intermédiaires financiers

| R é s e a u m o n d i a l d e s a v o c a t s s p é c i a l i s é s e n d r o i t d e s t e c h n o l o g i e s a v a n c é e s

| Allemagne | Belgique | Canada | Espagne | Etats-Unis | France | Israël | Italie | Maroc | Mexique | Norvège | Royaume-Uni | Suisse

Obligations légales et responsabilités de l’intermédiaire financier qui détient des données

de ses clients

Sébastien FANTI

[email protected]

GENEVE, VENDREDI 22 MARS 2012

INTERMEDIAIRES FINANCIERS

| Suisse | Me Sébastien FANTI | [email protected]

1. Prolégomènes

2. Protection des données

3. Dispositions pénales

4. Dispositions disciplinaires

5. Conclusions et conseils

Sommaire de l’exposé

PAGE 03



Chères Consoeurs, Chers Confrères,

Vous trouverez ci-joint l'ordre du jour de la séance de ce jeudi. Elle sera brève, de sorte que nous auronsun peu de temps pour un tour de table destiné à préparer l'assemblée générale.J'invite :Me X à me faire parvenir sa note de frais pour le dossier L, pour que j'établisse sans tarder la facture àl'intention du DSSI (le préavis lui a déjà été transmis).Me Y à vérifier si les frais des dossiers suivants ont été acquittés: 118/2008 (A), 135/2009 (B), 136/2009 (C)et 141/2009 (D), avant que je ne les archive.Avec mes salutations confraternellesMe Z, président de la chambre de surveillance des notaires

Chères Consoeurs, Chers Confrères,

Un courriel destiné aux seuls membres de la chambre de surveillance vient de vous être adressé à tous.Je vous invite à le détruire sans délai et vous adresse mes excuses pour ce lapsus. Ce sont là les risques dela communication électronique, en attendant les actes électroniques ...

Prolégomènes

PAGE 04



Qualification de données sensibles (art. 3 let. c LPD) et de profil de la personnalité (art.3 let. d LPD) :

Soit les données qui peuvent par leur nature porter atteinte aux libertés fondamentalesou à la vie privée (le revenu ou la fortune n’en font pas partie).

Le profil de la personnalité est un assemblage de données qui permet d’apprécier lescaractéristiques essentielles de la personnalité d’une personne physique (art. 3 let. dLPD). Le profil client établi dans le cadre des règles KYC (Know Your Customer) par legestionnaire de fortune, notamment s’agissant d’un PEP (Politically Exposed Person; cf.art. 2 OBA-FINMA) remplit les conditions légales de cette définition (cf. art. 17 del’ancienne Ordonnance 1 de la FINMA sur le blanchiment d’argent du 18 décembre2002).

Les effets juridiques de la qualification de profil de la personnalité sont les mêmes quepour les données sensibles.

Protection des données

PAGE 05



Effets juridiques de la qualification de profil de la personnalité:

- Rigueur accrue dans l’application des principes généraux de traitement (finalité,etc.);

- Consentement explicite requis pour le traitement des données;

- Obligation de déclaration des fichiers au PFPDT lorsque les personnes traitentrégulièrement des données sensibles;

- Interdiction de communiquer à des tiers de telles données sans motif justificatif;

- Sécurité des données (cf. article 8 OPD);

- …En résumé, un degré d’attention accru, des mesures préventives supplémentaires et untraitement strictement conforme aux règles légales.


PAGE 06



Déclaration des fichiers au PFPDT: https://www.datareg.admin.ch/WebDatareg/search/SearchSimple.aspx


PAGE 07



Déclaration des fichiers au PFPDT (art. 11a al. 5 let. a LPD):

Le maître de fichier privé qui traite des données et établit un fichier sur la base d’uneobligation légale est dispensé de déclaration. Il peut toutefois par mesure desimplification choisir d’opérer une telle déclaration. Conseil: le publier donne uneimpression de sérieux et conforte le client dans la relation de confiance établie.

Cela concerne également les intermédiaires financiers conformément aux normeslégales et professionnelles relatives à la lutte contre le blanchiment d’argent et leterrorisme.

La liste des intermédiaires financiers au bénéfice d’une autorisation n’a pas à êtrepubliée sur le net (JAAC 68.92). La liste des faux intermédiaires l’est par contre.


PAGE 08



Communication transfrontière des données:

Le mandataire prendra toutes les mesures organisationnelles et techniques appropriées pour éviter touttraitement non autorisé des données personnelles en application de l’article 7 de la loi fédérale sur laprotection des données. Le fichier constitué par les données clients fait l'objet d'une déclaration au Préposéfédéral à la protection des données et à la transparence (numéro de registre 201200002).

Le mandant est toutefois informé du fait que le mandataire ne peut garantir que les données le concernantne soient pas communiquées à l’étranger dans un pays ne bénéficiant pas d’une législation assurant unniveau de protection adéquat. Cela est notamment dû intrinsèquement à la communication par courriel, austockage dans les nuages (cloud computing), ainsi qu’aux logiciels de bureautique les plus courants, étantprécisé que le mandataire n’est lui-même régulièrement pas informé de cette communication transfrontièrede données par les différents prestataires.

Le mandant consent à cette communication transfrontière de données le concernant (art. 6 al. 2 let. bLPD). Si tel ne devait pas être le cas, il sollicite immédiatement du mandataire la prise de mesures deprotection spécifiques et déclare formellement en assumer le coût supplémentaire.


PAGE 09



Communication transfrontière des données:

Le champ d’application des législations en matière de protection des données estlimité par le principe de territorialité.

Article 6 al. 1 LPD: aucune donnée personnelle ne peut être communiquée àl’étranger si la personnalité des personnes concernées devait s’en trouvergravement menacée, notamment du fait de l’absence d’une législation assurant unniveau de protection adéquat. La violation de cet article constitue per se uneatteinte à la personnalité.

Le problème principal concerne les USA (U.S. – Swiss Safe Harbor Framework).

Il est donc indispensable de procéder à des vérifications approfondies.


PAGE 010



Casus introductif:

• Le Tribunal cantonal valaisan a jugé que celui qui, au bénéfice d’un motde passe communiqué par son employeur, accède à des serveurs luipermettant de disposer de données spécifiques ne se rend pas coupablede soustraction de données, ceci à défaut de protection spécifique!

• En étant simplement au bénéfice du mot de passe lui permettant des'acquitter de ses obligations contractuelles, X. a pu accéder auxserveurs contenant les données dont il s'est ensuite emparé. Bien quelesdits serveurs aient fait l'objet de diverses protections contre desintrusions de l'extérieur (chambre forte, contrôles d'accès biométriques,pare-feu), cet employé n'a rencontré aucune mesure de sécuritéspécifique lui entravant l'accès aux logiciels du "Back Office" recherchésou encore aux données d'Y. SA relatives aux adresses e-mail desabonnés au service de messagerie A.ch, de même que celles afférentesà la liste des clients du site B., le tout "logins" et mots de passe compris.

Droit pénal

PAGE 011



• Il importe peu qu'en fonction de la formation ou des capacités de celui-ci, voiredes renseignements fournis par des collègues mieux aguerris en ce domaine,l'employé indélicat ait mis plus ou moins de temps pour trouver le chemin desdonnées recherchées, dès lors l'intéressé n'a dû surmonter aucun obstacle desécurité mis en œuvre volontairement par son employeur.

• Au contraire, faisant prévaloir des raisons de rentabilité dont il n'appartient pasà la cour de vérifier le bien-fondé, les organes d'Y. SA ont opté pour une barrièredite morale, qui ne suffit évidemment pas à réunir les réquisits posés à l'art. 143CP, alors même - tel que déjà évoqué en droit - que cette barrière aurait étéassortie d'instructions voire d'interdictions orales ou écrites.

Droit pénal

PAGE 012



• Avec la société lésée, on peut s'interroger sur le sens de la protection pénalerestreinte ainsi accordée par le législateur, dans sa volonté de renoncer àréprimer ce qui équivaut à un abus de confiance au sens large du terme. C'estbien la raison pour laquelle ont déjà été relevé le peu d'incidence pratique del'art. 143 CP et même le caractère dépassé des moyens légaux mis en œuvre dès1995 pour lutter contre la criminalité informatique. Il suit de là qu'un renvoi enjugement fondé sur l'art. 143 CP ne saurait se justifier.

• Pour des motifs similaires, l'application de l'art. 143bis CP n'entre pas en lignede compte, outre que l'activité de l'employé X. ne peut être assimilée à celled'un "hacker" qui visite le site d'autrui en vue d'en percer les défenses et d'envioler le domicile informatique.

Droit pénal

PAGE 013



• La cause pénale concernant X. a en revanche été renvoyée à jugement s'agissantde la violation du secret des postes et des télécommunications.

• Ainsi, celui-ci ne semble pas avoir échappé à une sanction justifiée; toutefois,cet arrêt signifie clairement que pour éviter tout problème ultérieur, mieux vautsécuriser «en interne» vos systèmes informatiques.

• À défaut, toute poursuite pénale fondée sur l’article 143 du Code pénal risquefort d’être vouée à l’échec!

Droit pénal

PAGE 014



• Les instructions et/ou interdictions orales ou écrites sont insuffisantes. Unebarrière électronique et des contre-mesures sont nécessaires.

• Le règlement informatique et les clauses contractuelles ne sont donc, du pointde vue pénal, d’aucun secours pour démontrer la réalisation des conditionsobjectives d’infractions, telles que la soustraction de données ou l’accès indu àun système informatique.

• Elles pourront, par contre, fonder une action civile.

• Les erreurs de vos employés vous seront imputées; ex: un client d’une banquevoit ses données communiquées au fisc de son pays et dépose une plaintecontre X. Il existe un risque que l’employeur doive justifier des mesures desécurité prises et de grands risques qu’il doive assumer les conséquences civilesdu comportement illicite soient à sa charge (action récursoire possible).

Droit pénalenseignements

PAGE 015



• Ne comptez sur personne pour vous aider en cas de pépin: la Suisse vaprobablement ratifier la Convention du Conseil de l’Europe sur lacybercriminalité signée en 2001… en 2011.

• Aucun article juridique, ni aucun jugement n’ont été publiés en matière de dataloss prevention à ce jour!

• Il n’y a qu’un DIEU informatique, c’est le responsable de la sécurité des donnéesde vos clients et de vos données!

• Ni un juge, ni un policier, ni un politicien ne pourront rétablir une réputationternie et vous permettre de vous soustraire aux procédures qui ne manquerontpas d’être diligentées (ex: procédure disciplinaire contre un avocat dont l’épousea subtilisé les données client pour démontrer le niveau de revenu… avant dedemander le divorce!).

Droit pénalenseignements

PAGE 016



• Autres cas d’application:

clés USB; ordinateurs portables; photocopieurs; devices…

Selon le dernier rapport de la Central d’enregistrement et d’analyse pour la sûretéde l’information (Melani, rapport semestriel 2010/1):

Les affaires d’espionnage et de vols de données ont augmenté au premier semestre2010 sur le plan mondial.

Droit pénal

PAGE 017



La publication des décisions de la FINMA en vertu de l’article 34 LFINMA estdésastreuse en termes d’images:

Art. 34 Publication d’une décision en matière de surveillance1 En cas de violation grave du droit de la surveillance, la FINMA peut publier sadécision finale, y compris les données personnelles des assujettis concernés, sousforme électronique ou écrite, à compter de son entrée en force.2 La publication doit être ordonnée dans la décision elle-même.

Il n’existe aucun droit à l’oubli concernant la publication de telles décisions dont leréférencement aura lieu automatiquement compte tenu de l’excellente tenue dusite de la FINMA.

Le dommage est donc exponentiel et permanent. Faire disparaître une telleinformation du web coûte des dizaines de milliers de francs.

Droit disciplinaire

PAGE 018



La délégation de traitement de données (outsourcing, cf. art. 10a LPD) eststrictement encadrée. Elle concerne la collecte, la saisie, l’exploitation, l’analyse, lecontrôle, la destruction, l’archivage, la sauvegarde et l’accès à distances à desdonnées. En pratique on outsource même sans le savoir au sens de la loi dès lorsque l’on fait appel à un avocat, un fournisseur d’accès, etc.

Lorsque le traitement de données par un tiers est conforme aux conditions fixéesci-après, elle ne nécessite ni information ni a fortiori consentement de lapersonne concernée même si on traite des données sensibles.

Le mandant doit tout d’abord:- Choisir avec soin le tiers qui va traiter les données;- Lui donner toutes les instructions adéquates;- Exercer la surveillance pour s’assurer que les instructions soient respectées;

L’indiquer dans le contrat est suffisant. Il faut que le pouvoir d’instruction et decontrôle soit effectif.

Outsourcer sa sécurité?

PAGE 019



La délégation n’est admise que si aucune obligation légale ou contractuelle degarder le secret ne l’interdit.

L’outsourcing de certaines tâches par une banque ne contrevient pas à l’article 47LB pour autant que les neuf principes de la circulaire FINMA 2008/7 du 20novembre 2008 soient respectés. Parmi ces principes figure l’information du client.

La délégation ne dispense pas le mandant de l’ensemble de ses devoirs générauxen matière de protection des données notamment en ce qui concerne le principede sécurité et le principe de proportionnalité (ne pas transférer plus de donnéesque nécessaire). Il faut en particulier effectuer des vérifications régulières etpouvoir accéder en tout temps aux données dont le traitement a été délégué(notamment pour répondre aux demandes de tiers – art. 8 LPD).

Le cadre juridique et règlementaire est donc clairement établi.

Outsourcer sa sécurité?

PAGE 020



1. Connaître ses limites;

2. Prendre conscience du fait qu’un incident important peut entraîner la faillite del’entreprise;

3. Déléguer les tâches pour lesquelles le savoir-faire fait défaut;

4. S’assurer que la délégation respecte les normes;

5. Ne pas considérer que le service juridique est peuplé de gêneurs et d’empêcheursd’affaires;

6. Dans le doute, solliciter les structures professionnelles et les services étatiques demanière anonymisée.

7. Choisir un employé et le charger d’une veille liée aux technologies de l’information.

À défaut… priez !

Merci de votre attention.

Conclusions et conseils

PAGE 021

| R é s e a u m o n d i a l d e s a v o c a t s s p é c i a l i s é s e n d r o i t d e s t e c h n o l o g i e s a v a n c é e s

AllemagneBuse Heberer Fromm RechtsanwälteBernd Reinmüller, Tim Caesar et Stephan MenzemerNeue Mainzer Strasse 2860311 Frankfurt Am MainT. 0049 699 71 09 71 00F. 0049 699 71 09 72 [email protected]

BelgiqueelegisJean-François [email protected]://lexing.elegis.be

LiègePlace des Nations-Unies, 74020 LiègeT. 0032 43 42 30 50F. 0032 70 22 52 22

BruxellesBoulevard de la Woluwe, 601200 BruxellesT. 0032 22 40 15 20F. 0032 70 22 52 22

CanadaLanglois, Kronström, DesjardinsRichard Ramsay et Jean-François De Ricojean-francois.derico@lkd.cawww.langloiskronstromdesjardins.com

Montréal1002, rue Sherbrooke Ouest, 28e étageH3A3L6 MontréalT. 0015 148 42 95 12F. 0015 148 45 65 73

Québec801, Grande Allée Ouest, Bureau 300G1S1C1 QuébecT. 0014 186 50 70 00F. 0014 186 50 70 75

EspagneAlliant Abogados Asociados SLPMarc GallardoGran Via Corts Catalanes 70208010 BarceloneT. 0034 93 265 58 42 F. 0034 93 265 52 [email protected]

Etats-unisIT Law GroupFrançoise Gilbert555 Bryant Street #603Palo Alto, CA 94301T. 0016 508 04 12 35F. 0016 507 35 18 [email protected]

FranceAlain Bensoussan, Isabelle Tellieret Frédéric Fortsterwww.alain-bensoussan.com

Paris29, rue du Colonel Pierre AviaF75508 Paris cedex 15T. 0033 141 33 35 35F. 0033 141 33 35 [email protected]

Grenoble7, place Firmin GautierF38000 GrenobleT. 0033 476 70 09 95F. 0033 476 70 09 [email protected]

IsraëlLivnat, Mayer & CoRusselle D. MayerJérusalem Technology Park, Building 9, 4th FloorP.O. Box 48193 Malcha91481 Jérusalem T. 0097 226 79 95 33F. 0097 226 79 95 [email protected]

ItalieStudio Legale ZalloneRaffaele Zallone31 Via Dell’Annunciata20121 MilanoT. 0039 229 01 35 83F. 0039 229 01 03 [email protected]

MarocBassamat & AssociéeFassi-Fihri Bassamat30 rue Mohamed Ben Brahim Al Mourrakouchi20000 CasablancaT. 00212 522 26 68 03F. 00212 522 26 68 [email protected]

MexiqueLanglet, Carpio y AsociadosEnrique OchoaTorre Axis Santa FeProlongación Paseo de la Reforma # 61, PB-B1Col. Paseo de las Lomas01330 Mxico, D.F.T. 0052 55 25 91 10 70F. 0052 55 25 91 10 [email protected]

NorvègeFøyen Advøkatfirma DAArve FøyenPostboks 7086 St. Olavs pl.0130 OsloT. 0047 21 93 10 00F. 0047 21 93 10 [email protected]

Royaume-UniPreiskel & Co LLPDanny Preiskel5 Fleet PlaceLondon EC4M 7RDT. 0044 20 7332 5640 F. 0044 20 7332 [email protected]

SuisseSébastien Fanti Avocat & Notaire8B rue de Pré-Fleuri, CP 4971951 SionT. 0041 27 322 15 15F. 0041 27 322 15 [email protected]

Documents

intermédiaires financiers