Skip to main content

Datenschutz

A-01-13 Verordnung der FINMA über die Bearbeitung von Personendaten im Rahmen der Aufsicht
Stand am 1 Sep. 2023 FINMA
A-08-12 DV-RAB Verordnung der Eidgenössischen Revisionsaufsichtsbehörde über den elektronischen Zugriff auf die nicht öffentlich zugänglichen Daten
Stand am 1 Nov. 2023 Eidgenössische Revisionsaufsichtsbehörde
A-34-01 DSG Bundesgesetz über den Datenschutz
Stand am 1 Apr. 2025
A-34-10 DSV Verordnung über den Datenschutz
Stand am 1 Apr. 2025 Bundesrat
B-04-19 FINMA-Mitteilung 05/2020 FINMA-Aufsichtsmitteilung 05/2020: Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG
Stand am 7 Mai 2020 FINMA
D-02-01 Information der SBVg über die Bekanntgabe von Kundendaten im Zahlungsverkehr, bei Wertschriften und anderen Transaktionen im Zusammenhang mit SWIFT
Stand am 1 Juni 2009 Schweizerische Bankiervereinigung (SBVg)
D-02-04 Information der SBVg über die Bekanntgabe von Kundendaten und weiteren Informationen im internationalen Zahlungsverkehr und bei Investitionen in ausländische Wertschriften
Stand am 1 Feb. 2016 Schweizerische Bankiervereinigung (SBVg)

Le devoir d’informer de l’avocat lors d’une violation de la sécurité des données

Célian Hirsch Célian Hirsch  — 11 September 2024

Si l’avocat subit une violation de la sécurité des données – laquelle est une notion très large –, il doit examiner s’il est soumis à un devoir d’informer le PFPDT ou les personnes concernées de cette violation. La présente contribution présente la notion de violation de la sécurité des données et expose l’examen auquel doit procéder l’avocat afin de déterminer s’il est soumis à un tel devoir d’informer. Elle analyse ensuite la limite du devoir d’informer en raison du secret professionnel de l’avocat et conclut que cette limite est relative.

Consulter
Anwaltsrevue = Revue de l'avocat, 2024, no. 8, p. 323-327
Cyber-Risiken Datenschutz

Le registre du commerce à l’épreuve de la protection des données

Célian Hirsch Célian Hirsch  — 22 August 2024

Le registre du commerce est-il soumis à la protection des données ? La présente contribution examine cette problématique en trois étapes. Premièrement, au niveau de l’Union européenne, un récent arrêt illustre la portée large du Règlement général de l’UE sur la protection des données (RGPD), y compris lorsque le registre du commerce est soumis à une obligation légale de publication sans aucune vérification préalable. Deuxièmement, la nouvelle Loi fédérale sur la protection des données (LPD) a élargi son champ d’application au registre du commerce par rapport à la précédente LPD de 1992. Troisièmement, un récent arrêt zurichois démontre que la protection des données constitue aussi un droit constitutionnel invocable par toute personne (physique ou morale) à l’encontre du registre du commerce.

Consulter
Reprax, 2024, no. 3, p. 109-120
Datenschutz

Le registre du commerce et le droit à l’autodétermination informationnelle : une obligation de caviardage ?

Célian Hirsch Célian Hirsch  — 3 Juli 2024

Le registre du commerce doit-il donner suite à une demande de caviardage d’une pièce justificative, malgré le principe de l’immutabilité du registre ? Le Verwaltungsgericht du canton de Zurich, qui a examiné cette problématique dans un arrêt récent, a conclu que le droit à l’autodétermination informationnelle permet de demander du registre du commerce le caviardage de pièces justificatives lorsque leur publication intégrale est disproportionnée.

Consulter
Bulletin CEDIDAC, 2024, n° 96, p. 1–6.
Datenschutz

Intelligence artificielle et automatisation des décisions dans le secteur bancaire et financier : application de la LPD et du RGPD

Célian Hirsch Célian Hirsch  — 16 Mai 2024

This article addresses the application of Automated Decision-Making (ADM) in banking and finance, under the revised Swiss Federal Act on Data Protection and the EU’s GDPR. It scrutinizes the legal framework of ADM, particularly considering the European Court of Justice’s interpretation in the SCHUFA Holding AG case, which broadens the scope of “decision” within the GDPR, encompassing actions like credit scoring. The paper highlights the necessity of meaningful human intervention (human in the loop) in automated processes to avoid classification as ADM. It also contrasts the EU’s general prohibition of ADM, subject to exceptions, with Switzerland’s emphasis on informational rights. The discussion extends to the consequences of violating ADM regulations, comparing EU and Swiss approaches. Concluding, the implementation of ADM regulation in Switzerland is seen as being influenced by individual rights exercise, regulatory oversight, and responsiveness to rights infringements.

Consulter
Revue suisse de droit des affaires et du marché financier, 2024, vol. 96, n° 2, p. 113-126
Digital Finance Künstliche Intelligenz Datenschutz

Le devoir d’informer lors d’une violation de la sécurité des données : avec un regard particulier sur les données bancaires

Célian Hirsch Célian Hirsch  — 21 November 2023

En raison des développements technologiques et de l’économie numérique, la collecte et le traitement des données personnelles augmentent. Leur sécurité absolue est cependant impossible. Le devoir d’informer en cas de violation de la sécurité est une réponse à ce problème, visant en outre la transparence et le contrôle des individus sur leurs données.

Après avoir exposé les notions déterminantes (données personnelles, violation de la sécurité, données bancaires), cet ouvrage examine en particulier les multiples sources et conditions du devoir d’informer, à savoir la protection des données (le RGPD et la LPD), le droit civil et le droit bancaire. Il expose ensuite le contenu de l’information qui doit être communiqué, ses modalités (forme, délai et devoir de documenter) ainsi que les restrictions possibles, pour l’information due tant à l’autorité (suisse ou européenne) qu’aux personnes concernées. Par ailleurs, cette recherche se penche sur la communication du rapport de violation de la sécurité par la FINMA ou le PFPDT aux autorités pénales ; elle démontre en particulier l’application du principe nemo tenetur dans cette situation. L’ouvrage développe aussi le droit d’accès (matériel et procédural) à disposition des personnes concernées afin d’obtenir le rapport de violation de la sécurité.

L’étude termine avec les conséquences civiles (acte illicite, faute, causalité, dommage, tort moral), administratives (notamment les mesures du PFPDT et de la FINMA, ainsi que les amendes RGPD) et pénales (art. 45 LFINMA et art. 49 LB) en cas de manquement à ce devoir d’informer.

Consulter
Genève : Schulthess Editions romandes, 2023. - 726 p. - ISBN 978-3-7255-8974-6
Datenschutz

Les infractions pénales de la loi sur la protection des données

Sébastien Pittet Sébastien Pittet  — 12 Oktober 2023

En adoptant la nouvelle loi sur la protection des données (LPD), le législateur a considérablement renforcé les sanctions pénales en cas de violation des règles de protection des données. Cette contribution passe en revue les différentes infractions pénales de la LPD et approfondit certaines questions en lien avec le devoir de discrétion, la communication de données à l’étranger et la détermination de la personne responsable de la violation.

Consulter
Jusletter du 25 septembre 2023
Datenschutz

Décision individuelle automatisée

La société de credit scoring ne doit pas divulguer son algorithme, mais doit l’expliquer

Célian Hirsch Célian Hirsch  — 3 März 2025
La société de credit scoring doit expliquer à la personne concernée la procédure et les principes concrètement appliqués pour établir son profil de solvabilité. En outre, le secret d’affaires de la société ne s’oppose pas à la communication des informations à l’autorité ou au tribunal, lequel doit procéder à une pesée des intérêts (arrêt de la CJUE du 27 février 2025 dans l’affaire C‑203/22). Un opérateur de téléphonie mobile refuse à un ressortissant autrichien (CK) la conclusion d’un contrat de[...]
Krediten Künstliche Intelligenz Datenschutz Europäische Union

Le Swiss-US Data Privacy Framework sera (enfin) effectif !

Philipp Fischer Philipp Fischer  — 14 August 2024

Le Conseil fédéral rend effectif au 15 septembre 2024 le Swiss-U.S. Data Privacy Framework. Il sera désormais possible de transférer (y compris rendre accessibles) des données personnelles de la Suisse vers des „entreprises certifiées“ aux États-Unis sans garanties supplémentaires. Les principaux prestataires de services cloud ont déjà été certifiés (liste). Ce développement, attendu de longue date, apporte notamment une sécurité juridique aux intermédiaires financiers qui ont initié des projets recourant à des services cloud.

Datenschutz

Transfert de données clients au Department of Justice

La protection des données au secours de l’ayant droit économique

Célian Hirsch Célian Hirsch  — 27 Juni 2024
Le RGPD protège aussi les données bancaires de personnes morales lorsque l’ayant droit économique s’oppose au transfert des données au Department of Justice (arrêt n°141/23-II-CIV du 6 décembre 2023 de la Cour supérieure de Justice du Luxembourg). Une personne est titulaire de comptes bancaires auprès de la succursale luxembourgeoise d’une banque suisse. Il est également ayant droit économique d’une société qui dispose de deux comptes bancaires auprès de cette succursale. Une autre société, dont l’ex-épouse et le fils du client[...]
Wirtschaftlich berechtigte Person Datenschutz

Le PFPDT critique le projet de registre des ayants droit économiques

Célian Hirsch Célian Hirsch  — 25 Juni 2024

Dans son rapport d’activités 2023, le Préposé fédéral à la protection des données et à la transparence (PFPDT) critique notamment le P-LTPM (cf. Villard, cdbf.ch/1354/). Le PFPDT souligne que tout accès d’une autorité au registre des ayants droit économiques doit être proportionné et répondre à un but identifiable. En outre, le DFF aurait dû effectuer un examen préliminaire en vue d’une AIPD. Enfin, le PFPDT regrette l’exclusion de la LTrans (cf. art. 53 al. 4 P-LTPM).

Wirtschaftlich berechtigte Person Geldwäscherei Datenschutz

Cyberattaques

La nouvelle obligation d’annonce se précise

Célian Hirsch Célian Hirsch  — 27 Mai 2024
Les banques, les assurances et les infrastructures des marchés financiers devront annoncer dans les 24 heures les cyberattaques à l’Office fédéral de la cybersécurité (OFCS) dès le 1er janvier 2025. Le Conseil fédéral vient de mettre en consultation le projet d’ordonnance qui concrétise les art. 74a ss de la Loi sur la sécurité de l’information (obligation de signaler les cyberattaques). Comme nous l’exposions précédemment (cf. Hirsch, cdbf.ch/1261), les banques devront désormais informer l’OFCS en cas de cyberattaques. Le nouveau devoir[...]
Cyber-Risiken FINMA Datenschutz Regulierung

Watchlist de la FINMA

Les limites du droit d’accès selon l’aLPD

Lionel Jeanneret Lionel Jeanneret  — 8 Mai 2024
Obtenir les extraits pertinents de la base de données nécessaire à l'évaluation des garanties d'une activité irréprochable de la FINMA (anciennement Watchlist) est un véritable chemin de croix pour un employé ayant provisoirement renoncé à exercer une activité soumise à la FINMA. Le Tribunal administratif fédéral (TAF) confirme que l'art. 8 aLPD (désormais art. 25 LPD) ne permet pas d'accéder aux documents ayant justifié l’inscription sur la Watchlist dans la même mesure que dans le cadre d'une véritable procédure au[...]
FINMA Gewähr für eine einwandfreie Geschäftstätigkeit Berufsverbot Datenschutz

Droit d’accès

Un abus de droit contre le family office

Célian Hirsch Célian Hirsch  — 22 April 2024
Le droit d’accès au sens de la LPD est exercé de manière abusive lorsqu’une personne l’invoque à l’encontre d’un family office pour obtenir des informations concernant un trust et la situation financière de son père (ACJC/1610/2023). Un homme d’affaires italien très fortuné dispose d’un family office à Genève, lequel effectue divers services en faveur de sa fille. Les paiements en faveur de celle-ci sont effectués depuis le compte du père. Ce dernier indique au family office que sa fille peut[...]
Datenschutz

Décision individuelle automatisée

La société de credit scoring doit informer les personnes concernées

Célian Hirsch Célian Hirsch  — 4 Januar 2024
Même si la société qui procède au credit scoring (examen de solvabilité) n’est pas la société qui décide in fine de l’octroi d’un prêt, elle prend une décision individuelle automatisée et doit ainsi en informer la personne concernée (arrêt de la CJUE du 7 décembre 2023 dans l’affaire C‑634/21, SCHUFA Holding AG). Suite à un refus d’octroi d’un prêt par une banque, un ressortissant allemand demande diverses informations à SCHUFA, la principale société allemande qui procède à des examens de[...]
Krediten Datenschutz

Credit Suisse

La transparence attendra la fin des travaux de la commission d’enquête parlementaire

Christophe Hensler Christophe Hensler  — 20 Dezember 2023
Le 29 novembre 2023, le Préposé fédéral à la protection des données et à la transparence (Préposé) a publié neuf recommandations liées à l’acquisition de Credit Suisse par UBS. En substance, le Préposé opère une distinction entre, d’une part, les documents établis ou communiqués après l'entrée en vigueur de l'ordonnance de nécessité du 16 mars 2023 (Ordonnance), dont l’accès en vertu de la Loi sur la transparence (LTrans) est expressément exclu et, d’autre part, les documents antérieurs qui relèvent de[...]
FINMA Datenschutz

Échange automatique de renseignements

Le Tribunal fédéral restreint l’accès au juge administratif

Teymour Brander Teymour Brander  — 24 Juli 2023
Dans quelle mesure une personne dont les données font l’objet d’un échange automatique de renseignements peut exiger de l’Administration fédérale des contributions (AFC) qu’elle rende un acte attaquable ? Le Tribunal fédéral se penche sur cette question pour la première fois dans l’arrêt 2C_946/2021 du 6 juin 2023, destiné à la publication. Des informations relatives à un trust et à ses deux settlors (tous deux résidents argentins) sont transmises à l’AFC dans le cadre d’un échange automatique de renseignements en matière[...]
Automatischer Informationsaustausch im Steuerbereich Datenschutz

Le EU-U.S. Data Privacy Framework prend effet.

Philipp Fischer Philipp Fischer  — 11 Juli 2023

La Commission européenne décide que les États-Unis garantissent un niveau de protection adéquat pour les données personnelles transférées de l’UE vers les entreprises US qui adhèreront au EU-U.S. Data Privacy Framework. Le Préposé fédéral annonce qu’une décision similaire devrait être prise en Suisse dans les prochains mois. Il s’agit-là d’un développement règlementaire très important, notamment pour les entreprises qui utilisent une infrastructure basée sur la technologie cloud.

Datenschutz

Protection des données

Violation du principe de spécialité, des obligations ex post pour la Suisse ?

Yannick Caballero Cuevas Yannick Caballero Cuevas  — 29 Juni 2023
En cas de violation du principe de spécialité à la suite d’une entraide administrative, le justiciable a-t-il un droit à ce que le Conseil fédéral intervienne auprès de l’État requérant ? Dans un arrêt 2C_236/2022, destiné à publication, le Tribunal fédéral  précise si des obligations positives à l’encontre de la Suisse peuvent résulter des art. 8 et 13 CEDH. En 2011, la FINMA accorde l’entraide administrative à l’Autorité des marchés financiers française (AMF) qui demande la transmission de documents relatifs à[...]
Internationale Rechtshilfe Datenschutz

Cyberattaques

Vers une nouvelle obligation d’annonce

Célian Hirsch Célian Hirsch  — 5 Dezember 2022
Depuis le 1er septembre 2020, les banques doivent informer la FINMA dans les 24 heures des cyberattaques réussies. Le 2 décembre 2022, le Conseil fédéral a proposé au Parlement d’introduire une nouvelle obligation d’annoncer les cyberattaques, également dans les 24 heures, mais cette fois-ci au Centre national suisse pour la cybersécurité (NCSC ; cf. art. 74a ss du projet de Loi sur la sécurité de l'information [P-LSI]). Pourquoi cette obligation supplémentaire ? Car celle-ci s’appliquera à toutes les infrastructures critiques, dont[...]
Datenschutz Bankenregulierung

Blanchiment d’argent

Trop de publicité porte atteinte à la vie privée

Célian Hirsch Célian Hirsch  — 26 November 2022
Comment concilier la lutte contre le blanchiment d’argent et le principe de transparence, d’une part, et le droit à la sphère privée et à la protection des données, d’autre part ? Le législateur européen n’a pas su trouver le bon équilibre en permettant à toute personne d’avoir accès au registre des bénéficiaires effectifs de sociétés, selon l’arrêt C‑37/20 et C‑601/20 du 22 novembre 2022 de la Cour de justice de l’Union européenne (CJUE). En mai 2018, le législateur européen adopte sa[...]
Wirtschaftlich berechtigte Person Geldwäscherei Datenschutz Aktiengesellschaften Europäische Union

Devoir d’information des tiers

Le Tribunal fédéral donne (encore) raison à l’AFC

Célian Hirsch Célian Hirsch  — 19 September 2022
L’Administration fédérale des contributions (AFC) doit-elle informer d’office les personnes concernées, mais non directement visées par une demande d’assistance administrative internationale (les « tiers ») ? Vous avez peut-être une impression de « déjà vu » en lisant cette question. À raison. Le devoir de l’AFC d'informer les tiers a déjà fait l’objet de plusieurs décisions, commentées sur ce site (cf. not. ATF 143  II 506 commenté in cdbf.ch/982/ et 2C_310/2020 commenté in cdbf.ch/1169/). Avec l’arrêt 2C_825/2019, destiné à la publication (ATF 148 II 349), le Tribunal fédéral tranche la[...]
Internationale Rechtshilfe Datenschutz

Le nouveau droit suisse de la protection des données est désormais connu

Philipp Fischer Philipp Fischer  — 31 August 2022

Le Conseil fédéral a publié la version révisée de l‘ordonnance sur la protection des données (OPDo). L’entrée en vigueur est prévue pour le 1er septembre 2023. Trois observations rapides : 1. Les obligations en matière de devoir d’informer sont (légèrement) atténuées. / 2. Les modalités du droit d’accès sont simplifiées (suppression de l’obligation de documenter les motifs d’un refus). / 3. La durée de conservation des procès-verbaux de journalisation des traitements de données est d’un an.

Datenschutz

Droit d’accès

L’art. 8 LPD voit ses limites confirmées

Célian Hirsch Célian Hirsch  — 16 August 2022
En 2012, l’art. 8 de la loi sur la protection des données (LPD), qui permet d’avoir accès à ses données personnelles, était vu comme une potentielle « nouvelle arme » pour le client désirant obtenir des informations de sa banque (Fischer in cdbf.ch/821/). En 2020 et 2021, le Tribunal fédéral limitait expressément ce droit d’accès. Dans l’arrêt commenté ici, la Cour de justice genevoise confirme les limites de l’art. 8 LPD, alors qu’une cliente tentait de s’en servir afin d’avoir[...]
Datenschutz

Vol de données bancaires et blanchiment d’argent

Condamnation d’un ex-employé de banque

Katia Villard Katia Villard  — 23 Juni 2022
Dans un arrêt 6B_45/2021 du 27 avril 2022, le Tribunal fédéral confirme la condamnation (prononcée par défaut) d’un ex-employé de banque – que nous appellerons Albert – pour services de renseignements économiques (art. 273 CP) et blanchiment d’argent (art. 305bis CP). En résumé, il était reproché à Albert d’avoir, entre 2005 et 2012, collecté et volé des données clients avant de les vendre aux autorités allemandes en été 2012. Il a ensuite, en août 2012, ouvert un compte dans une[...]
Geldwäscherei Strafrecht Datenschutz

Reddition de compte

L’acte II du droit à l’information

Célian Hirsch Célian Hirsch  — 7 Juni 2022
Quelles informations une cliente peut-elle recevoir de sa banque dans un litige relatif à un appel de marge ? Le Tribunal fédéral s’était récemment penché sur cette question dans l’arrêt 4A_599/2019 (commenté in cdbf.ch/1190/). Il se retrouve désormais confronté à nouveau à cette question dans l’arrêt 4A_436/2020, arrêt qui concerne le même complexe de faits. En octobre 2012, une société libanaise ouvre un compte auprès d’une banque suisse. La cliente investit dans des options et produits structurés « maison » OTC conçus et[...]
Bankverträge Datenschutz

Des données bancaires suisses bientôt stockées et traitées à Singapour ?

Célian Hirsch Célian Hirsch  — 24 Mai 2022

Dans son rapport de février 2022 „Finance numérique : champs d’action 2022+“ , le Conseil fédéral avait préconisé la mesure suivante : „Garantir la libre circulation des données au niveau transfrontalier“. Le DFF entame pour la première fois la mise en œuvre de cette mesure en publiant une déclaration commune d’intention avec Singapour. Le but est notamment de faciliter l’échange transfrontalier de données entre partenaires commerciaux et de soutenir le libre choix du lieu de stockage de données, à condition que la FINMA et les auditeurs puissent y avoir un accès approprié. Le secret bancaire et la protection des données devraient également intervenir dans l’équation.

Datenschutz Bankenregulierung Bankgeheimnis

Finance numérique

Le Conseil fédéral donne un cap

Yannick Caballero Cuevas Yannick Caballero Cuevas  — 18 Februar 2022
Dans son rapport sur la finance numérique, le Conseil fédéral définit les champs d’action dans le domaine pour les années à venir. Il constate que la transformation numérique du secteur financier représente un fort potentiel de croissance pour la place économique suisse. Cette transformation peut conduire à une amélioration de l'efficience des marchés financiers, une transparence accrue, une meilleure adéquation des services à la clientèle ainsi qu’à une réduction des coûts. Or le Conseil fédéral note que le recours aux[...]
Kryptoaktiven Digital Finance Künstliche Intelligenz Datenschutz

Obligation d’annoncer les cyberattaques

Célian Hirsch Célian Hirsch  — 17 Januar 2022

Le Conseil fédéral désire obliger les infrastructures critiques à annoncer les cyberattaques importantes. Les banques, les assurances et les infrastructures des marchés financiers devraient ainsi informer le Centre national pour la cybersécurité „le plus rapidement possible“ de ces cyberattaques. Un système informatique sécurisé serait créé afin que la FINMA puisse en être informée par la même occasion. La consultation dure jusqu’au 14 avril 2022.

Datenschutz

Protection des données

Le Tribunal fédéral continue à fixer des limites au droit d’accès

Philipp Fischer Philipp Fischer  — 7 Oktober 2021
Dans la foulée d'un premier arrêt dans lequel il avait jugé abusive une requête d'accès dont l'objectif était d'obtenir des informations destinées à être utilisées dans le cadre d'un procès intenté contre le destinataire de la requête (4A_277/2020 du 18 novembre 2020), le Tribunal fédéral poursuit sa jurisprudence destinée à circonscrire la portée du droit d'accès sous l'angle de la loi sur la protection des données (ATF 147 III 139). Rendu certes dans un contexte très spécifique, cet arrêt offre[...]
Datenschutz

Protection des données

Transmission directe d’informations à la SEC

Célian Hirsch Célian Hirsch  — 24 August 2021
Dans un Memorandum du 25 juin 2021, le Préposé fédéral à la protection des données et à la transparence donne son avis sur la licéité du transfert de données personnelles à la Securities and Exchange Commission (SEC) par les entreprises suisses enregistrées auprès de cette autorité américaine. La SEC a contacté le Préposé fédéral en décembre 2020 afin de savoir si et à quelles conditions les entreprises suisses pouvaient lui transmettre des données personnelles dans le cadre de sa surveillance.[...]
Datenschutz

Gestion des données bancaires

Célian Hirsch Célian Hirsch  — 11 Mai 2021

L’ASB publie un guide relatif à la gestion des données dans les activités bancaires courantes. Celui-ci met l’accent sur six cas concrets à l’aune de la nouvelle loi sur la protection des données : recours à l’intelligence artificielle à des fins de compliance ; examen de crédit ; analyses de tendance ; authentification biométrique ; offres personnalisées et programmes de fidélité. On en retient un devoir accru de transparence vis-à-vis des clients et le devoir de mettre en place des mesures techniques et organisationnelles adéquates.

Risikomanagement Datenschutz

L’échange automatique à l’épreuve du RGPD

Fabien Liégeois Fabien Liégeois  — 10 Mai 2021

Le Comité européen de la protection des données (CEPD) invite les États membres de l’UE à examiner la conformité des accords internationaux qu’ils ont conclus avec des États tiers au regard de l’art. 96 RGPD. Les accords relatifs à l’échange automatique de renseignements fiscaux sont en ligne de mire. Bien qu’il souligne l’importance des intérêts publics en jeu, le CEPD relève que des ajustements pourraient se révéler nécessaires sous l’angle de la protection des données. Il recommande aux États membres de tenir compte de la jurisprudence de la CJUE, en particulier de l’arrêt « Schrems II » du 16 juillet 2020 (résumé ici).

Automatischer Informationsaustausch im Steuerbereich Datenschutz

Échange automatique de renseignements

Quelles voies de droit pour s’opposer à l’échange ?

Image de profil par défaut Lysandre Papadopoulos  — 24 September 2020
Dans le cadre de l’échange automatique de renseignements (EAR), auprès de quelle autorité un intéressé peut-il invoquer une mauvaise application du Common Reporting Standard (CRS) par une banque suisse, qui remettrait à tort des informations bancaires à l’Administration fédérale des contributions (AFC) ? Dans son arrêt A-88/2020 du 1er septembre 2020 (publié le 16 septembre 2020 et attaqué au Tribunal fédéral), le Tribunal administratif fédéral (TAF) a abordé pour la première fois la question, éclairant les arcanes procéduraux en la[...]
Automatischer Informationsaustausch im Steuerbereich Datenschutz

Droit d'accès

Quel caviardage pour un rapport bancaire ?

Célian Hirsch Célian Hirsch  — 2 August 2020
Un client, dont le compte bancaire se retrouve gelé, peut-il avoir accès à l’intégralité d’un rapport le concernant établi par un enquêteur externe sur mandat de la banque ? Dans un arrêt du 29 août 2019, la Cour de justice du canton de Genève s’est penchée pour la seconde fois dans la même affaire sur cette problématique (ACJC/1252/2019). En 2011, une banque suisse bloque les comptes appartenant à un client de nationalité syrienne. En effet, une personne avec un nom très[...]
Datenschutz Internationale Sanktionen

Obligation d’informer la FINMA des cyberattaques

Célian Hirsch Célian Hirsch  — 7 Mai 2020

Dans une communication parue ce jour, la FINMA précise l’obligation de l’informer des cyberattaques, réussies ou non, en application de l‘art. 29 al. 2 LFINMA. Les assujettis disposent de 24 heures pour annoncer la cyberattaque et de 72 heures pour en communiquer les détails. L’augmentation de cyberattaques en cette période de COVID-19 n’est probablement pas étrangère à cette nouvelle communication de la FINMA.

COVID-19 FINMA Datenschutz

Nouveau rapport de MELANI : augmentation des attaques par rançongiciel

Célian Hirsch Célian Hirsch  — 1 Mai 2020

Le dernier rapport semestriel de MELANI examine la sécurité informatique en Suisse et à l’internationale de juillet à décembre 2019. Il souligne notamment que les entreprises suisses ont été la cible de nombreuses attaques par rançongiciel. Lors de la découverte de telles attaques, MELANI considère qu’il faut d’emblée impliquer des juristes et recourir aux services d’un spécialiste externe en sécurité informatique. Par ailleurs, il ne faut pas négliger l’importance sous-estimée mais pourtant indispensable de la plainte pénale.

Wirtschaftskriminalität Datenschutz

Programme américain

La transmission illicite de données aux États-Unis : quel dommage pour l’employé ?

Célian Hirsch Célian Hirsch  — 13 November 2019
Une employée de banque dont le nom a été communiqué de manière illicite aux autorités américaines peut-elle exiger des dommages-intérêts de son employeur ? Le Tribunal fédéral s’est penché pour la première fois sur cette question dans son arrêt 4A_610/2018 du 29 août 2019. Une employée est engagée comme assistante de gestion auprès du desk nord-américain d’une grande banque suisse. Elle est ainsi en contact avec des employés de la banque travaillant aux États-Unis ainsi qu’avec la clientèle américaine. Son travail[...]
Datenschutz Haftung

Assistance internationale : l’AFC doit informer les tiers

Célian Hirsch Célian Hirsch  — 10 September 2019

L’AFC transmettait aux États-Unis les noms de personnes indirectement concernées par une procédure d’assistance administrative en matière fiscale sans les en informer de manière préalable. Le Préposé fédéral à la protection des données et à la transparence avait dénoncé, sans succès, cette pratique auprès du DFF (cf. cdbf.ch/1034). Sur recours du Préposé, le TAF condamne la pratique de l’AFC dans un arrêt publié hier, lequel peut encore être attaqué devant le Tribunal fédéral.

Internationale Rechtshilfe Information der Anleger Non classé Datenschutz

Le devoir d’information lors d’une fuite de données, avec un regard particulier sur les données bancaires

Célian Hirsch Célian Hirsch  — 4 April 2019
Les banques ont toujours été soumises à un devoir de confidentialité, nommé secret bancaire. Plus récemment, une autre source juridique leur a également imposé un certain devoir de confidentialité : le droit de la protection des données. Malgré l'adoption d'une loi sur la protection des données (LPD) en 1992, l'importance du droit de la protection des données dans le domaine bancaire a été nettement plus ressentie récemment, en particulier dans le cadre du transfert des données bancaires aux Etats-Unis. Plus[...]
Information der Anleger Datenschutz Bankgeheimnis

Accès aux données personnelles

La FINMA viole le droit d’être entendu

Célian Hirsch Célian Hirsch  — 28 September 2018
Lorsqu’une personne visée par une mesure d’entraide administrative internationale demande à la FINMA, dans une détermination, d’avoir accès à tous les documents la concernant en se référant à l’art. 8 LPD, elle invoque valablement son droit d'accès aux données personnelles prévu par la LPD. La FINMA doit ainsi se prononcer sur cette requête, à défaut de quoi elle viole le droit d’être entendu du requérant. Le Tribunal administratif fédéral a, pour cette raison, admis le recours d’une personne visée par une mesure[...]
FINMA Information der Anleger Prozessordnung Datenschutz

Programme américain et Raoul Weil

Accès aux documents refusé pour un journaliste

Célian Hirsch Célian Hirsch  — 10 September 2018
L’intérêt du Département fédéral des finances (DFF) à maintenir une relation intacte avec les États-Unis en tant qu'important partenaire de négociation doit se voir accorder plus de poids que l'intérêt privé d’un journaliste à avoir accès à des documents concernant Raoul Weil ainsi qu’à l'intérêt du public dans la transparence. C’est la conclusion à laquelle est parvenu le Tribunal administratif fédéral dans l’arrêt A-6475/2017 du 6 août 2018, résumé et commenté ci-dessous. Hansjürg Zumstein, journaliste à la SRF, dépose le[...]
Non classé Datenschutz

Contentieux fiscal US

Le Tribunal fédéral confirme le droit à la remise de copies de deux anciens employés d’une banque

Image de profil par défaut Alexandre Richa  — 2 März 2015
Dans un arrêt destiné à publication du 12 janvier 2015 (4A_406/2014; 4A_408/2014), relaté par la presse, le Tribunal fédéral a confirmé le droit de deux anciens employés d’une banque (la « Banque ») sous enquête des autorités américaines en matière fiscale à recevoir une copie des documents qui avaient été remis à ces dernières. La Banque, au bénéfice d’une autorisation du Conseil fédéral du 4 avril 2012 basée sur l’art. 271 CP et sur recommandation de la FINMA, a transmis aux autorités[...]
Non classé Datenschutz

Action en reddition de compte

Une nouvelle arme, la LPD ?

Philipp Fischer Philipp Fischer  — 20 Juni 2012
En date du 17 avril 2012 (arrêt 4A_688/2011, destiné à la publication), le Tribunal fédéral a examiné une requête en fourniture d'informations que des clients ont dirigée contre leur banque. Cette action présentait la particularité d'être fondée sur la Loi fédérale sur la protection des données (LPD), et non pas sur l'article 400 CO, la disposition du droit du mandat généralement invoquée à l'appui d'une action en reddition de compte. Les faits à la base du litige sont classiques: deux[...]
Information der Anleger Datenschutz