles dont elle tente de démontrer l'existence par le biais de divers arguments soulevés sous l'angle de l'art. 8 al. 5 LPD (cf. infra consid. 8).
5. La recourante reproche à la cour cantonale d'avoir violé l'art. 9 al. 1 let. a LPD. Selon elle, une base légale au sens formel interdisant à la banque de communiquer les renseignements demandés (subsidiairement prévoyant une restriction à cette communication) est contenue à l'art. 47 de la loi sur les banques du 8 novembre 1934 (LB; RS 952), ainsi qu'à l'art. 162 CP.
BGE 141 III 119 S. 125

5.1 L'art. 47 LB ne règle pas le secret bancaire en tant que tel, mais il prévoit la sanction (pénale) en cas de violation de ce secret (sur l'ensemble de la question: ATF 137 II 431 consid. 2.1.1 p. 437). La doctrine majoritaire est d'avis que l'art. 47 LB fait en principe partie des bases légales formelles au sens de l'art. 9 al. 1 let. a LPD (DAVID ROSENTHAL, in Handkommentar zum Datenschutzgesetz, 2008, n° 7 ad art. 9 LPD; PHILIPPE MEIER, Protection des données, 2011, n. 1139 p. 405 et les auteurs cités).
5.2 La communication aux ex-employés des informations sur les clients de la banque équivaut aujourd'hui à une remise à des tiers (et ce, même si, après la fin des relations contractuelles, ils sont encore soumis au secret bancaire), ce qui constitue en soi, dans la perspective de la banque, un comportement punissable au sens de l'art. 47 LB (ce qui est d'ailleurs également le cas pour la simple consultation, sur place, des données). Il faut toutefois d'emblée relever dans ce contexte que le Conseil fédéral, dans sa décision du 4 avril 2012, a expressément interdit aux banques de livrer à l'étranger des informations sur les clients ("Kundendaten"). A cet égard, la cour cantonale constate que, lors de leur transmission aux autorités américaines, les documents ne contenaient pas d'informations permettant d'identifier les clients. La banque a elle-même expressément admis avoir caviardé toutes les données permettant d'identifier ses clients dans les documents transmis aux autorités américaines afin de respecter la décision du Conseil fédéral. Dès lors, si les documents livrés par les banques à un Etat étranger ne contiennent pas de telles informations, on ne voit pas en quoi ces mêmes documents, communiqués aux employés, mettraient le secret bancaire en danger (cf. GABRIEL AUBERT, La communication aux autorités américaines, par des banques, de données personnelles sur leurs employés: aspects de droit du travail, RSDA 2013 p. 42).
5.3 La recourante considère que l'infraction (art. 47 LB) pourrait quand même être réalisée de par le fait que les employés ont pu prendre connaissance des documents intégraux et qu'ils seraient donc en mesure, en cas de remise écrite des données, d'identifier (en reconstituant de mémoire les éléments caviardés) les clients en cause. Le raisonnement ne convainc pas. En réalité, ce n'est pas la remise écrite aux employés des documents litigieux qui leur permettrait d'identifier les clients en cause, puisqu'ils les connaissent déjà. Dès lors, la banque ne saurait violer l'art. 47 LB pour la seule raison qu'elle serait amenée à remettre par écrit, dans le contexte ainsi décrit, des données caviardées.
BGE 141 III 119 S. 126

En l'espèce, la recourante ne peut se prévaloir de l'art. 47 LB (en lien avec l'art. 9 al. 1 let. a LPD) pour refuser de remettre aux employés une copie des documents litigieux.
5.4 La recourante soutient que "l'argumentation valable pour l'art. 47 LB est transposable à l'art. 162 CP". Selon elle, si les employés sont en possession de copies, ils pourraient alors identifier les noms des clients et d'autres informations couvertes par le secret commercial, au vu de leur activité passée au sein de l'établissement bancaire. L'argument est sans consistance. L'infraction (art. 162 CP) peut uniquement être réalisée par la personne tenue au secret, soit celle qui a un devoir (légal ou contractuel) de garder le secret (cf. BERNARD CORBOZ, Les infractions en droit suisse, vol. I, 3e éd. 2010, nos 3 et 9 s. ad art. 162 CP; STRATENWERTH/JENNY, Besonderer Teil I: Straftaten gegen Individualinteressen, 6e éd. 2003, n° 6 ad § 22). Le maître du secret n'est pas visé par l'infraction et, partant, la banque ne saurait en l'espèce s'en prévaloir à titre de base formelle au sens de l'art. 9 al. 1 let. a LPD.
6. La recourante invoque une transgression de l'art. 9 al. 1 let. b LPD.
6.1 Il résulte des constatations cantonales que la banque n'a pas fait valoir, devant l'autorité précédente, l'intérêt des tiers, pour fonder son opposition à la remise d'une copie des documents litigieux. La cour cantonale présente toutefois une argumentation subsidiaire dans laquelle elle affirme qu'un tel moyen aurait dû être d'emblée rejeté.
6.2 En vertu de l'art. 9 al. 1 let. b LPD, le maître du fichier peut refuser ou restreindre la communication des renseignements demandés, voire en différer l'octroi, dans la mesure où les intérêts prépondérants d'un tiers l'exigent. Ce motif peut (et doit) être invoqué par le maître du fichier lorsque les données sur lesquelles porte l'accès sont intimement liées aux données personnelles de tiers (MEIER, op. cit., n. 1144 s. p. 406 s.; BRACHER/TAVOR, Das Auskunftsrecht nach DSG, RSJ 109/2013 p. 49). En principe, si l'anonymisation des documents concernés suffit à protéger les tiers, le droit d'accès du titulaire des données (requérant sous l'angle de l'art. 8 LPD) ne devrait pas, sous peine d'une violation du principe de la proportionnalité (cf. art. 4 al. 2 LPD), faire l'objet d'une plus grande restriction (BELSER/EPINEY/WALDMANN, Datenschutzrecht, 2011, n. 53 ad § 11; FRIEDRICH/KAISER,
BGE 141 III 119 S. 127

Datenschutzrechtliches Auskunftsrecht und Arbeitspapiere einer Revisionstelle, L'expert-comptable suisse 2013, p. 527 et les auteurs cités).
6.3 Selon les constatations cantonales, lors de leur transmission aux autorités américaines, les documents ne contenaient pas d'informations permettant d'identifier les clients. Il en ressort également que la banque a été autorisée par le premier juge à anonymiser les éléments permettant d'identifier ses (ex-)collaborateurs et les tiers. Il ne résulte pas des constatations cantonales que le caviardage ne permettrait pas de protéger suffisamment les tiers. Ainsi, même à considérer l'argumentation subsidiaire de l'autorité précédente, on ne saurait reprocher à celle-ci d'avoir nié un intérêt prépondérant de tiers.
7. La recourante reproche à la cour cantonale d'avoir appliqué de manière incorrecte l'art. 9 al. 4 LPD.
7.1 Elle commence par soutenir qu'on peut renoncer à procéder à une pesée d'intérêts sous cet angle en insistant sur le fait que les employés, à qui elle reconnaît le droit de consulter les informations les concernant sur place (données à l'écran), ne disposent en réalité d'aucun intérêt à obtenir une communication écrite.
7.1.1 Il faut rappeler ici qu'en soi le droit d'accès selon l'art. 8 LPD - donc la remise écrite d'information (cf. infra consid. 8.1) - peut être exercé sans la preuve d'un intérêt. Ce n'est que si le maître du fichier veut refuser ou restreindre l'accès qu'une pesée des intérêts aura lieu (à ce sujet cf. infra consid. 7.2). La prise en compte de l'intérêt du titulaire du droit d'accès joue également un rôle lorsqu'un abus de droit entre en considération (ATF 138 III 425 consid. 5.4 p. 4.3.2; ATF 123 II 543 consid. 2e p. 538; cf. ARTER/DAHORTSANG, PJA 2012 p. 1161). L'existence d'un abus de droit (cf. art. 2 al. 2 CC) doit être reconnue lorsque l'exercice du droit par le titulaire ne répond à aucun intérêt digne de protection, qu'il est purement chicanier ou, lorsque, dans les circonstances dans lesquelles il est exercé, le droit est mis au service d'intérêts qui ne correspondent pas à ceux que la règle est destinée à protéger (cf. PAUL-HENRI STEINAUER, Le Titre préliminaire du Code civil, TDPS vol. II/1, 2009, n. 570 p. 213 et n. 573 s. p. 214 s.; HAUSHEER/JAUN, Die Einleitungsartikel des ZGB, 2003, nos 125 s. ad art. 2 CC).
Cela est ainsi le cas, dans la perspective de l'art. 8 LPD, lorsque le droit d'accès est exercé dans un but étranger à la protection des données, par exemple lorsque le droit d'accès n'est utilisé que pour nuire
BGE 141 III 119 S. 128

au débiteur de ce droit (cf. arrêt 4A_36/2010 du 20 avril 2010 consid. 3.1). Il faudrait probablement aussi considérer comme contraire à son but et donc abusive l'utilisation du droit d'accès dans le but exclusif d'espionner une (future) partie adverse et de se procurer des preuves normalement inaccessibles (ATF 138 III 425 consid. 5.5 p. 432; KLEINER/SCHWOB/WINZELER, in Kommentar zum Bundesgesetz über die Banken und Sparkassen, 22e éd. 2014, no 406 ad art. 47 LB et les auteurs cités). Ce serait ainsi le cas d'une requête qui ne constitue qu'un prétexte à une recherche indéterminée de moyens de preuve (fishing expedition) (en lien avec l'art. 8 LPD: NICOLAS PASSADELIS, Datenschutzrechtliches Auskunftsrecht erlaubt keine Beweisausforschung, Push-service Entscheide, CJN, 4 mars 2013 n. 12; FRIEDRICH/ KAISER, op. cit., p. 527). La requête de l'employé visant à obtenir les données le concernant en vue d'une éventuelle action en dommages-intérêts contre le maître du fichier n'est par contre, en soi, pas abusive (ATF 138 III 425 consid. 5.6 p. 432; BRACHER/TAVOR, op. cit., p. 50 note de pied 60).
7.1.2 En l'espèce, les employés expliquent qu'ils tiennent à obtenir une copie de leurs données pour deux raisons: premièrement, afin de pouvoir juger d'une possible illicéité de traitement effectué par la recourante et formuler d'éventuelles futures prétentions civiles contre la banque. Deuxièmement, afin d'être en mesure d'anticiper de probables ennuis qui leur seront causés par le Department of Justice (DoJ) et de préparer leur défense sur la base des informations et données transmises et d'ores et déjà en mains de l'autorité pénale étrangère. Il n'a par contre pas été constaté que les intimés souhaiteraient prospecter des preuves de manière répréhensible ou qu'ils exigeraient la remise de documents auxquels ils ne pourraient pas prétendre dans la procédure civile.
7.1.3 A la lumière des principes évoqués ci-dessus (cf. supra consid. 7.1.1), on ne saurait ainsi dire que la requête des employés, qui n'est pas chicanière, ni contraire au but qu'elle est censée poursuivre, est abusive. On peut au demeurant observer qu'il serait en l'espèce paradoxal de considérer leur requête comme un prétexte à une recherche indéterminée de moyens de preuve (fishing expedition), les employés ayant en effet déjà pris connaissance du contenu des documents visés, aussi bien à travers leur ancienne activité que par le biais des consultations entreprises - les 14 juin et 10 juillet 2012 pour
BGE 141 III 119 S. 129

l'employé et le 24 juillet 2012 pour l'employée - dans les locaux de la banque.
7.1.4 Quant à la forme de l'accès aux données, les employés ont un intérêt évident à obtenir une copie des informations en cause. Premièrement, l'obtention d'une copie leur permettra de consulter leurs données où ils veulent et quand ils veulent, et d'avoir, en tout temps, la possibilité de comparer les documents litigieux avec d'autres informations éventuellement en leur possession (cf. ALEXANDER DUBACH, Das Recht auf Akteneinsicht, 1990, p. 351). Force est également de constater, deuxièmement, qu'à défaut de pouvoir présenter une copie des informations en cause dans l'hypothèse d'une procédure contre la banque, les employés se heurteraient rapidement à la difficulté de fournir la preuve de leurs allégués (sur le constat: AUBERT, op. cit., p. 42; CEREGATO/MÜLLER, Das datenschutzrechtliche Auskunftsrecht: (k)ein Mittel zur Beweisausforschung, Jusletter 20 août 2012 ch. IV; cf. GILLES MONNIER, Le droit d'accès aux données personnelles traitées par un média, 1999, p. 188). Troisièmement, les employés ont un intérêt à bénéficier de tous les instruments leur permettant d'évaluer les risques d'être inquiétés par les autorités américaines, le cas échéant de se défendre; les copies des informations étant en possession de l'autorité pénale étrangère, l'intérêt des employés à disposer également d'une copie des mêmes documents (même s'ils en ont déjà connaissance) est indéniable. La requête visant la remise écrite des documents litigieux permet de procurer aux employés l'avantage qu'ils en attendent et, partant, elle ne peut être qualifiée d'abusive.
7.2 Quant à la pesée d'intérêts évoquée par la recourante dans le même contexte, elle doit maintenant être examinée sous l'angle de l'art. 9 al. 4 LPD. En vertu de cette disposition légale, un maître de fichier privé peut refuser ou restreindre la communication des renseignements demandés ou en différer l'octroi, dans la mesure où ses intérêts prépondérants l'exigent et à condition qu'il ne communique pas les données personnelles à un tiers. Il faut donc procéder à une pesée des intérêts, le débiteur du droit d'accès devant invoquer les siens en premier. Il faut ensuite examiner leur bien-fondé et les opposer aux intérêts du demandeur d'accès. L'accès ne peut être refusé, restreint ou différé que lorsque les premiers l'emportent sur les deuxièmes (ATF 138 III 425 consid. 6.1 p. 433; BRACHER/TAVOR, op. cit., p. 49).
BGE 141 III 119 S. 130

La preuve de l'existence d'un intérêt prépondérant à restreindre le droit d'accès incombe au maître du fichier (GRAMIGNA/MAURER-LAMBROU, in Basler Kommentar, Datenschutzgesetz, Öffentlichkeitsgesetz, 3e éd. 2014, n° 8 ad art. 9 LPD; ROSENTHAL, op. cit., n° 4 ad art. 9 LPD; CEREGATO/MÜLLER, op. cit., ch. II/2.2.1).
7.3 La recourante invoque son intérêt fondé, d'une part, sur la nature sensible des documents et, d'autre part, sur les règles de sécurité auxquelles elle soumet son personnel. Elle insiste sur le fait que la remise de documents écrits entraînerait la perte de maîtrise par la banque et la mise en circulation potentielle - notamment par le biais de fax, photocopies et scans - de centaines de documents d'importance stratégique pour elle. Dans ce contexte, la recourante rappelle également sa réglementation interne qui interdit aux employés d'emporter chez eux des documents confidentiels.
7.4

7.4.1 S'agissant de l'intérêt sur la base duquel la banque tente de restreindre le droit d'accès dont les employés sont titulaires, il a été rappelé ci-dessus que les documents ne contenaient pas d'informations permettant d'identifier les clients (cf. supra consid. 5.2), de sorte qu'on ne voit pas en quoi la banque pourrait avoir un intérêt à restreindre le droit d'accès aux documents litigieux pour un motif lié au secret bancaire. Certes, on ne peut écarter le risque qu'un employé communique les copies à un tiers intéressé en révélant de mémoire le nom d'un client pourtant caviardé sur les documents litigieux. A cet égard, la banque n'allègue toutefois ni ne donne le moindre indice qui permettrait de comprendre que les deux employés (intimés) auraient l'intention de divulguer ces documents en dehors d'une procédure judiciaire. Quant à l'existence d'un risque potentiel, celui-ci est relativisé par l'engagement contractuel des (ex-)employés; il n'est en effet pas contesté que ceux-ci sont, de par leur contrat de travail, encore assujettis au secret bancaire et aux peines sanctionnant sa violation (art. 47 al. 4 LB).
7.4.2 Au sujet des documents d'importance stratégique évoqués par la banque, on peut là aussi souligner que les employés en ont déjà pris connaissance, aussi bien au cours de leur ancienne activité professionnelle que par le biais de leur consultation sur place, et que les éventuelles informations confidentielles de la banque qui y sont contenues leur sont déjà connues. Ainsi, le risque potentiel d'une divulgation (évoqué par la banque) n'est, en soi, pas lié à la remise d'une
BGE 141 III 119 S. 131

copie des documents litigieux. Ce risque découle déjà d'une prise de connaissance préalable du contenu des documents litigieux par les employés. Certes, on peut admettre que le risque s'accroît dans une certaine mesure si les employés disposent de documents qui permettent de prouver les informations déjà en leur possession. A cet égard, la banque se limite toutefois à évoquer la nature sensible des documents "sur le plan organisationnel, commercial ou opérationnel", sans fournir un seul élément concret (exemples de documents effectivement transmis aux autorités américaines) permettant de comprendre en quoi ces documents sont d'une importance stratégique pour elle et de démontrer son intérêt à restreindre en l'espèce le droit d'accès des employés (sur le lien avec le cas concret, cf. encore infra consid. 8.2). Au demeurant, le risque potentiel évoqué par la banque est, ici aussi, en grande partie relativisé par l'engagement contractuel des (ex-)employés; ceux-ci sont, de par leur contrat de travail, soumis aux secrets de fabrication et d'affaires (art. 321a al. 4 CO) et ils restent soumis à ces secrets même après la fin des rapports de travail, à tout le moins "tant que l'exige la sauvegarde des intérêts légitimes de l'employeur" (art. 321a al. 4 in fine CO).
7.5 Quant à l'intérêt des employés à avoir en leur possession une copie des documents transmis aux autorités américaines, il a déjà été reconnu plus haut (cf. supra consid. 7.1.4). Il en résulte qu'à défaut d'obtenir une copie, les employés risquent de se heurter à des difficultés importantes (et concrètes) sous plusieurs aspects (cf. supra consid. 7.1.4). Cela étant, l'existence d'un "simple" risque potentiel (par ailleurs limité), tel qu'évoqué par la banque, ne saurait en l'occurrence démontrer que son intérêt à restreindre le droit d'accès des employés l'emporte sur l'intérêt de ceux-ci à obtenir une remise écrite des données litigieuses.
7.6 C'est en vain que la banque insiste sur le contenu de sa réglementation interne pour infléchir la pesée d'intérêts dans un sens qui lui est favorable.
7.6.1 On peut comprendre, sur la base de cette réglementation interne, l'importance (générale) pour la banque de garantir la confidentialité des documents sensibles. A nouveau, celle-ci ne désigne toutefois aucun élément concret qui permettrait de saisir quels types de
BGE 141 III 119 S. 132

documents entrant dans cette définition ont été livrés aux autorités américaines, afin de déterminer leur impact sur la pesée des intérêts entreprise plus haut.
7.6.2 L'argumentation de la banque relative à la réglementation interne semble également suggérer que les employés auraient renoncé contractuellement à faire valoir leur droit d'accès (art. 8 LPD), à tout le moins à la possibilité de recevoir une copie des documents litigieux. Une renonciation par avance au droit d'accès est explicitement contraire à l'art. 8 al. 6 LPD et elle doit être considérée comme nulle (cf. art. 20 al. 1 CO; GRAMIGNA/MAURER-LAMBROU, op. cit., n° 60 ad art. 8 LPD; MEIER, op. cit., n. 973 p. 364; BELSER/EPINEY/WALDMANN, op. cit., n. 42 ad § 11). La même conclusion s'impose lorsque la clause contractuelle liant les parties ne vise pas la renonciation (pure et simple), mais une restriction du droit d'accès (GRAMIGNA/ MAURER-LAMBROU, op. cit., n° 60 ad art. 8 LPD; cf. ROSENTHAL, op. cit., n° 27 ad art. 8 LPD). Une renonciation (non anticipée) ne peut être envisagée que si la personne concernée connaît déjà l'essentiel de l'information à laquelle elle pourrait avoir accès (pour les détails: GRAMIGNA/MAURER-LAMBROU, op. cit., n° 61 ad art. 8 LPD; MEIER, op. cit., n. 974 p. 364).
7.6.3 A la lumière des considérations qui précèdent, on ne peut admettre qu'en concluant le contrat de travail, les employés ont par avance consenti à ne pas faire valoir, vis-à-vis de leur employeur, leur droit d'accès au sens de l'art. 8 LPD. Pour la même raison, les employés ne sauraient avoir acquiescé à une restriction de leur droit d'accès, soit avoir accepté qu'aucun document écrit contenant leurs données personnelles ne leur soit remis (dans ce sens: AUBERT, op. cit., p. 43).
Il a en outre été établi que, lorsque les employés ont accepté (par la conclusion du contrat de travail) de se soumettre à la réglementation interne, ils ignoraient que la banque communiquerait aux autorités américaines leurs données personnelles en lien avec les activités transfrontalières qu'ils ont exercées pour le compte de celle-ci. La banque ne les a jamais informés de cette communication. Ils ne connaissaient donc pas l'essentiel de l'information objet de leur droit d'accès, de sorte qu'on ne saurait reconnaître que, depuis la conclusion du contrat de travail, ils auraient pu renoncer à se prévaloir de leur droit à une communication écrite.
BGE 141 III 119 S. 133

7.7 Enfin, c'est en vain que la recourante tente de se prévaloir de la décision du 25 avril 2013 de la Cour des plaintes du Tribunal pénal fédéral (BB.2112.133 consid. 2.2.1) qui mentionne, selon ses propres explications, qu'aucun élément probant ne permet de prouver que l'ex-employé (alors objet de la procédure fédérale) serait contraint de rester en Suisse de peur de se faire interroger, arrêter et/ou extrader aux Etats-Unis et que rien au dossier n'amène à conclure que les employés de A. font l'objet d'une poursuite aux Etats-Unis.
En l'espèce, l'intérêt des employés à obtenir une copie des données litigieuses ne se limite pas à pouvoir évaluer la situation sur le seul territoire des Etats-Unis, le cas échéant, à se défendre dans ce contexte (cf. supra consid. 7.1.4). Quoi qu'il en soit, les constatations - faites sous l'angle bien précis des éventuelles conséquences d'une violation de l'art. 271 CP - du Tribunal pénal fédéral, qui n'est pas l'"autorité précédente" dans la présente procédure (cf. art. 105 al. 1 LTF), ne lient pas le Tribunal fédéral. En l'espèce, il résulte des constatations de la Cour de justice que la procédure américaine ouverte contre la banque n'est pas terminée et que l'issue est encore incertaine pour les deux employés. Il n'importe à cet égard qu'il n'existe encore aucune procédure à leur encontre. Le droit d'accès aux données personnelles a précisément pour but de leur permettre d'évaluer eux-mêmes une telle éventualité et, si nécessaire, de se défendre. A cet égard, la remise d'une copie des données litigieuses est nécessaire, ne serait-ce que pour permettre aux employés de prendre connaissance en tout temps du contenu des documents qui sont déjà en possession des autorités américaines (cf. supra consid. 7.1.4).
7.8 Puisque la condition d'un intérêt prépondérant de la banque n'a pas été démontrée par celle-ci, il importe peu de savoir si la deuxième condition posée par l'art. 9 al. 4 LPD, à savoir que le maître du fichier ne communique pas les données personnelles à un tiers, est également remplie (cf. ATF 138 III 425 consid. 6.6 p. 436). Il n'est donc pas nécessaire d'entrer en matière sur le grief, soulevé par la recourante dans ce contexte, d'un établissement manifestement inexact, par l'autorité précédente, des faits qui, selon la banque, révèlent l'obligation qui était la sienne de communiquer ses données aux autorités américaines.
8. La recourante reproche également à la cour cantonale d'avoir violé l'art. 8 al. 5 LPD. Elle estime qu'en l'espèce les circonstances sont
BGE 141 III 119 S. 134

telles qu'elles justifient une exception au principe de la communication écrite (en dehors de l'exception prévue par le Conseil fédéral). Elle fournit divers arguments visant à convaincre de l'existence de telles circonstances (cf. infra consid. 8.2-8.6).
8.1 En vertu de l'art. 8 al. 5 LPD, "les renseignements sont, en règle générale, fournis gratuitement et par écrit, sous forme d'imprimé ou de photocopie. Le Conseil fédéral règle les exceptions". Se fondant sur cette délégation législative (reprise à l'art. 36 al. 1 LPD), le Conseil fédéral a prévu, à l'art. 1 al. 3 de l'ordonnance du 14 juin 1993 relative à la loi fédérale sur la protection des données (OLPD; RS 235.11), que, "d'entente avec le maître du fichier ou sur proposition de celui-ci, la personne concernée peut également consulter ses données sur place. Si elle y a consenti et qu'elle a été identifiée, les renseignements peuvent également lui être fournis oralement". Il ressort clairement des dispositions précitées que, pour le législateur, la communication écrite des données constitue la règle (sur le constat cf. aussi: URS BELSER, Das Recht auf Auskunft, die Transparenz der Datenbearbeitung und das Auskunftsverfahren, in Das neue Datenschutzgesetz des Bundes, 1993, p. 60). La seule exception explicite figure à l'art. 1 al. 3 de l'ordonnance; selon cette disposition une consultation sur place - voire une communication orale - des pièces du dossier ne peut remplacer une communication écrite que dans le cas où la personne intéressée est d'accord avec ce mode de faire (ATF 125 II 321 consid. 3b p. 323; ATF 123 II 534 consid. 3c p. 540 s.; MEIER, op. cit., n. 1076 s. p. 391 et les références; ROSENTHAL, op. cit., n° 23 ad art. 8 LPD). Dans ce contexte, le Tribunal fédéral a déjà eu l'occasion d'expliquer que l'inconvénient résultant de la communication systématique des dossiers aux personnes qui le demandent (soit en particulier le surcroît de travail) est propre à tous les détenteurs de fichiers. Il a d'ailleurs été pris en compte par le législateur, qui n'a pas voulu en faire une cause de refus de la communication écrite, mais qui a préféré prévoir des exceptions à la gratuité de celle-ci (art. 8 al. 5 LPD, art. 2 OLPD; cf. ATF 125 II 321 consid. 3b p. 324). La jurisprudence a jusqu'ici laissé indécise la question de savoir si, en plus du cas de figure envisagé par le Conseil fédéral (cf. art. 1 al. 3 OLPD), d'autres exceptions au principe de la communication écrite peuvent être envisagées, en dehors des cas prévus par
BGE 141 III 119 S. 135

l'ordonnance (cf. ATF 125 II 321 consid. 3b p. 323 s.; cf. BELSER/EPINEY/ WALDMANN, op. cit., n. 35 ad § 11). Cette question peut également rester ouverte en l'espèce, la recourante ne faisant valoir aucune circonstance concrète s'opposant à l'envoi d'une copie du dossier (cf. infra consid. 8.2-8.6).
8.2 L'argumentation générale fournie, dans un premier temps, par la recourante tombe à faux. En effet, il ne s'agit pas d'étendre la réflexion, de manière globale, à l'ensemble des employés de tous les établissements bancaires qui, potentiellement, pourraient exiger de leur employeur respectif la remise écrite d'informations les concernant; il s'agit ici de déterminer si, dans le cas concret, un refus par la banque d'une remise écrite des documents aux deux employés se justifie ou non.
D'autre part, l'argument tiré des inconvénients qui résulteraient du caviardage de l'ensemble des informations visées ne peut être suivi puisque l'arrêt cantonal constate que les données, qui sont actuellement contenues sur un support électronique, ont déjà été réunies, triées et même caviardées (données visant les clients de la banque) avant leur transmission aux autorités américaines; on voit donc mal comment ces informations pourraient mettre le secret bancaire en danger et leur remise écrite aux employés représenter une difficulté disproportionnée d'ordre pratique.
La difficulté qui peut être générée par le surcroît de travail n'est, à la lumière des principes rappelés ci-dessus, quoi qu'il en soit pas déterminante.
8.3 La recourante insiste ensuite sur le fait qu'il convient d'accorder une crédibilité accrue aux recommandations du PFPDT, lesquelles ont cautionné, en ce qui concerne l'accès aux données déjà transmises aux autorités américaines, la forme de la consultation des documents sur place, ceci compte tenu de leur sensibilité, des règles de sécurité de la banque, ainsi que du secret bancaire et des règles internes interdisant aux employés d'emporter des documents chez eux. Or, le PFPDT, qui s'adresse au maître du fichier (cf. art. 3 let. i LPD), agit dans un cadre qui excède celui d'une pure contestation entre deux parties (ATF138 II 346 consid. 10.1 p. 363; ATF 136 II 508 consid. 6.3.2 p. 523). Les recommandations qu'il émet, qui n'ont pas été déclarées contraignantes par le Tribunal administratif fédéral, n'ont pas force de chose jugée (MEIER, op. cit., n. 1925 p. 618 s.). Elles sont toutefois prises en compte dans le cadre de la pesée des intérêts (sous l'angle de l'art. 13 LPD: cf. ATF 138 II 346 consid. 10.1 p. 363).
BGE 141 III 119 S. 136

La Cour de céans a tenu compte des intérêts de la banque (maître du fichier) mis en évidence par le PFPDT (notamment la sensibilité des documents bancaires, les règles de sécurité de la banque), mais elle a considéré, dans la pesée globale des intérêts entreprise sous l'angle de l'art. 9 LPD, que la banque n'a en l'espèce pas apporté la preuve d'un intérêt prépondérant à restreindre le droit d'accès dont les employés sont titulaires (cf. supra consid. 7).
8.4 A l'appui de sa thèse, la recourante tente également de tirer argument d'une application par analogie du droit allemand. Elle relève que le paragraphe 34 al. 6 BDSG prévoit explicitement de déroger à la forme écrite lorsque les circonstances du cas d'espèce font qu'une autre forme apparaît comme plus appropriée. Cet argument ne lui est toutefois d'aucune aide. Au contraire, les commentateurs allemands expliquent qu'il s'agit de prendre en compte les circonstances du cas d'espèce dans la seule perspective de la personne concernée par les données. S'il apparaît que celle-ci (et non le maître du ficher) aura un accès plus rapide aux données sous une autre forme, elle peut renoncer, si elle l'estime opportun, à la remise de l'information sous forme écrite (ALEXANDER DIX, in Bundesdatenschutzgesetz, Simitis [éd.], 7e éd. 2011, nos 52 s. ad § 34 BDSG; GOLA/KLUG/KÖRFFER/SCHOMERUS, BDSG, Bundesdatenschutzgesetz, Kommentar, 11e éd. 2012, nos 13 s. ad § 34 BDSG).
8.5 S'agissant de la clause générale de police évoquée par la recourante, elle consiste en un droit qui appartient à l'Etat (ATF 137 II 431 consid. 3.3 p. 444 s.; ATF 103 Ia 310 consid. 3a p. 311 s.). La banque, en tant que personne morale de droit privé, ne saurait donc en tirer un quelconque argument pour défendre sa thèse.
Il est par ailleurs établi que l'autorisation du Conseil fédéral du 4 avril 2012, tout comme celle octroyée à d'autres banques à partir du 3 juillet 2013, n'a pas exempté les établissements concernés d'une éventuelle responsabilité civile ni, de manière plus générale, de leurs obligations à l'égard de leurs (ex-)employés. Cette autorisation visait uniquement à exempter les banques de tout reproche sous l'angle de l'art. 271 CP (actes exécutés sans droit pour un Etat étranger) et elle était donc moins étendue que celle accordée dans l'affaire D. (cf. ATF 137 II 431 consid. 4 p. 445 ss).

8.6 La recourante estime enfin qu'une remise écrite des données se heurte au contenu de l'art. 339a al. 1 CO qui prévoit qu'au moment où le contrat prend fin, les parties se rendent tout ce qu'elles se sont
BGE 141 III 119 S. 137

remis pour la durée du contrat, de même que tout ce que l'une d'elles pourrait avoir reçu de tiers pour le compte de l'autre. Selon elle, cette disposition de droit impératif serait vidée de sa substance s'il suffisait à un ancien employé d'entreprendre une action sur la base de la LPD pour récupérer toutes les données le concernant en possession de son employeur, ce d'autant plus sous l'angle de la réglementation idoine faisant partie intégrante des contrats de travail liant la banque à ses employés. L'argument est sans consistance.
L'art. 339a al. 1 CO vise certes également les copies de documents en possession de l'employé (cf. arrêt 4A_611/2011 du 3 janvier 2012 consid. 4.3, JdT 2012 II p. 208), mais il poursuit un objectif totalement différent et distinct de celui auquel tend l'art. 8 LPD. Il vise une prétention de l'employeur à l'issue des relations contractuelles (ayant notamment pour objet la restitution des documents en mains de l'employé), alors que l'art. 8 LPD accorde à la personne concernée (en l'occurrence deux ex-employés) un droit d'accès aux données personnelles, institution centrale du droit de la protection des données (sur la fonction particulière du droit d'accès: OLIVER SCHNYDER, Das datenschutzrechtliche Auskunftsrecht, 2002, p. 89 s.). Le moyen tiré de la violation de l'art. 8 al. 5 LPD est infondé.

SR 235.11 Verordnung vom 31. August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
^a	Stand der Technik;
^b	Implementierungskosten.
^c	ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
^d	Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

SR 952.0 Bundesgesetz vom 8. November 1934 über die Banken und Sparkassen (Bankengesetz, BankG) - Bankengesetz BankG Art. 47 - 1 Mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe wird bestraft, wer vorsätzlich:
^a	ein Geheimnis offenbart, das ihm in seiner Eigenschaft als Organ, Angestellter, Beauftragter oder Liquidator einer Bank oder einer Person nach Artikel 1b oder als Organ oder Angestellter einer Prüfgesellschaft anvertraut worden ist oder das er in dieser Eigenschaft wahrgenommen hat;
^b	zu einer solchen Verletzung des Berufsgeheimnisses zu verleiten sucht;
^c	ein ihm nach Buchstabe a offenbartes Geheimnis weiteren Personen offenbart oder für sich oder einen anderen ausnützt.

SR 235.11 Verordnung vom 31. August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
^a	Stand der Technik;
^b	Implementierungskosten.
^c	ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
^d	Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

SR 235.11 Verordnung vom 31. August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
^a	Stand der Technik;
^b	Implementierungskosten.
^c	ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
^d	Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

SR 235.11 Verordnung vom 31. August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 1 Grundsätze - 1 Zur Gewährleistung einer angemessenen Datensicherheit müssen der Verantwortliche und der Auftragsbearbeiter den Schutzbedarf der Personendaten bestimmen und die im Hinblick auf das Risiko geeigneten technischen und organisatorischen Massnahmen festlegen.
^a	Stand der Technik;
^b	Implementierungskosten.
^c	ergriffene oder vorgesehene Massnahmen, um das Risiko zu verringern;
^d	Wahrscheinlichkeit und Schwere einer Verletzung der Datensicherheit trotz der ergriffenen oder vorgesehenen Massnahmen.

SR 173.110 Bundesgesetz vom 17. Juni 2005 über das Bundesgericht (Bundesgerichtsgesetz, BGG) - Bundesgerichtsgesetz BGG Art. 105 Massgebender Sachverhalt - 1 Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
¹	Das Bundesgericht legt seinem Urteil den Sachverhalt zugrunde, den die Vorinstanz festgestellt hat.
²	Es kann die Sachverhaltsfeststellung der Vorinstanz von Amtes wegen berichtigen oder ergänzen, wenn sie offensichtlich unrichtig ist oder auf einer Rechtsverletzung im Sinne von Artikel 95 beruht.
³	Richtet sich die Beschwerde gegen einen Entscheid über die Zusprechung oder Verweigerung von Geldleistungen der Militär- oder Unfallversicherung, so ist das Bundesgericht nicht an die Sachverhaltsfeststellung der Vorinstanz gebunden.96

SR 235.11 Verordnung vom 31. August 2022 über den Datenschutz (Datenschutzverordnung, DSV) - Datenschutzverordnung DSV Art. 2 Ziele - Der Verantwortliche und der Auftragsbearbeiter müssen technische und organisatorische Massnahmen treffen, damit die bearbeiteten Daten ihrem Schutzbedarf entsprechend:
^a	nur Berechtigten zugänglich sind (Vertraulichkeit);
^b	verfügbar sind, wenn sie benötigt werden (Verfügbarkeit);
^c	nicht unberechtigt oder unbeabsichtigt verändert werden (Integrität);
^d	nachvollziehbar bearbeitet werden (Nachvollziehbarkeit).