Aller au contenu principal

Protection des données

Transmission directe d’informations à la SEC

Dans un Memorandum du 25 juin 2021, le Préposé fédéral à la protection des données et à la transparence donne son avis sur la licéité du transfert de données personnelles à la Securities and Exchange Commission (SEC) par les entreprises suisses enregistrées auprès de cette autorité américaine.

La SEC a contacté le Préposé fédéral en décembre 2020 afin de savoir si et à quelles conditions les entreprises suisses pouvaient lui transmettre des données personnelles dans le cadre de sa surveillance. Même si le Memorandum ne le précise pas, on imagine que la SEC craignait que les entreprises suisses invoquent la protection des données afin de ne pas pleinement coopérer avec elle.

Le Préposé commence par rappeler la teneur de l’art. 42c LFINMA. Cette disposition prévoit les conditions auxquelles les assujettis peuvent transmettre directement des informations aux autorités étrangères de surveillance des marchés financiers. L’une de ces conditions consiste en la garantie des droits des clients et des tiers, notamment leur droit à la protection des données (cf. Circulaire FINMA 2017/6 Cm 30).

Le Préposé examine ainsi si le transfert de données à la SEC respecte le droit suisse de la protection des données, en particulier les règles relatives à la communication transfrontière de données (art. 6 LPD).

L’art. 6 al. 2 LPD soumet à des conditions alternatives la communication de données personnelles à l’étranger dans un État ne disposant pas d’une législation assurant un niveau de protection adéquat. Les États-Unis ne disposant pas d’un tel niveau de protection, le Préposé examine si l’une des conditions prévues à l’art. 6 al. 2 LPD est remplie.

En premier lieu, une telle communication est valable si la personne concernée y consent librement. Si la personne subit un désavantage en cas d’absence de consentement, celui-ci peut néanmoins être valable si deux conditions cumulatives sont remplies : (1) il doit exister une relation entre le désavantage et le but du traitement et (2) le désavantage ne doit pas être manifestement disproportionné.

En l’espèce, le fait que la personne se voit refuser toute relation contractuelle si elle ne donne pas son consentement n’invalide pas le consentement aux yeux du Préposé. En effet, une entreprise suisse ne peut pas offrir ses services à des clients qui n’accepteraient pas le transfert de leurs données à la SEC. Il existe ainsi une relation entre le consentement et le but poursuivi par l’entreprise suisse et le désavantage n’est pas disproportionné pour les clients. Au contraire, pour les employés, le consentement ne peut pas être donné librement, car le désavantage qui en résulterait consisterait en la perte de leur travail. Ce désavantage serait ainsi disproportionné.

Le consentement doit être donné de manière éclairée, c’est-à-dire que la personne concernée doit avoir été informée que ses données peuvent être transmises à la SEC. En outre, le consentement peut être révoqué à tout moment. Enfin, selon le Préposé, si le contrat est résilié, le consentement ne peut plus servir de motif justificatif à un transfert de données.

Dans un deuxième temps, la communication à l’étranger est également valable si « le traitement est en relation directe avec la conclusion ou l’exécution d’un contrat et les données traitées concernent le cocontractant » (art. 6 al. 2 let. c LPD).

Le Préposé considère que cette condition est en principe réunie en l’espèce, même après la résiliation du contrat. Néanmoins, la personne concernée (client ou employé) peut disposer d’intérêts privés prépondérants. L’entreprise suisse doit ainsi analyser, au cas par cas, s’il existe de tels intérêts privés prépondérants avant de transmettre les données à la SEC. Par ailleurs, le Préposé ne prend expressément pas position sur la compatibilité du transfert de données avec le droit pénal, en particulier sous l’angle du secret bancaire (art. 47 LB).

Troisièmement, la communication à l’étranger est valable s’il existe un intérêt public prépondérant (art. 6 al. 2 let. d LPD). Vu que la FINMA considère que l’art. 42c LFINMA permet expressément la transmission directe d’informations à la SEC, le Préposé en déduit également l’existence, en principe, d’un intérêt public prépondérant. Néanmoins, comme pour le contrat, le responsable du traitement doit encore examiner si la personne concernée peut disposer d’intérêts privés prépondérants.

Dans une deuxième partie, le Préposé examine si la communication à la SEC respecte les autres dispositions de la LPD, notamment les principes de bonne foi et de reconnaissabilité (art. 4 al. 2 et 4 LPD). Le Préposé considère que les entreprises doivent informer en amont les personnes concernées de la potentielle communication de leurs données à la SEC, mais qu’elles ne doivent pas les informer après les avoir concrètement transmises à la SEC sur demande.

Enfin, concernant le devoir de discrétion, dont la violation est pénalement répréhensible (art. 35 LPD), le Préposé souligne que cette disposition a un champ d’application restreint. Seules les données sensibles sont visées. Or les données financières ne sont pas en soi des données sensibles. Bien que la version révisée de cette norme vise toutes les données personnelles (art. 62 nLPD), cette norme ne devrait pas s’appliquer si la communication respecte la protection des données.

Cet avis du Préposé fait l’objet d’une critique par Vasella sur datenrecht.ch. Cet auteur souligne en particulier que le consentement peut subsister après la fin d’une relation contractuelle si les conditions générales le prévoient expressément. Par ailleurs, il note que lorsque la communication est en relation directe avec la conclusion ou l’exécution d’un contrat, il n’y a plus besoin d’examiner s’il existe encore un éventuel intérêt privé prépondérant, contrairement à ce que soutient le Préposé.

Le Préposé souligne que son examen se limite au droit suisse et qu’il ne couvre pas le droit européen. Concernant le transfert de données à la SEC sous l’angle du RGPD, l’Information Commissioner’s Office (autorité britannique de protection des données) considère que l’intérêt public permet une telle communication (art. 49 par. 1 let. d RGPD). Si cette autorité n’évoque ni la possibilité du consentement ni celle de l’exécution du contrat, cela s’explique probablement par l’approche européenne bien plus stricte que la nôtre (cf. EDPB, Guidelines 05/2020 on consent under Regulation 2016/679, N 13 et 30).