1. | R é s e a u m o n d i a l d e s a v o c a t s s p é c i a l i s é s e n d r o i t d e s t e c h n o l o g i e s a v a n c é e s
2. | Allemagne | Belgique | Canada | Espagne | Etats-Unis | France | Israël | Italie | Maroc | Mexique | Norvège | Royaume-Uni | Suisse
Obligations légales et responsabilités de
l’intermédiaire financier qui détient des données
de ses clients
Sébastien FANTI
sebastien.fanti@sebastienfanti.ch
GENEVE, VENDREDI 22 MARS 2012
3. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
1. Prolégomènes
2. Protection des données
3. Dispositions pénales
4. Dispositions disciplinaires
5. Conclusions et conseils
Sommaire de l’exposé
PAGE 03
4. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
Chères Consoeurs, Chers Confrères,
Vous trouverez ci-joint l'ordre du jour de la séance de ce jeudi. Elle sera brève, de sorte que nous aurons
un peu de temps pour un tour de table destiné à préparer l'assemblée générale.
J'invite :
Me X à me faire parvenir sa note de frais pour le dossier L, pour que j'établisse sans tarder la facture à
l'intention du DSSI (le préavis lui a déjà été transmis).
Me Y à vérifier si les frais des dossiers suivants ont été acquittés: 118/2008 (A), 135/2009 (B), 136/2009 (C)
et 141/2009 (D), avant que je ne les archive.
Avec mes salutations confraternelles
Me Z, président de la chambre de surveillance des notaires
Chères Consoeurs, Chers Confrères,
Un courriel destiné aux seuls membres de la chambre de surveillance vient de vous être adressé à tous.
Je vous invite à le détruire sans délai et vous adresse mes excuses pour ce lapsus. Ce sont là les risques de
la communication électronique, en attendant les actes électroniques ...
Prolégomènes
PAGE 04
5. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
Qualification de données sensibles (art. 3 let. c LPD) et de profil de la personnalité (art.
3 let. d LPD) :
Soit les données qui peuvent par leur nature porter atteinte aux libertés fondamentales
ou à la vie privée (le revenu ou la fortune n’en font pas partie).
Le profil de la personnalité est un assemblage de données qui permet d’apprécier les
caractéristiques essentielles de la personnalité d’une personne physique (art. 3 let. d
LPD). Le profil client établi dans le cadre des règles KYC (Know Your Customer) par le
gestionnaire de fortune, notamment s’agissant d’un PEP (Politically Exposed Person; cf.
art. 2 OBA-FINMA) remplit les conditions légales de cette définition (cf. art. 17 de
l’ancienne Ordonnance 1 de la FINMA sur le blanchiment d’argent du 18 décembre
2002).
Les effets juridiques de la qualification de profil de la personnalité sont les mêmes que
pour les données sensibles.
Protection des données
PAGE 05
6. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
Effets juridiques de la qualification de profil de la personnalité:
- Rigueur accrue dans l’application des principes généraux de traitement (finalité,
etc.);
- Consentement explicite requis pour le traitement des données;
- Obligation de déclaration des fichiers au PFPDT lorsque les personnes traitent
régulièrement des données sensibles;
- Interdiction de communiquer à des tiers de telles données sans motif justificatif;
- Sécurité des données (cf. article 8 OPD);
- …
En résumé, un degré d’attention accru, des mesures préventives supplémentaires et un
traitement strictement conforme aux règles légales.
Protection des données
PAGE 06
7. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
Déclaration des fichiers au PFPDT:
https://www.datareg.admin.ch/WebDatareg/search/SearchSimple.aspx
Protection des données
PAGE 07
8. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
Déclaration des fichiers au PFPDT (art. 11a al. 5 let. a LPD):
Le maître de fichier privé qui traite des données et établit un fichier sur la base d’une
obligation légale est dispensé de déclaration. Il peut toutefois par mesure de
simplification choisir d’opérer une telle déclaration. Conseil: le publier donne une
impression de sérieux et conforte le client dans la relation de confiance établie.
Cela concerne également les intermédiaires financiers conformément aux normes
légales et professionnelles relatives à la lutte contre le blanchiment d’argent et le
terrorisme.
La liste des intermédiaires financiers au bénéfice d’une autorisation n’a pas à être
publiée sur le net (JAAC 68.92). La liste des faux intermédiaires l’est par contre.
Protection des données
PAGE 08
9. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
Communication transfrontière des données:
Le mandataire prendra toutes les mesures organisationnelles et techniques appropriées pour éviter tout
traitement non autorisé des données personnelles en application de l’article 7 de la loi fédérale sur la
protection des données. Le fichier constitué par les données clients fait l'objet d'une déclaration au Préposé
fédéral à la protection des données et à la transparence (numéro de registre 201200002).
Le mandant est toutefois informé du fait que le mandataire ne peut garantir que les données le concernant
ne soient pas communiquées à l’étranger dans un pays ne bénéficiant pas d’une législation assurant un
niveau de protection adéquat. Cela est notamment dû intrinsèquement à la communication par courriel, au
stockage dans les nuages (cloud computing), ainsi qu’aux logiciels de bureautique les plus courants, étant
précisé que le mandataire n’est lui-même régulièrement pas informé de cette communication transfrontière
de données par les différents prestataires.
Le mandant consent à cette communication transfrontière de données le concernant (art. 6 al. 2 let. b
LPD). Si tel ne devait pas être le cas, il sollicite immédiatement du mandataire la prise de mesures de
protection spécifiques et déclare formellement en assumer le coût supplémentaire.
Protection des données
PAGE 09
10. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
Communication transfrontière des données:
Le champ d’application des législations en matière de protection des données est
limité par le principe de territorialité.
Article 6 al. 1 LPD: aucune donnée personnelle ne peut être communiquée à
l’étranger si la personnalité des personnes concernées devait s’en trouver
gravement menacée, notamment du fait de l’absence d’une législation assurant un
niveau de protection adéquat. La violation de cet article constitue per se une
atteinte à la personnalité.
Le problème principal concerne les USA (U.S. – Swiss Safe Harbor Framework).
Il est donc indispensable de procéder à des vérifications approfondies.
Protection des données
PAGE 010
11. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
Casus introductif:
• Le Tribunal cantonal valaisan a jugé que celui qui, au bénéfice d’un mot
de passe communiqué par son employeur, accède à des serveurs lui
permettant de disposer de données spécifiques ne se rend pas coupable
de soustraction de données, ceci à défaut de protection spécifique!
• En étant simplement au bénéfice du mot de passe lui permettant de
s'acquitter de ses obligations contractuelles, X. a pu accéder aux
serveurs contenant les données dont il s'est ensuite emparé. Bien que
lesdits serveurs aient fait l'objet de diverses protections contre des
intrusions de l'extérieur (chambre forte, contrôles d'accès biométriques,
pare-feu), cet employé n'a rencontré aucune mesure de sécurité
spécifique lui entravant l'accès aux logiciels du "Back Office" recherchés
ou encore aux données d'Y. SA relatives aux adresses e-mail des
abonnés au service de messagerie A.ch, de même que celles afférentes
à la liste des clients du site B., le tout "logins" et mots de passe compris.
Droit pénal
PAGE 011
12. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
• Il importe peu qu'en fonction de la formation ou des capacités de celui-ci, voire
des renseignements fournis par des collègues mieux aguerris en ce domaine,
l'employé indélicat ait mis plus ou moins de temps pour trouver le chemin des
données recherchées, dès lors l'intéressé n'a dû surmonter aucun obstacle de
sécurité mis en œuvre volontairement par son employeur.
• Au contraire, faisant prévaloir des raisons de rentabilité dont il n'appartient pas
à la cour de vérifier le bien-fondé, les organes d'Y. SA ont opté pour une barrière
dite morale, qui ne suffit évidemment pas à réunir les réquisits posés à l'art. 143
CP, alors même - tel que déjà évoqué en droit - que cette barrière aurait été
assortie d'instructions voire d'interdictions orales ou écrites.
Droit pénal
PAGE 012
13. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
• Avec la société lésée, on peut s'interroger sur le sens de la protection pénale
restreinte ainsi accordée par le législateur, dans sa volonté de renoncer à
réprimer ce qui équivaut à un abus de confiance au sens large du terme. C'est
bien la raison pour laquelle ont déjà été relevé le peu d'incidence pratique de
l'art. 143 CP et même le caractère dépassé des moyens légaux mis en œuvre dès
1995 pour lutter contre la criminalité informatique. Il suit de là qu'un renvoi en
jugement fondé sur l'art. 143 CP ne saurait se justifier.
• Pour des motifs similaires, l'application de l'art. 143bis CP n'entre pas en ligne
de compte, outre que l'activité de l'employé X. ne peut être assimilée à celle
d'un "hacker" qui visite le site d'autrui en vue d'en percer les défenses et d'en
violer le domicile informatique.
Droit pénal
PAGE 013
14. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
• La cause pénale concernant X. a en revanche été renvoyée à jugement s'agissant
de la violation du secret des postes et des télécommunications.
• Ainsi, celui-ci ne semble pas avoir échappé à une sanction justifiée; toutefois,
cet arrêt signifie clairement que pour éviter tout problème ultérieur, mieux vaut
sécuriser «en interne» vos systèmes informatiques.
• À défaut, toute poursuite pénale fondée sur l’article 143 du Code pénal risque
fort d’être vouée à l’échec!
Droit pénal
PAGE 014
15. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
• Les instructions et/ou interdictions orales ou écrites sont insuffisantes. Une
barrière électronique et des contre-mesures sont nécessaires.
• Le règlement informatique et les clauses contractuelles ne sont donc, du point
de vue pénal, d’aucun secours pour démontrer la réalisation des conditions
objectives d’infractions, telles que la soustraction de données ou l’accès indu à
un système informatique.
• Elles pourront, par contre, fonder une action civile.
• Les erreurs de vos employés vous seront imputées; ex: un client d’une banque
voit ses données communiquées au fisc de son pays et dépose une plainte
contre X. Il existe un risque que l’employeur doive justifier des mesures de
sécurité prises et de grands risques qu’il doive assumer les conséquences civiles
du comportement illicite soient à sa charge (action récursoire possible).
Droit pénal
enseignements
PAGE 015
16. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
• Ne comptez sur personne pour vous aider en cas de pépin: la Suisse va
probablement ratifier la Convention du Conseil de l’Europe sur la
cybercriminalité signée en 2001… en 2011.
• Aucun article juridique, ni aucun jugement n’ont été publiés en matière de data
loss prevention à ce jour!
• Il n’y a qu’un DIEU informatique, c’est le responsable de la sécurité des données
de vos clients et de vos données!
• Ni un juge, ni un policier, ni un politicien ne pourront rétablir une réputation
ternie et vous permettre de vous soustraire aux procédures qui ne manqueront
pas d’être diligentées (ex: procédure disciplinaire contre un avocat dont l’épouse
a subtilisé les données client pour démontrer le niveau de revenu… avant de
demander le divorce!).
Droit pénal
enseignements
PAGE 016
17. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
• Autres cas d’application:
clés USB;
ordinateurs portables;
photocopieurs;
devices…
Selon le dernier rapport de la Central d’enregistrement et d’analyse pour la sûreté
de l’information (Melani, rapport semestriel 2010/1):
Les affaires d’espionnage et de vols de données ont augmenté au premier semestre
2010 sur le plan mondial.
Droit pénal
PAGE 017
18. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
La publication des décisions de la FINMA en vertu de l’article 34 LFINMA est
désastreuse en termes d’images:
Art. 34 Publication d’une décision en matière de surveillance
1 En cas de violation grave du droit de la surveillance, la FINMA peut publier sa
décision finale, y compris les données personnelles des assujettis concernés, sous
forme électronique ou écrite, à compter de son entrée en force.
2 La publication doit être ordonnée dans la décision elle-même.
Il n’existe aucun droit à l’oubli concernant la publication de telles décisions dont le
référencement aura lieu automatiquement compte tenu de l’excellente tenue du
site de la FINMA.
Le dommage est donc exponentiel et permanent. Faire disparaître une telle
information du web coûte des dizaines de milliers de francs.
Droit disciplinaire
PAGE 018
19. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
La délégation de traitement de données (outsourcing, cf. art. 10a LPD) est
strictement encadrée. Elle concerne la collecte, la saisie, l’exploitation, l’analyse, le
contrôle, la destruction, l’archivage, la sauvegarde et l’accès à distances à des
données. En pratique on outsource même sans le savoir au sens de la loi dès lors
que l’on fait appel à un avocat, un fournisseur d’accès, etc.
Lorsque le traitement de données par un tiers est conforme aux conditions fixées
ci-après, elle ne nécessite ni information ni a fortiori consentement de la
personne concernée même si on traite des données sensibles.
Le mandant doit tout d’abord:
- Choisir avec soin le tiers qui va traiter les données;
- Lui donner toutes les instructions adéquates;
- Exercer la surveillance pour s’assurer que les instructions soient respectées;
L’indiquer dans le contrat est suffisant. Il faut que le pouvoir d’instruction et de
contrôle soit effectif.
Outsourcer sa sécurité?
PAGE 019
20. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
La délégation n’est admise que si aucune obligation légale ou contractuelle de
garder le secret ne l’interdit.
L’outsourcing de certaines tâches par une banque ne contrevient pas à l’article 47
LB pour autant que les neuf principes de la circulaire FINMA 2008/7 du 20
novembre 2008 soient respectés. Parmi ces principes figure l’information du client.
La délégation ne dispense pas le mandant de l’ensemble de ses devoirs généraux
en matière de protection des données notamment en ce qui concerne le principe
de sécurité et le principe de proportionnalité (ne pas transférer plus de données
que nécessaire). Il faut en particulier effectuer des vérifications régulières et
pouvoir accéder en tout temps aux données dont le traitement a été délégué
(notamment pour répondre aux demandes de tiers – art. 8 LPD).
Le cadre juridique et règlementaire est donc clairement établi.
Outsourcer sa sécurité?
PAGE 020
21. INTERMEDIAIRES FINANCIERS
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
1. Connaître ses limites;
2. Prendre conscience du fait qu’un incident important peut entraîner la faillite de
l’entreprise;
3. Déléguer les tâches pour lesquelles le savoir-faire fait défaut;
4. S’assurer que la délégation respecte les normes;
5. Ne pas considérer que le service juridique est peuplé de gêneurs et d’empêcheurs
d’affaires;
6. Dans le doute, solliciter les structures professionnelles et les services étatiques de
manière anonymisée.
7. Choisir un employé et le charger d’une veille liée aux technologies de l’information.
À défaut… priez !
Merci de votre attention.
Conclusions et conseils
PAGE 021
22. | R é s e a u m o n d i a l d e s a v o c a t s s p é c i a l i s é s e n d r o i t d e s t e c h n o l o g i e s a v a n c é e s
Allemagne
Buse Heberer Fromm Rechtsanwälte
Bernd Reinmüller, Tim Caesar et Stephan
Menzemer
Neue Mainzer Strasse 28
60311 Frankfurt Am Main
T. 0049 699 71 09 71 00
F. 0049 699 71 09 72 00
reinmueller@buse.de
www.buse.de
Belgique
elegis
Jean-François Henrotte
jf.henrotte@avocat.be
http://lexing.elegis.be
Liège
Place des Nations-Unies, 7
4020 Liège
T. 0032 43 42 30 50
F. 0032 70 22 52 22
Bruxelles
Boulevard de la Woluwe, 60
1200 Bruxelles
T. 0032 22 40 15 20
F. 0032 70 22 52 22
Canada
Langlois, Kronström, Desjardins
Richard Ramsay et Jean-François De Rico
jean-francois.derico@lkd.ca
www.langloiskronstromdesjardins.com
Montréal
1002, rue Sherbrooke Ouest, 28e étage
H3A3L6 Montréal
T. 0015 148 42 95 12
F. 0015 148 45 65 73
Québec
801, Grande Allée Ouest, Bureau 300
G1S1C1 Québec
T. 0014 186 50 70 00
F. 0014 186 50 70 75
Espagne
Alliant Abogados Asociados SLP
Marc Gallardo
Gran Via Corts Catalanes 702
08010 Barcelone
T. 0034 93 265 58 42
F. 0034 93 265 52 90
marc.gallardo@alliantabogados.com
www.alliantabogados.com
Etats-unis
IT Law Group
Françoise Gilbert
555 Bryant Street #603
Palo Alto, CA 94301
T. 0016 508 04 12 35
F. 0016 507 35 18 01
fgilbert@itlawgroup.com
www.itlawgroup.com
France
Alain Bensoussan, Isabelle Tellier
et Frédéric Fortster
www.alain-bensoussan.com
Paris
29, rue du Colonel Pierre Avia
F75508 Paris cedex 15
T. 0033 141 33 35 35
F. 0033 141 33 35 36
paris@alain-bensoussan.com
Grenoble
7, place Firmin Gautier
F38000 Grenoble
T. 0033 476 70 09 95
F. 0033 476 70 09 96
grenoble@alain-bensoussan.com
Israël
Livnat, Mayer & Co
Russelle D. Mayer
Jérusalem Technology Park,
Building 9, 4th Floor
P.O. Box 48193 Malcha
91481 Jérusalem
T. 0097 226 79 95 33
F. 0097 226 79 95 22
mayer@lmf.co.il
www.livmaylaw.co.il
Italie
Studio Legale Zallone
Raffaele Zallone
31 Via Dell’Annunciata
20121 Milano
T. 0039 229 01 35 83
F. 0039 229 01 03 04
r.zallone@studiozallone.it
www.studiovallone.it
Maroc
Bassamat & Associée
Fassi-Fihri Bassamat
30 rue Mohamed Ben Brahim Al
Mourrakouchi
20000 Casablanca
T. 00212 522 26 68 03
F. 00212 522 26 68 07
contact@cabinetbassamat.com
www.cabinetbassamat.com
Mexique
Langlet, Carpio y Asociados
Enrique Ochoa
Torre Axis Santa Fe
Prolongación Paseo de la Reforma # 61, PB-B1
Col. Paseo de las Lomas
01330 Mxico, D.F.
T. 0052 55 25 91 10 70
F. 0052 55 25 91 10 40
eochoa@lclaw.com.mx
www.lclaw.com.mx
Norvège
Føyen Advøkatfirma DA
Arve Føyen
Postboks 7086 St. Olavs pl.
0130 Oslo
T. 0047 21 93 10 00
F. 0047 21 93 10 01
arve.foyen@foyen.no
www.foyen.no
Royaume-Uni
Preiskel & Co LLP
Danny Preiskel
5 Fleet Place
London EC4M 7RD
T. 0044 20 7332 5640
F. 0044 20 7332 5641
dpreiskel@preiskel.com
www.preiskel.com
Suisse
Sébastien Fanti Avocat & Notaire
8B rue de Pré-Fleuri, CP 497
1951 Sion
T. 0041 27 322 15 15
F. 0041 27 322 15 70
sebastien.fanti@sebastienfanti.ch
www.sebastienfanti.ch