Pour rappel, ce fichier détient des données liées à certaines personnes qui pourraient potentiellement ne pas présenter toutes les garanties d’une activité irréprochable. La FINMA conserve ces informations notamment dans l’hypothèse où l’autorité serait amenée à se prononcer sur de telles garanties. L’art. 3 de l’Ordonnance de la FINMA sur le traitement des données liste le contenu des données récoltables.

En l’espèce, le recourant « A » est un ancien employé d’une banque ayant elle-même fait l’objet d’une très large procédure administrative d’Enforcement de la FINMA clôturée en décembre 2012 (ci-après procédure « X »). Informé de la procédure, A demanda en mai 2012 de recevoir de la FINMA copie des données le concernant. L’autorité refusa notamment en raison du fait que A n’était pas partie ni visée par la procédure et qu’il était disproportionné de caviarder les informations liées à la banque et aux tiers, au vu du très grand nombre de documents sur lesquels il apparaissait en sa qualité d’employé.

Un an plus tard, la FINMA informa A du fait qu’elle conservait néanmoins les données le concernant accompagnées d’une inscription mentionnant son implication dans la procédure X. A demanda à plusieurs reprises d’obtenir l’intégralité des données collectées le concernant, et obtenu de la FINMA des données partiellement caviardées en raison une fois encore du principe de proportionnalité et de la protection des droits des tiers. A requit alors de la FINMA de s’abstenir à l’avenir de toute collecte de données le concernant et d’effacer celles conservées jusqu’ici. La FINMA refusa en raison notamment du fait que les données collectées permettraient de prendre en compte l’implication et la responsabilité de A dans l’affaire X, dans l’hypothèse où une demande de garanties d’une activité irréprochable devait être formulée à l’avenir.

A l’appui de son recours, le recourant invoqua, au regard de l’art. 17 al. 2 LPD, l’absence de base légale suffisante ou d’exceptions pour la récolte de données sensibles, tout en précisant que l’art. 23 LFINMA était une base légale générale insuffisante pour maintenir une telle Watch List.

Au demeurant, le recourant allégua que les données collectées étaient fausses et trompeuses. Ainsi, en collectant des informations sur le recourant sans en vérifier l’exactitude, la FINMA s’était formée une opinion préalable informelle sur les garanties d’une activité irréprochable relative que pourraient présenter le recourant. De facto, la FINMA avait déjà ouvert une procédure informelle à son encontre, sans que celui-ci n’ait pu être partie ou n’ait pu se prononcer sur l’exactitude des données collectées en raison du caractère partiellement caviardé du dossier. La FINMA aurait alors violé la garantie constitutionnelle d’un procès équitable et la liberté économique du recourant, notamment le libre accès à une activité économique lucrative privée et son libre exercice. Le recourant allégua qu’il devait divulguer son entrée dans la Watch List à tout potentiel employeur tout en risquant de ne pouvoir obtenir une fonction en raison des inscriptions faites dans la Watch List.

Si le TAF laisse ici de côté la question de savoir si les données peuvent être qualifiées de données sensibles ou de profil de la personnalité au sens de l’art. 3 LPD, le Tribunal reconnait l’application de la LPD et de l’art. 23 LFINMA en tant que base légale au sens de l’art. 17 al. 2 LPD. Il confirme la délégation légale en faveur de la FINMA d’arrêter son Ordonnance sur les données (et ce même en l’absence de délégation expresse, tel que l’art. 18 al.1 LBA).