TRIBUNAL CANTONAL
PT15.038989-170378
266
cour d’appel CIVILE
Arrêt du 30 juin 2017
Composition : M. ABRECHT, président
M. Muller et Mme Courbat, juges Greffier : M. Valentino
Art. 6 LPD
Statuant sur l’appel interjeté par la BANQUE Z., à [...], défenderesse, contre le jugement rendu le 7 septembre 2016 par le Président du Tribunal civil de l’arrondissement de Lausanne dans la cause divisant l’appelante d’avec M., à Borex, demandeur, la Cour d’appel civile du Tribunal cantonal considère :
En fait :
A. Par jugement du 7 septembre 2016, dont les considérants écrits ont été notifiés aux conseils des parties le 26 janvier 2017, le Président du Tribunal civil de l’arrondissement de Lausanne (ci-après : le premier juge) a admis la demande déposée le 8 septembre 2015 par M.________ à l’encontre de la Banque Z.________ (I), a fait interdiction à la Banque Z.________ de transmettre, de communiquer ou de porter à la connaissance de tiers, notamment du Département de la justice américain, des données concernant M.________ ou toute autre information pouvant mener un tiers à l’identifier (II), a dit que l’interdiction prononcée sous chiffre II ci-dessus était faite sous la menace de la peine d’amende prévue à l’art. 292 CP (Code pénal suisse du 21 décembre 1937 ; RS 311.0) en cas d’insoumission à une décision de l’autorité (III), a mis les frais de justice, arrêtés à 3’500 fr., à la charge de la Banque Z.________ (IV), a dit que la Banque Z.________ rembourserait à M.________ la somme de 3’500 fr. versée à titre d’avance de frais, ainsi que la somme de 900 fr. versée à titre de frais de la procédure de conciliation (V et VI), a dit que la Banque Z.________ était la débitrice de M.________ d’une somme de 11’907 fr. à titre de dépens (VII) et a rejeté toutes autres ou plus amples conclusions (VIII).
En droit, le premier juge – appelé à statuer sur une action en prévention d’une atteinte à la personnalité introduite par M.________ (ci-après : le demandeur ou l’intimé) contre la Banque Z.________ (ci-après : la [...], la défenderesse ou l’appelante) visant à faire interdiction à cette dernière de transmettre, de communiquer ou de porter à la connaissance de tiers, notamment du Département de la justice américain (ci-après DOJ [U.S. Department of Justice]), des données concernant le demandeur – a considéré qu’au vu du risque de communication transfrontalière des données, il convenait d’analyser la situation à l’aune de l’art. 6 LPD (loi fédérale sur la protection des données du 19 juin 1992 ; RS 235.1). Après avoir retenu que les Etats-Unis n’offraient pas un niveau de protection adéquat des données personnelles au sens de l’alinéa 1 de cette disposition, le premier juge a indiqué que le seul motif justificatif, parmi ceux prévus par l’alinéa 2, qui pourrait entrer en considération et qui autoriserait, dans ce cas, une communication transfrontalière était l’existence d’un intérêt public prépondérant au sens de la lettre d. A cet égard, il a en substance retenu qu’en vertu du principe de la proportionnalité, une mise en accusation de la défenderesse par les autorités américaines de poursuite pénale en cas de non-transmission de données concernant le demandeur apparaissait hautement invraisemblable, au vu du fait que ces données ne représentaient qu’une infime partie de celles qui devaient être fournies par la défenderesse et compte tenu du travail purement technique effectué par le demandeur pouvant, de ce point de vue, être qualifié d’« insignifiant ». Quoi qu’il en soit, dès lors qu’il était improbable, selon le premier juge, qu’une éventuelle mise en accusation de la défenderesse mette son existence en danger, au vu de son absence sur le marché américain, l’intérêt public de la Suisse à empêcher une telle mise en accusation n’était pas aussi élevé que si la défenderesse était une banque qualifiée d’importance systémique, comme [...] ou [...]. En revanche, le magistrat a considéré qu’en cas de transmission de données concernant M.________, outre le fait que celui-ci pouvait très certainement être prétérité dans son activité professionnelle, compte tenu de ses voyages aux Etats-Unis dans le cadre de son travail, il était possible que la relation à laquelle le demandeur était rattaché intéresse le fisc américain et qu’en cas de voyage aux Etats-Unis, il soit intercepté et interrogé par les autorités américaines au sujet du client en question. Au vu de ces éléments, il a été retenu que la défenderesse, qui ne saurait répercuter ses conflits avec le fisc américain sur un ancien mandataire, avait échoué à démontrer l’existence d’un intérêt public prépondérant à la transmission des données du demandeur, de sorte que la demande devait être admise.
B. Par acte du 27 février 2017, la Z.________ a formé appel de ce jugement, en concluant à sa réforme en ce sens que M.________ soit débouté de toutes ses conclusions et condamné en tous les frais et dépens de première et deuxième instance. L’appelante a produit un lot de cinq pièces sous bordereau.
Dans sa réponse du 4 mai 2017, M.________ a conclu au rejet de l’appel. Il a produit un lot de dix pièces sous bordereau.
C. La Cour d'appel civile retient les faits pertinents suivants, sur la base du jugement complété par les pièces du dossier :
Des parties et de leurs relations
a) La Z.________ est une entreprise de droit public au bénéfice d’une licence bancaire.
b) La société G.________ est une société anonyme dont le but statutaire comprend l’exécution de tous mandats entrant dans l’activité d’une société fiduciaire et de révision.
M.________ a exercé une activité lucrative au sein de la société G.________ du 1er octobre 2005 au 30 novembre 2010, en qualité de contrôleur financier. Il était en charge de la comptabilité, de la finance, de l’administration et de tout autre aspect en lien avec la bonne marche des affaires de G.________. Dans le cadre de son activité, il disposait, aux côtés du directeur et du « compliance manager » de cette société, de procurations sur des comptes bancaires auprès de divers établissements bancaires, dont la partie défenderesse.
G.________ a traité quelques comptes détenus auprès de la défenderesse ; le demandeur a ainsi été au bénéfice d’une procuration collective à deux pour un nombre négligeable de comptes auprès de la partie défenderesse. Le demandeur travaille actuellement auprès de la société américaine de négoce [...]. Il a déclaré être amené à voyager aux Etats-Unis dans le cadre de son activité professionnelle.
Du différend fiscal opposant la Suisse et les Etats-Unis
a) Un différend fiscal oppose les banques suisses au fisc américain ; en substance, les autorités américaines reprochent aux établissements bancaires suisses d’avoir aidé certains de leurs clients à se soustraire aux obligations leur incombant à l’égard du fisc américain.
En fonction notamment du degré et de la qualité de la coopération apportée par la banque, le DOJ peut envisager de dénoncer l’affaire et obtenir l’inculpation de l’établissement bancaire concerné, respectivement de ses employés ou de conclure une transaction extrajudiciaire emportant renonciation, voire abandon des charges contre la banque, moyennant, entre autres, le paiement de dommages-intérêts et/ou d’une amende.
Dans ce contexte, les autorités américaines ont déjà ouvert des enquêtes contre divers établissements bancaires suisses aux Etats-Unis. A la fin de l’année 2013, quatorze banques suisses étaient sous enquête.
b) Des discussions visant à régler le différend précité sont en cours depuis plus de quatre ans avec les autorités judiciaires et fiscales américaines.
La Suisse et les Etats-Unis ont signé, le 14 février 2013, un accord de coopération (ci-après : l’accord FATCA [« Foreign Account Tax Compliance Act »]) permettant aux Etats-Unis d’obtenir pour le futur l’imposition de tous les comptes détenus à l’étranger par les personnes soumises à l’impôt aux Etats-Unis. Cet accord permet en outre aux établissements financiers suisses d’échanger des informations avec l’International Revenue Service (IRS) américain.
L’accord FATCA est entré en vigueur le 2 juin 2014. Le Conseil fédéral a fixé l’entrée en vigueur de la loi d’application correspondante au 30 juin 2014. Il n’existe toutefois aucun lien entre l’accord FATCA, qui règle l’imposition des revenus futurs, et la régularisation des questions fiscales du passé. Ainsi, les banques qui auraient potentiellement violé le droit américain – et contre lesquelles les Etats-Unis n’ont pas encore ouvert de procédure pénale – restent passibles de poursuites pénales aux Etats-Unis.
Du Program for Non-Prosecution Agreements or Non-Target Letters for Swiss Banks
a) Afin de trouver une solution permettant aux banques suisses de régulariser également le passé dans un cadre clairement défini et régler ainsi le différend fiscal, le Département fédéral des finances (ci-après : le DFF) et le DOJ ont signé, le 29 août 2013, le « Joint Statement between the U.S. Department of Justice and the Swiss Federal Department of Finance » (ci-après : le Joint Statement).
b) Dans ce contexte, le DOJ a publié le même jour un programme (« Program for Non-Prosecution Agreements or Non-Target Letters for Swiss Banks », ci-après : le Programme) destiné aux banques suisses. Ce programme énumère des prescriptions et des conditions devant permettre à toutes les banques suisses de régler directement leur cas avec les autorités américaines compétentes.
Le Programme distingue quatre catégories de banques :
celles contre lesquelles le DOJ avait déjà ouvert une enquête pénale avant le 29 août 2013 (catégorie 1) ;
celles contre lesquelles le DOJ n’a ouvert aucune procédure pénale, mais qui ont des raisons de croire qu’elles auraient violé le droit fiscal américain, une seule irrégularité étant suffisante (catégorie 2) ;
celles qui n’estiment pas avoir violé le droit fiscal américain (catégorie 3) ;
celles dont l’activité est purement locale (catégorie 4).
Le Programme n’est pas destiné aux banques de catégorie 1. Quant aux établissements bancaires de catégorie 2, ils ont la possibilité d’obtenir un accord de non-poursuite (« non-prosecution agreement » ; ci-après : NPA) leur garantissant de ne pas être mis en cause devant les tribunaux américains en cas d’évasion fiscale avérée de leur clientèle américaine, moyennant le respect de conditions impératives. Les banques de catégorie 3 et 4 peuvent, quant à elles, demander l’obtention d’une « Non-Target Letter ». Les banques souhaitant participer au Programme selon le Joint Statement devaient l’annoncer aux autorités américaines compétentes dans le délai prévu par le Programme.
Afin d’obtenir un NPA, l’établissement bancaire de catégorie 2 doit coopérer et fournir l’ensemble des preuves et informations requises aux termes du Programme en lien avec ses activités transfrontalières aux Etats-Unis, d’une part, et avec certains comptes présentant un indice d’américanité (« US related account(s) ») ouverts dans ses livres du 1er août 2008 et clôturés depuis lors (« closed US related account(s) »), d’autre part.
En cas de conclusion d’un NPA, la banque doit s’acquitter d’une amende dont le montant est, entre autres, déterminé sur la base des soldes maximaux de chaque closed US related account.
Le Programme renvoie aux définitions contenues dans l’accord FATCA s’agissant de la notion d’US related account. Un compte est ainsi considéré comme présentant un indice d’américanité lorsque des éléments (tels que la citoyenneté du titulaire du compte, sa résidence, son lieu de naissance, une adresse, un numéro de téléphone, un ordre de virement permanent sur un compte aux Etats-Unis, une procuration ou un droit de signature en faveur d’une personne dont l’adresse est située aux Etats-Unis) tendent à démontrer qu’une personne américaine en était titulaire ou bénéficiaire, avait un pouvoir de signature ou un autre pouvoir sur le compte et que sa valeur dépassait 50'000 USD (dollars américains) à un moment donné, en fin de mois, depuis le 1er août 2008. A cet égard, l’art. 2(26) de l’accord FATCA circonscrit la notion de « personne américaine » comme « un ressortissant américain ou une personne physique résidant aux Etats-Unis, une société de personnes ou une société constituée aux Etats-Unis ou selon le droit américain ou le droit d’un des Etats américains, un trust ou la succession d’un défunt qui était citoyen américain ».
Le DOJ exige des banques participant au Programme de rendre compte de manière exhaustive de leurs activités transfrontalières et de fournir des informations détaillées, compte par compte, pour chaque relation bancaire dans laquelle un contribuable américain a un intérêt direct ou indirect.
c) Selon la procédure définie dans l’Annexe I de l’accord FATCA, les établissements bancaires doivent, pour les comptes dont le solde a excédé 50'000 USD mais n’était pas supérieur à 1'000'000 USD, effectuer un examen des données par voie électronique. Pour les comptes dont le solde a excédé 1'000'000 USD, les banques doivent mettre en place une procédure de vérification « élargie » et effectuer un examen des données par voie électronique et des documents physiques, ainsi qu’une prise de renseignements auprès du responsable clientèle.
La présence d’un seul indice suffit pour qualifier un compte d’US related account, à moins que l’une des exceptions listées dans l’Annexe I de l’accord FATCA ne permette d’exclure cette qualification, soit en particulier une auto-déclaration selon laquelle le titulaire du compte n’est pas citoyen américain ni ne possède de domicile fiscal aux Etats-Unis, un passeport non américain ou un autre document d’identité officiel prouvant que le titulaire du compte possède la citoyenneté ou la nationalité d’un autre pays, ainsi qu’une attestation de perte de citoyenneté américaine.
d) Le Programme distingue notamment deux phases, chacune comportant des contraintes différentes : une phase avant la signature du NPA (point II.D.1) et une phase correspondant à la signature du NPA (point II.D.2).
Aux termes du point II.D.1 du Programme, les établissements bancaires de catégorie 2 doivent communiquer au DOJ le nom et la fonction de leurs (anciens) collaborateurs et organes ayant structuré, géré ou supervisé les activités transfrontalières de la banque en lien avec les Etats-Unis. Ils doivent également communiquer le nom et la fonction de toute personne, dont leurs (anciens) employés, ayant été en relation avec un closed US related account. A cet égard, la représentante de la défenderesse a déclaré aux débats que de telles transmissions étaient déjà intervenues dans le cadre de la présentation au DOJ d’organigrammes et de certaines policies internes, les personnes concernées n’ayant formulé aucune objection. Lors de la présentation en question, la défenderesse aurait exposé au DOJ n’avoir jamais eu pour politique de développer le marché américain, ni de démarcher des ressortissants américains.
e) A condition que la banque visée respecte l’ensemble des obligations définies par le Programme, le DOJ ne la poursuivra pas en justice pour les infractions fiscales et les transactions monétaires non déclarées en lien avec les US related accounts détenus. Le DOJ peut refuser de conclure un NPA ou revenir sur les termes de celui-ci, dans les cas où il estime qu’une banque aurait fourni des informations ou des preuves fausses d’un point de vue matériel, incomplètes ou pouvant induire en erreur.
f) Le Conseil fédéral, par le DFF, a rendu le 3 juillet 2013 une décision modèle ayant pour objectif d’autoriser les banques suisses à coopérer pleinement avec le DOJ et à participer de manière effective au Programme. Cette autorisation, accordée conformément à l’art. 271 CP, reconnaît que « la collecte et la transmission de renseignements aux autorités américaines du fait des relations d’affaires de [la banque] avec des personnes assujetties à l’impôt aux Etats-Unis d’Amérique et en lien avec une possible violation du droit américain ne constituent pas des atteintes excessives à la souveraineté de la Suisse ».
De la participation de la défenderesse au Programme
a) La défenderesse, avec l’aide de ses conseils et l’assistance d’une société d’audit, a mis en place en son sein une procédure approfondie de due diligence répondant aux critères de l’accord FATCA, afin d’identifier l’ensemble des comptes visés aux termes du Programme, a effectué une revue complète de ces comptes et a procédé à l’ensemble des vérifications nécessaires pour s’assurer de l’exactitude des informations devant être transmises.
Après avoir mesuré les risques juridiques, économiques et de réputation qu’entraînerait une non-participation au programme, la défenderesse a exprimé son intention de requérir la conclusion d’un NPA au Département fiscal du DOJ, par courrier du 27 décembre 2013. A cette occasion, elle a souligné que la participation au Programme n’entraînerait pas la reconnaissance de la commission d’infractions fiscales ou l’exécution de transactions financières poursuivies en droit américain.
b) Conformément à la décision modèle du 3 juillet 2013 établie par le DFF, ainsi qu’au communiqué du Secrétariat d’Etat aux questions financières internationales du 30 août 2013, la défenderesse a présenté une requête d’autorisation au sens de l’art. 271 ch. 1 CP afin de pouvoir coopérer avec les autorités américaines compétentes, se conformer aux exigences du Programme et régler sa situation juridique avec les Etats-Unis.
Dans sa requête, la défenderesse a indiqué être tenue de fournir au DOJ toutes les informations pertinentes exigées en vertu des paragraphes II.D.1 et II.D.2 du Programme, notamment tous les renseignements d’ordre général concernant ses pratiques commerciales et les relations d’affaire impliquant une personne américaine (sans indication de noms de clients, ceux-ci ne pouvant être communiqués aux autorités américaines que par le biais de canaux applicables de l’entraide administrative en matière fiscale), ainsi que toute information concernant les banques récipiendaires auprès desquelles des actifs émanant des comptes bancaires clôturés ayant un indice d’américanité avaient été transférés pendant la période couverte par le Programme.
c) Par décision du 8 janvier 2014, renouvelée le 16 janvier 2015 puis le 7 décembre 2015, le DFF a autorisé la défenderesse à coopérer avec les autorités américaines compétentes. Cette autorisation reprend les termes de la décision modèle du 3 juillet 2013.
De la transmission de données concernant leurs employés par les banques suisses
a) Dans le cadre de la procédure d’éclaircissement des faits (au sens de l’art. 29 LPD) visant à examiner la légalité de la transmission de données personnelles d’employés par différentes banques de catégorie 1, le Préposé fédéral à la protection des données et à la transparence (ci-après : le PFPDT) et les établissements bancaires concernés sont convenus des modalités applicables à d’éventuelles futures productions de documents aux autorités américaines.
Fort de cet accord, le PFPDT a déclaré, dans un communiqué de presse, renoncer à requérir du Tribunal administratif fédéral le prononcé de mesures provisionnelles tendant à faire interdiction aux banques de produire des documents aux autorités américaines. Il a par ailleurs annoncé que dans ses recommandations adressées aux banques actuellement sous enquête aux Etats-Unis, il suivrait l’argument de l’intérêt public avancé pour justifier la transmission des données d’employés aux Etats-Unis.
b) L’Association suisse des employés de banques (ci-après : l’ASEB), l’Association patronale des banques en Suisse (ci-après : l’APB) et l’Association suisse des banquiers (ci-après : l’ASB) sont convenues que les livraisons de données aux Etats-Unis étaient effectuées en raison d’une situation exceptionnelle.
c) Le PFPDT, l’ASEB, l’APB, l’ASB et le DFF ont défini la procédure selon laquelle les données des (anciens) collaborateurs des établissements bancaires participant au Programme, en l’espèce leur nom et leur fonction, pouvaient être transmises au DOJ. Ainsi, les banques doivent :
informer le collaborateur concerné de son droit d’intenter action selon l’art. 15 LPD, dans le cas où la banque, après analyse des intérêts en présence, serait arrivée à la conclusion que la transmission du nom et de la fonction du collaborateur était justifiée.
La défenderesse s’est engagée à suivre la procédure susmentionnée et à respecter l’ensemble des conditions précitées.
d) Le DOJ a indiqué, dans un communiqué de presse daté du 29 août 2013, qu’il avait assuré son homologue suisse que le simple fait que le nom d’une personne soit inclus dans les données transmises par la banque ne signifiait pas nécessairement que cette personne était coupable d’acte(s) répréhensible(s). A ce propos, il ressort notamment du chiffre 5 du Joint Statement ce qui suit : « Compte tenu de l’importance accordée par chaque partie à la protection des données personnelles et de la vie privée des personnes telle que requise par leurs lois respectives, les signataires entendent, en cas d’échange de données personnelles, n’utiliser ces données que dans le cadre de procédures visant le respect du droit (qui peuvent comprendre des actions réglementaires) engagées aux Etats-Unis ou autorisées par le droit américain. (…) ».
e) Le Conseil fédéral a souligné, s’agissant de la transmission de données personnelles des employés, que cette transmission « [était] réputée licite dès lors qu’un intérêt public prépondérant ou une disposition légale la justifi[ait] ». Il a par ailleurs précisé que si un tribunal s’opposait à la transmission de données, la banque concernée ne serait pas à même de remplir dans une mesure suffisante ses obligations de coopération avec le DOJ et qu’il se pourrait alors qu’elle ne puisse pas conclure de NPA, ni régulariser le passé. Dans ce cas, la solution retenue pour régler le litige fiscal n’atteindrait pas son but.
f) Le [...] a refusé la résolution [...] visant à faire bloquer le transfert des données aux autorités américaines dans le cadre du Programme. Il a ainsi été confirmé par les autorités [...] que la procédure mise en place par le PFPDT était nécessaire et suffisante pour garantir les droits des employés d’une banque participant au Programme, qu’une décision de principe n’était pas possible et que chaque cas devait faire l’objet d’une pesée des intérêts.
De l’intérêt des banques à la participation au Programme
a) Les autorités fédérales et les associations professionnelles suisses ont souligné l’importance de la coopération avec les autorités américaines pour la protection de la place financière suisse, les institutions financières et leurs employés, ont reconnu l’intérêt des banques suisses à la participation au Programme et ont fortement encouragé les établissements bancaires à y participer. A cet égard, le Parlement fédéral a déclaré qu’il s’attendait à ce que le Conseil fédéral prenne toutes les mesures dans le cadre du droit en vigueur pour permettre aux banques suisses de coopérer avec le DOJ. La Suisse a en particulier fait valoir que « le droit en vigueur permettra[it] aux banques suisses une participation effective selon les termes fixés dans le programme ».
b) [...], alors directeur de l’autorité fédérale de surveillance des marchés financiers (ci-après : la FINMA), a vivement encouragé les banques à participer au Programme en ces termes : « Après un examen approfondi, une renonciation à participer au programme semble peu avantageuse. Les banques qui ne saisissent pas cette chance de pouvoir régler leurs risques juridiques doivent s’attendre à un conflit durable qui ira en augmentant. Il faut craindre d’autres mesures de contrainte des autorités judiciaires américaines. Ceci serait à long terme plus coûteux et amènerait moins de sécurité juridique pour les établissements, leurs collaborateurs et leurs clients que la possibilité actuelle de mettre rapidement fin au litige juridique. Ce n’est que lorsque le fardeau du passé sera éliminé que la place bancaire pourra se consacrer de toutes ses forces à l’avenir et développer son potentiel. »
c) L’ASEB a également vivement soutenu – dans l’intérêt de la place financière suisse et de ses collaborateurs – « les efforts des établissements bancaires et des cercles politiques pour trouver un règlement amiable aux litiges en matière fiscale avec les Etats-Unis ».
d) Dans sa note explicative relative à la décision modèle du 3 juillet 2013, le DFF a notamment relevé ce qui suit : « […] l’intérêt de la requérante à coopérer avec les autorités américaines est important. En fin de compte, la collecte et la transmission des renseignements visent à éviter une plainte du DOJ à l’encontre de la requérante. Pour celle-ci, le dépôt d’une plainte aurait des conséquences majeures sur ses relations économiques avec les Etats-Unis. La requérante risque de ne plus pouvoir effectuer de transactions en dollars américains. Les problèmes opérationnels et financiers qui résulteraient d’une telle situation pourraient nuire considérablement à la requérante, voire menacer son existence. ».
Des risques liés à une absence de participation au Programme par les banques suisses
a) Dans le Message relatif à l’approbation de l’accord entre la Suisse et les Etats-Unis concernant la demande de renseignements relative à l’ [...] SA, et du protocole modifiant cet accord, du 14 avril 2010, le Conseil fédéral a mis en évidence les risques liés à une procédure pénale américaine dirigée contre un établissement bancaire en ces termes : « […] l’expérience montre qu’en cas d’ouverture d’une procédure pénale, les acteurs du marché misent sur un effondrement de la banque et adaptent leur comportement à ce scénario. Compte tenu de l’effet de contagion des prévisions pessimistes quant à la survie d’un établissement financier, les effets négatifs peuvent très rapidement être décuplés. Une réactivation de la procédure de mise en accusation d’ [...] SA aux Etats-Unis par les autorités américaines de poursuite pénale […] aurait été de nature à mettre sérieusement et directement en péril l’existence de l’établissement. »
Le Conseil fédéral a indiqué, à titre d’exemple, que sur les six instituts financiers mis en accusation aux Etats-Unis depuis 1989, un seul avait survécu. Il a constaté que « […] l’ouverture d’une procédure, même s’il s’av[é]r[ait] par la suite qu’elle n’était qu’une manœuvre d’intimidation et qu’elle n’était pas justifiée, présent[ait] les risques décrits ici, du fait de la perte de confiance dans l’établissement visé […] ».
b) Dans son Message relatif à la loi fédérale sur des mesures visant à faciliter le règlement du différend fiscal entre les banques suisses et les Etats-Unis d’Amérique, le Conseil fédéral a encore souligné qu’une coopération insuffisante de la part des banques entraînerait l’ouverture d’autres actions en justice et d’un grand nombre de procédures pénales contre des établissements bancaires suisses jusqu’ici non directement concernés, « avec pour conséquences le maintien du climat d’insécurité qui pèse actuellement sur la place financière suisse ».
La FINMA a, quant à elle, déclaré qu’elle s’attendait « à ce que toutes les banques se penchent sur ce sujet et se renseignent convenablement avant de prendre leur décision [ndr : quant à la participation au Programme] [et qu’]il conv[enait] notamment de mesurer de manière appropriée les potentiels risques juridiques et de réputation qu’entraînerait une non-participation et d’en tenir compte dans le processus de décision […] ».
c) Dans son rapport d’activités 2012/2013, le PFPDT a notamment indiqué ce qui suit : « Sur la base des documents qui nous ont été remis et des explications données, et au vu des organes fédéraux impliqués, nous avons conclu que les communications de données étaient compréhensibles dans le contexte d’un intérêt public prépondérant. On nous a expliqué de manière crédible que les banques risquaient de subir de graves conséquences au cas où elles refuseraient de transmettre les informations demandées par les autorités américaines. […] ».
d) En février 2012, le DOJ a inculpé l’une des banques suisses visées par la procédure d’enquête évoquée ci-dessus, soit la banque [...]. Cette inculpation a conduit à la cristallisation immédiate des risques évoqués ci-dessus, contraignant les associés de la banque à interrompre immédiatement l’exploitation de cette dernière et à céder toutes les activités non américaines au Groupe [...]. Dans un communiqué de presse du 27 janvier 2012, la FINMA a indiqué avoir donné son aval à cette liquidation de facto de la banque [...], compte tenu des « risques encourus par [cette dernière] à la suite des investigations que mène contre elle la justice américaine ».
Depuis lors, la presse a également rapporté l’inculpation récente de différents représentants de haut niveau de certaines des banques de catégorie 1 visées par l’enquête du DOJ, telles que la [...] SA et [...] SA.
Cette dernière a, à fin mai 2014, annoncé la conclusion d’un accord avec le DOJ, afin de lui permettre de régulariser le passé et d’éviter ainsi une inculpation. A cet effet, elle a dû reconnaître avoir enfreint la législation fiscale américaine et accepter le paiement d’une amende de 2'815'000'000 USD.
e) En ce qui concerne les risques encourus par les employés en cas de livraison de données, l’ASEB a retenu dans son bilan intermédiaire sur la transmission de données de collaborateurs du 12 juin 2014 ce qui suit : « Dans la mesure où l’employé n’a pas démarché activement des citoyens américains, a géré des comptes de moins de 1 million de francs et a effectué des transactions ne relevant pas de l’évasion fiscale, les risques d’inculpation par les USA sont minimes. Une fois que l’accord entre la banque et les USA est conclu, le risque d’être retenu comme témoins se réduisent aussi drastiquement. Les risques marginaux qui existeraient encore pour des employés seraient causés par des clients de la banque qui n’auraient pas régler [sic] leur situation fiscale. »
En outre, dans une décision du 12 septembre 2014, le Tribunal de Zoug a jugé invraisemblables les risques d’atteinte pour les personnes étant intervenues en lien avec un US related account.
f) Depuis le mois de septembre 2014, une dizaine de banques telles que la [...], [...] SA et [...] SA se sont retirées du Programme après avoir effectué une série de vérifications internes.
De la transmission de données concernant le demandeur
a) Dans le cadre de son activité professionnelle au sein de [...] SA, le demandeur était notamment au bénéfice d’un pouvoir de signature sur le compte du tiers n° [...] ouvert auprès de la défenderesse, compte que celle-ci considérait comme étant en conformité avec les obligations fiscales américaines.
Ce compte a été identifié comme présentant à tout le moins un indice d’américanité en raison du domicile de l’ayant-droit économique. A l’audience, la représentante de la défenderesse a déclaré que celle-ci disposait d’indices permettant de penser que le tiers en question avait entrepris une procédure de « voluntary disclosure » et que, partant, rien ne lui permettait de penser que l’identité et la fonction du demandeur avaient déjà été communiquées aux Etats-Unis.
b) Selon le demandeur, il intervenait sur les comptes pour lesquels il était au bénéfice d’une procuration afin de vérifier si les ordres de paiements préparés par les comptables et signés par les administrateurs étaient corrects. Il a déclaré qu’il n’avait aucun lien avec les clients. La vérification à laquelle il procédait avec un caractère technique, dès lors qu’il s’agissait de vérifier si les coordonnées bancaires étaient correctes, si la documentation était complète et si le paiement correspondait aux instructions du client.
c) Par courrier du 13 novembre 2014, la défenderesse a informé le demandeur qu’une liste II.D.2 comportant son nom et sa fonction, en lien avec le tiers n° [...], allait être communiquée aux autorités américaines dans le contexte du Programme, pour ses activités déployées d’août 2008 à « (…) ce jour ». La banque a pris cette décision après avoir identifié, au terme de la procédure de due diligence mise en place en son sein, que le demandeur avait été au bénéfice, à titre professionnel, d’un pouvoir de signature en relation avec un closed US related account.
Conformément aux recommandations du PFPDT et à l’autorisation du DFF, la défenderesse a précisé au demandeur que celui-ci pouvait obtenir des renseignements complémentaires en lien avec la transmission des données, consulter les informations la concernant dans les locaux de la partie défenderesse et s’opposer à la transmission dans les vingt jours.
d) Par courrier du 24 novembre 2014, le demandeur, par son conseil, s’est opposé à ce que son nom et des données le concernant soient transmis aux autorités américaines.
e) Conformément aux recommandations du PFPDT, à la convention des associations et à l’autorisation du DFF, la défenderesse a procédé à un nouvel examen approfondi de la situation de fait et de droit, ainsi qu’à une pesée des intérêts en présence, au terme desquels elle a pris la décision de maintenir sa décision et de procéder au transfert du nom et de la fonction du demandeur en lien avec le tiers n° [...]. Cette décision a été communiquée au demandeur le 27 avril 2015. Par courrier du même jour, celui-ci a été informé qu’il avait la possibilité de faire valoir ses droits en justice dans un délai de dix jours.
Du NPA conclu par la défenderesse
Le 21 décembre 2015, un NPA a été conclu entre la défenderesse et le DOJ.
Dans le cadre de cet accord, la banque a indiqué aux autorités américaines que 2'088 US related accounts étaient ouverts dans ses livres au 1er août 2008 ou avaient été ouverts par la suite, pour un montant total de 1,3 milliards d’avoirs. Il ressort encore du NPA que 201 personnes avaient été chargées, à l’interne, de la gestion d’au moins un US related account.
En plus d’une liste II.D.2 contenant le nom et la fonction de toute personne ayant été en relation avec un closed US related account, la défenderesse était tenue de communiquer aux Etats-Unis toute information nécessaire à la rédaction de demandes d’entraide fiscale et d’assister les autorités américaines dans la rédaction de telles demandes.
De l’accord Swiss-US Privacy Shield
En 2008, dans le but de fournir une base juridique pour le transfert de données personnelles à destination et en provenance des Etats-Unis, la Suisse a conclu avec les Etats-Unis l’accord « Swiss-US Safe Harbor Framework » (ci-après : Safe Harbor). Il s’agissait d’un système comportant une autocertification pour des entreprises souhaitant importer des données de la Suisse aux Etats-Unis. Les garanties de protection qu’il contenait n’engageaient que les entreprises certifiées proprement dites, mais pas les autorités publiques (https://www.edoeb.admin.ch/ datenschutz/00626/00753/00970/01320/index.html?lang=fr).
Le 11 janvier 2017, le PFPDT a publié sur son site une communication relative à la mise en œuvre d’un nouveau cadre pour la transmission des données personnelles de la Suisse aux Etats-Unis, le « Swiss-US Privacy Shield » (ci-après : Privacy Shield) (https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/ 01406/index.html?lang=fr). Selon le PFDPT, le Privacy Shield, qui remplace l’accord Safe Harbor – jugé insuffisant par le PFPDT et abrogé par le Conseil fédéral –, a pour but de renforcer l’application des principes de protection des données par les entreprises participantes et d’améliorer la gestion et la surveillance de ces données par les autorités américaines afin de soutenir le commerce transatlantique (cf. ég. le site officiel du Privacy Shield : https://www.privacyshield.gov). Dès le 12 avril 2017, les entreprises américaines intéressées peuvent engager le processus de certification ; il leur suffit de s'enregistrer en ligne auprès du Département du commerce américain (« U.S. Department of Commerce » [ci-après : DOC]) sur le site www.privacyshield.gov/PrivacyShield/ApplyNow et de se conformer aux obligations prévues. Une entreprise suisse qui souhaite transmettre des données personnelles à une entreprise américaine doit d'abord s'assurer que celle-ci est certifiée au Privacy Shield. Elle peut à cet effet consulter la liste des entreprises certifiées publiée par le DOC. Si cette entreprise américaine n'est pas certifiée, il appartient à l'entreprise suisse de prendre d'autres mesures propres à garantir que les données concernées feront l'objet d'une transmission conforme à LPD, en réglant préalablement, par exemple par contrat, la question de leur protection (art. 6 al. 2 let. a LPD). Les autorités ne peuvent pas se faire certifier au Privacy Shield (https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01445/index.html?lang=fr).
Le 12 janvier 2017, le PFPDT a mis à jour la liste des Etats ayant une législation assurant un niveau de protection adéquat au sens de l’art. 6 al. 1 LPD. Les Etats-Unis sont classés parmi les pays qui offrent un niveau de protection adéquat « sous certaines conditions », avec la remarque selon laquelle « les organismes qui adhèrent au Privacy Shield pour les données provenant de Suisse et qui figurent sur la liste du Département américain du commerce garantissent un [tel] niveau de protection (…) » (https://www.edoeb.admin.ch/datenschutz/ 00626/00753/01405/01406/index.html?lang=fr.).
De la procédure
a) Par action en prévention d’une atteinte à la personnalité, introduite par demande du 16 octobre 2015, le demandeur, au bénéfice d’une autorisation de procéder délivrée le 30 juin 2015, a conclu, sous suite de frais et dépens, à ce qu’interdiction soit faite à la Z., sous la menace de la peine prévue à l’art. 292 CP, de transmettre, de communiquer ou de porter à la connaissance de tiers, notamment du DOJ, des données concernant M. ou toute autre information pouvant mener un tiers à l’identifier et à ce que la Z.________ soit déboutée de toutes autres ou contraires conclusions.
Par réponse du 26 janvier 2016, la défenderesse a conclu, avec suite de frais, au rejet de la demande.
Le demandeur s’est encore déterminé le 18 mars 2016.
b) Une audience de premières plaidoiries a eu lieu le 12 avril 2016. Lors de cette audience, la défenderesse a requis la suspension de la cause jusqu’à ce qu’une décision de principe soit rendue par le Tribunal fédéral. Par prononcé du 10 mai 2016, le premier juge a rejeté cette requête.
c) L’audience de plaidoiries finales et de jugement a eu lieu le 2 septembre 2016, en présence des parties, assistées de leurs conseils respectifs, la défenderesse étant représentée par [...], conseillère juridique.
Le dispositif du jugement a été notifié aux parties le 7 septembre 2016. Le 15 septembre 2016, la défenderesse en a requis la motivation.
En droit :
1.1 L'appel est recevable contre les décisions finales de première instance (art. 308 al. 1 let. a CPC [Code de procédure civile suisse du 19 décembre 2008; RS 272]), dans les causes non patrimoniales ou dont la valeur litigieuse est supérieure à 10'000 fr. (art. 308 al. 2 CPC). L'appel, écrit et motivé, doit être introduit auprès de l'instance d'appel, soit la Cour d'appel civile (art. 84 al. 1 LOJV [loi du 12 décembre 1979; RSV 173.01]), dans les trente jours à compter de la notification de la décision motivée ou de la notification postérieure de la décision selon l'art. 239 CPC (art. 311 al. 1 CPC).
1.2 En l'espèce, l'appel a été adressé en temps utile et dans les formes prescrites à l'autorité compétente par une partie qui y a un intérêt digne de protection (cf. art. 59 al. 2 let. a CPC). Dirigé contre une décision finale de première instance (art. 308 al. 1 let. a CPC) dans une cause non patrimoniale (art. 308 al. 2 CPC) – les affaires portant sur la protection de la personnalité étant non patrimoniales, sauf si la demande porte exclusivement sur des dommages-intérêts (Jeandin, CPC commenté, Bâle 2011, n. 12 ad art. 308 CPC et les réf. citées) –, l'appel est recevable.
2.1 L'appel peut être formé pour violation du droit ou pour constatation inexacte des faits (art. 310 CPC). L'autorité d'appel peut revoir l'ensemble du droit applicable, y compris les questions d'opportunité ou d'appréciation laissées par la loi à la décision du juge, et doit le cas échéant appliquer le droit d'office conformément au principe général de l'art. 57 CPC. Elle peut revoir librement l'appréciation des faits sur la base des preuves administrées en première instance (JdT 2011 III 43 consid. 2 et les réf.).
2.2 Les faits et moyens de preuve nouveaux ne sont pris en compte que s'ils sont invoqués ou produits sans retard et ne pouvaient être invoqués ou produits devant la première instance, bien que la partie qui s'en prévaut ait fait preuve de la diligence requise, ces deux conditions étant cumulatives (art. 317 al. 1 CPC; Jeandin, op. cit., n. 6 ad art. 317 CPC). Il appartient à l'appelant de démontrer que ces conditions sont réalisées, de sorte que l'appel doit indiquer spécialement de tels faits et preuves nouveaux et motiver spécialement les raisons qui les rendent admissibles selon lui (JdT 2011 III 43 et les réf. citées). A cet égard, on distingue vrais et faux novas. Les vrais novas sont des faits ou moyens de preuve qui ne sont nés qu’après la fin de l’audience de débats principaux de première instance. Ils sont recevables en appel lorsqu’ils sont invoqués sans retard après leur découverte. Les faux novas sont des faits ou moyens de preuve nouveaux qui existaient déjà lors de l’audience de débats principaux. Leur recevabilité en appel est exclue s’ils auraient pu être invoqués en première instance en faisant preuve de la diligence requise (Colombini, Condensé de la jurisprudence fédérale et vaudoise relative à l’appel et au recours en matière civile, in JdT 2013 III 131 ss, n. 40 p. 150 et les réf. citées).
Aux termes de l'art. 151 CPC, les faits notoires ou notoirement connus du tribunal et les règles d'expérience généralement reconnues ne doivent pas être prouvés. Selon la jurisprudence, les faits notoires, qu'il n'est pas nécessaire d'alléguer, sont ceux dont l'existence est certaine au point d'emporter la conviction du juge, qu'il s'agisse de faits connus de manière générale du public ou seulement du juge. La jurisprudence précise que, pour être notoire, un renseignement ne doit pas être constamment présent à l'esprit ; il suffit qu'il puisse être contrôlé par des publications accessibles à chacun, par exemple sur Internet (ATF 135 III 88 consid. 4.1 et les réf. citées ; TF 5A_435/2011 du 14 novembre 2011 consid. 9.3.3 ; TF 9C_748/2009 du 16 avril 2010 consid. 4.5).
En l’espèce, l’appelante a produit un lot de cinq pièces sous bordereau. Les pièces A et B sont des pièces de procédure, de sorte qu’elles sont recevables. Quant aux lettres de la Direction du Renseignement national (Office of the Director of National Intelligence) et de l’Office de l’Avocat général (Office of General Counsel) des 22 février et 21 juin 2016 (pièces 1 et 2), ainsi que celle du DOJ du 19 février 2016 (pièce 3), censées démontrer que les autorités américaines devraient être considérées comme offrant une protection adéquate des données et que, dès lors, l’art. 6 LPD serait inapplicable, elles sont toutes antérieures à la clôture de l’instruction de première instance. Or l’appelante n’expose nullement à quelle date elle a eu connaissance de ces courriers, ni pourquoi elle n’aurait pas été en mesure d’alléguer ces éléments lors de la procédure de première instance, alors que la question de l’existence d’une législation assurant un niveau de protection adéquat avait été soulevée dans la demande. Partant, son grief, ainsi que les pièces y relatives produites par l’appelante, sont irrecevables.
L’intimé a quant à lui produit un lot de dix pièces sous bordereau (pièces 29 à 38). Ces pièces, tirées soit du site Internet de l’administration fédérale, plus particulièrement du site du PFPDT, soit du site officiel du Privacy Shield, sont toutes postérieures à l’audience et, partant, recevables. Par ailleurs, les indications concernant le Privacy Shield fournies par le PFPDT constituent un fait notoire, dès lors qu’on peut les trouver sur le site Internet de l’administration fédérale (cf. TF 6B_387/2012 consid. 3.5). Ces éléments ont donc été pris en compte par la Cour de céans, dans la mesure de leur utilité, pour compléter l'état de fait du litige (let. C/10 supra).
3.1 L’appelante, qui ne remet pas en cause les faits retenus dans le jugement attaqué, soutient tout d’abord que le premier juge aurait procédé à une appréciation inexacte de ces faits en considérant, d’une part, comme hautement invraisemblable qu’elle puisse être mise en accusation par le DOJ en raison de la non-transmission de données concernant l’intimé et en retenant, d’autre part, qu’il était possible qu’en cas de communication de ces données, la relation bancaire à laquelle ce dernier était rattaché intéresse le fisc américain et qu’en cas de voyage aux Etats-Unis, l’intimé soit intercepté et interrogé par les autorités américaines au sujet de ce client.
La question des risques que la (non-)transmission des données litigieuses pourrait faire peser sur l’appelante, respectivement sur l’intimé, doit être traitée dans le cadre de l’examen de l’existence d’un intérêt public prépondérant pouvant justifier, le cas échéant, la communication de ces données (consid. 3.2.4.4 infra).
3.2 3.2.1 Les parties ne contestent pas l’application de la LPD au cas d’espèce, quand bien même cette loi n’a pas été directement conçue pour la problématique relative à la coopération entre les banques et les autorités américaines impliquant l’envoi massif de données concernant des tiers.
L’appelante soutient que le premier juge aurait considéré à tort que le litige devait être résolu à l’aune de l’art. 6 LPD. Selon elle, c’est l’art. 13 LPD qui s’appliquerait.
3.2.2 Aux termes de l'art. 6 LPD, qui traite de la « communication transfrontière de données », aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence d'une législation assurant un niveau de protection adéquat (al. 1).
En dépit de l'absence d'une législation assurant un niveau de protection adéquat à l'étranger, des données personnelles peuvent être communiquées à l'étranger si l'une des conditions – alternatives – exposées à l'al. 2 est réalisée, notamment lorsque la communication est, en l’espèce, indispensable soit à la sauvegarde d’un intérêt public prépondérant, soit à la constatation, à l’exercice ou à la défense d’un droit en justice (let. d).
La violation de l'art. 6 LPD constitue per se une atteinte à la personnalité (Meier, Protection des données – Fondements, principes généraux et droit privé, Berne 2011, n. 1288 ; Rosenthal, in : Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, Zurich 2008, n. 21 ad art. 6 LPD ; Steinauer/Fountoulakis, Droit des personnes physiques et de la protection de l'adulte, Berne 2014, p. 290).
Toute communication transfrontalière est, en premier lieu, exclue si la personnalité des personnes concernées devait s'en trouver gravement menacée (art. 6 al. 1 LPD) ; les motifs justificatifs prévus à l'al. 2 ne sont alors pas applicables (Meier, op. cit., n. 1289). Sont visées les situations extraordinaires – non réalisées en l’espèce – dans lesquelles les données sont par exemple transmises à un Etat ne respectant pas les droits fondamentaux des individus ou procédant à de l'espionnage économique, ou si elles sont transmises à une organisation criminelle à l'étranger (Meier, op. cit., n. 1289 et les références citées).
Pour le reste, et sous réserve du respect des principes généraux de la loi, la communication est licite lorsque le pays destinataire offre un niveau de protection adéquat en matière de données personnelles (Meier, op. cit., n. 1290 ; Rosenthal, op. cit., n. 2 ad art. 6 LPD ; Streiff/Von Kaenel, Arbeitsvertrag, 7e éd., 2012, n. 7 ad art. 328b CO).
Dans les autres cas, la communication doit se conformer à l'un des motifs justificatifs alternatifs mais exhaustifs de l'art. 6 al. 2 LPD (Meier, op. cit., n. 1309 ss ; Rosenthal, op. cit., n. 36 ad art. 6 LPD). Ces motifs l'emportent sur les motifs justificatifs généraux de la loi, prévus par l'art. 13 LPD (ibidem). Il appartient à l'exportateur des données d'en établir l'existence (Meier, op. cit., n. 1311 ; Rosenthal, op. cit., n. 36 ad art. 6 LPD).
3.2.3 En l’espèce, la première question à résoudre est celle de savoir si les Etats-Unis sont dotés d’une législation assurant un niveau de protection adéquat au sens de l’art. 6 al. 1 LPD. Le premier juge a considéré que tel n’était pas le cas. L’appelante soutient que la conclusion du premier juge ne serait pas compatible avec l’esprit du Safe Harbor et encore moins avec le Privacy Shield qui l’a remplacé, ces deux accords ayant été négociés par les autorités suisses et américaines pour permettre un libre échange de données entre les entreprises privées des deux pays. Selon l’appelante, les autorités américaines, elles-mêmes garantes des accords conclus, n’auraient pas à s’inscrire auprès du Ministère du Commerce pour pouvoir librement recevoir des données personnelles de la part d’autorités suisses, de sorte que c’est à tort que le premier juge, tout en admettant qu’une protection n’existait que dans le cadre du programme Safe Harbor, a refusé d’examiner plus en détail cette question au motif que « les autorités américaines à qui sont destinées les données en l’espèce ne sont naturellement pas parties audit programme » (jugt, p. 23).
Il résulte des faits tels que complétés ci-avant (let. C/10) que le PFPDT a mis à jour le 12 janvier 2017 la liste des Etats ayant une législation assurant un niveau de protection adéquat au sens de l’art. 6 al. 1 LPD. Cette liste est établie en application de l’art. 7 OLPD (Ordonnance relative à la loi fédérale sur la protection des données ; RS 235.11). Les Etats-Unis sont classés parmi les pays qui offrent un niveau de protection adéquat « sous certaines conditions », avec la remarque selon laquelle « les organismes qui adhèrent au Privacy Shield pour les données provenant de Suisse et qui figurent sur la liste du Département américain du commerce garantissent un niveau de protection adéquat au sens de l'art. 6 al. 1 LPD ». Si les autorités judiciaires ne sont évidemment pas liées par la liste établie par le PFPDT en vertu de l’art. 7 OLPD, il n’est pas non plus obligatoire de s’en écarter et il faudrait pour cela des raisons valables. Au vu du dossier, le PFPDT a suivi de près la question de la transmission de données aux Etats-Unis. De surcroît, la liste a été actualisée. Cette liste est donc un élément de poids pour dire que les Etats-Unis n’offrent pas une législation adéquate au sens examiné ci-avant. Cela résulte d’ailleurs déjà de la nécessité de passer ces différents accords (Safe Harbor, puis Privacy Shield). Il s’ensuit que la législation américaine n’offre une garantie adéquate que dans le strict cadre du Privacy Shield. Or, outre le fait que les départements gouvernementaux, dont le DOJ, ne peuvent pas se faire certifier au Privacy Shield, comme cela était d’ailleurs déjà le cas avec le Safe Harbor, les garanties de protection des données que le Privacy Shield contient n’engagent que les entreprises certifiées, mais pas les autorités publiques. Cela étant, l’appelante ne démontre pas que, nonobstant le fait que cet accord est inapplicable à la situation d’espèce, le DOJ ou les autres autorités impliquées offriraient le même niveau de garantie, les pièces produites sur cette question à l’appui de l’appel étant irrecevables (consid. 2.2 supra).
C’est donc à juste titre que le premier juge s’est placé dans le cadre spécial de l’art. 6 LPD.
Cette solution est d’ailleurs corroborée par un arrêt du Tribunal fédéral du 22 septembre 2016 (4A_83/2016), qui a admis, dans un contexte similaire, l’application de l’art. 6 LPD dans le cadre de la transmission de données aux Etats-Unis impliquant une banque suisse entrant dans la catégorie 2 du Program for Non-Prosecution Agreements or Non-Target Letters for Swiss Banks (let. C/3 supra). S’il est vrai que, dans ce cas, les parties avaient convenu que les États-Unis ne disposaient pas d'une législation garantissant une protection adéquate des données au sens de la disposition précitée, on voit mal que le Tribunal fédéral ait appliqué une fausse disposition légale de droit matériel parce que les parties n’en contestaient pas l’application.
3.2.4 3.2.4.1 Ainsi, comme l’a relevé à bon droit le premier juge, la licéité de la transmission des données litigieuses doit être examinée à l’aune de l’art. 6 al. 2 LPD, dont seule la let. d entre ici en considération, ce qui n’est pas contesté.
3.2.4.2 La dérogation prévue à l'art. 6 al. 2 let. d LPD, dont le texte a été rappelé ci-avant (consid. 3.3.2), doit être interprétée restrictivement, de manière à ne pas encourager des communications transfrontalières dans des conditions qui ne répondent pas à celle prévues par les traités d'entraide. La notion d'« intérêt public prépondérant » est une notion juridique indéterminée, pour laquelle l'autorité judiciaire dispose d'une marge d'appréciation (Rosenthal, op. cit., n. 9 ss ad art. 13 LPD par analogie). L'intérêt doit être prépondérant par rapport à l'intérêt de la personne concernée à ce que les données ne soient pas exportées. Par intérêt public, on entend l'intérêt de la Suisse, qui comprend l'image du pays à l'étranger, notamment du fait de sa coopération avec d'autres Etats ou des organismes internationaux. Selon Meier (op. cit. n. 1370), le terme « indispensable » (« unerlässlich ») est probablement trop absolu, la communication devant apparaître nécessaire. Mais, toujours selon cet auteur, les choses se décident généralement au moment d’admettre ou non l’existence d’un intérêt prépondérant, la communication n’étant qu’une conséquence de cette pesée des intérêts. Si la communication paraît simplement utile ou opportune, ou encore vaguement nécessaire, l'intérêt public ne sera pas jugé prépondérant (Meier, op. cit., n. 1371).
3.2.4.3 En l'espèce, il n’est pas contesté que la participation des banques au programme de règlement du différend fiscal entre la Suisse et les Etats-Unis a été considérée – sur le plan suisse – comme d'intérêt public pour notre pays.
La question qui se pose est celle de savoir si cela vaut aussi in casu pour l’appelante. L'art. 6 al. 2 let. d LPD impose d'ailleurs que l'examen soit fait « en l'espèce ».
Si l’appelante était en litige avec les Etats-Unis ou aux Etats-Unis sur un plan purement bilatéral (un cas qui ne concernerait qu'elle), elle ne pourrait pas se prévaloir de cette disposition. Tel n’est toutefois pas le cas en l’occurrence. La situation d’espèce s’inscrit en effet dans une problématique internationale qui a été reconnue comme d'intérêt public sur le plan suisse par les autorités de notre pays. Il n’y a dès lors aucune raison de retenir que le cas de l’appelante ne devrait pas être considéré comme entrant dans la catégorie de la sauvegarde des intérêts publics en Suisse.
Le Conseil fédéral a d’ailleurs clairement indiqué que si un tribunal s’opposait à la transmission de données, la banque concernée ne serait pas à même de remplir dans une mesure suffisante ses obligations de coopération avec le DOJ et qu’il se pourrait alors qu’elle ne puisse pas conclure de NPA, ni régulariser le passé ; la solution retenue pour régler le litige fiscal n’atteindrait donc pas son but. En particulier, dans sa note explicative relative à la décision modèle du 3 juillet 2013 constituant le fondement de la décision du 8 janvier 2014 autorisant l’appelante à coopérer avec les autorités américaines compétentes et écartant l'application de l'art. 271 CP, le Conseil fédéral, par le DFF, a notamment relevé que « l’intérêt de la requérante à coopérer avec les autorités américaines [était] important, [qu’]en fin de compte, la collecte et la transmission des renseignements vis[ai]ent à éviter une plainte du DOJ à l’encontre de la requérante, [que] pour celle-ci, le dépôt d’une plainte aurait des conséquences majeures sur ses relations économiques avec les Etats-Unis, [que] la requérante risqu[ait] de ne plus pouvoir effectuer de transactions en dollars américains [et que] les problèmes opérationnels et financiers qui résulteraient d’une telle situation pourraient nuire considérablement à la requérante, voire menacer son existence ».
Si, de manière générale, comme l’a indiqué à juste titre le premier juge, l’avis des autorités fédérales ne lie pas les autorités judiciaires (cf. TF 4A_406/2014 et 4A_408/2014 du 12 janvier 2015 consid. 8.3, paru aux ATF 141 III 119), il n’y a, en en revanche, pas de raison, en l’occurrence, de s’écarter des recommandations du Conseil fédéral, qui a admis l’existence d’un intérêt public à collaborer avec les autorités américaines en leur fournissant les informations requises, ainsi que l’a également fait le PFPDT dans son communiqué de presse du 16 octobre 2012 (let. C/5a supra). Cet intérêt public a d’ailleurs été reconnu par toutes les associations (ASEB, APB et ASB) ayant participé, avec le DFF et le PFPDT, à la mise en œuvre de la procédure et des conditions d’application du Programme, « dans l’intérêt de la place financière suisse et de ses collaborateurs », de même que par la FINMA, qui a souligné qu'elle s'attendait à ce que toutes les banques se penchent sur la question de leur participation au Programme, tout en rappelant qu'il convenait notamment de mesurer de manière appropriée les potentiels risques juridiques et de réputation qu'entraînerait une non-participation.
3.2.4.4 Il y a encore lieu de déterminer si la transmission des données litigieuses est nécessaire et si cet intérêt public est prépondérant.
Le premier juge a retenu qu’en vertu du principe de la proportionnalité, une mise en accusation de la Z.________ par les autorités américaines de poursuite pénale en cas de non-transmission de données concernant M.________ apparaissait hautement invraisemblable, au vu du fait que ces données ne représentaient qu’une infime partie de celles qui devaient être fournies par la défenderesse (ici appelante) et compte tenu du travail purement technique effectué par le demandeur (ici intimé).
On ne saurait suivre ce raisonnement. Il n’y a au dossier aucun élément de fait permettant de dire que le DOJ ne prendrait pas de sanction contre une banque qui ne collaborerait pas entièrement dans le cadre du NPA. Le DOJ peut refuser de conclure un NPA ou revenir sur les termes de celui-ci, dans les cas où il estime qu’une banque aurait fourni des informations ou des preuves fausses d’un point de vue matériel, incomplètes ou pouvant induire en erreur. Ce n’est qu’à la condition que la banque visée respecte l’ensemble des obligations définies par le Programme que le DOJ ne la poursuivra pas en justice pour les infractions fiscales et les transactions monétaires non déclarées en lien avec les US related accounts détenus. Par ailleurs, les exemples cités par le Conseil fédéral, qui a fait état de six instituts financiers mis en accusation aux Etats-Unis depuis 1989, dont un seul a survécu, ainsi que les cas d’ [...], de [...] et de la banque [...] ne permettent pas d’écarter le risque de l’ouverture d’une procédure de la part des autorités américaines contre l’appelante en cas d’exécution incomplète de ses obligations, même s’il devait s’avérer par la suite que cette démarche n’était pas justifiée ou qu’elle était disproportionnée.
Or, en cas de mise en accusation de l’appelante, des risques juridiques, économiques et de réputation – mis en avant par tous les intervenants (le Conseil fédéral, le PFPDT, la FINMA et les associations bancaires) – ne peuvent pas être exclus par des conjectures. De surcroît, si l’intimé n’est mis en cause qu’en relation avec un compte présentant un indice d’américanité, comme l’a souligné le premier juge (qui a, de ce point de vue, qualifié le travail de l’intimé d’« insignifiant »), et quand bien même l’appelante n’aurait pas pour politique de développer le marché américain, ni de démarcher des ressortissants américains (let. C/3d supra), les conséquences qui résulteraient d’une interdiction des transactions en dollars américain – risque dont fait clairement état le DFF dans sa note explicative relative à la décision modèle du 3 juillet 2013 (let C/6d supra) – ne seraient quant à elles pas insignifiantes, compte tenu notamment du nombre d’US related accounts (2'088) annoncé par l’appelante au moment de la conclusion du NPA en décembre 2015, pour un total de 1,3 milliards d’avoirs. Il n’est ainsi pas exclu, en l’état, que des problèmes opérationnels et financiers résultant d'une telle situation pourraient nuire considérablement à l’appelante, voire menacer son existence, comme l’a relevé le DFF. D’ailleurs, l’intimé admet lui-même, dans sa réponse à l’appel, que la transmission des données par l’appelante s’inscrit dans un contexte hostile, qui pourrait conduire à d’éventuelles poursuites pénales.
Au vu de ce qui précède, il paraît nécessaire que l’appelante puisse participer au Programme en conformité avec ses obligations.
Compte tenu des risques qu’encourrait l’appelante en cas de non-transmission des données litigieuses, tels que relevés ci-dessus, son intérêt à coopérer avec les autorités américaines dans le cadre du Programme est prépondérant par rapport à celui de l’intimé, vu le rôle marginal que ce dernier a joué. Il pourrait en aller autrement si l’intimé disait qu’il avait violé le droit américain, ce qui pourrait l’exposer à des sanctions. Or ce n’est pas ce qu’il soutient. Au contraire, dans sa réponse à l’appel, il relève que c’est l’appelante qui a avoué avoir transgressé la législation américaine et qui, partant, pourrait faire l’objet de poursuites. Le premier juge a du reste admis que le risque d’une poursuite pénale contre le demandeur (ici intimé) apparaissait peu important, en raison du fait que celui-ci « n’avait qu’un rôle insignifiant sur un seul et unique compte présentant un indice d’américanité, qui plus est totalement déclaré au fisc américain ».
Ces mêmes raisons doivent également conduire à écarter le risque – retenu par le premier juge de manière contradictoire et sans preuve à l’appui de son argumentation – que l’intimé soit intercepté et interrogé par les autorités américaines s’il devait se rendre aux Etats-Unis, a fortiori qu’il fasse l’objet d’une « sanction pénale américaine ». A cet égard, le DOJ a lui-même indiqué, dans son communiqué de presse du 29 août 2013, que le simple fait que le nom d’une personne soit inclus dans les données transmises par la banque ne signifiait pas nécessairement que cette personne était coupable d’acte(s) répréhensible(s). La situation de l’intimé n’est guère comparable à celle – relatée par la presse – ayant conduit à l’inculpation de « représentants de haut niveau de certaines des banques de catégorie 1 visées par l'enquête du DOJ », ni à celle d’employés qui auraient démarché activement des citoyens américains ou qui auraient effectué des transactions relevant de l'évasion fiscale, auxquels cas il existerait des « risques d’inculpation par les USA », comme l’a souligné l’ASEB dans son bilan intermédiaire sur la transmission de données de collaborateurs du 12 juin 2014 (let. C/7e supra).
Enfin, si, comme relevé ci-dessus, les autorités judiciaires ne sont pas liées par les recommandations des autorités fédérales, celles-ci doivent toutefois être prises en considération dans le cadre de la pesée des intérêts, comme le Tribunal fédéral l’a précisé (ATF 141 III 119 précité consid. 8.3). Or, comme on l’a vu, tant le DFF que le PFPDT ont mis en évidence les intérêts de la banque et, par ricochet, de la place financière suisse à la communication des données litigieuses.
Force est donc de constater que, contrairement à ce qu’a retenu le premier juge, l’appelante peut invoquer un intérêt public prépondérant à la transmission des données au sens de l’art. 6 al. 2 let. d LPD.
3.2.5 3.2.5.1 Il y a lieu d’examiner, par surabondance, la seconde hypothèse – alternative – visée par l’art. 6 al. 2 let. d LPD, à propos de laquelle le premier juge s’est limité à dire que « la partie défenderesse n'étant, en l'état, pas formellement impliquée dans une procédure judiciaire aux Etats-Unis, la communication des données ne pourra pas être indispensable à la constatation, l'exercice ou la défense d'un droit en justice ».
3.2.5.2 La notion de procédure judicaire au sens de cette disposition est large. Elle peut être civile, administrative, disciplinaire ou arbitrale (Rosenthal, op. cit., n. 64 ad art. 6 LPD), de sorte qu’elle englobe une procédure d’ordre fiscal telle que celle objet de la présente espèce.
Selon Meier (op. cit., n. 1376), cette condition est remplie dans le cas de la personne impliquée dans une procédure civile, administrative (y compris fiscale) ou pénale à l'étranger et qui, à l'appui de son point de vue, communique au tribunal ou à l'autorité d'instruction (ou encore à son avocat en vue de la préparation du procès, même si, après un tri, seule une partie minime des données sont versées à la procédure) des données personnelles relatives à la partie adverse, à un témoin ou à un expert. Une situation analogue peut se produire lorsque l'intéressé doit justifier à l'étranger, pour l'octroi d'une autorisation administrative (autorisation d'exercer une profession, p.ex.), de certaines conditions qui passent par la communication de données personnelles qui concernent également des tiers (nom des associés, références, etc.), ou encore que la remise de telles informations est nécessaire pour lui éviter des sanctions d'une autorité (p.ex. de la concurrence).
3.2.5.3 En l’occurrence, on se trouve très proche de ce dernier exemple. Il s'agit en effet pour l'appelante de fournir des informations relatives à des tiers à une autorité étatique chargée de déterminer s'il y a matière à lui infliger une sanction, respectivement à ouvrir contre elle une (autre) procédure destinée à la sanctionner.
Il s’ensuit que l'appelante peut également se prévaloir de cette seconde hypothèse prévue par l'art. 6 al. 2 let. d LPD pour satisfaire à ses obligations envers le DOJ.
Au surplus, ce qui a été dit concernant le caractère indispensable de cette transmission de données pour la première hypothèse visée par cette disposition vaut également ici (cf. consid. 3.2.4.4 supra).
3.2.6 Il reste à établir si les principes généraux de la protection des données (art. 4, 5 et 7 LPD) – qui demeurent applicables nonobstant une licéité de principe admise au regard de l’art. 6 LPD (Meier, op. cit., n. 1290 ; consid. 3.2.2 supra) – sont respectés.
En particulier, le principe de la proportionnalité (art. 4 al. 2 LPD) – dont l’intimé invoquait la violation dans sa demande du 16 octobre 2015 – signifie, en matière de protection des données, que l’exploitant ne peut collecter et traiter que les données qui sont aptes, mais surtout objectivement nécessaires pour atteindre le but poursuivi, pour autant que le traitement demeure dans un rapport raisonnable entre le résultat (légitime) recherché et le moyen utilisé, tout en préservant le plus possible les droits des personnes concernées. Il faut ainsi à chaque fois procéder à une pondération des intérêts entre le but du traitement et l’atteinte nécessaire à la personnalité, ce qui oblige à prendre en compte également les intérêts de l’auteur du traitement (Meier, op. cit., n. 666). En l’espèce, la pondération des intérêts en présence, telle qu’effectuée ci-dessus (consid. 3.2.4.4), n’est pas de nature à faire apparaître que le traitement et la transmission des données litigieuses ne seraient pas nécessaires pour atteindre le but visé par le Programme ; au contraire, les intérêts prépondérants de l’appelante justifient une telle communication, en tenant aussi compte des intérêts de l’intimé à ce que ces données ne soient utilisées que dans le respect de sa vie privée et dans le cadre de procédures définies par le Programme, comme indiqué par l’art. 5 du Joint Statement (let. C/5d supra). Au surplus, une coopération insuffisante de la part de l’appelante conduirait à d’autres mesures de contrainte des autorités (judiciaires) américaines et amènerait, par rapport à la possibilité actuelle de mettre rapidement fin au litige, moins de sécurité juridique non seulement pour les établissements, mais, de l’avis de l’ancien directeur de la FINMA, aussi pour leurs collaborateurs (let. C/6b supra). C’est donc, au final, dans l’intérêt également des collaborateurs, dont l’intimé, que la procédure prévue par le Programme a été mise en œuvre. Partant, on ne saurait dire que la transmission des données n’est, in casu, pas conforme au principe de la proportionnalité.
Pour le reste, on ne discerne aucune violation des principes de la bonne foi (art. 4 al. 2 LPD), de la transparence (art. 4 al. 4 LPD), de l’exactitude (art. 5 LPD) ou encore de la sécurité (art. 7 LPC), ce qui n’a d’ailleurs pas été invoqué, de sorte que la communication des données est, de ce point de vue également, licite.
4.1 En conclusion, l’appel doit être admis et le jugement entrepris réformé en ce sens que la demande déposée le 8 septembre 2015 par M.________ contre de la Z.________ est rejetée.
Dès lors que la défenderesse Z.________ obtient entièrement gain de cause, les frais judiciaires de première instance, par 3'500 fr., doivent être mis à la charge du demandeur M.________ (art. 106 al. 1 CPC). La défenderesse a également droit à des dépens pour la procédure de première instance, arrêtés par le premier juge à 12'000 fr. (montant arrondi) (art. 9 al. 1 TDC [tarif des dépens en matière civile du 23 novembre 2010, RSV 270.11.6]).
4.2 Les frais judiciaires de deuxième instance, par 2'000 fr. (art. 64 al. 1 TFJC [tarif des frais judiciaires civils du 28 septembre 2010; RSV 270.11.5]), seront mis à la charge de l’intimé M., qui succombe (art. 106 al. 1 CPC). Celui-ci restituera à l’appelante Z. l’avance de frais de 2'000 fr. payée par cette dernière (art. 111 al. 2 CPC).
Obtenant gain de cause, l’appelante Z.________ a en outre droit à des dépens pour la procédure d’appel, fixés à 3'000 fr. (art. 9 al. 2 TDC).
L’intimé M.________ versera ainsi à l’appelante Z.________ la somme de 5'000 fr. (2'000 fr. + 3'000 fr.) à titre de dépens et de restitution d'avance de frais de deuxième instance.
Par ces motifs, la Cour d’appel civile prononce :
I. L’appel est admis.
II. Il est statué à nouveau comme il suit :
I. La demande déposée le 8 septembre 2015 par M.________ à l’encontre de la Z.________ est rejetée. II. Les frais judiciaires de première instance, arrêtés à 3'500 fr. (trois mille cinq cents francs), sont mis à la charge de M.. III. M. doit verser à la Z.________ la somme de 12'000 fr. (douze mille francs) à titre de dépens de première instance. IV. Toutes autres ou plus amples conclusions sont rejetées.
III. Les frais judiciaires de deuxième instance, arrêtés à 2'000 fr. (deux mille francs), sont mis à la charge de l’intimé M.________.
IV. L’intimé M.________ doit verser à l’appelante Z.________ la somme de 5'000 fr. (cinq mille francs) à titre de dépens et de restitution d’avance de frais de deuxième instance.
V. L’arrêt motivé est exécutoire.
Le président : Le greffier :
Du
Le présent arrêt, dont le dispositif a été communiqué par écrit aux intéressés le 30 juin 2017, est notifié en expédition complète à :
‑ Mes Jacques Iffland et Téo Genecand (pour la Banque Z.), ‑ Me Simon Ntah (pour M.),
et communiqué, par l'envoi de photocopies, à :
‑ M. le Président du Tribunal civil de l’arrondissement de Lausanne.
Le présent arrêt peut faire l'objet d'un recours en matière civile devant le Tribunal fédéral au sens des art. 72 ss LTF (loi du 17 juin 2005 sur le Tribunal fédéral – RS 173.110), le cas échéant d'un recours constitutionnel subsidiaire au sens des art. 113 ss LTF. Dans les affaires pécuniaires, le recours en matière civile n'est recevable que si la valeur litigieuse s'élève au moins à 15'000 fr. en matière de droit du travail et de droit du bail à loyer, à 30'000 fr. dans les autres cas, à moins que la contestation ne soulève une question juridique de principe (art. 74 LTF). Ces recours doivent être déposés devant le Tribunal fédéral dans les trente jours qui suivent la présente notification (art. 100 al. 1 LTF).
Le greffier :