Le vol de données bancaires

Transcription

1 Universités de Genève et de Lausanne Faculté de droit Master of advanced studies (LL.M.) in Business Law MBL Mémoire Le vol de données bancaires Mélissa Palin Sous la direction du Professeur Christian Bovet Années académiques

2 Remerciements Par ces quelques lignes, je tiens à remercier Madame Simona Mulinari et Maître Emmanuel Genequand pour le soutien qu ils m ont apporté durant l accomplissement de ce mémoire ainsi que pour leurs précieux conseils. Que mes collègues chez PricewaterhouseCoopers trouvent également ici l expression de mes remerciements pour leur encouragement et leur aide au cours de ce travail. Enfin, je remercie mes proches pour leur soutien, leur présence et leur encouragement tout au long de ce travail. 1

3 Tables des matières REMERCIEMENTS...1 LISTE DES ABRÉVIATIONS...4 I. INTRODUCTION...6 II. III. IV. DONNÉES PROTÉGÉES PAR LE SECRET BANCAIRE...8 LA GARANTIE DE L ACTIVITÉ IRRÉPROCHABLE...10 L ORGANISATION DE L INTERMÉDIAIRE FINANCIER...13 a. Du point de vue interne i. Au niveau du Conseil d administration ii. Au niveau de la direction iii.au niveau de la révision interne iv. Au niveau du compliance v. Au niveau risk management b. Du point de vue externe i. Le cas de l outsourcing ii. La surveillance consolidée iii.les réviseurs externes V. LES DISPOSITIONS PÉNALES...32 a. La Convention du Conseil de l Europe sur la cybercriminalité i. Champ d application ii. Les dispositions transposées b. La compétence pénale c. Les dispositions spéciales applicables i. La soustraction de données (art.143 CP) ii. L accès indu à un système informatique (art.143bis CP) iii.le service de renseignements économiques (art. 273 CP) d. La responsabilité pénale de l intermédiaire financier

4 VI. LES DISPOSITIONS EN MATIÈRE FISCALE...45 a. Procédure formelle d entraide en matière fiscale b. Procédure informelle dans le cadre du FATCA i. Explications ii. Conséquences pour les intermédiaires financiers iii. Problèmes et conflits dans l application des règles FATCA VII. LES CONSÉQUENCES POUR LES INTERVENANTS...52 a. En matière civile i. En droit de la personnalité ii. En matière délictuelle iii.en matière contractuelle b. En matière administrative (LFINMA et pratique de la FINMA) c. En matière pénale d. En matière fiscale e. En matière d autorégulation VIII. CONCLUSION...62 IX. ANNEXE - REGLES DE CONDUITE PROPOSEES ET COMMENTEES...64 a. Le domaine des ressources humaines b. Le domaine informatique c. Le domaine de l organisation d. Le domaine des prestataires externes BIBLIOGRAPHIE

5 Liste des abréviations Al. Alinéa Art. ASB ATF BCM CC CFB CO CP FATCA FF FFI FINMA HIRE IT IRS JDT LB Let. LFINMA LPD Article Association Suisse des Banquiers Arrêt du Tribunal fédéral Business Continuity Management Code Civil suisse Commission fédérale des banques Code suisse des obligations Code pénal suisse Foreign Account Tax Compliance Act Feuille fédérale Foreign Financial Intermediary Autorité fédérale de surveillance des marchés financiers Hiring Incentives to Restore Employment Act Information Technology Internal Revenue Service Journal des Tribunaux Loi fédérale sur les banques et les caisses d épargne Lettre Loi fédérale sur l Autorité fédérale de surveillance des marchés financiers Loi fédérale sur la protection des données 4

6 OACDI OB OCDE SWIFT Ordonnance relative à l assistance administrative d après les conventions contre les doubles impositions Ordonnance sur les banques et les caisses d épargne Organisation de coopération et de développement économiques Society for Worldwide Interbank Financial Telecommunication 5

7 I. Introduction 1. Le vol de données est une problématique actuelle qui s est distinguée dans plusieurs affaires médiatiques. S agissant du domaine bancaire, cette problématique s est illustrée dans plusieurs affaires dont notamment celle survenue au sein de HSBC ou encore celle de LGT. Le nombre de personnes affectées par une perte ou un vol de données est estimé à environ 250 millions en 2009 dont environ 40 % dans le domaine des services financiers Quelque soit le secteur concerné, le facteur humain est le point commun des différents vols de données. En effet, pour la majeure partie des cas reportés, il s est avéré que la personne physique traitant des données confidentielles était souvent un des maillons faible de la chaîne. 2 Les personnes intervenant dans le processus de traitement des données peuvent être poussées à la commission d un vol pour différents motifs qui peuvent être de plusieurs ordres. Bien souvent le vol de données est motivé par des aspirations économiques, l auteur de la soustraction de données espérant pouvoir monnayer les informations dérobées et ainsi tirer un profit de la commission de l infraction. Ces employés ont souvent le profil d employés mécontents ayant volé les informations dans divers but dont entre autres de mettre leur ancien employeur dans une position préjudiciable à sa réputation. 3. Un établissement est confronté en permanence au risque de vol de données qu il soit perpétré par un membre interne ou externe à son organisation. Afin de minimiser ce risque, un établissement doit se doter de mesures lui permettant de contrôler et limiter la fuite d informations confidentielles. Dans le domaine bancaire, la fuite d information a diminué de deux tiers en 2009, il ne reste pas moins que ce secteur est le plus touché par ce genre d infraction Ce travail a pour objectif de se concentrer sur la problématique du vol de données dans les établissements bancaires. Le vol de données, en plus d avoir des conséquences sur le plan réputationnel, peut induire d autres effets plus dommageables encore pour un établissement bancaire soumis à autorisation de l autorité de surveillance des marchés financiers. Afin de cerner tous les enjeux de la fuite d informations pour un 1 Data loss barometer, pp Data loss barometer, p Data loss barometer, p. 6. 6

8 établissement assujetti à la surveillance de la FINMA, nous allons aborder la question des normes applicables à un tel événement, tant dans le domaine administratif que pénal en passant par l aspect fiscal. Puis nous analyserons les conséquences juridiques qu un vol d informations confidentielles pourrait avoir sur les intervenants d un événement de ce type. Pour finir, nous tenterons de proposer un code de conduite à l intention des établissements bancaires visant à leur proposer une manière de monitorer et surveiller ce risque afin de mieux canaliser cette problématique. 7

9 II. Données protégées par le secret bancaire 5. L un des points centraux de l activité bancaire 4 en Suisse réside dans l obligation de discrétion à la charge des banques, de leurs organes, de leurs employés et de leurs mandataires sur les affaires de leurs clients ou de tiers qui viendraient à leur connaissance dans le cadre de l exercice de leur profession. Lors d une relation bancaire avec une personne, l intermédiaire financier dispose d informations très étendues sur cette personne, notamment sur sa situation financière, ses revenus, ses relations professionnelles et personnelles. Les renseignements qu il détient révèlent certains aspects de la vie de son client. Il s avère donc nécessaire que ces données personnelles soient protégées et restent confidentielles. 5 Juridiquement, l obligation de confidentialité du banquier et de ses auxiliaires trouve son fondement dans trois domaines du droit distincts. 6. Tout d abord, elle trouve son fondement dans le droit de la personnalité traité aux articles 27 et suivants du Code civil suisse, droit qui vise à assurer la protection des valeurs qui constituent l essentiel du domaine intime de l individu. 6 A noter que le domaine privé économique est également couvert par cette norme dont la violation constitue un acte illicite au sens des articles 41 et suivants du Code civil L obligation de confidentialité trouve également son expression dans le domaine contractuel et plus précisément dans les règles du mandat énoncées aux articles 394 et suivants du Code des obligations suisse. En effet, l intermédiaire financier est tenu dans le cadre d une relation contractuelle avec son client à tous les égards découlant des règles sur le contrat de mandat, il est tenu à la bonne et fidèle exécution du mandat conformément à l article 398 al.2 CO et doit pour se faire conserver la confidentialité sur les informations entrant en sa connaissance durant la relation avec son client. 8. Pour finir l obligation de confidentialité résulte de la loi fédérale sur les banques et les caisses d épargne (LB) 8, plus particulièrement de son article 47. Cette base légale constitue le fondement pénal de la violation de l obligation de discrétion du banquier. 4 Par soucis de précision, ce travail se concentre sur la réglementation applicable au domaine bancaire. Ainsi, la réglementation applicable aux négociants en valeurs mobilières n a, volontairement, pas été abordée. 5 C. LOMBARDINI, p. 965 N A. BUCHER, N M. AUBERT, P.-A. BÉGUIN, P. BERNASCONI et consorts, p. 44. ATF 64 II 162 ss, 169, JT ss RS

10 Elle considère l obligation de confidentialité du banquier comme un devoir professionnel ayant sa source dans le droit économique administratif régissant l activité des banques. 9 La LB ne définit pas spécifiquement la notion au centre de l obligation de discrétion, il convient donc de se référer, selon la doctrine unanime et la jurisprudence 10, à la définition de droit civil afin de pouvoir déterminer ce qu il faut entendre par secret bancaire. 11 A la différence du droit civil, l étendue de la notion de droit administratif ne recouvre pas le même cercle de personnes. En effet, contrairement au droit de la personnalité, droit dont la portée est absolu et donc opposable à tous, l obligation contenue dans cette disposition de droit administratif se destine à un cercle limité de personnes à savoir celles mentionnées au deuxième alinéa de cette disposition. 12 En ce qui concerne les bénéficiaires du secret et les informations confidentielles couvertes par celui-ci, il ne résulte aucune divergence quelque soit le fondement employé. 9. A noter que la loi fédérale sur la protection des données (LPD) tend quant à elle à protéger la personnalité et les droits fondamentaux des personnes qui font l objet d un traitement de données. Les données bancaires entrent également dans la sphère de protection de cette loi. Cette loi appréhende des situations pour lesquelles le droit de la personnalité n est pas adéquat, ni efficace lors de traitements de données personnelles, en raison des difficultés quant à l identification des risques encourus ou des atteintes subies et quant à la détermination de la licéité des traitements effectués. 13 La protection des données doit également être assurée dans le cadre du trafic international des paiements. Plusieurs décisions ont permis de préciser la pratique dans ce domaine-là. La plus connue est sans doute la décision SWIFT dans laquelle il a été jugé que la transmission de données concernant le trafic de paiement de la part de SWIFT aux autorités américaines était contraire aux principes énoncés par la LPD, en particulier à celui énoncé à l article 6 LPD, lequel impose un degré de protection adéquat des données dans le pays requérant et le consentement de la personne concernée par les 9 AUBERT, BÉGUIN, BERNASCONI et consorts, p RDAF 1970 p. 133, pp A. RAPPO p Ibidem. 13 AUBERT, BÉGUIN, BERNASCONI et consorts, p

11 données à transmettre. 14 La transmission de données ne doit se faire qu en présence de motifs justificatifs, ces derniers doivent être compris comme étant le consentement de la personne concernée, un intérêt prépondérant public ou privé, ou une disposition légale. 15 III. La garantie de l activité irréprochable 10. L activité bancaire est une activité soumise à autorisation de la FINMA, la banque ne pourra commencer son activité et être inscrite au Registre du Commerce qu une fois l autorisation obtenue (art. 3 al.1 LB). Cette autorisation est dite de police, c est-à-dire qu une fois les conditions remplies, l autorisation ne peut être refusée. 16 Afin d obtenir l autorisation, l intermédiaire financier doit remplir certaines conditions, celles-ci peuvent être classées en trois catégories 17. Tout d abord, la banque doit répondre à des conditions d organisation administrative et à une surveillance appropriée (art. 3 al. 2 let. a LB, art. 6 et 7-10 OB), puis elle doit répondre à des exigences relatives à la surveillance des risques et à l adéquation de ses fonds propres (art. 3 al. 2 let. b LB et art. 4 OB). Pour finir, la dernière catégorie fait référence à des conditions personnelles, celles de la bonne réputation et de la garantie irréprochable des personnes qui sont chargées d administrer et de gérer la banque (art. 3 al. 2 let. c LB). 11. Concernant la condition de la garantie de l activité irréprochable, l article 3 al. 2 let. c LB précise que l autorisation d exercer une activité bancaire est accordée à la condition continue que, notamment, les personnes chargées d administrer et de gérer la banque jouissent d une bonne réputation et présentent toutes les garanties d une activité irréprochable. La garantie d une activité irréprochable, notion d abord introduite pour les banques étrangères 18, est souvent définie comme étant une condition personnelle que doivent remplir les membres de la direction et du conseil d administration. La FINMA 14 Protection des données dans le trafic international des paiements (SWIFT) ; L accès aux données des transactions bancaires du réseau mondial SWIFT-Avis du Préposé fédéral à la protection des données et à la transparence. R. MONTBEYRE, «Le transfert de données bancaires à caractère personnel vers les Etats-Unis : aspects juridiques de l Affaire SWIFT». 15 Communication de données personnelles relatives au trafic des paiements aux autorités américaines ; Communication de données du trafic international des paiements à des gouvernements étrangers, dans la perspective de l application de sanctions. 16 C. LOMBARDINI, p A. RAPPO, ECS p A. HIRSCH, nbp N

12 précise qu entrent dans cette «garantie» toutes les compétences professionnelles et personnelles qui permettent à une personne d assurer correctement la direction d un établissement assujetti. 19 Elle précise également que le principal critère lui permettant de déterminer si la garantie de l activité irréprochable est remplie est celui de l activité professionnelle passée et présente de la personne au regard de l activité envisagée. 20 A l évidence cette disposition semblait jusqu à maintenant n être destinée qu aux personnes physiques ayant pour tâche la gestion de la banque, cependant la pratique de l autorité de surveillance démontre que cette notion est une notion plutôt «malléable» qui peut être modulée par l autorité au gré des situations qu elle juge propre à mettre en péril la gestion et l administration de la banque En effet, une évolution de la notion de garantie de l activité irréprochable est apparue dans les décisions rendues par la CFB puis par la FINMA. Désormais la garantie de l activité irréprochable n est plus seulement applicable aux personnes en charge de la gestion et de l administration de la banque, mais l est également à l établissement luimême. L autorité de surveillance a rapproché dans plusieurs décisions la notion d organisation adéquate à celle de la garantie de l activité irréprochable. 13. Le premier rapprochement opéré par l autorité de surveillance est apparu dans la décision Montesinos 22. Dans cette décision, la CFB examine la condition de l activité irréprochable du directeur de l établissement. Elle constate que ce dernier a manqué à ses principales obligations, c est-à-dire celles de veiller à ce que son établissement soit organisé de manière adéquate et suffisante. La CFB a ainsi conclu que cette carence dans l organisation de l établissement est par là même une des raisons pour lesquelles le directeur de cet établissement ne remplit pas la condition de la garantie de l activité irréprochable. Dans cette décision, la CFB a ainsi clairement établi un lien entre l organisation de l établissement bancaire et la garantie de l activité irréprochable des 19 Questions et réponses au sujet de la lettre de la Commission fédérale des banques (CFB) concernant la «garantie d une activité irréprochable» site consulté le Op cit n Rapport de gestion CFB 2001, p. 170, Bulletin CFB 42, p

13 personnes chargées de la gestion et de l administration de celui-ci. Une autre décision allant dans ce sens et confirmant cette tendance a été rendue dans une autre affaire La CFB a ensuite aussi établi que le manquement dans l identification des risques de réputation et des risques juridiques était propre à remettre en question la garantie de l activité irréprochable des membres du Conseil d administration. 24 En effet, comme nous le verrons plus en avant dans ce travail, les administrateurs ont notamment pour tâches d identifier les risques potentiels et de les limiter autant que possible. 15. S agissant de la conservation et de l archivage de données, autre élément inhérent à l organisation des établissements bancaires, la CFB a précisé que des manquements dans ce domaine sont perçus comme incompatibles avec le comportement adéquat attendu d une banque et des personnes chargées de l administrer et de la gérer Dans son premier bulletin 26, la FINMA reprend et confirme la pratique de la CFB et relève que la banque doit disposer d une organisation administrative correspondant à son activité (art. 3 al.2 let. a LB). Dans ce cadre, elle doit être en mesure de déterminer, de limiter et de contrôler les risques pertinents. Font notamment partie de ces risques, les risques juridiques et les risques de réputation au sens de l article 9 al.2 OB. Une déficience dans l organisation de la banque sera considérée comme incompatible avec la garantie de l activité irréprochable. 17. Dans ce même bulletin, la FINMA déclare que la garantie de l activité irréprochable est applicable aux personnes chargées d administrer et de gérer la banque, mais aussi à la banque elle-même. En sa qualité d entreprise, la banque doit également respecter la condition de la garantie d une activité irréprochable Au vu de ces exemples, on ne peut que constater que la pratique de l autorité de surveillance a évolué vers une prise en compte des déficiences organisationnelles de la banque dans son appréciation de la condition de la garantie de l activité irréprochable des organes de direction. Evolution ayant pour conséquences que les insuffisances organisationnelles de la banque risquent de plus en plus souvent d avoir des 23 Bulletin CFB 46, p Bulletin CFB 49, p. 133 et Bulletin CFB 50, p Bulletin CFB 51, p Bulletin FINMA 1/2010, pp. 104, Bulletin CFB 41, p.15, Bulletin CFB 47, p. 21, Bulletin FINMA 1/2010, pp

14 conséquences négatives sur la garantie d une activité irréprochable des organes de direction. IV. L organisation de l intermédiaire financier 19. Comme nous l avons vu précédemment, l intermédiaire financier doit requérir une autorisation d exercer une activité bancaire de la part de la FINMA. Une des conditions devant être remplie est celle d une organisation interne appropriée (art. 3 al. 2 let. a LB). Cette dernière nécessite notamment le pouvoir d imposer des directives reposant sur des règles d attribution des tâches, de compétence et de comportement. 28 Elle nécessite aussi des mécanismes de contrôle adaptés et efficaces. Pour remplir cette exigence, la banque doit, notamment, disposer d organes chargés de la haute direction, de la surveillance et du contrôle et d organes chargés de la direction. 29 L organisation de l intermédiaire financier devra être telle qu il puisse déterminer, limiter et contrôler tous les risques auxquels il peut être confronté. Lors de la sollicitation d une licence bancaire, l intermédiaire financier devra également démontrer qu il bénéficie d organisation adéquate du point de vue logistique et informatique, il devra faire part à l autorité de surveillance d éventuels accords d externalisation de prestations de service. L existence et la fonctionnalité d un système informatique adéquat font parties des exigences devant être satisfaites préalablement à la demande d autorisation d exercer. La société de révision devra d ailleurs prendre position sur la satisfaction de cette condition vis-à-vis entre autres de la séparation adéquate des compétences, notamment dans l octroi des accès informatiques. a. Du point de vue interne i. Au niveau du Conseil d administration 20. L article 3 al. 2 let. a LB correspond à l article 716a CO définissant les attributions intransmissibles et inaliénables du Conseil d administration d une société anonyme. 28 B. STÖCKLI, pp C. LOMBARDINI, p. 45 N

15 Dans le domaine bancaire, les attributions du Conseil d administration ont été étoffées et complétées par des dispositions spéciales se trouvant dans la législation bancaire et plus particulièrement dans la circulaire sur la surveillance et le contrôle interne dans le secteur bancaire (ci-après circulaire FINMA 08/24) Le Conseil d administration est ainsi l organe chargé de la haute direction de la banque, de sa surveillance et de son contrôle. Il est également tenu de fixer son organisation. A la différence de la direction, le Conseil d administration n est pas tenu de gérer la banque, mais uniquement d en assurer la haute surveillance. Par l attribution de la haute direction de l établissement, le Conseil d administration a pour tâches plus spécifiques de déterminer la politique de gestion des risques choisie par la banque, il doit également veiller à ce que la banque dispose des moyens financiers et personnels pour suivre la politique choisie. Le Conseil d administration a la responsabilité d édicter les principes généraux inhérents à la gestion des risques et de veiller à ce que ceux-ci soient mis en place par la direction et que les mesures visant à l identification, la gestion et à la surveillance des risques soient implémentées par l établissement. 31 Comme nous le verrons plus tard, le Conseil d administration a également la responsabilité de mettre en œuvre la Recommandation de l ASB en matière de Business Continuity Management et de veiller au respect d une stratégie en la matière sous forme écrite Concernant la gestion des risques, le Conseil d administration doit, afin de satisfaire à ses obligations, mettre en place un système lui permettant d être régulièrement informé sur la situation de l établissement et sur son exposition aux risques. A cette fin, le Conseil d administration doit mettre en place un système de reporting et d information des risques qui doit être efficient, périodique et fonctionnel, mais qui doit également être un système permettant de délivrer des informations adaptées. 33 Conformément au chiffre marginal 9 de la circulaire FINMA 08/24, le Conseil d administration est également tenu de réglementer, d instaurer, de maintenir, de surveiller et de valider un contrôle interne approprié. En instaurant ce système de contrôle interne, et en le surveillant, le Conseil d administration s assure que tous les risques inhérents à l établissement ont été 30 P. HAURI, pp C. LOMBARDINI, p.49 N. 26; P. HAURI, A. CARRI, p Recommandation en matière de Business Continuity Management (BCM), p P. HAURI, A. CARRI, p

16 identifiés, limités et surveillés. 34 Le Conseil d administration est tenu de vérifier que la révision interne dispose des ressources et des compétences adéquates, y compris en matière informatique, et pour la surveillance appropriée des risques auxquels la banque est exposée, dont également ceux liés aux technologies informatiques. Le Conseil d administration a de ce fait la compétence d approuver les accords relatifs à l externalisation de prestations de service, y compris ceux liés à ce domaine-là. 23. Comme nous l avons vu au sujet de la garantie de l activité irréprochable, l autorité de surveillance a précédemment estimé qu une lacune dans l identification des risques de réputation et des risques juridiques est susceptible de contrevenir à la garantie de l activité irréprochable dont les administrateurs sont notamment les sujets Le Conseil d administration est composé de personnes devant disposer des compétences professionnelles, d expérience et de disponibilités nécessaires à l accomplissement de leurs fonctions, notamment au vu des domaines d exposition de la banque. Dans le cas contraire, l autorité de surveillance pourrait estimer que la condition de la garantie de l activité irréprochable, applicable notamment aux personnes chargées d administrer, n est pas remplie. Afin d éviter les conflits d intérêts, les administrateurs doivent être indépendants. Il est ainsi interdit aux membres du Conseil d administration d occuper un poste dans la direction opérationnelle de la banque. 36 Le critère d indépendance doit également être satisfait au regard des chiffres marginaux 20 à 24 de la circulaire FINMA 08/24. Les membres du Conseil d administration seront ainsi réputés indépendants s ils n occupent pas d autre fonction au sein de l établissement, ou s ils n ont pas occupé de poste au sein de l établissement durant les deux dernières années, ni au sein de la société d audit externe. Les membres du Conseil d administration ne doivent également pas avoir de relations d affaires qui pourraient conduire à un conflit d intérêt, de même qu ils ne doivent pas détenir de participation qualifiée, ni représenter un tel détenteur de participation. 25. Concernant la répartition des tâches au sein du Conseil d administration, ce dernier peut instaurer des comités chargés de le seconder ou confier des tâches à certains de ses 34 Circulaire FINMA 08/24 cm Bulletin CFB 49, p. 133; Bulletin CFB 50, p Article 8 al. 2 OB, Circulaire FINMA 08/24 cm

17 membres. L établissement d un audit committee est exigé dès lors que l établissement atteint une certaine taille ou un certain niveau de complexité Le comité d audit est chargé d une tâche importante en matière de gestion des risques, il est entre autres tenu de créer le système de gestion des risques, de définir le profil de risque de l établissement, d évaluer et de surveiller le contrôle interne. 38 Il peut aussi intervenir en matière de risques juridiques. Afin d assurer un suivi approprié d un sujet comme le vol de données, il est utile que le comité d audit dispose en son sein d une ou de plusieurs personnes compétentes dans le domaine informatique. Ces personnes seront, ainsi, plus à même d évaluer, surveiller et gérer les risques liés au système informatique. 27. L article 9 al.2 OB dispose que la banque doit déterminer, limiter et contrôler les risques, notamment, opérationnels et juridiques, ainsi que les risques susceptibles de ternir sa réputation. On peut définir le risque opérationnel comme étant le risque pour la banque de pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. La définition inclut le risque juridique. 39 Celui-ci inclut l exposition à des amendes, pénalités et dommages pour faute résultant de la surveillance prudentielle ainsi que de transactions privées. 40 La pratique de la CFB, puis de la FINMA, a mis en évidence qu un manquement dans l établissement des risques était propre à mettre en péril la garantie de l activité irréprochable des membres du Conseil d administration et par là même la garantie de l activité irréprochable de l établissement lui-même Ainsi comme nous l avons vu, le Conseil d administration est en charge notamment de l organisation de la banque et de l établissement des risques. On peut ainsi se demander si la garantie de l activité irréprochable des membres du Conseil d administration ne pourrait pas être remise en question dès lors que ceux-ci n ont pas cerné le risque de vol ou de fuite de données dans leur établissement. En effet, comme mentionné précédemment, la pratique de l autorité de surveillance tend à rapprocher la notion d organisation adéquate à celle de la garantie de l activité irréprochable. Elle fait de 37 Circulaire FINMA 08/24 cm et C. TAGOUO, p. 604, Circulaire FINMA 08/24 cm 41à Bâle II p. 121 disponible sur C. LOMBARDINI, p. 67 N Bâle II, p.121 nbp N Bulletin CFB 49, p. 133; Bulletin CFB 50, p