Skip to main content

Data protection

A-34-10 DPO Ordinance on Data Protection
Status as of 1 Jan 2024 Federal Council

Le devoir d’informer lors d’une violation de la sécurité des données : avec un regard particulier sur les données bancaires

En raison des développements technologiques et de l’économie numérique, la collecte et le traitement des données personnelles augmentent. Leur sécurité absolue est cependant impossible. Le devoir d’informer en cas de violation de la sécurité est une réponse à ce problème, visant en outre la transparence et le contrôle des individus sur leurs données.

Après avoir exposé les notions déterminantes (données personnelles, violation de la sécurité, données bancaires), cet ouvrage examine en particulier les multiples sources et conditions du devoir d’informer, à savoir la protection des données (le RGPD et la LPD), le droit civil et le droit bancaire. Il expose ensuite le contenu de l’information qui doit être communiqué, ses modalités (forme, délai et devoir de documenter) ainsi que les restrictions possibles, pour l’information due tant à l’autorité (suisse ou européenne) qu’aux personnes concernées. Par ailleurs, cette recherche se penche sur la communication du rapport de violation de la sécurité par la FINMA ou le PFPDT aux autorités pénales ; elle démontre en particulier l’application du principe nemo tenetur dans cette situation. L’ouvrage développe aussi le droit d’accès (matériel et procédural) à disposition des personnes concernées afin d’obtenir le rapport de violation de la sécurité.

L’étude termine avec les conséquences civiles (acte illicite, faute, causalité, dommage, tort moral), administratives (notamment les mesures du PFPDT et de la FINMA, ainsi que les amendes RGPD) et pénales (art. 45 LFINMA et art. 49 LB) en cas de manquement à ce devoir d’informer.

Consulter
Genève : Schulthess Editions romandes, 2023. - 726 p. - ISBN 978-3-7255-8974-6

Les infractions pénales de la loi sur la protection des données

En adoptant la nouvelle loi sur la protection des données (LPD), le législateur a considérablement renforcé les sanctions pénales en cas de violation des règles de protection des données. Cette contribution passe en revue les différentes infractions pénales de la LPD et approfondit certaines questions en lien avec le devoir de discrétion, la communication de données à l’étranger et la détermination de la personne responsable de la violation.

Consulter
Jusletter du 25 septembre 2023

Pseudonymisierung von Bankkundendaten

Die Rechtsnatur pseudonymisierter Bankkundendaten ist lange unklar geblieben. Nach jüngster Rechtsprechung sind solche Daten prinzipiell aus Sicht des Empfängers weder vom DSG noch vom Bankgeheimnis geschützt, sofern die Pseudonymisierung die Wiedererkennung der betroffenen Kunden wirksam verhindert. Angesichts der einschlägigen Rechtsprechung sind jedoch bestimmte Vorsichtsmassnahmen (namentlich eine gründliche Risikobewertung) vor der Weitergabe pseudonymisierter Bankkundendaten empfehlenswert.

Consulter
Digma, 2020, vol. 20, no. 4, p. 216-223

Les données bancaires pseudonymisées : du secret bancaire à la protection des données

Les banques recourent fréquemment à l’anonymisation et la pseudonymisation afin de limiter les risques liés à l’externalisation du traitement de données de leurs clients. Néanmoins, les conséquences juridiques qui découlent de ces pratiques sont loin d’être claires. Dans la présente contribution, les auteurs examinent la portée de la pseudonymisation sous l’angle du secret bancaire et de la loi sur la protection des données. Ils se penchent également sur la répartition du fardeau de la preuve en la matière en cas de litige : appartient-il à la banque ou au client de démontrer l’anonymisation ou la pseudonymisation ?

Consulter
Revue suisse de droit des affaires et du marché financier, 2020, vol. 92, n° 2, p. 151-167

Décision individuelle automatisée

La société de credit scoring doit informer les personnes concernées

Même si la société qui procède au credit scoring (examen de solvabilité) n’est pas la société qui décide in fine de l’octroi d’un prêt, elle prend une décision individuelle automatisée et doit ainsi en informer la personne concernée (arrêt de la CJUE du 7 décembre 2023 dans l’affaire C‑634/21, SCHUFA Holding AG). Suite à un refus d’octroi d’un prêt par une banque, un ressortissant allemand demande diverses informations à SCHUFA, la principale société allemande qui procède à des examens de[...]

Credit Suisse

La transparence attendra la fin des travaux de la commission d’enquête parlementaire

Le 29 novembre 2023, le Préposé fédéral à la protection des données et à la transparence (Préposé) a publié neuf recommandations liées à l’acquisition de Credit Suisse par UBS. En substance, le Préposé opère une distinction entre, d’une part, les documents établis ou communiqués après l'entrée en vigueur de l'ordonnance de nécessité du 16 mars 2023 (Ordonnance), dont l’accès en vertu de la Loi sur la transparence (LTrans) est expressément exclu et, d’autre part, les documents antérieurs qui relèvent de[...]

Échange automatique de renseignements

Le Tribunal fédéral restreint l’accès au juge administratif

Dans quelle mesure une personne dont les données font l’objet d’un échange automatique de renseignements peut exiger de l’Administration fédérale des contributions (AFC) qu’elle rende un acte attaquable ? Le Tribunal fédéral se penche sur cette question pour la première fois dans l’arrêt 2C_946/2021 du 6 juin 2023, destiné à la publication. Des informations relatives à un trust et à ses deux settlors (tous deux résidents argentins) sont transmises à l’AFC dans le cadre d’un échange automatique de renseignements en matière[...]

Protection des données

Violation du principe de spécialité, des obligations ex post pour la Suisse ?

En cas de violation du principe de spécialité à la suite d’une entraide administrative, le justiciable a-t-il un droit à ce que le Conseil fédéral intervienne auprès de l’État requérant ? Dans un arrêt 2C_236/2022, destiné à publication, le Tribunal fédéral  précise si des obligations positives à l’encontre de la Suisse peuvent résulter des art. 8 et 13 CEDH. En 2011, la FINMA accorde l’entraide administrative à l’Autorité des marchés financiers française (AMF) qui demande la transmission de documents relatifs à[...]

Cyberattaques

Vers une nouvelle obligation d’annonce

Depuis le 1er septembre 2020, les banques doivent informer la FINMA dans les 24 heures des cyberattaques réussies. Le 2 décembre 2022, le Conseil fédéral a proposé au Parlement d’introduire une nouvelle obligation d’annoncer les cyberattaques, également dans les 24 heures, mais cette fois-ci au Centre national suisse pour la cybersécurité (NCSC ; cf. art. 74a ss du projet de Loi sur la sécurité de l'information [P-LSI]). Pourquoi cette obligation supplémentaire ? Car celle-ci s’appliquera à toutes les infrastructures critiques, dont[...]

Blanchiment d’argent

Trop de publicité porte atteinte à la vie privée

Comment concilier la lutte contre le blanchiment d’argent et le principe de transparence, d’une part, et le droit à la sphère privée et à la protection des données, d’autre part ? Le législateur européen n’a pas su trouver le bon équilibre en permettant à toute personne d’avoir accès au registre des bénéficiaires effectifs de sociétés, selon l’arrêt C‑37/20 et C‑601/20 du 22 novembre 2022 de la Cour de justice de l’Union européenne (CJUE). En mai 2018, le législateur européen adopte sa[...]

Devoir d’information des tiers

Le Tribunal fédéral donne (encore) raison à l’AFC

L’Administration fédérale des contributions (AFC) doit-elle informer d’office les personnes concernées, mais non directement visées par une demande d’assistance administrative internationale (les « tiers ») ? Vous avez peut-être une impression de « déjà vu » en lisant cette question. À raison. Le devoir de l’AFC d'informer les tiers a déjà fait l’objet de plusieurs décisions, commentées sur ce site (cf. not. ATF 143  II 506 commenté in cdbf.ch/982/ et 2C_310/2020 commenté in cdbf.ch/1169/). Avec l’arrêt 2C_825/2019, destiné à la publication (ATF 148 II 349), le Tribunal fédéral tranche la[...]

Droit d’accès

L’art. 8 LPD voit ses limites confirmées

En 2012, l’art. 8 de la loi sur la protection des données (LPD), qui permet d’avoir accès à ses données personnelles, était vu comme une potentielle « nouvelle arme » pour le client désirant obtenir des informations de sa banque (Fischer in cdbf.ch/821/). En 2020 et 2021, le Tribunal fédéral limitait expressément ce droit d’accès. Dans l’arrêt commenté ici, la Cour de justice genevoise confirme les limites de l’art. 8 LPD, alors qu’une cliente tentait de s’en servir afin d’avoir[...]

Vol de données bancaires et blanchiment d’argent

Condamnation d’un ex-employé de banque

Dans un arrêt 6B_45/2021 du 27 avril 2022, le Tribunal fédéral confirme la condamnation (prononcée par défaut) d’un ex-employé de banque – que nous appellerons Albert – pour services de renseignements économiques (art. 273 CP) et blanchiment d’argent (art. 305bis CP). En résumé, il était reproché à Albert d’avoir, entre 2005 et 2012, collecté et volé des données clients avant de les vendre aux autorités allemandes en été 2012. Il a ensuite, en août 2012, ouvert un compte dans une[...]

Reddition de compte

L’acte II du droit à l’information

Quelles informations une cliente peut-elle recevoir de sa banque dans un litige relatif à un appel de marge ? Le Tribunal fédéral s’était récemment penché sur cette question dans l’arrêt 4A_599/2019 (commenté in cdbf.ch/1190/). Il se retrouve désormais confronté à nouveau à cette question dans l’arrêt 4A_436/2020, arrêt qui concerne le même complexe de faits. En octobre 2012, une société libanaise ouvre un compte auprès d’une banque suisse. La cliente investit dans des options et produits structurés « maison » OTC conçus et[...]

Finance numérique

Le Conseil fédéral donne un cap

Dans son rapport sur la finance numérique, le Conseil fédéral définit les champs d’action dans le domaine pour les années à venir. Il constate que la transformation numérique du secteur financier représente un fort potentiel de croissance pour la place économique suisse. Cette transformation peut conduire à une amélioration de l'efficience des marchés financiers, une transparence accrue, une meilleure adéquation des services à la clientèle ainsi qu’à une réduction des coûts. Or le Conseil fédéral note que le recours aux[...]

Protection des données

Le Tribunal fédéral continue à fixer des limites au droit d’accès

Dans la foulée d'un premier arrêt dans lequel il avait jugé abusive une requête d'accès dont l'objectif était d'obtenir des informations destinées à être utilisées dans le cadre d'un procès intenté contre le destinataire de la requête (4A_277/2020 du 18 novembre 2020), le Tribunal fédéral poursuit sa jurisprudence destinée à circonscrire la portée du droit d'accès sous l'angle de la loi sur la protection des données (ATF 147 III 139). Rendu certes dans un contexte très spécifique, cet arrêt offre[...]

Protection des données

Transmission directe d’informations à la SEC

Dans un Memorandum du 25 juin 2021, le Préposé fédéral à la protection des données et à la transparence donne son avis sur la licéité du transfert de données personnelles à la Securities and Exchange Commission (SEC) par les entreprises suisses enregistrées auprès de cette autorité américaine. La SEC a contacté le Préposé fédéral en décembre 2020 afin de savoir si et à quelles conditions les entreprises suisses pouvaient lui transmettre des données personnelles dans le cadre de sa surveillance.[...]

Échange automatique de renseignements

Quelles voies de droit pour s’opposer à l’échange ?

Dans le cadre de l’échange automatique de renseignements (EAR), auprès de quelle autorité un intéressé peut-il invoquer une mauvaise application du Common Reporting Standard (CRS) par une banque suisse, qui remettrait à tort des informations bancaires à l’Administration fédérale des contributions (AFC) ? Dans son arrêt A-88/2020 du 1er septembre 2020 (publié le 16 septembre 2020 et attaqué au Tribunal fédéral), le Tribunal administratif fédéral (TAF) a abordé pour la première fois la question, éclairant les arcanes procéduraux en la[...]

Droit d'accès

Quel caviardage pour un rapport bancaire ?

Un client, dont le compte bancaire se retrouve gelé, peut-il avoir accès à l’intégralité d’un rapport le concernant établi par un enquêteur externe sur mandat de la banque ? Dans un arrêt du 29 août 2019, la Cour de justice du canton de Genève s’est penchée pour la seconde fois dans la même affaire sur cette problématique (ACJC/1252/2019). En 2011, une banque suisse bloque les comptes appartenant à un client de nationalité syrienne. En effet, une personne avec un nom très[...]

Programme américain

La transmission illicite de données aux États-Unis : quel dommage pour l’employé ?

Une employée de banque dont le nom a été communiqué de manière illicite aux autorités américaines peut-elle exiger des dommages-intérêts de son employeur ? Le Tribunal fédéral s’est penché pour la première fois sur cette question dans son arrêt 4A_610/2018 du 29 août 2019. Une employée est engagée comme assistante de gestion auprès du desk nord-américain d’une grande banque suisse. Elle est ainsi en contact avec des employés de la banque travaillant aux États-Unis ainsi qu’avec la clientèle américaine. Son travail[...]

Assistance internationale : l’AFC doit informer les tiers

L’AFC transmettait aux États-Unis les noms de personnes indirectement concernées par une procédure d’assistance administrative en matière fiscale sans les en informer de manière préalable. Le Préposé fédéral à la protection des données et à la transparence avait dénoncé, sans succès, cette pratique auprès du DFF (cf. cdbf.ch/1034). Sur recours du Préposé, le TAF condamne la pratique de l’AFC dans un arrêt publié hier, lequel peut encore être attaqué devant le Tribunal fédéral.

Le devoir d’information lors d’une fuite de données, avec un regard particulier sur les données bancaires

Les banques ont toujours été soumises à un devoir de confidentialité, nommé secret bancaire. Plus récemment, une autre source juridique leur a également imposé un certain devoir de confidentialité : le droit de la protection des données. Malgré l'adoption d'une loi sur la protection des données (LPD) en 1992, l'importance du droit de la protection des données dans le domaine bancaire a été nettement plus ressentie récemment, en particulier dans le cadre du transfert des données bancaires aux Etats-Unis. Plus[...]

Accès aux données personnelles

La FINMA viole le droit d’être entendu

Lorsqu’une personne visée par une mesure d’entraide administrative internationale demande à la FINMA, dans une détermination, d’avoir accès à tous les documents la concernant en se référant à l’art. 8 LPD, elle invoque valablement son droit d'accès aux données personnelles prévu par la LPD. La FINMA doit ainsi se prononcer sur cette requête, à défaut de quoi elle viole le droit d’être entendu du requérant. Le Tribunal administratif fédéral a, pour cette raison, admis le recours d’une personne visée par une mesure[...]

Programme américain et Raoul Weil

Accès aux documents refusé pour un journaliste

L’intérêt du Département fédéral des finances (DFF) à maintenir une relation intacte avec les États-Unis en tant qu'important partenaire de négociation doit se voir accorder plus de poids que l'intérêt privé d’un journaliste à avoir accès à des documents concernant Raoul Weil ainsi qu’à l'intérêt du public dans la transparence. C’est la conclusion à laquelle est parvenu le Tribunal administratif fédéral dans l’arrêt A-6475/2017 du 6 août 2018, résumé et commenté ci-dessous. Hansjürg Zumstein, journaliste à la SRF, dépose le[...]

Contentieux fiscal US

Le Tribunal fédéral confirme le droit à la remise de copies de deux anciens employés d’une banque

Dans un arrêt destiné à publication du 12 janvier 2015 (4A_406/2014; 4A_408/2014), relaté par la presse, le Tribunal fédéral a confirmé le droit de deux anciens employés d’une banque (la « Banque ») sous enquête des autorités américaines en matière fiscale à recevoir une copie des documents qui avaient été remis à ces dernières. La Banque, au bénéfice d’une autorisation du Conseil fédéral du 4 avril 2012 basée sur l’art. 271 CP et sur recommandation de la FINMA, a transmis aux autorités[...]

Action en reddition de compte

Une nouvelle arme, la LPD ?

En date du 17 avril 2012 (arrêt 4A_688/2011, destiné à la publication), le Tribunal fédéral a examiné une requête en fourniture d'informations que des clients ont dirigée contre leur banque. Cette action présentait la particularité d'être fondée sur la Loi fédérale sur la protection des données (LPD), et non pas sur l'article 400 CO, la disposition du droit du mandat généralement invoquée à l'appui d'une action en reddition de compte. Les faits à la base du litige sont classiques: deux[...]