L'autorité doit-elle respecter la protection des données dans le cas de la CD des évadés fiscaux ?
Imaginons le cas fictif suivant : des services fédéraux allemands achètent un CD contenant des données personnelles de fraudeurs fiscaux réels et/ou présumés.
Le vendeur est par exemple un employé de banque qui a enregistré sans autorisation des données bancaires personnelles provenant des systèmes de la banque et qui a ensuite proposé ce pool de données à l'achat aux autorités fiscales. Sur la base de ces données, des procédures pénales fiscales sont ensuite lancées et des arriérés d'impôts sont fixés. La législation en matière de protection des données prévoit tout d'abord que la collecte, le traitement et l'utilisation de données à caractère personnel ne sont autorisés que dans le cadre d'une stricte limitation des finalités (article 28 de la loi fédérale sur la protection des données).
La transmission et l'utilisation de telles données à une autre fin sont certes en principe également autorisées pour la poursuite d'infractions pénales. La poursuite pénale est toutefois liée à une procédure formelle. C'est pourquoi une procédure d'enquête formelle est généralement ouverte en cas de soupçon initial.
Ce n'était pas le cas pour les personnes concernées par le pool de données. Par conséquent, l'achat des données n'a pas eu lieu dans le cadre d'une procédure d'enquête concrète et la transmission et l'utilisation des données seraient illégales. Toutefois, la collecte ou l'utilisation illicite de données à caractère personnel expose l'organisme responsable à des dommages et intérêts (article 7 de la BDSG).
En d'autres termes, tous les préjudices patrimoniaux subis par la personne concernée - en l'occurrence le client de la banque - à la suite de la collecte, du traitement ou de l'utilisation illicites des données constituent un dommage indemnisable. Si plusieurs entités, comme la banque ou les employés de la banque, ont agi de manière illégale, elles sont solidairement responsables. Dans ce contexte, la question se pose de savoir si les fraudeurs fiscaux concernés peuvent, par exemple, demander des dommages et intérêts à l'administration fiscale en tant qu'acquéreur du CD de données, étant donné que les intérêts fiscaux ne constituent pas une raison pour supprimer l'affectation stricte des données bancaires acquises, conformément à l'article 28, paragraphe 3, de la BDSG.
Outre les éventuels frais de procédure et les amendes, il faudrait même envisager, comme poste de dédommagement, une éventuelle indemnité pour souffrance, comme le prévoient diverses lois régionales sur la protection des données. Les personnes concernées et les conseillers ne négligeront pas les aspects liés à la protection des données pour se défendre contre des prétentions ou pour justifier un recours. Les entreprises se protègent à temps contre le vol de données par des mesures appropriées et sont conscientes du risque d'abus de données par les collaborateurs. Certaines entreprises gèrent des stocks de données qui pourraient intéresser des tiers et dont la vente pourrait être une grande tentation pour les collaborateurs. En cas de vol de données, l'entreprise doit également s'attendre à des revendications de la part des personnes concernées si des mesures de sécurité n'ont pas été prises à cet effet.