|

Réseau mondial des avocats spécialisés en droit des technologies avancées

GENEVE, VENDREDI 22 MARS 2012

Obligations légales et responsabilités de l’intermédiaire financier qui détient des données de ses clients
Sébastien FANTI sebastien.fanti@sebastienfanti.ch

| Allemagne | Belgique | Canada | Espagne | Etats-Unis | France | Israël | Italie | Maroc | Mexique | Norvège | Royaume-Uni | Suisse

INTERMEDIAIRES FINANCIERS

Sommaire de l’exposé
1. 2. 3. 4. 5. Prolégomènes Protection des données Dispositions pénales Dispositions disciplinaires Conclusions et conseils

PAGE 03

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Prolégomènes
Chères Consoeurs, Chers Confrères,
Vous trouverez ci-joint l'ordre du jour de la séance de ce jeudi. Elle sera brève, de sorte que nous aurons un peu de temps pour un tour de table destiné à préparer l'assemblée générale. J'invite : Me X à me faire parvenir sa note de frais pour le dossier L, pour que j'établisse sans tarder la facture à l'intention du DSSI (le préavis lui a déjà été transmis). Me Y à vérifier si les frais des dossiers suivants ont été acquittés: 118/2008 (A), 135/2009 (B), 136/2009 (C) et 141/2009 (D), avant que je ne les archive. Avec mes salutations confraternelles Me Z, président de la chambre de surveillance des notaires

Chères Consoeurs, Chers Confrères, Un courriel destiné aux seuls membres de la chambre de surveillance vient de vous être adressé à tous. Je vous invite à le détruire sans délai et vous adresse mes excuses pour ce lapsus. Ce sont là les risques de la communication électronique, en attendant les actes électroniques ...
PAGE 04

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des données
Qualification de données sensibles (art. 3 let. c LPD) et de profil de la personnalité (art. 3 let. d LPD) :
Soit les données qui peuvent par leur nature porter atteinte aux libertés fondamentales ou à la vie privée (le revenu ou la fortune n’en font pas partie). Le profil de la personnalité est un assemblage de données qui permet d’apprécier les caractéristiques essentielles de la personnalité d’une personne physique (art. 3 let. d LPD). Le profil client établi dans le cadre des règles KYC (Know Your Customer) par le gestionnaire de fortune, notamment s’agissant d’un PEP (Politically Exposed Person; cf. art. 2 OBA-FINMA) remplit les conditions légales de cette définition (cf. art. 17 de l’ancienne Ordonnance 1 de la FINMA sur le blanchiment d’argent du 18 décembre 2002). Les effets juridiques de la qualification de profil de la personnalité sont les mêmes que pour les données sensibles.
PAGE 05

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des données
Effets juridiques de la qualification de profil de la personnalité: Rigueur accrue dans l’application des principes généraux de traitement (finalité, etc.); Consentement explicite requis pour le traitement des données; Obligation de déclaration des fichiers au PFPDT lorsque les personnes traitent régulièrement des données sensibles; Interdiction de communiquer à des tiers de telles données sans motif justificatif; Sécurité des données (cf. article 8 OPD);

… En résumé, un degré d’attention accru, des mesures préventives supplémentaires et un traitement strictement conforme aux règles légales.

PAGE 06

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des données
Déclaration des fichiers au PFPDT: https://www.datareg.admin.ch/WebDatareg/search/SearchSimple.aspx

PAGE 07

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des données
Déclaration des fichiers au PFPDT (art. 11a al. 5 let. a LPD): Le maître de fichier privé qui traite des données et établit un fichier sur la base d’une obligation légale est dispensé de déclaration. Il peut toutefois par mesure de simplification choisir d’opérer une telle déclaration. Conseil: le publier donne une impression de sérieux et conforte le client dans la relation de confiance établie. Cela concerne également les intermédiaires financiers conformément aux normes légales et professionnelles relatives à la lutte contre le blanchiment d’argent et le terrorisme. La liste des intermédiaires financiers au bénéfice d’une autorisation n’a pas à être publiée sur le net (JAAC 68.92). La liste des faux intermédiaires l’est par contre.

PAGE 08

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des données
Communication transfrontière des données:
Le mandataire prendra toutes les mesures organisationnelles et techniques appropriées pour éviter tout traitement non autorisé des données personnelles en application de l’article 7 de la loi fédérale sur la protection des données. Le fichier constitué par les données clients fait l'objet d'une déclaration au Préposé fédéral à la protection des données et à la transparence (numéro de registre 201200002).

Le mandant est toutefois informé du fait que le mandataire ne peut garantir que les données le concernant ne soient pas communiquées à l’étranger dans un pays ne bénéficiant pas d’une législation assurant un niveau de protection adéquat. Cela est notamment dû intrinsèquement à la communication par courriel, au stockage dans les nuages (cloud computing), ainsi qu’aux logiciels de bureautique les plus courants, étant précisé que le mandataire n’est lui-même régulièrement pas informé de cette communication transfrontière de données par les différents prestataires.
Le mandant consent à cette communication transfrontière de données le concernant (art. 6 al. 2 let. b LPD). Si tel ne devait pas être le cas, il sollicite immédiatement du mandataire la prise de mesures de protection spécifiques et déclare formellement en assumer le coût supplémentaire.
PAGE 09

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des données
Communication transfrontière des données:

Le champ d’application des législations en matière de protection des données est limité par le principe de territorialité. Article 6 al. 1 LPD: aucune donnée personnelle ne peut être communiquée à l’étranger si la personnalité des personnes concernées devait s’en trouver gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat. La violation de cet article constitue per se une atteinte à la personnalité. Le problème principal concerne les USA (U.S. – Swiss Safe Harbor Framework). Il est donc indispensable de procéder à des vérifications approfondies.
PAGE 010

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pénal
Casus introductif:

• Le Tribunal cantonal valaisan a jugé que celui qui, au bénéfice d’un mot
de passe communiqué par son employeur, accède à des serveurs lui permettant de disposer de données spécifiques ne se rend pas coupable de soustraction de données, ceci à défaut de protection spécifique!

• En étant simplement au bénéfice du mot de passe lui permettant de

s'acquitter de ses obligations contractuelles, X. a pu accéder aux serveurs contenant les données dont il s'est ensuite emparé. Bien que lesdits serveurs aient fait l'objet de diverses protections contre des intrusions de l'extérieur (chambre forte, contrôles d'accès biométriques, pare-feu), cet employé n'a rencontré aucune mesure de sécurité spécifique lui entravant l'accès aux logiciels du "Back Office" recherchés ou encore aux données d'Y. SA relatives aux adresses e-mail des abonnés au service de messagerie A.ch, de même que celles afférentes à la liste des clients du site B., le tout "logins" et mots de passe compris.PAGE 011

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pénal

Il importe peu qu'en fonction de la formation ou des capacités de celui-ci, voire des renseignements fournis par des collègues mieux aguerris en ce domaine, l'employé indélicat ait mis plus ou moins de temps pour trouver le chemin des données recherchées, dès lors l'intéressé n'a dû surmonter aucun obstacle de sécurité mis en œuvre volontairement par son employeur.

Au contraire, faisant prévaloir des raisons de rentabilité dont il n'appartient pas à la cour de vérifier le bien-fondé, les organes d'Y. SA ont opté pour une barrière dite morale, qui ne suffit évidemment pas à réunir les réquisits posés à l'art. 143 CP, alors même - tel que déjà évoqué en droit - que cette barrière aurait été assortie d'instructions voire d'interdictions orales ou écrites.

PAGE 012

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pénal

Avec la société lésée, on peut s'interroger sur le sens de la protection pénale restreinte ainsi accordée par le législateur, dans sa volonté de renoncer à réprimer ce qui équivaut à un abus de confiance au sens large du terme. C'est bien la raison pour laquelle ont déjà été relevé le peu d'incidence pratique de l'art. 143 CP et même le caractère dépassé des moyens légaux mis en œuvre dès 1995 pour lutter contre la criminalité informatique. Il suit de là qu'un renvoi en jugement fondé sur l'art. 143 CP ne saurait se justifier. Pour des motifs similaires, l'application de l'art. 143bis CP n'entre pas en ligne de compte, outre que l'activité de l'employé X. ne peut être assimilée à celle d'un "hacker" qui visite le site d'autrui en vue d'en percer les défenses et d'en violer le domicile informatique.

PAGE 013

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pénal
• •

La cause pénale concernant X. a en revanche été renvoyée à jugement s'agissant de la violation du secret des postes et des télécommunications. Ainsi, celui-ci ne semble pas avoir échappé à une sanction justifiée; toutefois, cet arrêt signifie clairement que pour éviter tout problème ultérieur, mieux vaut sécuriser «en interne» vos systèmes informatiques.

À défaut, toute poursuite pénale fondée sur l’article 143 du Code pénal risque fort d’être vouée à l’échec!

PAGE 014

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pénal
enseignements


Les instructions et/ou interdictions orales ou écrites sont insuffisantes. Une barrière électronique et des contre-mesures sont nécessaires.
Le règlement informatique et les clauses contractuelles ne sont donc, du point de vue pénal, d’aucun secours pour démontrer la réalisation des conditions objectives d’infractions, telles que la soustraction de données ou l’accès indu à un système informatique. Elles pourront, par contre, fonder une action civile. Les erreurs de vos employés vous seront imputées; ex: un client d’une banque voit ses données communiquées au fisc de son pays et dépose une plainte contre X. Il existe un risque que l’employeur doive justifier des mesures de sécurité prises et de grands risques qu’il doive assumer les conséquences civiles du comportement illicite soient à sa charge (action récursoire possible).
PAGE 015

• •

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pénal
enseignements

• • •
Ne comptez sur personne pour vous aider en cas de pépin: la Suisse va probablement ratifier la Convention du Conseil de l’Europe sur la cybercriminalité signée en 2001… en 2011. Aucun article juridique, ni aucun jugement n’ont été publiés en matière de data loss prevention à ce jour! Il n’y a qu’un DIEU informatique, c’est le responsable de la sécurité des données de vos clients et de vos données! Ni un juge, ni un policier, ni un politicien ne pourront rétablir une réputation ternie et vous permettre de vous soustraire aux procédures qui ne manqueront pas d’être diligentées (ex: procédure disciplinaire contre un avocat dont l’épouse a subtilisé les données client pour démontrer le niveau de revenu… avant de demander le divorce!).
PAGE 016

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pénal
•    
Autres cas d’application: clés USB; ordinateurs portables; photocopieurs; devices…

Selon le dernier rapport de la Central d’enregistrement et d’analyse pour la sûreté de l’information (Melani, rapport semestriel 2010/1): Les affaires d’espionnage et de vols de données ont augmenté au premier semestre 2010 sur le plan mondial.

PAGE 017

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit disciplinaire
La publication des décisions de la FINMA en vertu de l’article 34 LFINMA est désastreuse en termes d’images: Art. 34 Publication d’une décision en matière de surveillance 1 En cas de violation grave du droit de la surveillance, la FINMA peut publier sa décision finale, y compris les données personnelles des assujettis concernés, sous forme électronique ou écrite, à compter de son entrée en force. 2 La publication doit être ordonnée dans la décision elle-même.

Il n’existe aucun droit à l’oubli concernant la publication de telles décisions dont le référencement aura lieu automatiquement compte tenu de l’excellente tenue du site de la FINMA.
Le dommage est donc exponentiel et permanent. Faire disparaître une telle information du web coûte des dizaines de milliers de francs.
PAGE 018

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Outsourcer sa sécurité?
La délégation de traitement de données (outsourcing, cf. art. 10a LPD) est strictement encadrée. Elle concerne la collecte, la saisie, l’exploitation, l’analyse, le contrôle, la destruction, l’archivage, la sauvegarde et l’accès à distances à des données. En pratique on outsource même sans le savoir au sens de la loi dès lors que l’on fait appel à un avocat, un fournisseur d’accès, etc. Lorsque le traitement de données par un tiers est conforme aux conditions fixées ci-après, elle ne nécessite ni information ni a fortiori consentement de la personne concernée même si on traite des données sensibles. Le mandant doit tout d’abord: - Choisir avec soin le tiers qui va traiter les données; - Lui donner toutes les instructions adéquates; - Exercer la surveillance pour s’assurer que les instructions soient respectées;

L’indiquer dans le contrat est suffisant. Il faut que le pouvoir d’instruction et de 019 PAGE contrôle soit effectif.
| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Outsourcer sa sécurité?
La délégation n’est admise que si aucune obligation légale ou contractuelle de garder le secret ne l’interdit.
L’outsourcing de certaines tâches par une banque ne contrevient pas à l’article 47 LB pour autant que les neuf principes de la circulaire FINMA 2008/7 du 20 novembre 2008 soient respectés. Parmi ces principes figure l’information du client. La délégation ne dispense pas le mandant de l’ensemble de ses devoirs généraux en matière de protection des données notamment en ce qui concerne le principe de sécurité et le principe de proportionnalité (ne pas transférer plus de données que nécessaire). Il faut en particulier effectuer des vérifications régulières et pouvoir accéder en tout temps aux données dont le traitement a été délégué (notamment pour répondre aux demandes de tiers – art. 8 LPD). Le cadre juridique et règlementaire est donc clairement établi.
PAGE 020

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Conclusions et conseils
1. Connaître ses limites; 2. Prendre conscience du fait qu’un incident important peut entraîner la faillite de l’entreprise; 3. Déléguer les tâches pour lesquelles le savoir-faire fait défaut; 4. S’assurer que la délégation respecte les normes; 5. Ne pas considérer que le service juridique est peuplé de gêneurs et d’empêcheurs d’affaires; 6. Dans le doute, solliciter les structures professionnelles et les services étatiques de manière anonymisée. 7. Choisir un employé et le charger d’une veille liée aux technologies de l’information.

À défaut… priez !
Merci de votre attention.
PAGE 021

| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch

Allemagne
Buse Heberer Fromm Rechtsanwälte Bernd Reinmüller, Tim Caesar et Stephan Menzemer Neue Mainzer Strasse 28 60311 Frankfurt Am Main T. 0049 699 71 09 71 00 F. 0049 699 71 09 72 00 reinmueller@buse.de www.buse.de

Belgique
elegis Jean-François Henrotte jf.henrotte@avocat.be http://lexing.elegis.be Liège Place des Nations-Unies, 7 4020 Liège T. 0032 43 42 30 50 F. 0032 70 22 52 22 Bruxelles Boulevard de la Woluwe, 60 1200 Bruxelles T. 0032 22 40 15 20 F. 0032 70 22 52 22

Canada
Langlois, Kronström, Desjardins Richard Ramsay et Jean-François De Rico jean-francois.derico@lkd.ca www.langloiskronstromdesjardins.com Montréal 1002, rue Sherbrooke Ouest, 28e étage H3A3L6 Montréal T. 0015 148 42 95 12 F. 0015 148 45 65 73 Québec 801, Grande Allée Ouest, Bureau 300 G1S1C1 Québec T. 0014 186 50 70 00 F. 0014 186 50 70 75

Espagne
Alliant Abogados Asociados SLP Marc Gallardo Gran Via Corts Catalanes 702 08010 Barcelone T. 0034 93 265 58 42 F. 0034 93 265 52 90 marc.gallardo@alliantabogados.com www.alliantabogados.com

Etats-unis
IT Law Group Françoise Gilbert 555 Bryant Street #603 Palo Alto, CA 94301 T. 0016 508 04 12 35 F. 0016 507 35 18 01 fgilbert@itlawgroup.com www.itlawgroup.com

France
Alain Bensoussan, Isabelle Tellier et Frédéric Fortster www.alain-bensoussan.com Paris 29, rue du Colonel Pierre Avia F75508 Paris cedex 15 T. 0033 141 33 35 35 F. 0033 141 33 35 36 paris@alain-bensoussan.com Grenoble 7, place Firmin Gautier F38000 Grenoble T. 0033 476 70 09 95 F. 0033 476 70 09 96 grenoble@alain-bensoussan.com

Israël
Livnat, Mayer & Co Russelle D. Mayer Jérusalem Technology Park, Building 9, 4th Floor P.O. Box 48193 Malcha 91481 Jérusalem T. 0097 226 79 95 33 F. 0097 226 79 95 22 mayer@lmf.co.il www.livmaylaw.co.il

Italie
Studio Legale Zallone Raffaele Zallone 31 Via Dell’Annunciata 20121 Milano T. 0039 229 01 35 83 F. 0039 229 01 03 04 r.zallone@studiozallone.it www.studiovallone.it

Maroc
Bassamat & Associée Fassi-Fihri Bassamat 30 rue Mohamed Ben Brahim Al Mourrakouchi 20000 Casablanca T. 00212 522 26 68 03 F. 00212 522 26 68 07 contact@cabinetbassamat.com www.cabinetbassamat.com

Mexique
Langlet, Carpio y Asociados Enrique Ochoa Torre Axis Santa Fe Prolongación Paseo de la Reforma # 61, PB-B1 Col. Paseo de las Lomas 01330 Mxico, D.F. T. 0052 55 25 91 10 70 F. 0052 55 25 91 10 40 eochoa@lclaw.com.mx www.lclaw.com.mx

Norvège
Føyen Advøkatfirma DA Arve Føyen Postboks 7086 St. Olavs pl. 0130 Oslo T. 0047 21 93 10 00 F. 0047 21 93 10 01 arve.foyen@foyen.no www.foyen.no

Royaume-Uni
Preiskel & Co LLP Danny Preiskel 5 Fleet Place London EC4M 7RD T. 0044 20 7332 5640 F. 0044 20 7332 5641 dpreiskel@preiskel.com www.preiskel.com

Suisse
Sébastien Fanti Avocat & Notaire 8B rue de Pré-Fleuri, CP 497 1951 Sion T. 0041 27 322 15 15 F. 0041 27 322 15 70 sebastien.fanti@sebastienfanti.ch www.sebastienfanti.ch

| Réseau mondial des avocats spécialisés en droit des technologies avancées

Sign up to vote on this title
UsefulNot useful