TRIBUNAL CANTONAL
PT14.045052-171619
514
cour d’appel CIVILE
Arrêt du 12 septembre 2018
Composition : M. abrecht, président
Mme Crittin Dayen et M. Kaltenrieder, juges Greffier : M. Valentino
Art. 6 al. 2 let. d et 13 LPD
Statuant sur l’appel interjeté par S., à Yverdon-les-Bains, défenderesse, contre le jugement rendu le 26 janvier 2017 par la Présidente du Tribunal civil de l’arrondissement de Lausanne dans la cause divisant l’appelante d’avec C., à Aubonne, demandeur, la Cour d’appel civile du Tribunal cantonal considère :
En fait :
A. Par jugement du 26 janvier 2017, dont les considérants écrits ont été notifiés aux conseils des parties le 2 août 2017, la Présidente du Tribunal civil de l’arrondissement de Lausanne (ci-après : le premier juge) a admis les conclusions prises par C.________ au pied de sa demande du 17 août 2015 (I), a fait interdiction à S.________ de transmettre, de communiquer ou de porter à la connaissance de tiers, notamment du Département de la justice américain (ci-après DOJ [U.S. Department of Justice]), des données concernant C.________ ou toute autre information pouvant mener un tiers à l’identifier (II), a dit que l’interdiction prononcée sous chiffre II ci-dessus était faite sous la menace de la peine d’amende prévue à l’art. 292 CP (Code pénal suisse du 21 décembre 1937 ; RS 311.0) en cas d’insoumission à une décision de l’autorité (III), a mis les frais de justice, arrêtés à 3'500 fr., à la charge de S.________ (IV), a dit que S.________ rembourserait à C.________ la somme de 3'500 fr. versée à titre d’avance de frais (IV) et a dit que S.________ était la débitrice de C.________ d’une somme de 12'000 fr. à titre de dépens (VI).
En droit, le premier juge était appelé à statuer sur une action en prévention d’une atteinte à la personnalité introduite par C.________ (ci-après : le demandeur ou l’intimé) contre S.________ (ci-après : la défenderesse ou l’appelante) visant à faire interdiction à cette dernière de transmettre, de communiquer ou de porter à la connaissance de tiers, notamment du DOJ, des données, des informations et des documents concernant le demandeur. Il a laissé ouverte la question de savoir si l’art. 328b CO (Code des obligations ; RS 220) – ayant pour objet de protéger le travailleur lors de traitement de données le concernant – avait une portée propre, soit s’il était plus restrictif que le régime prévu par la LPD (loi fédérale sur la protection des données du 19 juin 1992 ; RS 235.1). Il a considéré qu’au vu du risque de communication transfrontalière des données, il convenait d’analyser la situation à l’aune de l’art. 6 LPD. Après avoir retenu que les Etats-Unis n’offraient pas un niveau de protection adéquat des données personnelles au sens de l’alinéa 1 de cette disposition, le premier juge a indiqué que le seul motif justificatif, parmi ceux prévus par l’alinéa 2, qui pourrait entrer en considération et qui autoriserait, dans ce cas, une communication transfrontalière, était l’existence d’un intérêt public prépondérant au sens de la lettre d. A cet égard, il a en substance retenu qu’en vertu du principe de la proportionnalité, une mise en accusation de la défenderesse par les autorités américaines de poursuite pénale en cas de non-transmission de données concernant le demandeur apparaissait hautement invraisemblable, au vu du fait que ces données ne représentaient qu’une infime partie de celles qui devaient être fournies par la défenderesse et compte tenu du rôle « insignifiant » du demandeur. Dès lors qu’il était peu probable, selon le premier juge, qu’une éventuelle mise en accusation de la défenderesse mette son existence en danger, l’intérêt public de la Suisse à empêcher une telle mise en accusation n’était pas aussi élevé que si la défenderesse était une banque qualifiée d’importance systémique, comme l’étaient de grandes banques universelles. En revanche, le magistrat a considéré qu’en cas de transmission de données concernant C.________, outre le fait que celui-ci pouvait très certainement être prétérité dans son activité professionnelle, compte tenu de ses voyages aux Etats-Unis dans le cadre de son travail, il était possible que la relation à laquelle le demandeur était rattaché intéresse le fisc américain et qu’en cas de voyage aux Etats-Unis, il soit intercepté et interrogé par les autorités américaines au sujet du client en question. Au vu de ces éléments, il a été retenu que la défenderesse, qui ne saurait répercuter ses conflits avec le fisc américain sur un ancien mandataire, avait échoué à démontrer l’existence d’un intérêt public prépondérant à la transmission des données du demandeur, de sorte que la demande devait être admise.
B. Par acte du 14 septembre 2017, S.________ a formé appel de ce jugement, en concluant à sa réforme en ce sens que C.________ soit débouté de toutes ses conclusions et condamné à tous les frais et dépens de première et deuxième instance. L’appelante a produit un lot de cinq pièces sous bordereau.
Par réponse du 7 décembre 2017, C.________ a conclu, avec suite de frais et dépens, à la confirmation du jugement précité et au déboutement de la partie adverse de toutes ses conclusions. Il a produit un lot de dix-huit pièces sous bordereau.
Les parties ont déposé une réplique et une duplique spontanées les 28 décembre 2017 et 5 janvier 2018.
Le 28 février 2018, la Juge déléguée de la Cour de céans (ci-après : la Juge déléguée) a suspendu la cause jusqu’à droit connu sur le recours pendant au Tribunal fédéral dans une affaire soulevant les mêmes questions juridiques, les parties ne s’étant pas opposées à une telle suspension.
A la suite de l’arrêt du Tribunal fédéral TF 4A_611/2017 du 26 mars 2018 ayant admis que la communication au DOJ de données personnelles concernant un ancien mandataire d’une banque (la [...]) ne pouvait pas, en l’état actuel, être considérée comme indispensable au sens de l’art. 6 al. 2 let. d LPD, la cause a été reprise et la Juge déléguée a, par avis du 17 mai 2018, invité les parties à se déterminer sur le sort de l’appel et, le cas échéant, sur le sort des frais et dépens si l’appel devait être retiré.
Le 8 juin 2018, soit dans le délai imparti à cet effet, l’appelante a fait savoir qu’elle se devait de persister dans ses écritures, vu ses devoirs de coopération découlant de l’accord de non-poursuite la liant aux autorités américaines, un éventuel retrait de l’appel ne pouvant intervenir que moyennant l’accord du DOJ, qui n’avait pas pu être obtenu à ce jour.
L’intimé s’est déterminé le même jour, en confirmant sa conclusion tendant au rejet de l’appel et en concluant à ce que l’appelante soit condamnée à supporter l’intégralité des frais et dépens de première et deuxième instance.
C. La Cour d'appel civile retient les faits pertinents suivants, sur la base du jugement complété par les pièces du dossier :
Des parties et de leurs relations
a) S.________ est une société anonyme suisse au bénéfice d’une licence bancaire, filiale de la [...].
b) Par contrat de travail du 9 septembre 2003, C.________ a été engagé par la défenderesse en qualité de « gestionnaire de fortune/acquisiteur », avec le rang de fondé de pouvoir. Il a été promu au rang de sous-directeur à compter du 1er juillet 2004. Ses responsabilités principales comprenaient la gestion d’un portefeuille de clients et la vente aux clients de mandats de gestion, de fonds de placement et de tout autre produit/service sur mesure.
Les rapports de travail liant les parties ont pris fin le 31 mai 2010.
Du différend fiscal opposant la Suisse et les Etats-Unis
a) Un différend fiscal oppose les banques suisses au fisc américain ; en substance, les autorités américaines reprochent aux établissements bancaires suisses d’avoir aidé certains de leurs clients à se soustraire aux obligations leur incombant à l’égard du fisc américain. Dans ce contexte, les autorités américaines ont déjà ouvert des enquêtes contre divers établissements bancaires suisses aux Etats-Unis. A la fin de l’année 2013, quatorze banques suisses étaient sous enquête.
b) Des discussions visant à régler le différend précité sont en cours depuis plusieurs années avec les autorités judiciaires et fiscales américaines.
La Suisse et les Etats-Unis ont signé, le 14 février 2013, un accord de coopération (ci-après : l’accord FATCA [« Foreign Account Tax Compliance Act »]) permettant aux Etats-Unis d’obtenir pour le futur l’imposition de tous les comptes détenus à l’étranger par les personnes soumises à l’impôt aux Etats-Unis. Cet accord permet en outre aux établissements financiers suisses d’échanger des informations avec l’International Revenue Service (IRS) américain. Le Conseil fédéral a ensuite soumis au Parlement fédéral un projet de loi fédérale sur les mesures visant à faciliter le règlement du différend fiscal entre les banques suisses et les Etats-Unis. Le 19 juin 2013, le Parlement suisse a refusé d’entrer en matière sur ce projet, considérant qu’il appartenait au Conseil fédéral de trouver des solutions dans le cadre du droit en vigueur.
L’accord FATCA est entré en vigueur le 2 juin 2014. Le Conseil fédéral a fixé l’entrée en vigueur de la loi d’application correspondante au 30 juin 2014. Il n’existe toutefois aucun lien entre l’accord FATCA, qui règle l’imposition des revenus futurs, et la régularisation des questions fiscales du passé. Ainsi, les banques qui auraient potentiellement violé le droit américain – et contre lesquelles les Etats-Unis n’ont pas encore ouvert de procédure pénale – restent passibles de poursuites pénales aux Etats-Unis.
Le Préposé fédéral à la protection des données et à la transparence (ci-après : PFPDT) a émis une note le 20 juin 2013 à l’attention des banques sur la transmission de données personnelles aux autorités américaines. Cette note expose aux banques les éléments à prendre en compte dans le cadre de cette transmission : « […] Toute transmission future de données effectuées [sic] de la part des banques devra être conforme au procédé prévu par la loi fédérale sur la protection des données et d’ores et déjà défini dans les recommandations [ndr : du 15 octobre 2012] ». Les recommandations du 15 octobre 2012 auxquelles la note fait référence correspondent à celles établies par le PFPDT à la suite d’un examen des faits relatifs à des communications déjà effectuées par cinq banques suisses afin de tirer au clair les questions touchant à la protection des données.
Il ressort de l’extrait du 20e rapport d’activité 2012/2013 du PFPDT, intitulé « Communication aux autorités américaines de données concernant des collaborateurs », que « […] Le but de cette procédure était d’obtenir une vue d’ensemble des communications de données effectuées afin de pouvoir évaluer si celles-ci avaient violé des droits de la personnalité ou de déterminer comment on pouvait mieux protéger les personnes concernées […] ».
Du Program for non-prosecution agreements or non-target letters for Swiss Banks
a) Afin de trouver une solution permettant aux banques suisses de régulariser également le passé dans un cadre clairement défini et régler ainsi le différend fiscal, le Département fédéral des finances (ci-après : le DFF) et le DOJ ont signé, le 29 août 2013, le « Joint Statement between the U.S. Department of Justice and the Swiss Federal Department of Finance » (ci-après : le Joint Statement). En vertu du Joint Statement, le DOJ entend fournir aux banques suisses non impliquées dans une procédure pénale (autorisée par le DOJ) un moyen adapté pour clarifier leur situation (status) en lien avec l’ensemble des enquêtes menées par le DOJ.
b) Dans ce contexte, le DOJ a publié le même jour un programme (« Program for non-prosecution agreements or non-target letters for Swiss Banks », ci-après : le Programme) destiné aux banques suisses. Ce programme énumère des prescriptions et des conditions devant permettre à toutes les banques suisses de régler directement leur cas avec les autorités américaines compétentes.
Le Programme distingue quatre catégories de banques :
celles contre lesquelles le DOJ avait déjà ouvert une enquête pénale avant le 29 août 2013 (catégorie 1) ;
celles contre lesquelles le DOJ n’a ouvert aucune procédure pénale, mais qui ont des raisons de croire qu’elles auraient violé le droit fiscal américain, une seule irrégularité étant suffisante (catégorie 2) ;
celles qui estiment ne pas avoir violé le droit fiscal américain (catégorie 3) ;
celles dont l’activité est purement locale (catégorie 4).
Le Programme n’est pas destiné aux banques de catégorie 1. Quant aux établissements bancaires de catégorie 2, ils ont la possibilité d’obtenir un accord de non-poursuite (« non-prosecution agreement » ; ci-après : NPA) leur garantissant de ne pas être mis en cause devant les tribunaux américains en cas d’évasion fiscale avérée de leur clientèle américaine, moyennant le respect de conditions impératives. Les banques de catégorie 3 et 4 peuvent, quant à elles, demander l’obtention d’une « Non-Target Letter ». Les banques souhaitant participer au Programme selon le Joint Statement devaient l’annoncer aux autorités américaines compétentes dans le délai prévu par le Programme.
Afin d’obtenir un NPA, l’établissement bancaire de catégorie 2 doit coopérer et fournir l’ensemble des preuves et informations requises aux termes du Programme en lien avec ses activités transfrontalières aux Etats-Unis, d’une part, et avec certains comptes présentant un indice d’américanité (« US related account(s) ») ouverts dans ses livres du 1er août 2008 et clôturés depuis lors (« closed US related account(s) »), d’autre part.
En cas de conclusion d’un NPA, la banque doit s’acquitter d’une amende dont le montant est, entre autres, déterminé sur la base des soldes maximaux de chaque closed US related account.
Le Programme renvoie aux définitions contenues dans l’accord FATCA s’agissant de la notion d’US related account. Un compte est ainsi considéré comme présentant un indice d’américanité lorsque des éléments (tels que la citoyenneté du titulaire du compte, sa résidence, son lieu de naissance, une adresse, un numéro de téléphone, un ordre de virement permanent sur un compte aux Etats-Unis, une procuration ou un droit de signature en faveur d’une personne dont l’adresse est située aux Etats-Unis) tendent à démontrer qu’une personne américaine en était titulaire ou bénéficiaire, avait un pouvoir de signature ou un autre pouvoir sur le compte et que sa valeur dépassait 50'000 USD (dollars américains) à un moment donné, en fin de mois, depuis le 1er août 2008. A cet égard, l’art. 2(26) de l’accord FATCA circonscrit la notion de « personne américaine » comme « un ressortissant américain ou une personne physique résidant aux Etats-Unis, une société de personnes ou une société constituée aux Etats-Unis ou selon le droit américain ou le droit d’un des Etats américains, un trust ou la succession d’un défunt qui était citoyen américain ».
c) Selon la procédure définie dans l’Annexe I de l’accord FATCA, les établissements bancaires doivent, pour les comptes dont le solde a excédé 50'000 USD mais n’était pas supérieur à 1'000'000 USD, effectuer un examen des données par voie électronique. Pour les comptes dont le solde a excédé 1'000'000 USD, les banques doivent mettre en place une procédure de vérification « élargie » et effectuer un examen des données par voie électronique et des documents physiques, ainsi qu’une prise de renseignements auprès du responsable clientèle.
La présence d’un seul indice suffit pour qualifier un compte d’US related account, à moins que l’une des exceptions listées dans l’Annexe I de l’accord FATCA ne permette d’exclure cette qualification, soit en particulier une auto-déclaration selon laquelle le titulaire du compte n’est pas citoyen américain ni ne possède de domicile fiscal aux Etats-Unis, un passeport non américain ou un autre document d’identité officiel prouvant que le titulaire du compte possède la citoyenneté ou la nationalité d’un autre pays, ainsi qu’une attestation de perte de citoyenneté américaine.
d) Le Programme distingue notamment deux phases, chacune comportant des contraintes différentes : une phase avant la signature du NPA (point II.D.1) et une phase correspondant à la signature du NPA (point II.D.2).
Aux termes du point II.D.1 du Programme, les établissements bancaires de catégorie 2 doivent communiquer au DOJ le nom et la fonction de leurs (anciens) collaborateurs et organes ayant structuré, géré ou supervisé les activités transfrontalières de la banque en lien avec les Etats-Unis. Ils doivent également communiquer le nom et la fonction de toute personne, dont leurs (anciens) employés, ayant été en relation avec un closed US related account (point II.D.2 du Programme).
Selon les termes du Programme, le nom et la fonction des (anciens) employés liés à un/des closed US related account(s) doivent uniquement être mentionnés dans un document synthétique offrant une vision d’ensemble du US related account visé et contenant des indications sur ce dernier, telles que les dates d’ouverture et de clôture, le montant en compte, le nombre de personnes américaines liées à la relation, les différents intervenants et les transferts intervenus. Aucune donnée relative à l’employé autre que son nom, son prénom et sa fonction en lien avec l’US related account ne doit être communiquée.
Le DOJ exige des banques participant au Programme de rendre compte de manière exhaustive de leurs activités transfrontières et de fournir des informations détaillées, compte par compte, pour chaque relation bancaire dans laquelle un contribuable américain a un intérêt direct ou indirect.
e) A condition que la banque visée respecte l’ensemble des obligations définies par le Programme, le DOJ ne la poursuivra pas en justice pour les infractions fiscales et les transactions monétaires non déclarées en lien avec les US related accounts détenus. Le DOJ peut refuser de conclure un NPA ou revenir sur les termes de celui-ci, dans les cas où il estime qu’une banque aurait fourni des informations ou des preuves fausses d’un point de vue matériel, incomplètes ou pouvant induire en erreur.
f) Le Conseil fédéral, par le DFF, a rendu le 3 juillet 2013 une décision modèle ayant pour objectif d’autoriser les banques suisses à coopérer pleinement avec le DOJ et à participer de manière effective au Programme. Cette autorisation, accordée conformément à l’art. 271 CP, reconnaît que « la collecte et la transmission de renseignements aux autorités américaines du fait des relations d’affaires de [la banque] avec des personnes assujetties à l’impôt aux Etats-Unis d’Amérique et en lien avec une possible violation du droit américain ne constituent pas des atteintes excessives à la souveraineté de la Suisse ».
De la participation de la défenderesse au Programme
a) La défenderesse, avec l’aide de ses conseils et l’assistance d’une société d’audit, a mis en place en son sein une procédure approfondie de due diligence répondant aux critères de l’accord FATCA, afin d’identifier l’ensemble des comptes visés aux termes du Programme, a effectué une revue complète de ces comptes et a procédé à l’ensemble des vérifications nécessaires pour s’assurer de l’exactitude des informations devant être transmises.
Après avoir mesuré les risques juridiques, économiques et de réputation qu’entraînerait une non-participation au programme, la défenderesse a exprimé son intention de requérir la conclusion d’un NPA au Département fiscal du DOJ, par courrier du 27 décembre 2013. A cette occasion, elle a souligné que la participation au Programme n’entraînerait pas la reconnaissance de la commission d’infractions fiscales ou l’exécution de transactions financières poursuivies en droit américain.
b) Conformément à la décision modèle du 3 juillet 2013 établie par le DFF, ainsi qu’au communiqué du Secrétariat d’Etat aux questions financières internationales du 30 août 2013, la défenderesse a présenté, le 24 décembre 2013, une requête d’autorisation au sens de l’art. 271 ch. 1 CP afin de pouvoir coopérer avec les autorités américaines compétentes, se conformer aux exigences du Programme et régler sa situation juridique avec les Etats-Unis.
Dans sa requête, la défenderesse a indiqué être tenue de fournir au DOJ toutes les informations pertinentes exigées en vertu des paragraphes II.D.1 et II.D.2 du Programme, notamment tous les renseignements d’ordre général concernant ses pratiques commerciales et les relations d’affaire impliquant une personne américaine (sans indication de noms de clients, ceux-ci ne pouvant être communiqués aux autorités américaines que par le biais de canaux applicables de l’entraide administrative en matière fiscale), ainsi que toute information concernant les banques récipiendaires auprès desquelles des actifs émanant des comptes bancaires clôturés ayant un indice d’américanité avaient été transférés pendant la période couverte par le Programme.
c) Par décision du 8 janvier 2014, le DFF a autorisé la défenderesse à coopérer avec les autorités américaines compétentes. Cette autorisation, qui a été prolongée jusqu’au 31 décembre 2015, reprend les termes de la décision modèle du 3 juillet 2013.
De la transmission de données concernant leurs employés par les banques suisses
a) Dans le cadre de la procédure d’éclaircissement des faits (au sens de l’art. 29 LPD) visant à examiner la légalité de la transmission de données personnelles d’employés par différentes banques de catégorie 1, le PFPDT et les établissements bancaires concernés sont convenus des modalités applicables à d’éventuelles futures productions de documents aux autorités américaines.
Fort de cet accord, le PFPDT a déclaré, dans un communiqué de presse, renoncer à requérir du Tribunal administratif fédéral le prononcé de mesures provisionnelles tendant à faire interdiction aux banques de produire des documents aux autorités américaines. Il a par ailleurs annoncé que dans ses recommandations adressées aux banques actuellement sous enquête aux Etats-Unis, il suivrait l’argument de l’intérêt public avancé pour justifier la transmission des données d’employés aux Etats-Unis.
b) L’Association suisse des employés de banques (ci-après : l’ASEB), l’Association patronale des banques en Suisse (ci-après : l’APB) et l’Association suisse des banquiers (ci-après : l’ASB) sont convenues que les livraisons de données aux Etats-Unis étaient effectuées en raison d’une situation exceptionnelle.
c) Le PFPDT, l’ASEB, l’APB, l’ASB et le DFF ont défini la procédure selon laquelle les données des (anciens) collaborateurs des établissements bancaires participant au Programme, en l’espèce leur nom et leur fonction, pouvaient être transmises au DOJ. Ainsi, les banques doivent :
informer le collaborateur concerné de son droit d’intenter action selon l’art. 15 LPD, dans le cas où la banque, après analyse des intérêts en présence, serait arrivée à la conclusion que la transmission du nom et de la fonction du collaborateur était justifiée.
La défenderesse s’est engagée à suivre la procédure susmentionnée et à respecter l’ensemble des conditions précitées.
d) Le DOJ a indiqué, dans un communiqué de presse daté du 29 août 2013, qu’il avait assuré son homologue suisse que le simple fait que le nom d’une personne soit inclus dans les données transmises par la banque ne signifiait pas nécessairement que cette personne était coupable d’acte(s) répréhensible(s). A ce propos, il ressort notamment du chiffre 5 du Joint Statement ce qui suit : « Compte tenu de l’importance accordée par chaque partie à la protection des données personnelles et de la vie privée des personnes telle que requise par leurs lois respectives, les signataires entendent, en cas d’échange de données personnelles, n’utiliser ces données que dans le cadre de procédures visant le respect du droit (qui peuvent comprendre des actions réglementaires) engagées aux Etats-Unis ou autorisées par le droit américain. (…) ».
e) Le Conseil fédéral a souligné, s’agissant de la transmission de données personnelles des employés, que cette transmission « [était] réputée licite dès lors qu’un intérêt public prépondérant ou une disposition légale la justifi[ait] ». Il a par ailleurs précisé que si un tribunal s’opposait à la transmission de données, la banque concernée ne serait pas à même de remplir dans une mesure suffisante ses obligations de coopération avec le DOJ et qu’il se pourrait alors qu’elle ne puisse pas conclure de NPA, ni régulariser le passé. Dans ce cas, la solution retenue pour régler le litige fiscal n’atteindrait pas son but.
De l’intérêt des banques à la participation au Programme
a) Les autorités fédérales et les associations professionnelles suisses ont souligné l’importance de la coopération avec les autorités américaines pour la protection de la place financière suisse, les institutions financières et leurs employés, ont reconnu l’intérêt des banques suisses à la participation au Programme et ont fortement encouragé les établissements bancaires à y participer. A cet égard, le Parlement fédéral a déclaré qu’il s’attendait à ce que le Conseil fédéral prenne toutes les mesures dans le cadre du droit en vigueur pour permettre aux banques suisses de coopérer avec le DOJ. Le Conseil fédéral a en particulier fait valoir que « le droit en vigueur permettra[it] aux banques suisses une participation effective selon les termes fixés dans le programme ».
b) [...], alors directeur de l’autorité fédérale de surveillance des marchés financiers (ci-après : la FINMA), a vivement encouragé les banques à participer au Programme en ces termes : « Après un examen approfondi, une renonciation à participer au programme semble peu avantageuse. Les banques qui ne saisissent pas cette chance de pouvoir régler leurs risques juridiques doivent s’attendre à un conflit durable qui ira en augmentant. Il faut craindre d’autres mesures de contrainte des autorités judiciaires américaines. Ceci serait à long terme plus coûteux et amènerait moins de sécurité juridique pour les établissements, leurs collaborateurs et leurs clients que la possibilité actuelle de mettre rapidement fin au litige juridique. Ce n’est que lorsque le fardeau du passé sera éliminé que la place bancaire pourra se consacrer de toutes ses forces à l’avenir et développer son potentiel. »
c) L’ASEB a également vivement soutenu – dans l’intérêt de la place financière suisse et de ses collaborateurs – « les efforts des établissements bancaires et des cercles politiques pour trouver un règlement amiable aux litiges en matière fiscale avec les Etats-Unis ».
d) Dans sa note explicative relative à la décision modèle du 3 juillet 2013, le DFF a notamment relevé ce qui suit : « […] l’intérêt de la requérante à coopérer avec les autorités américaines est important. En fin de compte, la collecte et la transmission des renseignements visent à éviter une plainte du DOJ à l’encontre de la requérante. Pour celle-ci, le dépôt d’une plainte aurait des conséquences majeures sur ses relations économiques avec les Etats-Unis. La requérante risque de ne plus pouvoir effectuer de transactions en dollars américains. Les problèmes opérationnels et financiers qui résulteraient d’une telle situation pourraient nuire considérablement à la requérante, voire menacer son existence. ».
Des risques liés à une absence de participation au Programme par les banques suisses
a) Dans le Message relatif à l’approbation de l’accord entre la Suisse et les Etats-Unis concernant la demande de renseignements relative à l’ [...] SA, et du protocole modifiant cet accord, du 14 avril 2010, le Conseil fédéral a mis en évidence les risques liés à une procédure pénale américaine dirigée contre un établissement bancaire en ces termes : « […] l’expérience montre qu’en cas d’ouverture d’une procédure pénale, les acteurs du marché misent sur un effondrement de la banque et adaptent leur comportement à ce scénario. Compte tenu de l’effet de contagion des prévisions pessimistes quant à la survie d’un établissement financier, les effets négatifs peuvent très rapidement être décuplés. Une réactivation de la procédure de mise en accusation d’ [...] SA aux Etats-Unis par les autorités américaines de poursuite pénale […] aurait été de nature à mettre sérieusement et directement en péril l’existence de l’établissement. »
Le Conseil fédéral a indiqué, à titre d’exemple, que sur les six instituts financiers mis en accusation aux Etats-Unis depuis 1989, un seul avait survécu. Il a constaté que « […] l’ouverture d’une procédure, même s’il s’av[é]r[ait] par la suite qu’elle n’était qu’une manœuvre d’intimidation et qu’elle n’était pas justifiée, présent[ait] les risques décrits ici, du fait de la perte de confiance dans l’établissement visé […] ».
b) Dans son Message relatif à la loi fédérale sur des mesures visant à faciliter le règlement du différend fiscal entre les banques suisses et les Etats-Unis d’Amérique, le Conseil fédéral a encore souligné qu’une coopération insuffisante de la part des banques entraînerait l’ouverture d’autres actions en justice et d’un grand nombre de procédures pénales contre des établissements bancaires suisses jusqu’ici non directement concernés, « avec pour conséquences le maintien du climat d’insécurité qui pèse actuellement sur la place financière suisse ».
La FINMA a, quant à elle, déclaré qu’elle s’attendait « à ce que toutes les banques se penchent sur ce sujet et se renseignent convenablement avant de prendre leur décision [ndr : quant à la participation au Programme] [et qu’]il conv[enait] notamment de mesurer de manière appropriée les potentiels risques juridiques et de réputation qu’entraînerait une non-participation et d’en tenir compte dans le processus de décision […] ».
c) En février 2012, le DOJ a inculpé l’une des banques suisses visées par la procédure d’enquête évoquée ci-dessus, soit la banque [...]. Cette inculpation a conduit à la cristallisation immédiate des risques évoqués ci-dessus, contraignant les associés de la banque à interrompre immédiatement l’exploitation de cette dernière et à céder toutes les activités non américaines au Groupe [...]. Dans un communiqué de presse du 27 janvier 2012, la FINMA a indiqué avoir donné son aval à cette liquidation de facto de la banque [...], compte tenu des « risques encourus par [cette dernière] à la suite des investigations que mène contre elle la justice américaine ».
Depuis lors, la presse a également rapporté l’inculpation de différents représentants de haut niveau de certaines des banques de catégorie 1 visées par l’enquête du DOJ, telles que la [...] SA et [...] SA. Cette dernière a, à fin mai 2014, annoncé la conclusion d’un accord avec le DOJ, afin de lui permettre de régulariser le passé et d’éviter ainsi une inculpation. A cet effet, elle a dû reconnaître avoir enfreint la législation fiscale américaine et accepter le paiement d’une amende.
d) Depuis le 22 septembre 2014, les quelque cent banques inscrites dans la catégorie 2 du Programme ont reçu leur accord de non-poursuite du DOJ, leur permettant d’éviter toutes poursuites judiciaires à condition de livrer toutes les données exigées par le DOJ, à savoir les relations clients et leur historique, la stratégie des banques avec les noms et les fonctions des employés, le montant des avoirs dès 2008 et surtout le nom des clients auto-déclarés. Cette coopération portait également sur la rédaction des demandes d’entraide groupées par les banques elles-mêmes.
Les avocats de septante-trois banques suisses inscrites dans la catégorie 2 du Progamme ont écrit au DOJ pour faire part de leurs doléances quant aux modalités prévues par le projet de NPA. En particulier, dans une lettre du 21 octobre 2014, dix-huit cabinets d’avocats américains ont notamment écrit ce qui suit au responsable des litiges au DOJ, pour le compte des banques qu’ils représentaient : « Parmi les 12 requêtes précises d’amendements que formulent les banques – assorties de six propositions de clarification, de reformulation ou d’ajouts – plusieurs points semblent cruciaux. En premier lieu, les banques contestent l’exigence de coopération complète avec le DOJ, avec le fisc américain (IRS), et avec toute autre autorité de poursuite, domestique ou étrangère, désignée par le département". Pour les banques, cette exigence […] transforme un programme spécifiquement consacré à des questions fiscales américaines en un accord de coopération global, sans aucun garde-fou ni garantie de considération. (…) les banques veulent s’assurer que leur participation au programme du DOJ les met[te] définitivement à l’abri de poursuites ultérieures par l’IRS. Or, constatent-elles, cette assurance ne figure pas dans le texte. Aussi demandent-elles que le NPA soit assorti d’une lettre dans laquelle l’IRS assure qu’il n’a pas l’intention d’engager des actions séparées contre les banques qui se conforment aux conditions du NPA ».
e) Depuis le mois de septembre 2014, une dizaine de banques telles que la [...], [...] et [...] se sont retirées du Programme après avoir effectué une série de vérifications internes.
La Banque [...] a annoncé son retrait du Programme en février 2015.
Il a été annoncé dans la presse américaine, le 4 mars 2015, que le DOJ avait communiqué une nouvelle version de NPA aux banques concernées. Cette nouvelle version contient deux modifications, à savoir la suppression du droit du DOJ de transmettre les données aux autorités étrangères et la fixation d’un délai de quatre ans durant lequel les banques doivent accomplir leurs obligations selon le NPA.
Le 30 mars 2015, la banque privée suisse [...] a signé l’accord de non-poursuite avec les Etats-Unis. Par la signature de cet accord, ladite banque a reconnu avoir aidé les titulaires de comptes à cacher leur identité aux Etats-Unis, a également admis que ses employés avaient aidé ses clients à retirer leur argent aux Etats-Unis et s’est engagé à coopérer avec les autorités américaines pour toutes procédures pénales et civiles en lien avec le Programme.
Dans un communiqué de presse du 30 mars 2015, le DOJ a indiqué que les informations apprises de la [...] et des autres banques suisses allaient être utilisées dans le Programme pour mener des enquêtes supplémentaires sur les banques et les individus.
f) Le 2 octobre 2015, un NPA a été conclu entre la défenderesse et le DOJ.
De la transmission de données concernant le demandeur
a) Après avoir identifié, au terme de la procédure de due diligence mise en place au sein de la banque, que le demandeur était affilié à plusieurs closed US related accounts, la défenderesse a informé C.________ – par courrier du 11 août 2014 – de la participation de la banque au Programme et de son intention de communiquer une liste II.D.2 au DOJ, comportant le nom et la fonction du demandeur en relation avec les comptes litigieux.
b) Conformément aux recommandations du PFPDT, à la convention des associations et à l’autorisation du DFF, la défenderesse a précisé au demandeur qu’il pouvait obtenir des renseignements complémentaires en lien avec la transmission des données, consulter les informations le concernant dans les locaux de la défenderesse et s’opposer à la transmission dans les vingt jours.
Le demandeur a pris contact avec [...], directeur de la succursale de la défenderesse à [...], afin d’obtenir des informations sur les comptes pour lesquels cette dernière envisageait de transmettre son nom aux autorités américaines. Considérant que les informations fournies par téléphone étaient suffisantes, le demandeur n’a pas jugé utile de consulter l’extrait de la liste II.D.2. le concernant dans les locaux de la banque ou de demander d’autres renseignements.
c) Par courrier du 29 août 2014, le demandeur a fait opposition à la transmission de données le concernant, par l’intermédiaire de son conseil.
Par lettre du 30 octobre 2014, la défenderesse a indiqué au demandeur que nonobstant son opposition, elle maintenait son intention de transférer des informations à son sujet, estimant que celui-ci était associé à des comptes présentant un lien avec les Etats-Unis au cours de la période visée. La banque a notamment souligné ce qui suit : « [les] gouvernements suisse et américain ont expressément confirmé que la transmission des données pertinentes au DOJ ne constitue pas en soi un soupçon d’activité inappropriée de la part des employés concernés. La Banque ne s’attend pas à ce que ses employés – actuels ou anciens – dont l’identité est communiquée au DOJ dans le cadre du Programme aient à souffrir d’inconvénients du seul fait de cette communication. ». La défenderesse a conclu que ce transfert d’informations était à son avis justifié par des intérêts privés et publics prépondérants.
De l’accord Swiss-US Privacy Shield
En 2008, dans le but de fournir une base juridique pour le transfert de données personnelles à destination et en provenance des Etats-Unis, la Suisse a conclu avec les Etats-Unis l’accord « Swiss-US Safe Harbor Framework » (ci-après : Safe Harbor). Il s’agissait d’un système comportant une autocertification pour des entreprises souhaitant importer des données de la Suisse aux Etats-Unis. Les garanties de protection qu’il contenait n’engageaient que les entreprises certifiées proprement dites, mais pas les autorités publiques (https://www.edoeb.admin.ch/ datenschutz/00626/00753/00970/01320/index.html?lang=fr).
Le 11 janvier 2017, le PFPDT a publié sur son site une communication relative à la mise en œuvre d’un nouveau cadre pour la transmission des données personnelles de la Suisse aux Etats-Unis, le « Swiss-US Privacy Shield » (ci-après : Privacy Shield) (https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/ 01406/index.html?lang=fr). Selon le PFDPT, le Privacy Shield, qui remplace l’accord Safe Harbor – jugé insuffisant par le PFPDT et abrogé par le Conseil fédéral –, a pour but de renforcer l’application des principes de protection des données par les entreprises participantes et d’améliorer la gestion et la surveillance de ces données par les autorités américaines afin de soutenir le commerce transatlantique (cf. ég. le site officiel du Privacy Shield : https://www.privacyshield.gov). Dès le 12 avril 2017, les entreprises américaines intéressées peuvent engager le processus de certification ; il leur suffit de s'enregistrer en ligne auprès du Département du commerce américain (« U.S. Department of Commerce » [ci-après : DOC]) sur le site www.privacyshield.gov/PrivacyShield/ApplyNow et de se conformer aux obligations prévues. Une entreprise suisse qui souhaite transmettre des données personnelles à une entreprise américaine doit d'abord s'assurer que celle-ci est certifiée au Privacy Shield. Elle peut à cet effet consulter la liste des entreprises certifiées publiée par le DOC. Si cette entreprise américaine n'est pas certifiée, il appartient à l'entreprise suisse de prendre d'autres mesures propres à garantir que les données concernées feront l'objet d'une transmission conforme à LPD, en réglant préalablement, par exemple par contrat, la question de leur protection (art. 6 al. 2 let. a LPD). Les autorités ne peuvent pas se faire certifier au Privacy Shield (https://www.edoeb.admin.ch/datenschutz/00626/00753/01405/01445/index.html?lang=fr).
Le 12 janvier 2017, le PFPDT a mis à jour la liste des Etats ayant une législation assurant un niveau de protection adéquat au sens de l’art. 6 al. 1 LPD. Les Etats-Unis sont classés parmi les pays qui offrent un niveau de protection adéquat « sous certaines conditions », avec la remarque selon laquelle « les organismes qui adhèrent au Privacy Shield pour les données provenant de Suisse et qui figurent sur la liste du Département américain du commerce garantissent un [tel] niveau de protection (…) » (https://www.edoeb.admin.ch/datenschutz/ 00626/00753/01405/01406/index.html?lang=fr.).
De la procédure
a) Le demandeur a déposé une requête de mesures superprovisionnelles et provisionnelles en date du 10 novembre 2014, dans le but de faire interdiction à la défenderesse de transmettre ses données dans le cadre du Programme.
Par ordonnance de mesures superprovisionnelles du 11 novembre 2014, le premier juge a fait droit aux mesures d’extrême urgence requises.
La défenderesse a déposé une réponse sur requête de mesures provisionnelles le 1er décembre 2014.
Par ordonnance de mesures provisionnelles du 17 février 2015, le premier juge a en substance confirmé l’interdiction à la défenderesse de transmettre les données litigieuses, sous la menace de la peine prévue à l’art. 292 CP, et a imparti au demandeur un délai échéant soixante jours après l’entrée en force de l’ordonnance pour déposer sa demande. La motivation de l’ordonnance de mesures provisionnelles n’a pas été requise par les parties.
b) Par action en prévention d’une atteinte à la personnalité et en validation de mesures provisionnelles, introduite par demande du 28 avril 2015, le demandeur a en substance conclu, sous suite de frais et dépens, à ce qu’interdiction soit faite à S., sous la menace de la peine prévue à l’art. 292 CP, de transmettre, de communiquer ou de porter à la connaissance de tiers, notamment du DOJ, des données le concernant ou toute autre information pouvant mener un tiers à l’identifier et à ce que S. soit déboutée de toutes autres ou contraires conclusions.
Par lettre du 25 juin 2015, le premier juge a accusé réception de la demande mais a attiré l’attention du conseil du demandeur sur le fait que, s’agissant d’une cause soumise à la procédure ordinaire, l’acte déposé ne respectait pas les prescriptions de l’art. 221 CPC et a invité l’intéressé, en application de l’art. 132 CPC, à se conformer aux exigences de la disposition précitée et à déposer dans un délai au 17 août 2015 un acte conforme.
C.________, par son conseil, a déposé une nouvelle demande, datée du 17 août 2015, en reprenant exactement les mêmes conclusions prises dans sa demande initiale.
Par réponse du 23 novembre 2015, la défenderesse a conclu, avec suite de frais et dépens, au rejet de la demande.
Le demandeur s’est encore déterminé le 18 mars 2016.
c) Une audience de premières plaidoiries s’est tenue le 14 avril 2016.
d) L’audience de plaidoiries finales et de jugement a eu lieu le 10 janvier 2017 en présence des parties, assistées de leurs conseils respectifs, la défenderesse étant représentée par [...], directeur adjoint.
Le dispositif du jugement a été notifié aux parties le 26 janvier 2017. Le 30 janvier 2017, la défenderesse en a requis la motivation.
En droit :
1.1 L'appel est recevable contre les décisions finales de première instance (art. 308 al. 1 let. a CPC [Code de procédure civile suisse du 19 décembre 2008; RS 272]), dans les causes non patrimoniales ou dont la valeur litigieuse est supérieure à 10'000 fr. (art. 308 al. 2 CPC). L'appel, écrit et motivé, doit être introduit auprès de l'instance d'appel, soit la Cour d'appel civile (art. 84 al. 1 LOJV [loi du 12 décembre 1979; RSV 173.01]), dans les trente jours à compter de la notification de la décision motivée ou de la notification postérieure de la décision selon l'art. 239 CPC (art. 311 al. 1 CPC).
En l'espèce, l'appel a été adressé en temps utile et dans les formes prescrites à l'autorité compétente par une partie qui y a un intérêt digne de protection (cf. art. 59 al. 2 let. a CPC), de sorte qu’il est recevable sur ce point.
1.2 Le litige concerne principalement l'application de la LPD. Il s'agit en l'occurrence d'une action civile menée, sur la base des art. 4 et 6 LPD, par une personne physique contre une banque ; la cause divise deux personnes privées et il s'agit donc d'une affaire civile contentieuse (art. 1 let. a CPC). En refusant la communication de ses données aux autorités américaines, la demandeur, en tant qu'ex-employé d'une banque, vise avant tout à éviter un interrogatoire, voire éventuellement une inculpation pénale aux Etats-Unis, de sorte qu'il ne poursuit pas un but économique. Partant, la contestation porte sur un droit de nature non pécuniaire (ATF 142 III 145 consid. 6.1 et 6.2; TF 4A_611/2017 du 26 mars 2018 consid. 1.1) et l'appel est donc ouvert sans égard à la valeur litigieuse.
2.1 L'appel peut être formé pour violation du droit ou pour constatation inexacte des faits (art. 310 CPC). L'autorité d'appel peut revoir l'ensemble du droit applicable, y compris les questions d'opportunité ou d'appréciation laissées par la loi à la décision du juge, et doit le cas échéant appliquer le droit d'office conformément au principe général de l'art. 57 CPC. Elle peut revoir librement l'appréciation des faits sur la base des preuves administrées en première instance (JdT 2011 III 43 consid. 2 et les réf.).
2.2 Les faits et moyens de preuve nouveaux ne sont pris en compte que s'ils sont invoqués ou produits sans retard et ne pouvaient être invoqués ou produits devant la première instance, bien que la partie qui s'en prévaut ait fait preuve de la diligence requise, ces deux conditions étant cumulatives (art. 317 al. 1 CPC; Jeandin, op. cit., n. 6 ad art. 317 CPC). Il appartient à l'appelant de démontrer que ces conditions sont réalisées, de sorte que l'appel doit indiquer spécialement de tels faits et preuves nouveaux et motiver spécialement les raisons qui les rendent admissibles selon lui (JdT 2011 III 43 et les réf. citées). A cet égard, on distingue vrais et faux novas. Les vrais novas sont des faits ou moyens de preuve qui ne sont nés qu’après la fin de l’audience de débats principaux de première instance. Ils sont recevables en appel lorsqu’ils sont invoqués sans retard après leur découverte. Les faux novas sont des faits ou moyens de preuve nouveaux qui existaient déjà lors de l’audience de débats principaux. Leur recevabilité en appel est exclue s’ils auraient pu être invoqués en première instance en faisant preuve de la diligence requise (Colombini, Condensé de la jurisprudence fédérale et vaudoise relative à l’appel et au recours en matière civile, in JdT 2013 III 131 ss, n. 40 p. 150 et les réf. citées).
Aux termes de l'art. 151 CPC, les faits notoires ou notoirement connus du tribunal et les règles d'expérience généralement reconnues ne doivent pas être prouvés. Selon la jurisprudence, les faits notoires, qu'il n'est pas nécessaire d'alléguer, sont ceux dont l'existence est certaine au point d'emporter la conviction du juge, qu'il s'agisse de faits connus de manière générale du public ou seulement du juge. La jurisprudence précise que, pour être notoire, un renseignement ne doit pas être constamment présent à l'esprit ; il suffit qu'il puisse être contrôlé par des publications accessibles à chacun, par exemple sur Internet (ATF 135 III 88 consid. 4.1 et les réf. citées ; TF 5A_435/2011 du 14 novembre 2011 consid. 9.3.3 ; TF 9C_748/2009 du 16 avril 2010 consid. 4.5).
En l’espèce, l’appelante a produit un lot de cinq pièces sous bordereau. Les pièces A et B sont des pièces de procédure, de sorte qu’elles sont recevables. Quant aux lettres de la Direction du Renseignement national (Office of the Director of National Intelligence) et de l’Office de l’Avocat général (Office of General Counsel) des 22 février et 21 juin 2016 (pièces B1 et B2), ainsi que celle du DOJ du 19 février 2016 (pièce B3), censées démontrer que les autorités américaines devraient être considérées comme offrant une protection adéquate des données et que, dès lors, l’art. 6 LPD serait inapplicable, elles sont toutes antérieures à la clôture de l’instruction de première instance. Or l’appelante n’expose nullement à quelle date elle a eu connaissance de ces courriers, ni pourquoi elle n’aurait pas été en mesure d’alléguer ces éléments lors de la procédure de première instance, alors que la question de l’existence d’une législation assurant un niveau de protection adéquat avait été soulevée dans la demande. Partant, les pièces B1, B2 et B3 produites par l’appelante sont irrecevables.
L’intimé a quant à lui produit un lot de dix-huit pièces sous bordereau (pièces 28 à 45). Les pièces 28 à 37, tirées soit du site Internet de l’administration fédérale, plus particulièrement du site du PFPDT, soit du site officiel du Privacy Shield, sont toutes postérieures à l’audience de première instance et, partant, recevables. Par ailleurs, les indications concernant le Privacy Shield fournies par le PFPDT constituent un fait notoire, dès lors qu’on peut les trouver sur le site Internet de l’administration fédérale (cf. TF 6B_387/2012 consid. 3.5). Ces éléments ont donc été pris en compte par la Cour de céans, dans la mesure de leur utilité, pour compléter l'état de fait du litige (let. C/9 supra). Les arrêts produits (pièces 38 à 45, soit un arrêt du Tribunal fédéral TF 4A_7/2017 du 26 juillet 2017, un jugement du Tribunal de première instance du Canton de Genève du 19 janvier 2017 et divers arrêts de la Chambre civile de la Cour de justice du Canton de Genève du 24 février au 15 août 2017) – interdisant la transmission, par des banques, des données relatives à des (anciens) employés – constituent également un fait notoire, dès lors qu’ils sont accessibles sur internet et qu’ils font partie de la jurisprudence tant cantonale que fédérale ; ils sont donc recevables.
3.1 L’appelante soutient tout d’abord que le premier juge aurait procédé à une appréciation inexacte des faits et qu’il aurait conclu incorrectement à l’inexistence d’un intérêt public prépondérant à la transmission des données au sens de l’art. 6 al. 2 let. d LPD.
L’appelante renvoie à son mémoire de réponse du 23 novembre 2015, dans les termes duquel elle persiste intégralement. Il ne sera pas tenu compte de ce renvoi, en ce sens que l’appelante ne peut pas se borner à renvoyer à ses écritures de première instance ou à des actes précédents de la procédure. Ainsi, ne seront pris en considération que les griefs exposés dans l’appel avec une précision suffisante (TF 4A_593/2015 du 13 décembre 2016 consid. 5.2).
Plus particulièrement, l'appelante fait valoir que le jugement entrepris écarterait incorrectement les risques encourus par la banque du fait de l'absence d'envoi de données personnelles de l'intimé. L'appelante estime qu'elle encourrait le risque de voir le NPA conclu remis en question en cas de collaboration jugée insuffisante et que la non-transmission du nom de l'intimé constituerait une violation des obligations assumées dans le cadre du Programme. Elle poursuit en indiquant que les intérêts publics existant en faveur d'une pleine participation au Programme ne seraient pas liés au caractère systémique de chaque banque prise individuellement, mais bien à l'implication de la quasi-totalité de la place financière dans le litige fiscal opposant la Suisse aux Etats-Unis. Pour l'appelante, si la faillite d'un établissement bancaire de nature non systémique est grave mais pas catastrophique pour la place financière suisse, il en irait tout autrement d'une chaîne de faillites concernant tout ou partie des établissements bancaires non systémiques ; ainsi, la non-transmission des données visées par la présente procédure ferait courir un risque concret de poursuites aux Etats-Unis, avec le risque de conséquences désastreuses qui en découlerait.
Dans un deuxième volet de sa critique liée au fait, l'appelante fait valoir que le jugement entrepris retiendrait à tort les risques encourus par l'intimé en cas de transmission des données.
On ne saurait voir dans la démonstration toute générale de l’appelante l’exposé de risques avérés dans le cas concret, comme cela a été relevé par le Tribunal fédéral dans l’arrêt récent 4A_611/2017 du 26 mars 2018.
Quoi qu’en dise l’appelante, force est de constater qu’il n’est pas établi, sur la base des éléments contenus dans le dossier, que la non-communication du nom et de la fonction de l’intimé, qui s’occupait de comptes susceptibles d’être visés par le programme américain, serait concrètement de nature à remettre en cause l’accord conclu et/ou à entraîner une inculpation de la banque.
Pour le reste, la question des risques que la (non-)transmission des données litigieuses pourrait faire peser sur l’appelante, respectivement sur l’intimé, doit être traitée dans le cadre de l’examen de l’existence d’un intérêt public prépondérant pouvant justifier, le cas échéant, la communication de ces données (consid. 3.2.4.3 et 3.2.4.4 infra).
3.2
3.2.1 L'appelante soutient que les autorités américaines devraient être considérées comme offrant une protection adéquate des données personnelles et qu'ainsi, l'art. 6 LPD serait inapplicable à la présente affaire, la pesée des intérêts devant se faire sous l'angle de l'art. 13 LPD.
3.2.2 Selon l'art. 6 al. 1 LPD, aucune donnée personnelle ne peut être communiquée à l'étranger si la personnalité des personnes concernées devait s'en trouver gravement menacée, notamment du fait de l'absence d'une législation assurant un niveau de protection adéquat.
Sous réserve du respect des principes généraux de la loi, la communication est donc licite lorsque le pays destinataire offre un niveau de protection adéquat en matière de données personnelles (Meier, Protection des données – Fondements, principes généraux et droit privé, Berne 2011, n. 1290 ; Rosenthal, in : Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, Zurich 2008 n. 2 ad art. 6 LPD ; Streiff/Von Kaenel, Arbeitsvertrag, 7e éd., 2012, n. 7 ad art. 328b CO).
Dans les autres cas, la communication doit se conformer à l'un des motifs justificatifs alternatifs mais exhaustifs de l'art. 6 al. 2 LPD (Meier, op. cit., n. 1309 ss ; Rosenthal, op. cit., n. 36 ad art. 6 LPD). Ces motifs l'emportent sur les motifs justificatifs généraux de la loi, prévus par l'art. 13 LPD (ibidem). Il appartient à l'exportateur des données d'en établir l'existence (Meier, op. cit., n. 1311 ; Rosenthal, op. cit., n. 36 ad art. 6 LPD).
3.2.3 En l’espèce, sur la base des éléments à disposition, force est de constater que le premier juge pouvait, à bon droit, considérer que la protection des données aux Etats-Unis n'était pas appropriée, au regard de la « Liste des Etats ayant une législation assurant un niveau de protection adéquat (art. 6 al. 1 LPD), établie par le PFPDT », dans son état au 2 juin 2014. Il n'est en outre pas contesté que les Etats-Unis ne sont pas parties à la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, dont l'adhésion fait présumer l'existence d'un niveau de protection suffisant, comme le retient à juste titre le premier juge.
L'argument est du reste plaidé pour la première fois en appel, puisqu'en première instance la démonstration a été faite sous l'angle de l'art. 6 al. 2 let. d LPD. Dans un arrêt récent du 26 juillet 2017 (TF 4A_73/2017), le Tribunal fédéral a d'ailleurs reconnu que la protection des données était insuffisante aux Etat-Unis (« Angesichts des ungenügenden Datenschutzes in den USA sei nicht auszuschliessen, dass sich die US-Behörden veranlasst sehen könnten, der Spur der vom Beschwerdegegner betreuten Kunden nachzugehen, was zu grösseren und in ihrer Auswirkung nicht absehbaren Unannehmlichkeiten für den Kläger persönlich führen könnte, wenn er z.B. ins Ausland reisen möchte. Die Vorinstanz hat somit die massgeblichen Gesichtspunkte berücksichtigt. Einen Ermessensmissbrauch vermag die Beschwerdeführerin nicht aufzuzeigen. » [consid. 4.2]).
C'est donc de manière correcte que le premier juge a porté son analyse sur l'art. 6 LPD, les motifs justificatifs de cette disposition primant sur ceux – généraux – prévus par l'art. 13 LPD. Seule la let. d de l’art. 6 LPD entre ici en considération, ce qui n’est pas contesté.
3.2.4 3.2.4.1 L'art. 6 al. 2 LPD contient une liste exhaustive de motifs (alternatifs) permettant la communication à l'étranger des données, en dépit de l'absence de législation assurant un niveau de protection adéquat (TF 4A_390/2017 du 23 novembre 2017 consid. 4.1 et l'arrêt cité).
Selon l'art. 6 al. 2 let. d 1re alternative LPD, des données personnelles peuvent être communiquées à l'étranger uniquement si la communication est, en l'espèce, indispensable à la sauvegarde d'un intérêt public prépondérant. Cette disposition pose trois conditions: (1) un intérêt public, (2) un intérêt public qui soit prépondérant et (3) une communication qui soit indispensable à la sauvegarde de celui-ci. Dans plusieurs arrêts récents en rapport avec le programme américain, le Tribunal fédéral a déjà précisé ce qu'il y a lieu d'entendre par là.
Il existe un intérêt public si la préservation de la stabilité juridique et économique de la place financière suisse est en jeu. L'intérêt de la banque à sa survie ne suffit en soi pas, dès lors qu'il s'agit d'un intérêt privé, et non d'un intérêt public (TF 4A_390/2017 déjà cité consid. 4.2.1).
L'intérêt public doit être prépondérant par rapport à l'intérêt privé du tiers à ce que ses données personnelles ne soient pas communiquées aux autorités américaines. Le juge doit procéder à une pesée des intérêts (art. 4 CC) in concreto, en tenant compte de toutes les circonstances du cas particulier à la date du jugement (TF 4A_390/2017 déjà cité consid. 4.2.2 et les références citées).
La communication des données doit être indispensable à la sauvegarde de l'intérêt public prépondérant. Elle est indispensable (unerlässlich) si elle est absolument nécessaire (unbedingt notwendig) en ce sens que, sans la livraison de ces données, le litige fiscal avec les Etats-Unis s'intensifierait à nouveau, que la place financière suisse dans son ensemble en serait affectée et que cela porterait préjudice à la réputation de la Suisse en tant que partenaire de négociation fiable (TF 4A_390/2017 déjà cité consid. 4.2.3 et les arrêts cités).
3.2.4.2 En l’espèce, en signant le Joint Statement, le Conseil fédéral a garanti au DOJ que le droit suisse en vigueur permettait la participation effective des banques au programme américain. Autrement dit, vu le Joint Statement conclu par le Conseil fédéral, il doit être admis que, matériellement, le droit suisse autorise la participation effective des banques suisses et donc la communication des données de tiers (employés, gestionnaires) conformément aux conditions posées par le programme américain.
Il ne s'agit toutefois pas d'admettre de manière abstraite que toutes les banques doivent communiquer les données concernant des tiers, même en l'absence de toute menace d'une atteinte à l'intérêt public de la Suisse. Il faut bien plutôt examiner si la modification de la situation de fait doit être prise en considération sous l'angle matériel et si elle conduit à admettre ou nier le caractère indispensable de la communication des données. La LPD vise en effet à protéger la personnalité et les droits fondamentaux des personnes qui font l'objet d'un traitement de données. Au centre de ses préoccupations figure donc la protection de la personnalité de l'intéressé (employé, gestionnaire). Ne pas tenir compte par principe des modifications de la situation et admettre systématiquement la communication des données aurait pour conséquence de laisser la personnalité sans protection, alors même que, dans le cas particulier, la communication n'est plus indispensable à la sauvegarde de l'intérêt public (TF 4A_390/2017 déjà cité consid. 4.2.3).
Il appartient à la banque de démontrer que, à la date du jugement, la non-communication des données litigieuses aurait pour conséquence nécessaire une nouvelle escalade du litige fiscal avec les Etats-Unis et, de ce fait, constituerait une menace pour la place financière suisse et la réputation de la Suisse en tant que partenaire de négociation fiable (TF 4A_390/2017 déjà cité consid. 4.2.3; sur le tout TF 4A 611/2017 du 26 mars 2018 consid. 4.2). A cet égard, il ne suffit pas de faire état de risques abstraits; la banque doit au contraire établir que la non-communication des données litigieuses serait concrètement (en l'espèce) de nature à remettre en cause l'accord conclu et/ou à entraîner une inculpation de la banque et que la transmission des données serait en l'occurrence nécessaire pour éviter une (nouvelle) intensification du litige fiscal avec les Etats-Unis qui, de ce fait, affecterait la place financière suisse et porterait préjudice à la réputation de la Suisse en tant que partenaire de négociation fiable (TF 4A_611/2017 du 26 mars 2018 consid. 4.3 ; TF 4A_83/2016 du 22 septembre 2016).
3.2.4.3 En l’occurrence, le premier juge a retenu que le fait qu'une mise en accusation de la banque entraînerait sa disparition était incertain, ce scénario paraissant improbable, d'autant que celle-ci n'était pas, contrairement à de grandes banques universelles, comme UBS ou Credit Suisse, une banque d'importance systémique et qu'elle n'était pas active sur le marché américain. L'intérêt public de la Suisse à empêcher une éventuelle mise en accusation de la banque, qui mettrait son existence en danger, n'était pas aussi important que s'il s'agissait d'une banque d'importance systémique. Quoi qu'il en soit, le demandeur était, pour les Etats-Unis, un « petit poisson », de sorte qu'il n'existait en l'état aucun indice permettant de conclure qu'en cas de livraison incomplète des données au DOJ, ce dernier révoquerait l'accord d'ores et déjà conclu, d'autant que les données concernant le demandeur ne représentaient qu'une infime partie des données à fournir par la banque. Quant au demandeur, en cas de transmission des données le concernant, il devait s'attendre à ce que les Etats-Unis le contraignent à révéler l'identité des titulaires des comptes concernés, l'obligeant à se rendre coupable d'une infraction de droit suisse, et était en outre susceptible d'être prétérité dans son activité professionnelle. La banque avait ainsi échoué à démontrer l'existence d'un intérêt public prépondérant.
3.2.4.4 L'appelante n’a pas allégué et encore moins démontré le caractère indispensable de la communication des données litigieuses concernant l’intimé, soit qu’en cas de non-transmission du nom de ce dernier, le litige fiscal avec les Etats-Unis évoluerait à nouveau et que la place financière helvétique et la réputation de la Suisse seraient compromises. Il n’est pas non plus établi qu’une non-transmission des informations entraînerait la faillite de la société. D’ailleurs, il n’est pas expliqué en quoi une éventuelle faillite de la banque à la suite d’une procédure pénale ouverte aux Etats-Unis pourrait mettre en péril la place financière romande, voire encore suisse. L’appelante se contente de faire état des risques de voir les termes de l'accord conclu avec le DOJ être révoqués. Elle se prévaut cependant à cet égard uniquement du fait que le DOJ se réserve de revenir sur les termes de l'accord conclu, en l'absence d'une pleine coopération, sans faire la démonstration qu'un tel risque serait concret au vu des circonstances de la présente espèce, ce qui est insuffisant compte de la jurisprudence récente précitée, les allégations de l’appelante à cet égard étant générales et abstraites.
Cela scelle le sort de l'appel sur ce point, la troisième condition de l'art. 6 al. 2 let. d LPD (caractère indispensable de la transmission) n'étant pas réalisée. Il n'est dès lors pas nécessaire de traiter des griefs de l'appelante relatifs à l'absence d'intérêt de l'intimé à la non-transmission des données. En cela, la critique y relative peut demeurer en l'état. A titre superfétatoire, les développements faits par l'intimé dans sa duplique sont pertinents, référence faite notamment à l'arrêt TF 4A_73/2017 du 26 juillet 2017 (et non pas du 22 septembre 2016, comme indiqué par erreur) consid. 4.2, à l'appui duquel notre Haute Cour a jugé qu'une instance cantonale n'avait pas excédé son pouvoir d'appréciation en considérant que la transmission des données de l'employé pouvait avoir sur celui-ci des conséquences désagréables et difficilement prévisibles au vu du manque de protection des données aux Etats-Unis, par exemple en cas de voyage à l'étranger.
En conséquence, la livraison des données par la banque ne peut pas en l'état actuel être considérée comme indispensable au sens de l'art. 6 al. 2 let. d 1re alternative LPD.
L'appelante fait encore valoir que la transmission de données au DOJ dans le contexte d'un accord de non-poursuite serait nécessaire pour « la défense d'un droit en justice » au sens de l'art. 6 al. 2 let. d 2e alternative LPD. Cette disposition serait applicable « dans la mesure où les données visées par la présente procédure doivent être transmises à une autorité judiciaire suite au prononcé d'une décision prévoyant une obligation de collaborer à charge de la Banque pour éviter l'ouverture d'une procédure pénale [...] ».
Quoi qu'en dise l'appelante, il ne s'agit pas de transmission à une autorité judiciaire. Comme relevé à juste titre par le premier juge, cette hypothèse n'est pas applicable au cas d'espèce, puisque la banque n'est pas, en l'état, formellement impliquée dans une procédure judiciaire aux Etats-Unis. A supposer même le contraire, le Tribunal fédéral a, dans son arrêt du 26 mars 2018, écarté l'application de l'art. 6 al. 2 let. d 2e alternative LPD pour le même motif qui a justifié la non-application de l'art. 6 al. 2 let. d 1re alternative LPD, soit le non-établissement du caractère indispensable de la communication, lequel a également été admis dans la présente cause. Rien ne permet de retenir que le caractère indispensable de la communication aurait une signification différente dans les deux alternatives de l'art. 6 al. 2 let. d LPD et l'appelante elle-même ne le soutient pas. Ainsi, dès lors que le caractère indispensable de la transmission doit être nié en l'espèce (supra consid. 3.2.4.4), la banque ne peut pas non plus se prévaloir de la seconde hypothèse de l'art. 6 al. 2 let. d LPD pour justifier la communication aux autorités américaines, en particulier au DOJ, des données concernant le demandeur.
Il s’ensuit que l'appel doit être rejeté et le jugement entrepris confirmé.
Les frais judiciaires de deuxième instance, arrêtés à 2'000 fr. (art. 64 al. 1 TFJC [tarif des frais judiciaires civils du 28 septembre 2010 ; RSV 270.11.5]), seront mis à la charge de l’appelante, qui succombe (art. 106 al. 1 CPC).
Obtenant gain de cause, l’intimé a droit à des dépens pour la procédure d’appel, fixés à 3'000 fr. (art. 9 al. 2 TDC).
Par ces motifs, la Cour d’appel civile prononce :
I. L’appel est rejeté.
II. Le jugement est confirmé.
III. Les frais judiciaires de deuxième instance, arrêtés à 2'000 fr. (deux mille francs), sont mis à la charge de l’appelante S.________.
IV. L’appelante S.________ doit verser à l’intimé C.________ la somme de 3'000 fr. (trois mille francs) à titre de dépens de deuxième instance.
V. L’arrêt est exécutoire.
Le président : Le greffier :
Du
Le présent arrêt, dont la rédaction a été approuvée à huis clos, est notifié à :
‑ Mes Jacques Iffland et Téo Genecand (pour S.), ‑ Me Simon Ntah (pour C.),
et communiqué, par l'envoi de photocopies, à :
‑ Mme la Présidente du Tribunal civil de l’arrondissement de Lausanne.
Le présent arrêt peut faire l'objet d'un recours en matière civile devant le Tribunal fédéral au sens des art. 72 ss LTF (loi du 17 juin 2005 sur le Tribunal fédéral – RS 173.110), le cas échéant d'un recours constitutionnel subsidiaire au sens des art. 113 ss LTF. Dans les affaires pécuniaires, le recours en matière civile n'est recevable que si la valeur litigieuse s'élève au moins à 15'000 fr. en matière de droit du travail et de droit du bail à loyer, à 30'000 fr. dans les autres cas, à moins que la contestation ne soulève une question juridique de principe (art. 74 LTF). Ces recours doivent être déposés devant le Tribunal fédéral dans les trente jours qui suivent la présente notification (art. 100 al. 1 LTF).
Le greffier :