Le vol de données bancaires

Transcription

1 Universités de Genève et de Lausanne Faculté de droit Master of advanced studies (LL.M.) in Business Law MBL Mémoire Le vol de données bancaires Mélissa Palin Sous la direction du Professeur Christian Bovet Années académiques

2 Remerciements Par ces quelques lignes, je tiens à remercier Madame Simona Mulinari et Maître Emmanuel Genequand pour le soutien qu ils m ont apporté durant l accomplissement de ce mémoire ainsi que pour leurs précieux conseils. Que mes collègues chez PricewaterhouseCoopers trouvent également ici l expression de mes remerciements pour leur encouragement et leur aide au cours de ce travail. Enfin, je remercie mes proches pour leur soutien, leur présence et leur encouragement tout au long de ce travail. 1

3 Tables des matières REMERCIEMENTS...1 LISTE DES ABRÉVIATIONS...4 I. INTRODUCTION...6 II. III. IV. DONNÉES PROTÉGÉES PAR LE SECRET BANCAIRE...8 LA GARANTIE DE L ACTIVITÉ IRRÉPROCHABLE...10 L ORGANISATION DE L INTERMÉDIAIRE FINANCIER...13 a. Du point de vue interne i. Au niveau du Conseil d administration ii. Au niveau de la direction iii.au niveau de la révision interne iv. Au niveau du compliance v. Au niveau risk management b. Du point de vue externe i. Le cas de l outsourcing ii. La surveillance consolidée iii.les réviseurs externes V. LES DISPOSITIONS PÉNALES...32 a. La Convention du Conseil de l Europe sur la cybercriminalité i. Champ d application ii. Les dispositions transposées b. La compétence pénale c. Les dispositions spéciales applicables i. La soustraction de données (art.143 CP) ii. L accès indu à un système informatique (art.143bis CP) iii.le service de renseignements économiques (art. 273 CP) d. La responsabilité pénale de l intermédiaire financier

4 VI. LES DISPOSITIONS EN MATIÈRE FISCALE...45 a. Procédure formelle d entraide en matière fiscale b. Procédure informelle dans le cadre du FATCA i. Explications ii. Conséquences pour les intermédiaires financiers iii. Problèmes et conflits dans l application des règles FATCA VII. LES CONSÉQUENCES POUR LES INTERVENANTS...52 a. En matière civile i. En droit de la personnalité ii. En matière délictuelle iii.en matière contractuelle b. En matière administrative (LFINMA et pratique de la FINMA) c. En matière pénale d. En matière fiscale e. En matière d autorégulation VIII. CONCLUSION...62 IX. ANNEXE - REGLES DE CONDUITE PROPOSEES ET COMMENTEES...64 a. Le domaine des ressources humaines b. Le domaine informatique c. Le domaine de l organisation d. Le domaine des prestataires externes BIBLIOGRAPHIE

5 Liste des abréviations Al. Alinéa Art. ASB ATF BCM CC CFB CO CP FATCA FF FFI FINMA HIRE IT IRS JDT LB Let. LFINMA LPD Article Association Suisse des Banquiers Arrêt du Tribunal fédéral Business Continuity Management Code Civil suisse Commission fédérale des banques Code suisse des obligations Code pénal suisse Foreign Account Tax Compliance Act Feuille fédérale Foreign Financial Intermediary Autorité fédérale de surveillance des marchés financiers Hiring Incentives to Restore Employment Act Information Technology Internal Revenue Service Journal des Tribunaux Loi fédérale sur les banques et les caisses d épargne Lettre Loi fédérale sur l Autorité fédérale de surveillance des marchés financiers Loi fédérale sur la protection des données 4

6 OACDI OB OCDE SWIFT Ordonnance relative à l assistance administrative d après les conventions contre les doubles impositions Ordonnance sur les banques et les caisses d épargne Organisation de coopération et de développement économiques Society for Worldwide Interbank Financial Telecommunication 5

7 I. Introduction 1. Le vol de données est une problématique actuelle qui s est distinguée dans plusieurs affaires médiatiques. S agissant du domaine bancaire, cette problématique s est illustrée dans plusieurs affaires dont notamment celle survenue au sein de HSBC ou encore celle de LGT. Le nombre de personnes affectées par une perte ou un vol de données est estimé à environ 250 millions en 2009 dont environ 40 % dans le domaine des services financiers Quelque soit le secteur concerné, le facteur humain est le point commun des différents vols de données. En effet, pour la majeure partie des cas reportés, il s est avéré que la personne physique traitant des données confidentielles était souvent un des maillons faible de la chaîne. 2 Les personnes intervenant dans le processus de traitement des données peuvent être poussées à la commission d un vol pour différents motifs qui peuvent être de plusieurs ordres. Bien souvent le vol de données est motivé par des aspirations économiques, l auteur de la soustraction de données espérant pouvoir monnayer les informations dérobées et ainsi tirer un profit de la commission de l infraction. Ces employés ont souvent le profil d employés mécontents ayant volé les informations dans divers but dont entre autres de mettre leur ancien employeur dans une position préjudiciable à sa réputation. 3. Un établissement est confronté en permanence au risque de vol de données qu il soit perpétré par un membre interne ou externe à son organisation. Afin de minimiser ce risque, un établissement doit se doter de mesures lui permettant de contrôler et limiter la fuite d informations confidentielles. Dans le domaine bancaire, la fuite d information a diminué de deux tiers en 2009, il ne reste pas moins que ce secteur est le plus touché par ce genre d infraction Ce travail a pour objectif de se concentrer sur la problématique du vol de données dans les établissements bancaires. Le vol de données, en plus d avoir des conséquences sur le plan réputationnel, peut induire d autres effets plus dommageables encore pour un établissement bancaire soumis à autorisation de l autorité de surveillance des marchés financiers. Afin de cerner tous les enjeux de la fuite d informations pour un 1 Data loss barometer, pp Data loss barometer, p Data loss barometer, p. 6. 6

8 établissement assujetti à la surveillance de la FINMA, nous allons aborder la question des normes applicables à un tel événement, tant dans le domaine administratif que pénal en passant par l aspect fiscal. Puis nous analyserons les conséquences juridiques qu un vol d informations confidentielles pourrait avoir sur les intervenants d un événement de ce type. Pour finir, nous tenterons de proposer un code de conduite à l intention des établissements bancaires visant à leur proposer une manière de monitorer et surveiller ce risque afin de mieux canaliser cette problématique. 7

9 II. Données protégées par le secret bancaire 5. L un des points centraux de l activité bancaire 4 en Suisse réside dans l obligation de discrétion à la charge des banques, de leurs organes, de leurs employés et de leurs mandataires sur les affaires de leurs clients ou de tiers qui viendraient à leur connaissance dans le cadre de l exercice de leur profession. Lors d une relation bancaire avec une personne, l intermédiaire financier dispose d informations très étendues sur cette personne, notamment sur sa situation financière, ses revenus, ses relations professionnelles et personnelles. Les renseignements qu il détient révèlent certains aspects de la vie de son client. Il s avère donc nécessaire que ces données personnelles soient protégées et restent confidentielles. 5 Juridiquement, l obligation de confidentialité du banquier et de ses auxiliaires trouve son fondement dans trois domaines du droit distincts. 6. Tout d abord, elle trouve son fondement dans le droit de la personnalité traité aux articles 27 et suivants du Code civil suisse, droit qui vise à assurer la protection des valeurs qui constituent l essentiel du domaine intime de l individu. 6 A noter que le domaine privé économique est également couvert par cette norme dont la violation constitue un acte illicite au sens des articles 41 et suivants du Code civil L obligation de confidentialité trouve également son expression dans le domaine contractuel et plus précisément dans les règles du mandat énoncées aux articles 394 et suivants du Code des obligations suisse. En effet, l intermédiaire financier est tenu dans le cadre d une relation contractuelle avec son client à tous les égards découlant des règles sur le contrat de mandat, il est tenu à la bonne et fidèle exécution du mandat conformément à l article 398 al.2 CO et doit pour se faire conserver la confidentialité sur les informations entrant en sa connaissance durant la relation avec son client. 8. Pour finir l obligation de confidentialité résulte de la loi fédérale sur les banques et les caisses d épargne (LB) 8, plus particulièrement de son article 47. Cette base légale constitue le fondement pénal de la violation de l obligation de discrétion du banquier. 4 Par soucis de précision, ce travail se concentre sur la réglementation applicable au domaine bancaire. Ainsi, la réglementation applicable aux négociants en valeurs mobilières n a, volontairement, pas été abordée. 5 C. LOMBARDINI, p. 965 N A. BUCHER, N M. AUBERT, P.-A. BÉGUIN, P. BERNASCONI et consorts, p. 44. ATF 64 II 162 ss, 169, JT ss RS

10 Elle considère l obligation de confidentialité du banquier comme un devoir professionnel ayant sa source dans le droit économique administratif régissant l activité des banques. 9 La LB ne définit pas spécifiquement la notion au centre de l obligation de discrétion, il convient donc de se référer, selon la doctrine unanime et la jurisprudence 10, à la définition de droit civil afin de pouvoir déterminer ce qu il faut entendre par secret bancaire. 11 A la différence du droit civil, l étendue de la notion de droit administratif ne recouvre pas le même cercle de personnes. En effet, contrairement au droit de la personnalité, droit dont la portée est absolu et donc opposable à tous, l obligation contenue dans cette disposition de droit administratif se destine à un cercle limité de personnes à savoir celles mentionnées au deuxième alinéa de cette disposition. 12 En ce qui concerne les bénéficiaires du secret et les informations confidentielles couvertes par celui-ci, il ne résulte aucune divergence quelque soit le fondement employé. 9. A noter que la loi fédérale sur la protection des données (LPD) tend quant à elle à protéger la personnalité et les droits fondamentaux des personnes qui font l objet d un traitement de données. Les données bancaires entrent également dans la sphère de protection de cette loi. Cette loi appréhende des situations pour lesquelles le droit de la personnalité n est pas adéquat, ni efficace lors de traitements de données personnelles, en raison des difficultés quant à l identification des risques encourus ou des atteintes subies et quant à la détermination de la licéité des traitements effectués. 13 La protection des données doit également être assurée dans le cadre du trafic international des paiements. Plusieurs décisions ont permis de préciser la pratique dans ce domaine-là. La plus connue est sans doute la décision SWIFT dans laquelle il a été jugé que la transmission de données concernant le trafic de paiement de la part de SWIFT aux autorités américaines était contraire aux principes énoncés par la LPD, en particulier à celui énoncé à l article 6 LPD, lequel impose un degré de protection adéquat des données dans le pays requérant et le consentement de la personne concernée par les 9 AUBERT, BÉGUIN, BERNASCONI et consorts, p RDAF 1970 p. 133, pp A. RAPPO p Ibidem. 13 AUBERT, BÉGUIN, BERNASCONI et consorts, p

11 données à transmettre. 14 La transmission de données ne doit se faire qu en présence de motifs justificatifs, ces derniers doivent être compris comme étant le consentement de la personne concernée, un intérêt prépondérant public ou privé, ou une disposition légale. 15 III. La garantie de l activité irréprochable 10. L activité bancaire est une activité soumise à autorisation de la FINMA, la banque ne pourra commencer son activité et être inscrite au Registre du Commerce qu une fois l autorisation obtenue (art. 3 al.1 LB). Cette autorisation est dite de police, c est-à-dire qu une fois les conditions remplies, l autorisation ne peut être refusée. 16 Afin d obtenir l autorisation, l intermédiaire financier doit remplir certaines conditions, celles-ci peuvent être classées en trois catégories 17. Tout d abord, la banque doit répondre à des conditions d organisation administrative et à une surveillance appropriée (art. 3 al. 2 let. a LB, art. 6 et 7-10 OB), puis elle doit répondre à des exigences relatives à la surveillance des risques et à l adéquation de ses fonds propres (art. 3 al. 2 let. b LB et art. 4 OB). Pour finir, la dernière catégorie fait référence à des conditions personnelles, celles de la bonne réputation et de la garantie irréprochable des personnes qui sont chargées d administrer et de gérer la banque (art. 3 al. 2 let. c LB). 11. Concernant la condition de la garantie de l activité irréprochable, l article 3 al. 2 let. c LB précise que l autorisation d exercer une activité bancaire est accordée à la condition continue que, notamment, les personnes chargées d administrer et de gérer la banque jouissent d une bonne réputation et présentent toutes les garanties d une activité irréprochable. La garantie d une activité irréprochable, notion d abord introduite pour les banques étrangères 18, est souvent définie comme étant une condition personnelle que doivent remplir les membres de la direction et du conseil d administration. La FINMA 14 Protection des données dans le trafic international des paiements (SWIFT) ; L accès aux données des transactions bancaires du réseau mondial SWIFT-Avis du Préposé fédéral à la protection des données et à la transparence. R. MONTBEYRE, «Le transfert de données bancaires à caractère personnel vers les Etats-Unis : aspects juridiques de l Affaire SWIFT». 15 Communication de données personnelles relatives au trafic des paiements aux autorités américaines ; Communication de données du trafic international des paiements à des gouvernements étrangers, dans la perspective de l application de sanctions. 16 C. LOMBARDINI, p A. RAPPO, ECS p A. HIRSCH, nbp N

12 précise qu entrent dans cette «garantie» toutes les compétences professionnelles et personnelles qui permettent à une personne d assurer correctement la direction d un établissement assujetti. 19 Elle précise également que le principal critère lui permettant de déterminer si la garantie de l activité irréprochable est remplie est celui de l activité professionnelle passée et présente de la personne au regard de l activité envisagée. 20 A l évidence cette disposition semblait jusqu à maintenant n être destinée qu aux personnes physiques ayant pour tâche la gestion de la banque, cependant la pratique de l autorité de surveillance démontre que cette notion est une notion plutôt «malléable» qui peut être modulée par l autorité au gré des situations qu elle juge propre à mettre en péril la gestion et l administration de la banque En effet, une évolution de la notion de garantie de l activité irréprochable est apparue dans les décisions rendues par la CFB puis par la FINMA. Désormais la garantie de l activité irréprochable n est plus seulement applicable aux personnes en charge de la gestion et de l administration de la banque, mais l est également à l établissement luimême. L autorité de surveillance a rapproché dans plusieurs décisions la notion d organisation adéquate à celle de la garantie de l activité irréprochable. 13. Le premier rapprochement opéré par l autorité de surveillance est apparu dans la décision Montesinos 22. Dans cette décision, la CFB examine la condition de l activité irréprochable du directeur de l établissement. Elle constate que ce dernier a manqué à ses principales obligations, c est-à-dire celles de veiller à ce que son établissement soit organisé de manière adéquate et suffisante. La CFB a ainsi conclu que cette carence dans l organisation de l établissement est par là même une des raisons pour lesquelles le directeur de cet établissement ne remplit pas la condition de la garantie de l activité irréprochable. Dans cette décision, la CFB a ainsi clairement établi un lien entre l organisation de l établissement bancaire et la garantie de l activité irréprochable des 19 Questions et réponses au sujet de la lettre de la Commission fédérale des banques (CFB) concernant la «garantie d une activité irréprochable» site consulté le Op cit n Rapport de gestion CFB 2001, p. 170, Bulletin CFB 42, p

13 personnes chargées de la gestion et de l administration de celui-ci. Une autre décision allant dans ce sens et confirmant cette tendance a été rendue dans une autre affaire La CFB a ensuite aussi établi que le manquement dans l identification des risques de réputation et des risques juridiques était propre à remettre en question la garantie de l activité irréprochable des membres du Conseil d administration. 24 En effet, comme nous le verrons plus en avant dans ce travail, les administrateurs ont notamment pour tâches d identifier les risques potentiels et de les limiter autant que possible. 15. S agissant de la conservation et de l archivage de données, autre élément inhérent à l organisation des établissements bancaires, la CFB a précisé que des manquements dans ce domaine sont perçus comme incompatibles avec le comportement adéquat attendu d une banque et des personnes chargées de l administrer et de la gérer Dans son premier bulletin 26, la FINMA reprend et confirme la pratique de la CFB et relève que la banque doit disposer d une organisation administrative correspondant à son activité (art. 3 al.2 let. a LB). Dans ce cadre, elle doit être en mesure de déterminer, de limiter et de contrôler les risques pertinents. Font notamment partie de ces risques, les risques juridiques et les risques de réputation au sens de l article 9 al.2 OB. Une déficience dans l organisation de la banque sera considérée comme incompatible avec la garantie de l activité irréprochable. 17. Dans ce même bulletin, la FINMA déclare que la garantie de l activité irréprochable est applicable aux personnes chargées d administrer et de gérer la banque, mais aussi à la banque elle-même. En sa qualité d entreprise, la banque doit également respecter la condition de la garantie d une activité irréprochable Au vu de ces exemples, on ne peut que constater que la pratique de l autorité de surveillance a évolué vers une prise en compte des déficiences organisationnelles de la banque dans son appréciation de la condition de la garantie de l activité irréprochable des organes de direction. Evolution ayant pour conséquences que les insuffisances organisationnelles de la banque risquent de plus en plus souvent d avoir des 23 Bulletin CFB 46, p Bulletin CFB 49, p. 133 et Bulletin CFB 50, p Bulletin CFB 51, p Bulletin FINMA 1/2010, pp. 104, Bulletin CFB 41, p.15, Bulletin CFB 47, p. 21, Bulletin FINMA 1/2010, pp

14 conséquences négatives sur la garantie d une activité irréprochable des organes de direction. IV. L organisation de l intermédiaire financier 19. Comme nous l avons vu précédemment, l intermédiaire financier doit requérir une autorisation d exercer une activité bancaire de la part de la FINMA. Une des conditions devant être remplie est celle d une organisation interne appropriée (art. 3 al. 2 let. a LB). Cette dernière nécessite notamment le pouvoir d imposer des directives reposant sur des règles d attribution des tâches, de compétence et de comportement. 28 Elle nécessite aussi des mécanismes de contrôle adaptés et efficaces. Pour remplir cette exigence, la banque doit, notamment, disposer d organes chargés de la haute direction, de la surveillance et du contrôle et d organes chargés de la direction. 29 L organisation de l intermédiaire financier devra être telle qu il puisse déterminer, limiter et contrôler tous les risques auxquels il peut être confronté. Lors de la sollicitation d une licence bancaire, l intermédiaire financier devra également démontrer qu il bénéficie d organisation adéquate du point de vue logistique et informatique, il devra faire part à l autorité de surveillance d éventuels accords d externalisation de prestations de service. L existence et la fonctionnalité d un système informatique adéquat font parties des exigences devant être satisfaites préalablement à la demande d autorisation d exercer. La société de révision devra d ailleurs prendre position sur la satisfaction de cette condition vis-à-vis entre autres de la séparation adéquate des compétences, notamment dans l octroi des accès informatiques. a. Du point de vue interne i. Au niveau du Conseil d administration 20. L article 3 al. 2 let. a LB correspond à l article 716a CO définissant les attributions intransmissibles et inaliénables du Conseil d administration d une société anonyme. 28 B. STÖCKLI, pp C. LOMBARDINI, p. 45 N

15 Dans le domaine bancaire, les attributions du Conseil d administration ont été étoffées et complétées par des dispositions spéciales se trouvant dans la législation bancaire et plus particulièrement dans la circulaire sur la surveillance et le contrôle interne dans le secteur bancaire (ci-après circulaire FINMA 08/24) Le Conseil d administration est ainsi l organe chargé de la haute direction de la banque, de sa surveillance et de son contrôle. Il est également tenu de fixer son organisation. A la différence de la direction, le Conseil d administration n est pas tenu de gérer la banque, mais uniquement d en assurer la haute surveillance. Par l attribution de la haute direction de l établissement, le Conseil d administration a pour tâches plus spécifiques de déterminer la politique de gestion des risques choisie par la banque, il doit également veiller à ce que la banque dispose des moyens financiers et personnels pour suivre la politique choisie. Le Conseil d administration a la responsabilité d édicter les principes généraux inhérents à la gestion des risques et de veiller à ce que ceux-ci soient mis en place par la direction et que les mesures visant à l identification, la gestion et à la surveillance des risques soient implémentées par l établissement. 31 Comme nous le verrons plus tard, le Conseil d administration a également la responsabilité de mettre en œuvre la Recommandation de l ASB en matière de Business Continuity Management et de veiller au respect d une stratégie en la matière sous forme écrite Concernant la gestion des risques, le Conseil d administration doit, afin de satisfaire à ses obligations, mettre en place un système lui permettant d être régulièrement informé sur la situation de l établissement et sur son exposition aux risques. A cette fin, le Conseil d administration doit mettre en place un système de reporting et d information des risques qui doit être efficient, périodique et fonctionnel, mais qui doit également être un système permettant de délivrer des informations adaptées. 33 Conformément au chiffre marginal 9 de la circulaire FINMA 08/24, le Conseil d administration est également tenu de réglementer, d instaurer, de maintenir, de surveiller et de valider un contrôle interne approprié. En instaurant ce système de contrôle interne, et en le surveillant, le Conseil d administration s assure que tous les risques inhérents à l établissement ont été 30 P. HAURI, pp C. LOMBARDINI, p.49 N. 26; P. HAURI, A. CARRI, p Recommandation en matière de Business Continuity Management (BCM), p P. HAURI, A. CARRI, p

16 identifiés, limités et surveillés. 34 Le Conseil d administration est tenu de vérifier que la révision interne dispose des ressources et des compétences adéquates, y compris en matière informatique, et pour la surveillance appropriée des risques auxquels la banque est exposée, dont également ceux liés aux technologies informatiques. Le Conseil d administration a de ce fait la compétence d approuver les accords relatifs à l externalisation de prestations de service, y compris ceux liés à ce domaine-là. 23. Comme nous l avons vu au sujet de la garantie de l activité irréprochable, l autorité de surveillance a précédemment estimé qu une lacune dans l identification des risques de réputation et des risques juridiques est susceptible de contrevenir à la garantie de l activité irréprochable dont les administrateurs sont notamment les sujets Le Conseil d administration est composé de personnes devant disposer des compétences professionnelles, d expérience et de disponibilités nécessaires à l accomplissement de leurs fonctions, notamment au vu des domaines d exposition de la banque. Dans le cas contraire, l autorité de surveillance pourrait estimer que la condition de la garantie de l activité irréprochable, applicable notamment aux personnes chargées d administrer, n est pas remplie. Afin d éviter les conflits d intérêts, les administrateurs doivent être indépendants. Il est ainsi interdit aux membres du Conseil d administration d occuper un poste dans la direction opérationnelle de la banque. 36 Le critère d indépendance doit également être satisfait au regard des chiffres marginaux 20 à 24 de la circulaire FINMA 08/24. Les membres du Conseil d administration seront ainsi réputés indépendants s ils n occupent pas d autre fonction au sein de l établissement, ou s ils n ont pas occupé de poste au sein de l établissement durant les deux dernières années, ni au sein de la société d audit externe. Les membres du Conseil d administration ne doivent également pas avoir de relations d affaires qui pourraient conduire à un conflit d intérêt, de même qu ils ne doivent pas détenir de participation qualifiée, ni représenter un tel détenteur de participation. 25. Concernant la répartition des tâches au sein du Conseil d administration, ce dernier peut instaurer des comités chargés de le seconder ou confier des tâches à certains de ses 34 Circulaire FINMA 08/24 cm Bulletin CFB 49, p. 133; Bulletin CFB 50, p Article 8 al. 2 OB, Circulaire FINMA 08/24 cm

17 membres. L établissement d un audit committee est exigé dès lors que l établissement atteint une certaine taille ou un certain niveau de complexité Le comité d audit est chargé d une tâche importante en matière de gestion des risques, il est entre autres tenu de créer le système de gestion des risques, de définir le profil de risque de l établissement, d évaluer et de surveiller le contrôle interne. 38 Il peut aussi intervenir en matière de risques juridiques. Afin d assurer un suivi approprié d un sujet comme le vol de données, il est utile que le comité d audit dispose en son sein d une ou de plusieurs personnes compétentes dans le domaine informatique. Ces personnes seront, ainsi, plus à même d évaluer, surveiller et gérer les risques liés au système informatique. 27. L article 9 al.2 OB dispose que la banque doit déterminer, limiter et contrôler les risques, notamment, opérationnels et juridiques, ainsi que les risques susceptibles de ternir sa réputation. On peut définir le risque opérationnel comme étant le risque pour la banque de pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. La définition inclut le risque juridique. 39 Celui-ci inclut l exposition à des amendes, pénalités et dommages pour faute résultant de la surveillance prudentielle ainsi que de transactions privées. 40 La pratique de la CFB, puis de la FINMA, a mis en évidence qu un manquement dans l établissement des risques était propre à mettre en péril la garantie de l activité irréprochable des membres du Conseil d administration et par là même la garantie de l activité irréprochable de l établissement lui-même Ainsi comme nous l avons vu, le Conseil d administration est en charge notamment de l organisation de la banque et de l établissement des risques. On peut ainsi se demander si la garantie de l activité irréprochable des membres du Conseil d administration ne pourrait pas être remise en question dès lors que ceux-ci n ont pas cerné le risque de vol ou de fuite de données dans leur établissement. En effet, comme mentionné précédemment, la pratique de l autorité de surveillance tend à rapprocher la notion d organisation adéquate à celle de la garantie de l activité irréprochable. Elle fait de 37 Circulaire FINMA 08/24 cm et C. TAGOUO, p. 604, Circulaire FINMA 08/24 cm 41à Bâle II p. 121 disponible sur C. LOMBARDINI, p. 67 N Bâle II, p.121 nbp N Bulletin CFB 49, p. 133; Bulletin CFB 50, p

18 même pour la gestion des risques. Ainsi un tel manquement peut amener à la conclusion que les membres du Conseil d administration, mais également l établissement bancaire lui-même, ne respectent plus cette exigence impérative à l exercice de l activité bancaire. ii. Au niveau de la direction 29. La direction est l organe en charge de la gestion de la banque, elle est tenue de mettre en application les politiques de gestion adoptées par le Conseil d administration et de prendre des mesures opérationnelles pour limiter les risques identifiés par ce dernier. Elle est en particulier affectée de la tâche de l élaboration des procédures appropriées pour identifier, mesurer, évaluer, analyser et contrôler les risques pris par l établissement (Circulaire FINMA 08/24 cm 81). Elle est en charge aussi de la fonction compliance et du contrôle des risques. A noter que la mise en œuvre du dispositif de gestion des risques peut nécessiter la création d un poste spécifique de risk manager dont la tâche est de s assurer que le système de gestion des risques soit appliqué par les personnes concernées La direction doit veiller à contrôler l application des règlements internes et à l organisation appropriée de l établissement conformément à l article 3 al.2 let a LB. Ainsi une surveillance insuffisante de la part de la direction sera considérée comme contraire à la garantie de l activité irréprochable En matière informatique, la direction est tenue de s assurer que la banque dispose d un système informatique performant et en adéquation avec l activité de la banque. 44 Elle est aussi en charge de superviser le système d information à l intérieur de son établissement et de veiller à ce que la ségrégation des compétences, de façon générale, soit maintenue, ce qui inclut notamment la vérification du respect des compétences et des autorisations pour l octroi et la modification des accès informatiques. 45 iii.au niveau de la révision interne 32. Chaque établissement est tenu d instaurer une révision interne ou aussi appelée inspectorat (art. 9 al.4 OB). Dans certains cas, la FINMA peut exempter, après 42 C. TAGOUO, p Bulletin CFB 45, pp. 150, C. LOMBARDINI, p. 52 N C. LOMBARDINI, p. 53 N

19 consultation avec la société d audit, l établissement de l obligation d instaurer une révision interne La révision interne occupe une position directement subordonnée au Conseil d administration ou à l un des ses comités. Ses tâches sont celles de l évaluation des risques, de la planification de la révision et de l émission de rapports à l attention du Conseil d administration. Elle fournit les éléments clés permettant au Conseil d administration d apprécier si l établissement dispose d un système de contrôle interne efficace et adapté à son profil de risque 47 en d autre termes, elle vérifie et évalue le contrôle interne et contribue à son amélioration. 34. Il est utile de rappeler que la circulaire FINMA 08/24 définit le système de contrôle interne comme étant l ensemble des structures et processus de contrôle qui, à tous les échelons de l établissement, constituent la base de son bon fonctionnement et la réalisation des objectifs de politique commerciale. Il comprend à part les activités de contrôle a posteriori, les activités en rapport avec la gestion et la planification. 35. La révision interne est tenue une fois par an de procéder à une évaluation globale des risques encourus par l établissement notamment en tenant dûment compte des évolutions externes telles que le contexte économique, les modifications réglementaires, mais aussi en prenant en considération les facteurs internes pouvant se présenter au sein de l établissement (les projets importants pouvant être réalisés par l établissement ou encore à une réorientation de l activité, par exemple). 48 Une fois les conclusions de l inspectorat déposées, la direction prend les mesures qui s imposent en vue de parvenir à un système de contrôle de risques satisfaisant. 36. A noter que la révision n a pas le pouvoir d émettre des directives, elle met uniquement en relief les défaillances du système de contrôle interne, à charge pour la direction de prendre les mesures adaptées pour y remédier. Précisons encore que l autorité de surveillance n a aucun contact direct avec la révision interne et n est pas informée du contenu des rapports de cette dernière à moins qu elle demande à en prendre connaissance Circulaire FINMA 08/24 cm Circulaire FINMA 08/24 cm Circulaire FINMA 08/24 cm C. LOMBARDINI, p. 56 N

20 Cas pratique L audit interne d une banque a procédé à ses tâches d évaluation des risques encourus. A l achèvement de son examen, l audit interne a émis un rapport dans lequel il relevait que les accès au fichier client n étaient pas assez restreints, en d autres termes un certain nombre d employés avaient accès au fichier source contenant les données clients numérisées en même temps que l accès à d autres systèmes informatiques leur permettant ainsi de réconcilier les numéros clients aux opérations effectuées par ceux-ci. A l issue de ce rapport, l audit interne a relevé les carences de ce système et a demandé à la direction l octroi d un budget visant à remédier à des manquements concernant l accès aux systèmes informatiques de la banque. La direction a refusé l octroi du budget. Quid juris dans l hypothèse où un vol de données est commis quelques mois après les constatations faites par l audit interne? Pour la direction? Pour le Conseil d administration? iv. Au niveau du compliance 37. Le fondement de la fonction compliance a d abord été exprimé dans les règles destinées à l organisation de la société anonyme. En effet, l article 716a CO dispose que le Conseil d administration a, entre autres, pour attribution intransmissible et inaliénable d exercer la haute surveillance sur les personnes chargées de la gestion afin de s assurer que ces dernières respectent la loi, les statuts, les règlements et les instructions données. 50 Le fondement a, par la suite, été exprimé spécifiquement dans la législation bancaire et plus particulièrement dans la circulaire FINMA 08/24. Celle-ci définit par compliance la conformité aux prescriptions légales, réglementaires et internes, ainsi que le respect des normes et règles déontologiques en usage sur le marché concerné. Ainsi lorsqu on parle de risque de compliance, on entend par là le risque pour l établissement d enfreindre des prescriptions légales, réglementaires, pouvant engendrer des sanctions légales ou règlementaires, des pertes financières ou des atteintes à la réputation. 38. Cette exigence de conformité à la loi est un élément fondamental de l octroi et du maintien de l autorisation d exercer nécessaire à la banque pour exister, en effet elle constitue un des constituants permettant une gestion irréprochable au sens de l article 3 al.2 let. c LB. 51 La FINMA a d ailleurs rendu une décision dans laquelle elle déclare que 50 C. SUHR BRUNNER, P. PORTMANN, p Ibidem p

21 les exigences en matière de compliance, en tant que concept et en tant que fonction, découlent directement des exigences organisationnelles visées à l article 3 al.2 let. c LB. 52 Elle précise également, dans cette même décision, qu un comportement en affaires approprié suppose de la part des personnes chargées d administrer et de gérer la banque qu elles donnent elles-mêmes l exemple et soutiennent une culture d entreprise encourageant la compliance. Dans une autre décision, l autorité de surveillance de l époque, la CFB, avait aussi déclaré que la condition de l organisation adéquate pouvait être remise en cause lorsque le service compliance ne satisfaisait pas à ses fonctions, dans la prise en compte des aspects réglementaires et de la prise en compte de risques, et par là même la condition de l activité irréprochable pouvait être remise en question Afin d assurer la compliance au sein de l établissement, chaque banque doit créer un département se concentrant sur tout ce qui attrait à la fonction compliance, dont la responsabilité incombe à la direction. 40. Concernant les tâches dévolues à la fonction compliance, elles sont nombreuses et comprennent entre autres la tâche d appui et de conseil en matière d application et de surveillance du respect des normes, puis d évaluation annuelle du risque de compliance lié à l établissement et la création d un plan d action centré sur le risque préalablement défini, ainsi que les modifications ultérieures relatives à l évaluation du risque de compliance. Elle fournit également un appui à la direction en cas de manquements graves constatés en matière de compliance en la conseillant sur les instructions à donner ou les mesures à prendre Dans sa fonction liée au risque compliance, juridique et de réputation, le département compliance doit veiller à ce que toutes les normes légales, réglementaires ou de toutes autres niveaux soient respectées au sein de l établissement. L accomplissement de cette tâche nécessitera une interaction avec le département IT de l établissement. En effet, dans différents domaines du droit, comme par exemple en matière de lutte contre le blanchiment d argent, la loi pose des exigences liées au domaine informatique. Le compliance officer devra de ce fait collaborer étroitement avec le département IT afin de s assurer que le système informatique fonctionne correctement et soit conforme aux 52 Décision non publiée de la FINMA du 9 octobre Bulletin CFB 47, p. 20; Bulletin FINMA 1/2010, p Circulaire FINMA 08/24 cm

22 exigences légales. A cet effet, le département compliance identifiera les exigences légales auxquelles la banque doit se conformer et discutera avec le département IT des mesures techniques à prendre afin que ces exigences soient remplies (pensons à titre d exemple, aux procédures à mettre en place pour l application de la réglementation fiscale américaine FATCA qui se repose sur les procédures informatiques, etc ). v. Au niveau risk management 42. La notion de gestion des risques ou risk management est une notion rarement utilisée de manière autonome, mais en général toujours en lien avec celle de système de contrôle interne. La circulaire FINMA 08/24 55 définit la gestion des risques comme étant la gestion et la restriction complètes et systématiques des risques sur la base de connaissances économiques et statistiques. Elle comprend l identification, la mesure, l évaluation, la gestion et l établissement de rapports sur des positions-risques individuelles ou agrégées. La gestion des risques est assurée, aux niveaux organisationnels appropriés, au moyen de méthodes adéquates qui tiennent compte des particularités de l établissement. De cette définition, on comprend donc que la gestion des risques se rapporte à des méthodes et à des processus et non pas à un organe sociale au sens du Code des obligations suisse. A défaut d être un organe, la gestion des risques est toutefois une véritable fonction à part entière, à l instar de la fonction compliance, à la tête de laquelle doit être nommé un responsable, le risk manager La gestion des risques fait ainsi partie du système de contrôle interne que chaque établissement bancaire est tenu d avoir. Elle implique la désignation de personnes en charge de ce processus, plus particulièrement en charge de l identification, de la surveillance et de la prise de mesures relatives aux risques spécifiques aux activités de la banque, mais également aux risques globaux Cette personne aura également pour tâche de communiquer aux employés de l établissement les risques identifiés par le Conseil d administration et la manière dont ces risques seront monitorés et surveillés. 55 Cm C. TAGOUO, p C. LOMBARDINI p. 70 N

23 b. Du point de vue externe 45. L établissement bancaire, en plus de devoir répondre à certaines exigences quant à son organisation interne, doit également respecter certaines règles concernant des aspects que nous pouvons qualifier d externes à son organisation. Ainsi que nous le verrons, l établissement est souvent confronté à des règles nécessitant pour lui de devoir régler certains aspects de son organisation vis-à-vis de problématiques externes. i. Le cas de l outsourcing 46. Un point essentiel de l organisation de la banque est celle de savoir si l établissement souhaite externaliser certaines de ses prestations. Il y a externalisation ou outsourcing, lorsqu une entreprise charge une autre entreprise, le délégataire, d assurer pour elle de manière indépendante et durable une prestation de services. L externalisation doit concerner des prestations de services essentielles. 58 Dans le domaine bancaire, la délégation de prestations de services à une entreprise tierce fait l objet d une réglementation spéciale, en l occurrence la circulaire FINMA 08/ La circulaire FINMA 08/7 concernant l externalisation d activités dans le secteur bancaire précise qu on entend par prestations de services essentielles, les prestations de services qui peuvent en particulier avoir un effet sur la détermination, la limitation et le contrôle des risques, notamment, opérationnels et juridiques, ainsi que des risques susceptibles de ternir sa réputation Dans le cas d activités externalisées, le risque de fuite ou de vol d information, et par là la violation du secret bancaire est décuplée. En effet, la banque décide d elle-même de transmettre volontairement à des tiers des données pouvant susciter l intérêt de personnes externes à celle-ci. De plus, en cas d outsourcing à l étranger le risque de perte de maîtrise se voit également coupler avec un risque d accès et de saisie des données par une autorité étrangère ce qui augmente les risques pour l établissement faisant recours à cette pratique. 49. En soi l externalisation de prestations de services n est pas soumise à autorisation de l autorité de surveillance, elle est néanmoins soumise à certains principes devant être 58 Externalisation par les banques, FINMA, version du 1 er avril Circulaire FINMA 08/7 cm 2. 22

24 respectés. 60 La circulaire FINMA 08/7, et plus particulièrement les chiffres marginaux 19 et suivants énoncent neuf principes devant être respectés pour que l externalisation de prestations de la part d un établissement bancaire satisfasse aux exigences d une organisation appropriée, du secret bancaire et de la protection des données. 61 L annexe à la circulaire dresse des exemples d activités pouvant être externalisées. On y retrouve, entre autres, le stockage des données, l exploitation et l entretien de banques de données, l exploitation de système de technologie de l information et la fonction compliance. Cette circulaire est applicable pour autant qu il s agisse d un intermédiaire financier, c est-à-dire une banque ou un négociant en valeurs mobilières, organisé selon le droit suisse ou d une succursale de banques et négociants étrangers Il convient de distinguer deux situations d outsourcing, celle où les prestations de services sont externalisées en Suisse de celle où elles le sont à un délégataire étranger. Un des principes centraux de cette circulaire est mentionné au chiffre marginal 34. Le délégataire suisse doit être assujetti au secret des affaires de l entreprise et, dans la mesure où des données concernant des clients lui sont connues, au secret professionnel ou au secret bancaire de l entreprise qui lui a délégué des activités. 63 Un autre point essentiel est celui de la sécurité. L entreprise et le délégataire doivent déterminer les exigences à respecter en matière de sécurité et doivent élaborer un dispositif de sécurité. Ce dispositif de sécurité doit prévoir la suppléance du délégataire en cas d empêchement de sa part afin que la conduite des activités soit assurée en continue Concernant les données client, la circulaire FINMA 08/7 prévoit que ces données doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Ainsi l entreprise et le délégataire doivent protéger les systèmes contre notamment la destruction accidentelle ou non autorisée, la perte accidentelle, la falsification ou encore bien sûr contre le vol ou l utilisation illicite. Lors de l établissement des mesures organisationnelles et des techniques sécuritaires, l entreprise et le délégataire devront prendre en considération le but du traitement de 60 C. LOMBARDINI, p. 84 N V. MARTENET, pp. 251, 265 ; A. ALTHAUS STÄMPFLI, pp Circulaire FINMA 08/7 cm Circulaire FINMA 08/7 cm Circulaire FINMA 08/7 cm

25 données, sa nature et son étendue, l évaluation des risques potentiels pour les clients concernés et le développement technique A noter que l entreprise continue d assumer, à l égard de l autorité de surveillance, la responsabilité découlant des activités externalisées. L autorité de surveillance a établi une responsabilité objective de l entreprise délégatrice. Ainsi l établissement ayant transféré des données ne saurait voir sa responsabilité diminuer du fait qu il ait recouru à l externalisation de prestations. Par conséquent, il répond des défaillances techniques et organisationnelles du délégataire comme si elles étaient siennes. Il pourra par la suite exercer une action récursoire contre le tiers responsable des défaillances En cas d externalisation de prestations de services à l étranger, le chiffre marginal 35 stipule qu il doit être garanti par des moyens techniques et organisationnels appropriés que le secret bancaire et la protection des données seront respectés conformément au droit suisse. Cette disposition donne ainsi une portée extraterritoriale au droit suisse puisque les exigences quant au secret bancaire et à la protection des données devront également être respectées hors des frontières helvétiques. 67 Ainsi le chiffre marginal 35 relatif à la protection des données en cas d externalisation à l étranger est plus strict que les principes énoncés dans la législation suisse en matière de protection des données. En effet, les principes généraux relatifs à la protection des données énoncés dans la LPD disposent que la communication de données personnelles dans un Etat tiers ne menace pas a priori la personnalité des personnes concernées pour autant que la législation de l Etat tiers dispose d une législation équivalente. Le chiffre marginal 35 est quant à lui plus restrictif et dispose qu il n y a pas de menace à la protection des données lorsque le droit suisse est respecté A l obligation d implémenter des mesures organisationnelles et techniques appropriées conduisant ainsi le délégataire à séparer son personnel afin d assurer la confidentialité des données entre tiers, mais également entre les différentes entreprises recourant aux services du délégataire 69, s ajoute l obligation d information des clients. En effet, les clients doivent être tenus informés avant que des données les concernant ne soient 65 Circulaire FINMA 08/7 cm 32. A. ALTHAUS STÄMPFLI, Personendaten von Bankkunden, pp V. MARTENET, p V. MARTENET, p. 266, A. ALTHAUS STÄMPFLI, Personendaten von Bankkunden, pp et V. MARTENET, p Circulaire FINMA 08/7 cm

26 remises à un délégataire. Une information détaillée doit leur être adressée, celle-ci doit indiquer les mesures de sécurité prises à cet effet et donner la possibilité au client de résilier le contrat dans un délai approprié avant un tel transfert. 70 Enfin, tel qu il est mentionné au chiffre marginal 40, l entreprise mandante, ses organes de révision interne et sa société d audit externe, de même que la FINMA, doivent pouvoir avoir accès, en tout temps et sans qu il leur soit opposé d obstacles, au domaine d activités transféré. Les trois principes susmentionnés sont tout particulièrement relevant lorsqu il s agit d une externalisation à l étranger à un délégataire extérieur au groupe Ainsi que nous l avons vu, il est de la responsabilité de l établissement délégataire de minimiser les risques pouvant survenir lors de l externalisation de prestations. Ces risques sont de plusieurs ordres et doivent faire partis des risques évalués par le contrôle interne et revus par la suite par le Conseil d administration. Un autre point important est celui de l organisation devant être mise en place lors d une externalisation, ainsi les protagonistes d une telle mesure ont l obligation de prévoir des mesures organisationnelles et des techniques sécuritaires visant à faire face à des risques inattendus dont notamment le vol de données ou son utilisation illicite. Ainsi en cas de manquement ou de défaillance dans l établissement de telles mesures on peut se demander si la garantie de l activité irréprochable pourrait être remise en cause du fait que la banque délégatrice n a pris de mesures préventives et sécuritaires à la survenance d un tel événement. En effet, la direction de l établissement a notamment pour tâche d identifier, d analyser et de contrôler les risques pris par l établissement. Elle doit rendre compte au Conseil d administration de l efficacité du contrôle interne et l informer en cas de constatations graves. Par conséquent, un manquement dans la prise de mesures organisationnelles et techniques peut être le reflet d une mauvaise organisation au sein de l établissement en termes de répartition des compétences et d évaluation des risques. De telles défaillances peuvent remettre en question la garantie de l activité irréprochable, car comme nous l avons vu précédemment cette exigence est étroitement liée à l organisation de l établissement et à sa prise en considération des risques. 70 Circulaire FINMA 08/7 cm Circulaire FINMA 08/7 cm 6-9 a contrario. 25

27 Cas pratique Une succursale d une banque étrangère externalise les opérations informatiques et la gestion de son application bancaire à sa maison mère établie à l étranger. Les détails de cette externalisation sont réglés dans un contrat d outsourcing entre les deux entités. Afin de garantir le secret bancaire, les données relatives à la clientèle de l établissement suisse sont conservées dans une base de données séparée et localisée sur un serveur en Suisse. Les accès au réseau local et aux données clients sont sécurisés par un firewall. Suite à une contraction des ressources IT de la succursale, des employés de l entité étrangère sont intervenus afin de résoudre des problèmes techniques au niveau du réseau. Les employés de l entité étrangère ont estimé que, par manque de personnes compétentes dans la gestion technique du pare-feu, la gestion des droits d administration du serveur ainsi que du parefeu de la succursale devaient être reprises par eux-mêmes. Ils disposaient ainsi de la possibilité d accéder à distance, i.e aussi depuis l étranger, aux données clients du serveur se trouvant en Suisse. Qu en est-t-il du point de vue du droit de la surveillance en matière bancaire? ii. La surveillance consolidée 56. Pour être autorisée en Suisse, une banque étrangère doit faire l objet d une surveillance consolidée appropriée incluant l entité suisse du groupe. 72 La surveillance consolidée s applique aux groupes bancaires ou financiers composés de plusieurs entités. Elle constitue au niveau du groupe ce que la surveillance individuelle est au niveau de l entité individuelle. 73 Elle a pour objectif d offrir une vue des risques pris par le groupe dans son ensemble et de permettre une évaluation correcte des fonds propres du groupe par rapport aux risques pris par celui-ci. Du fait de l exigence d une surveillance consolidée, les banques étrangères en Suisse, dans la pratique, risquent d être plus facilement exposées à une violation du secret du fait du reporting à la maison mère. La surveillance consolidée n est pas à proprement parler une situation de risque de vol de données, mais peut le devenir quand à l élément préalable technique se rajoute une 72 C. LOMBARDINI, p. 26 N A. RAPPO, ECS, p

28 composante humaine, telle que celle de l employé mécontent, comme nous le verrons par la suite. 57. Le principe de la surveillance consolidée est mentionné à l article 4 quinquies LB. Cette disposition constitue le fondement légal pour permettre la transmission d informations d une filiale à la maison mère, puis ensuite à l autorité de surveillance de la maison mère. La société fille est ainsi autorisée, ou plutôt obligée, de transmettre les informations requises par la société mère. 74 Cette base légale est applicable aux groupes bancaires suisses, mais également étrangers En principe, le secret bancaire énoncé à l article 47 LB doit également être respecté au sein d un groupe bancaire, chaque filiale constituant une personne juridique indépendante, distincte de la mère. 76 Cependant, la législation suisse prévoit à des conditions strictes dans quelles situations un établissement peut partager des informations et documents au sein du groupe. Ainsi l article 4 quinquies LB prévoit que les banques sont autorisées à communiquer à leurs sociétés mères, qui sont elles-mêmes surveillées par une autorité de surveillance des banques et des marchés financiers, les informations et les documents non accessibles au public qui sont nécessaires à la surveillance consolidée, ceci à des conditions particulières. Plus précisément, la transmission d informations est autorisée si les données récoltées ne sont employées qu à des fins de contrôle interne ou de surveillance prudentielle, ainsi par exemple, aucune information ponctuelle ne pourra être délivrée. Enfin la société mère et l autorité compétente doivent être liées par le secret professionnel ou de fonction et ces informations ne doivent pas être transmises à des tiers sans l accord préalable de la banque La législation suisse s appuie sur les principes énoncés par les Comité de Bâle dans ses normes minimales 78 pour le contrôle des groupes bancaires internationaux et leurs établissements à l étranger. Le Comité a par la suite étendu la surveillance consolidée à la garantie de l activité irréprochable 79 et a adopté des règles minimales sur les 74 C. LOMBARDINI, p. 977 N. 34; A. MARGIOTTA, p A. RAPPO, ECS, p. 208, C. LOMBARDINI, p. 977 N. 35; contra A. MARGIOTTA, p Rapport de gestion CFB 1984, p. 34 ; C. LOMBARDINI, p. 976 N Article 4 quinquies LB ; Rapport de gestion CFB 1996 p Bulletin CFB 31, p. 106ss; Bulletin CFB 23, p. 52ss. 79 Rapport de gestion CFB 2002, pp

29 obligations de consolidation en matière de procédures d identification du client et de surveillance des risques juridiques et de réputation au niveau mondial. 80 La FINMA voit également la surveillance consolidée comme un moyen permettant d éviter l utilisation de société du groupe comme objet permettant le contournement des prescriptions et des règles de comportement applicables en Suisse La loi sur les banques dispose à l article 3f que les personnes chargées de la gestion et celles responsables de la haute direction, de la surveillance et du contrôle du groupe financier ou du conglomérat financier doivent jouir d une bonne réputation et présenter toutes les garanties d une activité irréprochable. Le groupe financier doit être organisé de manière à pouvoir déterminer, limiter et contrôler les risques principaux. L article 14a OB précise que le contenu de la surveillance consolidée porte notamment sur tous les risques liés aux activités de l établissement surveillé. 61. Pour savoir s il existe une obligation de consolidation, il y a lieu de distinguer si la société mère possède une domination effective sur la filiale. 82 En effet, en cas de domination insignifiante, c est-à-dire en dessous de 20% de droits de participation, il n y a pas d obligation pour la société mère de procéder à une surveillance consolidée, et par conséquent la banque peut opposer son obligation de confidentialité à son actionnaire minoritaire, ce dernier étant considéré comme un tiers à la relation avec la banque. A l inverse en cas de domination effective de la société mère, que la filiale se trouve en Suisse ou à l étranger, la transmission d informations à des fins de surveillance consolidée est autorisée au sens de l article 4 quinquies LB. A noter que si les conditions de cette disposition sont remplies, cela constitue, en droit pénal, un fait justificatif au sens des articles 14 CP et 47 al. 6 LB, ni le secret bancaire, ni l infraction prévue à l article 273 CP ne seraient violés La question qui peut se poser en pratique est celle de savoir dans quelles mesures une succursale est soumise à l obligation de transmettre des informations à la société mère. Tout d abord, il convient de faire la distinction entre une succursale d une banque dont la société mère est en Suisse et celle où la société mère est à l étranger. 80 A. RAPPO, ECS 2004 p A. RAPPO, ECS 2004, p A. RAPPO, ECS 2004 p ; A. RAPPO, pp A. RAPPO, p

30 63. Dans la première hypothèse, la succursale suisse d une banque suisse n est pas soumise à l obligation de discrétion. En effet, la succursale n ayant pas d autonomie juridique propre, elle ne constitue pas une personne morale indépendante de celle de la société mère, il n est par conséquent pas possible qu une obligation de discrétion existe à l intérieur d une même personne morale. Dans la seconde hypothèse, c est-à-dire celle où la société mère se trouve à l étranger, l article 4 quinquies LB trouve pleinement application, en effet cette base légale autorise la transmission d informations confidentielles à la société mère si elles sont absolument nécessaires à la surveillance prudentielles des banques. 84 A noter que la succursale d une banque ayant son siège à l étranger est soumise au secret bancaire suisse. Il convient de préciser que les employés et les organes de la maison mère située à l étranger ne sont, quant à eux, pas astreints au secret bancaire suisse, situation qui a pour conséquence qu ils ne pourront pas obtenir de données précises sur des clients de la succursale suisse à moins que les clients leur accordent un waiver S agissant du cercle des informations pouvant être communiquées, celui-ci doit être clairement délimité. Ainsi les données clients individualisées ne pourront pas être transmises, seules des données anonymisées, sauf exception, pourront être communiquées à la maison mère afin que celle-ci puissent tenir compte des risques liés à l établissement soumis à la surveillance consolidée. Les exceptions 86 pouvant se présenter sont celles où ces données sont nécessaires à la gestion globale des risques juridiques et de réputation 87 ou encore du risque de crédit. 65. Chaque établissement bancaire suisse doit se doter d une organisation interne propre à éviter toutes violations du secret bancaire. Ainsi, la maison mère d une banque étrangère doit déléguer aux organes de sa succursale suisse tous les pouvoirs qui lui sont nécessaires pour assurer elle-même sa gestion et sa surveillance A. RAPPO, p ; M. AUBERT, P.- A. BÉGUIN, P. BERNASCONI et consorts, p A. RAPPO, p. 190; M. AUBERT, P.- A. BÉGUIN, P. BERNASCONI et consorts, pp Par exemple lors d enquêtes pénales, civiles ou administratives ouvertes à l étranger ou encore pour contrôler et limiter le risque de blanchiment d argent. 87 Article 9 al. 4 OBA-FINMA; M. BORLA, pt A. RAPPO, p

31 iii.les réviseurs externes 66. Le système de surveillance suisse a souvent été qualifié de dualiste ou d indirect en raison de délégation par l autorité de surveillance de tâches de surveillance étatiques à des sociétés d audit agréées et de son activité réservée de haute surveillance et de contrainte. 89 Bien que la société d audit se voie déléguer des tâches publiques, elle n est pas à même de rendre des décisions, mais uniquement de rendre des recommandations et d émettre des irrégularités, seul l autorité de surveillance pourra rendre des décisions. 67. Les sociétés d audit exercent des contrôles directs auprès des établissements soumis à la surveillance de l autorité. Trois circulaires, les circulaires CFB 05/1 à 05/3, définissent l objet et le déroulement des contrôles effectués par les sociétés d audit. Lors de l audit, la révision externe analyse notamment le droit de la surveillance. La tâche de la société d audit est vaste, car elle doit apprécier et se prononcer sur toute l activité bancaire de l établissement audité. Elle devra ainsi comprendre les affaires conclues par la banque et apprécier les risques encourus par la prise de ces engagements. 90 Elle devra également examiner l organisation et la réglementation interne de la banque afin d apprécier si cette dernière satisfait aux exigences de l article 3 al. 2 let. a LB et si cette règlementation est appliquée. Pour finir, elle devra s assurer que l établissement répond toujours aux exigences légales pour pouvoir exercer une activité bancaire Lors de l audit prudentiel, la société d audit se prononcera sur l adéquation de l organisation et du système de contrôle interne, également du point de vue informatique. 92 Sans oublier que la société de révision a pour importante mission d émettre une opinion sur la réalisation de la condition de la garantie de l activité irréprochable des membres de la direction et de l administration. 69. Comme nous l avons vu, la société doit rendre un rapport comportant une prise de position de sa part sur les conditions de l exercice de l activité bancaire. Sa prise de position aura pour conséquence que la société d audit engagera sa responsabilité et pourra voir son agrément retiré si l autorité de surveillance estime qu elle ne remplit plus les conditions légales à son octroi J.-B. CONNE, J.-C. PERNOLLET, p Circulaire CFB 05/1 cm C. LOMBARDINI, p. 265 N Circulaire CFB 05/1 cm C. LOMBARDINI, p. 270 N

32 70. Lors de l audit prudentiel, la société d audit externe est également tenue de contrôler le système informatique de l établissement assujetti. Ainsi, l équipe IT contrôlera la gestion des accès informatiques, les modifications et la maintenance du système et la gestion des opérations informatiques. 94 Comme l explique Arnaud Chenal 95, lors de son contrôle concernant la gestion des accès informatique, l auditeur IT aura pour principal objectif de s assurer que les autorisations données aux personnes ayant accès aux applications ou à l infrastructure correspondent à leurs rôles et responsabilités au sein de l entreprise. Il devra, en outre, vérifier que l octroi des accès informatique se fasse par une procédure stricte permettant de contrôler l identité de l utilisateur et le contenu des accès demandés. Il est important que toutes modifications ou suppressions des accès se reflètent dans la gestion des accès, ainsi tout mouvements ou départs de collaborateurs devront être pris en compte pour éviter que les droits d accès ne soient trop largement configurés, dans le cas, par exemple, d un changement de fonction ou ne soient pas supprimés en cas de départ d un collaborateur, par exemple. 71. Les auditeurs informatiques auront également pour tâche de vérifier que l établissement ait bien mis en œuvre la Recommandation en matière de Business Continuity Management (BCM). En effet, la FINMA considère qu un BCM adéquat constitue une condition préalable à l autorisation d exercer une activité bancaire. 96 La recommandation précitée comprend des recommandations qui n ont pas force obligatoire, sauf en ce qui concerne l établissement d une analyse d impact et la définition d une stratégie de Business Continuity. La FINMA considère en effet que ces deux derniers points constituent des standards minimaux obligatoires au sens de la Circulaire FINMA 08/ La recommandation précise qu on entend par Business Impact Analysis, l identification des processus critiques pour l entreprise ainsi que les ressources critiques y afférentes, identification et description des incidences en cas de défaillance d une ou plusieurs ressources critiques. Elle précise également que la Business Continuity Strategy est la définition de l approche de principe en cas de défaillance de ressources critiques, décisions de principe quant à la mise à disposition de ressources de remplacement. 94 A. CHENAL, p A. CHENAL, p Recommandation en matière de Business Continuity Management (BCM), p

33 V. Les dispositions pénales 73. Hormis la composante administrative, le volet pénal est également intéressant lorsqu on aborde la question du vol de données. L aspect pénal concerne tout d abord l auteur de la soustraction des données, mais aussi la banque dans la mesure où celle-ci n était pas organisée de telle manière à éviter qu un vol puisse être perpétré en son sein. Comme nous le verrons par la suite, le vol de données peut remplir les éléments constitutifs de plusieurs infractions pénales distinctes. Nous allons tout d abord nous intéresser à la Convention sur la cybercriminalité et à ses effets en droit suisse, puis nous aborderons la question de la compétence pénale des juridictions, des dispositions spéciales applicables, pour enfin terminer sur la question de la responsabilité pénale de la banque. a. La Convention du Conseil de l Europe sur la cybercriminalité 74. La Convention du Conseil de l Europe du 23 novembre 2001 sur la cybercriminalité, entrée en vigueur le 1 er juillet 2004, est une convention à caractère pénal. Elle est la première convention internationale à traiter du sujet de la cybercriminalité. Les Etats parties à cette convention ont pour engagement d adapter leur législation aux défis posés par les nouvelles technologies de l information La Convention vise à la réalisation de trois objectifs. Tout d abord, elle a pour but l harmonisation des droits pénaux par l engagement des Etats parties à la pénalisation d infractions dont notamment la fraude et la falsification informatique et le vol de données. Ensuite, elle vise aussi la modernisation des législations des Etats parties dans le domaine procédural, et pour finir elle encourage l amélioration de l entraide internationale en matière d extradition et d entraide répressive. i. Champ d application 76. Cette convention s applique à tous les Etats membres ayant ratifié la Convention. La Suisse a signé cette convention en date du 23 novembre 2001, le Conseil fédéral a délivré son approbation à la ratification et à la mise en œuvre de la Convention 98, le projet doit encore être approuvé par les deux chambres parlementaires et soumis au référendum populaire. 97 Message relatif à l approbation et à la mise en œuvre de la Convention du Conseil de l Europe sur la cybercriminalité, p Arrêté du Conseil fédéral, FF

34 ii. Les dispositions transposées 77. La législation matérielle suisse répond en majeure partie aux exigences énoncées dans la Convention, seule la disposition sur l accès indu à un système informatique a dû être adaptée. En effet, il faudra modifier la définition de l accès indu à un système informatique figurant à l article 143bis CP afin que cette disposition respecte l article 2 de la Convention visant une criminalisation uniforme au niveau international du piratage informatique. Désormais la définition comprendra et pénalisera les actes commis antérieurement au piratage, le simple fait de mettre en circulation ou de rendre accessible un code d accès, un programme ou d autres données en sachant qu il sera utilisé pour entrer sans autorisation dans un système informatique sera déjà constitutif d une infraction La Convention donne la possibilité aux Etats parties de remettre une déclaration (art. 2 et 40 de la Convention) relative à l article 2 de la Convention. La Suisse aurait ainsi la possibilité, comme d autres Etats, de ne pas modifier son article 143bis CP et de remettre une déclaration stipulant que le système doit être spécialement protégé et être ainsi contourné pour pouvoir être constitutif d accès indu à un système informatique Une autre modification législative inhérente à la convention sur la cybercriminalité est la suppression du critère de l absence de dessein d enrichissement illégitime selon le texte de l article 143bis CP. Comme nous en reparlerons postérieurement ce critère n était pas dans l intention du législateur, il ne s agit que d une coquille qui sera supprimée. 101 b. La compétence pénale 80. Le vol de données lorsqu il est perpétré par le biais d une infraction liée au domaine informatique a souvent une dimension internationale. Il peut ainsi arriver que plusieurs Etats s estiment compétents pour réprimer l infraction ou au contraire qu aucun Etat ne considère qu il soit de sa compétence d agir. Afin d éviter une double ou au contraire une absence d incrimination, il convient d appliquer des règles de compétences visant à donner la compétence à un Etat de réprimer la situation selon son droit national. 99 Message relatif à l approbation et à la mise en œuvre de la Convention du Conseil de l Europe sur la cybercriminalité, pp. 4276, FF G. MONNIER, Medialex, pp FF

35 81. En règle générale, le principe de territorialité prévaut. Un Etat est compétent pour réprimer une infraction lorsque celle-ci est commise sur son territoire. Ce principe est énoncé à l article 3 du Code pénal suisse qui prévoit ainsi que le code pénal est applicable à quiconque commet un crime ou un délit en Suisse. L article 8 al. 1CP précise qu un crime ou un délit est réputé commis tant au lieu où l auteur a agi ou aurait dû agir qu au lieu où le résultat s est produit. Pour qu une infraction soit réputée avoir été commise en Suisse, l auteur doit avoir agi en Suisse, c est-à-dire avoir exécuté un ou plusieurs des éléments constitutifs de l infraction en Suisse. La disposition précitée prévoit également que l infraction est réputée commise en Suisse si le résultat de celle-ci survient en Suisse. Cette notion nécessite qu une distinction soit faite entre les délits matériels et les délits formels. 82. Les délits matériels sont définis comme les délits pour lesquels la survenance d un résultat est érigée en élément constitutif de l infraction. La jurisprudence a défini le résultat comme étant une modification du monde extérieur résultant de la commission de l infraction, résultat qui doit également être érigé en élément constitutif de l infraction. 102 La notion de résultat n est ainsi envisageable que pour les délits matériels pour lesquels le résultat est une condition de punissabilité. 103 A la différence des délits matériels, les délits formels sont les délits punissables dès la réalisation des éléments constitutifs peu importe la survenance d un résultat. La conséquence de cette distinction étant au final que la notion de résultat ne s applique pas aux délits formels, et donc seul le lieu où l auteur a agi sera propre à déterminer la compétence des autorités pénales pour ce type de délit. 83. Ce n est que si la compétence ne peut être établie sur la base du principe général de la territorialité que les compétences subsidiaires des articles 4 et suivants seront examinées. Ces dispositions détermineront la compétence des autorités pénales suisses lorsque l infraction est commise à l étranger. Celles-ci se fondent sur la nationalité de la victime 102 ATF 124 IV 241 4c. 103 ATF 105 IV 326 c. 3g, ATF 124 IV 241 4c. 34

36 (personnalité passive), sur la nationalité de l auteur (personnalité active), sur la compétence réelle et pour finir sur la compétence universelle Dans le cadre de la cybercriminalité ou encore d un vol de données perpétré dans le cadre d un cybercrime, la compétence pénale peut être déterminée de plusieurs façons en se fondant sur les principes mentionnés. Entre en considération plus particulièrement l article 4 CP disposant que le droit suisse est applicable lorsqu un crime ou un délit est commis à l étranger contre l Etat (art. 265 à 278 CP). Par conséquent, lorsqu il s agit d une infraction à l article 273 CP, le juge suisse est compétent pour juger de celle-ci. L article précité n entrera toute fois pas en compte si les dispositions typiques sont les articles 143 ou 143bis CP. 85. Une autre compétence pertinente est celle de l article 6 CP. Cette disposition illustre le principe de la compétence universelle visant à la protection de valeurs et intérêts essentiels à la fois sur le plan national qu international. 105 L article 6 al.1 CP dispose que le code pénal suisse est applicable à celui qui commet à l étranger un crime ou un délit que la Suisse s est engagée à poursuivre en vertu d un accord international si l acte est aussi réprimé dans l Etat où il a été commis ou que le lieu de commission de l acte ne relève d aucune juridiction pénale et que l auteur se trouve en Suisse et qu il n est pas extradé. Comme nous l avons vu la Suisse a signé la Convention du Conseil de l Europe sur la cybercriminalité. Cette Convention à caractère pénal vise la répression des délits utilisant les nouvelles technologies. L article 6 CP pourra être ainsi une base à la compétence des autorités suisses à condition que toutes les exigences énoncées, notamment celle de la double incrimination et de la présence de l auteur en Suisse, soient remplies. 86. Pour finir, la compétence de substitution de l article 7 CP peut intervenir en dernier ressort lorsqu aucune des compétences énoncées aux articles 4, 5 ou 6 CP n est applicable. L application de l article 7 CP nécessite que plusieurs conditions soient remplies. Le crime ou délit doit, tout d abord avoir été commis à l étranger, ensuite que l Etat du lieu de commission de l acte réprime également cet acte ou que le lieu de 104 A. BICHOVSKY, p A. BICHOVSKY, p

37 commission ne relève d aucune juridiction pénale (let. a) et que l auteur se trouve en Suisse ou qu il ait été remis à la Suisse en raison de cet acte (let. b). Enfin, l acte doit pouvoir donner lieu à une extradition, l extradition doit cependant ne pas avoir été requise. c. Les dispositions spéciales applicables i. La soustraction de données (art.143 CP) 87. Les données informatiques ne sont pas considérées comme des choses ou des valeurs patrimoniales, c est pourquoi le législateur s est vu contraint d adopter une norme spécifique applicable au vol de données traitées par des ordinateurs. 106 Cette disposition est calquée sur l infraction traditionnelle de soustraction d une chose mobilière (art. 139 CP). 88. L infraction de soustraction de données est mentionnée à l article 143 CP, cette dernière prévoit que celui qui, dans le dessein de se procurer ou de procurer à un tiers un enrichissement illégitime, aura soustrait, pour lui-même ou pour un tiers, des données enregistrées ou transmises électroniquement ou selon un mode similaire, qui ne lui étaient pas destinées et qui étaient spécialement protégées contre tout accès indu de sa part, sera puni d une peine privative de liberté de cinq ans au plus ou d une peine pécuniaire. 89. La soustraction de données est un crime (art. 10 al.2 CP) punissable à condition que la typicité soit remplie, c est-à-dire que les éléments constitutifs et subjectifs de la disposition soient réalisés. Ainsi la soustraction doit porter sur des données informatiques spécialement protégées. On entend par donnée, toute information qui peut faire l objet d une communication humaine. 107 L information au sens de l article 143 CP est limitée aux informations qui font l objet d un traitement à l aide d un processus automatique d ordre électronique ou similaire et ne sont ainsi protégées qu à partir du moment où ces informations ont fait l objet d une saisie et d un stockage dans un 106 B. CORBOZ, volume 1, p B. CORBOZ, volume 1, p. 285 ; G. STRATENWERTH, G. JENNY, F. BOMMER, 14 N

38 ordinateur ou un système analogue et ce jusqu au moment de leur édition, c est-à-dire leur restitution sous une forme perceptible L article 143 CP revêt ainsi un caractère subsidiaire par rapport aux dispositions de base traditionnelles que sont les articles 137 et 139 CP. En effet, lorsque la soustraction porte sur des supports matériels comportant ces données, seules les dispositions précitées trouvent application Pour que ces données soient protégées au sens de l article 143 CP encore faut-il qu elles aient été spécialement protégées. Par spécialement protégé, on entend une donnée qui n est pas librement accessible et à laquelle l auteur de l infraction n a normalement pas accès. Cette donnée doit encore avoir été protégée contre tout accès indu de la part de l auteur. La protection doit être adaptée aux données à protéger et rendre l accès à des tiers difficile, ainsi, certains auteurs considèrent qu il peut suffire que l objet contenant les données soit simplement enfermé à clé dans une armoire pour que l exigence d une protection spéciale soit remplie. 110 L existence d une protection spéciale est à définir de cas en cas par rapport aux standards de protection habituels de sécurité. 111 Il convient de relever que les instructions, les interdictions orales ou écrites ou encore les mesures d organisation visant à séparer les fonctions au sein du personnel ne constituent pas des mesures de sécurité suffisantes au sens de cette disposition. 112 En principe, on retiendra qu une protection informatique telle qu un code d accès ou le codage des données ou bien encore le placement de celles-ci derrière un pare-feu est une protection suffisante A noter qu il a été jugé qu un employé au bénéfice d un mot de passe délivré par son employeur en vu de s acquitter de ses obligations contractuelles et de lui permettre d accéder au serveur sur lequel se trouvait des données, serveur protégé par diverses 108 G. STRATENWERTH, G. JENNY, F. BOMMER, 14 N 25; J. HURTADO POZO, Partie spéciale, 35 N Message du Conseil fédéral 1991, p Message du Conseil fédéral 1991, p Pour B. CORBOZ, volume 1, p.286 ; Message du Conseil fédéral 1991, p. 979 ; Hésitant : G. STRATENWERTH, G. JENNY, F. BOMMER, 14 N RVJ 2006 p RVJ 2006 pp B. CORBOZ, volume 1, p.286 ; J. HURTADO POZO, Partie spéciale, 35 N Message du Conseil fédéral 1991 p

39 protections contre les intrusions extérieures, n est pas considéré comme une protection spécifique des données au sens de l article 143 CP. 114 L auteur de la soustraction, étant habilité à disposer de ces données et ne faisant qu outrepasser son droit d utilisation, se rendrait coupable d abus de confiance sur des données et non pas de soustraction de données Autre hypothèse intéressant, celle fréquente en pratique, de l utilisation abusive de mots de passe d anciens collègues. Dans une telle hypothèse, on peut se demander si les conditions de l article 143 CP trouvent application, en particulier celle de la protection spécifique des données. En effet, comme nous l avons vu précédemment cette condition nécessite que les données ne soit pas librement accessibles à l auteur et que ce dernier n ait en principe pas accès à celles-ci. On peut raisonnablement conclure que les données ayant été protégées par l installation d un code d accès ont fait l objet d une protection spécifique outrepassée par l auteur de l infraction, précisons toutefois que l atténuation de la peine de l auteur pourrait être envisagé au vu du fait que l employeur a été négligent en ne désactivant pas immédiatement le mot de passe des employés quittant l établissement. 94. L acte constitutif de l infraction est le comportement par lequel l auteur acquiert directement pour lui-même ou pour un tiers le pouvoir de disposer de données d autrui. 116 A la différence du vol, la soustraction de données est plutôt un partage nonautorisé de données, il n y a pas à proprement parler à l instar du vol un pouvoir de disposition durable sur les données, en d autres termes il n y a pas d appropriation de la part de l auteur, ni de volonté de dépouiller durablement l ayant droit de ces données Pour finir, l auteur doit avoir agi dans un dessein d enrichissement pour lui-même ou pour un tiers. Il doit avoir la volonté de faire entrer durablement les données dans sa sphère d influence. Dans l hypothèse où l élément subjectif du dessein d enrichissement illégitime ferait défaut, l application de l article 143bis CP pourrait être envisagée. 114 RVJ 2006, p Message du Conseil fédéral, p G. MONNIER, sic!, pp , J. HURTADO POZO, Partie spéciale, 35 N J. HURTADO POZO, Partie spéciale, 35 N 910 et

40 ii. L accès indu à un système informatique (art.143bis CP) 96. L infraction vise à protéger les systèmes informatiques appartenant à autrui contre l intrusion non-autorisée au moyen d un dispositif de transmission des données. Ce système doit être spécialement protégé contre tout accès sans droit A la différence de l article 143 CP qui concerne les données, l article 143bis CP a pour objet les systèmes informatiques, c est-à-dire les systèmes de traitement des données. Ces derniers doivent appartenir à un tiers et revêtir des protections spéciales contre d éventuelles intrusions non-autorisées. La notion de protection spéciale énoncée dans cette disposition a la même étendue que la notion employée dans la base légale précédente, en d autres termes l ayant droit du système de traitement des données doit avoir pris les mesures nécessaires pour empêcher l accès à toute personne non-autorisée. 98. Le comportement incriminé est la pénétration sans droit dans un système informatique. Pour arriver à ce but, l auteur doit détourner les sécurités paramétrées par le détenteur du système informatique par l utilisation de dispositif de transmission de données. 119 La doctrine est controversée quant à savoir à quel moment le système informatique est réputé avoir été «piraté» et donc l infraction consommée. Pour certains auteurs 120, l infraction est consommée une fois le premier code d accès franchi, pour une autre partie de la doctrine, il s agit en revanche du moment où toutes les barrières de sécurités ont été franchies. Et enfin pour d autres, les données du système violé doivent être perceptibles à l écran. 121 Sur cette question, le Tribunal fédéral a jugé qu il suffisait qu il n y ait plus de barrière de sécurité empêchant sérieusement l auteur de visualiser les données pour que l infraction soit considérée comme consommée L infraction mentionnée à l article 143bis CP est une infraction intentionnelle, l auteur doit ainsi avoir conscience et volonté sur tous les éléments constitutifs de l infraction pour que celle-ci soit retenue. Cette infraction ne nécessite pas que l auteur ait agi dans un dessein d enrichissement illégitime. La doctrine est d avis que cette disposition ne 118 J. HURTADO POZO, Partie spéciale, 35 N 1058 ; B. CORBOZ, volume 1, p J. HURTADO POZO, Partie spéciale, 35 N 1062 ; B. CORBOZ, volume 1, p G. MONNIER, sic!, p G. STRATENWERTH, G. JENNY, F. BOMMER, 14 N ATF 130 III 28 c

41 devrait pas mentionnée l absence de dessein d enrichissement. Selon elle, il aurait été préférable de simplement préciser que le mobile de l auteur n a pas d influence plutôt que de dresser l absence de dessein d enrichissement illégitime comme une condition subjectif de la typicité. En effet, en exigeant que l auteur agisse sans dessein d enrichissement illégitime, le législateur rend impunissable celui qui se sera introduit, sans soustraire de données, avec dessein d enrichissement illégitime dans un système informatique. 123 Il convient donc d interpréter cette disposition à la lumière des travaux parlementaires y relatifs et de conclure que la volonté du législateur était bien de dresser le dessein d enrichissement comme condition de punissabilité plutôt que d exculpation et ainsi conclure que l article 143bis trouve également application lorsque l auteur a agi avec dessein d enrichissement. 124 iii.le service de renseignements économiques (art. 273 CP) 100. L article 273 CP protège les secrets économiques appartenant à la Suisse, plus précisément aux entreprises sises en Suisse. Cette disposition prévoit que celui qui aura cherché à découvrir ou qui aura rendu accessible un secret de fabrication ou d affaires pour le rendre accessible à un organisme officiel ou privé étranger, ou à une entreprise privée étrangère, ou à leurs agents, sera puni d une peine privative de liberté de trois ans au plus ou d une peine pécuniaire ou, dans les cas graves, d une peine privative de liberté d un an au moins Le secret de fabrication ou un secret commercial, plus qu une simple information, est une donnée connue par un nombre restreint de personnes afin d éviter que celle-ci ne soit ébruitée. Cette base légale érige deux actes constitutifs d infraction, à la fois la fourniture de renseignements de la part d une personne ayant connaissance d un secret de fabrication ou d un secret d affaires, mais aussi la recherche de la découverte de cette information par un tiers. Pour que la donnée au centre de l attention de cette disposition soit protégée, il doit s agir d un renseignement important sur le plan économique et pour lequel l entreprise a un intérêt digne de protection. 125 On entend par secret de fabrication toutes informations en lien avec un procédé de réalisation d un produit. Quant au secret 123 G. MONNIER, sic!, pp. 142, 148 ; J. HURTADO POZO, Partie spéciale, 35 N ; B. CORBOZ, volume 1, p G. MONNIER, sic!, pp. 142, ; FF B. CORBOZ, volume II, art. 273 CP, N

42 d affaire, cette notion se rapporte aux éléments relatifs à la vie économique de l entreprise pour lesquels elle a un intérêt reconnaissable à ce que ces éléments ne restent connus que d elle-même Le destinataire du renseignement doit être un organisme officiel ou privé étranger, une entreprise privée étrangère ou leurs agents, c est-à-dire toute personne agissant dans l intérêt des destinataires précités sans pour autant qu un mandat d agir lui ait été délivré. Quant au cercle des personnes pouvant être victime de cette infraction, il est relativement large. En effet, il peut s agir d une personne physique ou morale, suisse ou étrangère. A noter qu un certain lien avec la Suisse doit être établi afin de pouvoir invoquer cette norme qui a pour bien juridique protégé l intérêt économique global du pays. 127 En effet, cette disposition a pour but de protéger les intérêts des personnes placées sous la souveraineté territoriale de la Suisse et de faire en sorte que celles-ci ne soient pas victimes d espionnage ou de trahison en matière économique, car en portant préjudice aux intérêts de ces sujets, l auteur de cette infraction porte atteinte en même temps aux intérêts généraux de l économie suisse. 128 Ainsi cette disposition réprime une mise en danger abstraite, nul besoin qu un dommage survienne ou qu une mise en danger concrète soit réalisée Au moment de la fixation de la peine, le juge peut décider que la peine sera d au moins un an de prison s il estime qu il s agit d un cas d une gravité avérée. L appréciation de la gravité du cas s établira sur la base d une approche objective, ainsi l importance des informations obtenues ou délivrées sera prise en considération. Il a été jugé, par exemple, que la remise à des agents de douanes étrangères de données clients détenues par une banque suisse constituait un cas grave. 130 Cette décision met en exergue le lien de confiance à la base des relations entre le banquier et son client, lien qui est mis en péril lorsque les données de clients se retrouvent entre les mains de personnes auxquelles elles n étaient pas destinées. Cette situation a pour conséquence de briser une condition 126 JdT 1973 IV 125, pp ATF 104 IV 175, p.182 c. 4a. 128 JdT 1973 IV 125, p ATF 111 IV 74, ATF 98 IV 209 c. 1 = JdT 1973 IV 125, ATF 111 IV 74, p. 80 c. 4a. 41

43 essentielle de la viabilité d une activité bancaire et a ainsi été considérée comme un cas grave. 131 d. La responsabilité pénale de l intermédiaire financier 104. La Suisse a retenu une responsabilité double de la personne morale. En effet, l article 102 CP établit d une part que la responsabilité de la personne morale sera subsidiaire à celle de la personne physique et d autre part que la personne morale pourra être recherchée cumulativement à la personne morale dans le cas d infractions spécifiques mentionnées à l alinéa 2 de l article 102 CP, en l occurrence des infractions menaçant la paix publique, l administration de la justice, la loyauté dans l exercice de ses devoirs de fonction et de profession Dans l hypothèse où un vol de données serait perpétré au sein de l entreprise, seul la disposition de l article 102 al. 1 CP trouverait application. La responsabilité mentionnée à l article 102 al.1 CP illustre la responsabilité subsidiaire et résiduelle de la personne morale. En effet, cet article stipule que si l infraction ne peut être imputée à aucune personne physique déterminée en raison du manque d organisation de l entreprise, cette dernière peut être recherchée lorsque l infraction commise l a été au sein de l entreprise et dans l exercice d activités commerciales conformes à son but. Cette disposition sanctionne la non-découverte de l auteur de l infraction due à un manque d organisation de la personne morale, le manque d organisation n étant pas causale de la commission de l infraction mais uniquement de l obstacle à l identification de l auteur lui-même Pour que cette norme trouve application, le manque d organisation de la personne morale doit être la cause de la non-découverte de l auteur de l infraction, ainsi ce n est que s il est impossible d identifier l auteur à cause du manque d organisation la personne morale que cette dernière peut être recherchée. 134 Relevons que la notion du manque d organisation n engendre pas un renversement du fardeau de la preuve, il appartient ainsi à l accusation de prouver qu il y a un manque d organisation et que 131 ATF 111 IV 74, p. 80 c. 4c. 132 D. PONCET, A. MACALUSO, p U. CASSANI, actualités législatives, p. 675 ; U. CASSANI, JDBF 2008, p. 53, p.72 ; D. PONCET, A. MACALUSO, pp R. ROTH, p

44 celui-ci a pour effet le défaut d identification de l auteur. S agissant du modèle d organisation qui pourrait être retenue comme adéquat au regard du droit pénal, la doctrine est partagée. Selon certains auteurs, un système de gestion des risques cernant tous les points faibles de l organisation devrait être à la base d une bonne organisation. Pour d autres 135, seul un dysfonctionnement concret s illustrant par la violation d un des trois curiae, c est-à-dire le devoir d instruire, de choisir et de surveiller, peut engager la responsabilité de la personne morale. Ainsi il convient de prêter attention à l organisation concrète de la personne morale en incluant les mesures règlementaires d organisations et de management que devraient respecter l entreprise en fonction de sa branche. Le caractère adéquat de l organisation de l entreprise devra être analysé en s inspirant à la fois des mesures précitées et des règles et bonnes pratiques de la branche considérée L application de cette disposition exige qu il s agisse d une infraction sociale, c est-àdire d une infraction commise au sein de l entreprise et dans l exercice d activités commerciales conformes à son but. Cette notion est difficilement cernable ; en effet comme le relève Ursula Cassani, la commission d infractions n est jamais mentionnée comme but statutaire d une société commerciale. 137 Il faut ainsi que l activité dans laquelle s insère l infraction soit conforme aux buts de l entreprise, mais aussi que cette activité soit commerciale, par quoi il faut entendre une activité en lien avec un marché, tel que le marché financier On peut se demander si une activité outsourcée doit être comprise comme étant une activité exercée au sein de l entreprise. La doctrine émet des avis nuancés 139 sur cette problématique, il convient à notre sens de considérer que la personne morale ayant eu recours à l outsourcing répond des infractions pouvant être commises au sein de l entreprise délégataire pour autant qu il s agisse d activités externalisées. En effet, l entreprise délégatrice doit requérir de son délégataire des mesures d organisation 135 U. CASSANI, actualités législatives, p A. MACALUSO, pp U. CASSANI, actualités législatives, p A. MACALUSO, pp ; U. CASSANI, actualités législatives, p A. MACALUSO préconise une analyse au cas par cas de la situation. La nature, l importance de l activité outsourcée sur la relation entre l entreprise délégatrice et le délégataire devra être prise en compte dans l analyse. A. MACALUSO, p

45 adéquates lui permettant l identification de l auteur d une infraction commise en son sein et ne peut se décharger de sa responsabilité pénale en déléguant à des tiers des activités à risque Dans le domaine bancaire, il existe une circulaire sur l externalisation d activités. Comme nous l avons vu précédemment, cette dernière règlemente divers aspects de l outsourcing et établit que le délégataire doit être choisi, instruit et surveillé avec soin. 141 Ces trois devoirs englobent à notre sens aussi l assurance que doit avoir l entreprise délégatrice quant à l organisation satisfaisante du délégataire au sens de l article 102 al. 1 CP lui permettant ainsi d identifier les éventuels auteurs d infractions commises en son sein Concernant le cercle des entreprises concernées par cette disposition, il convient de se référer à l alinéa 4 de l article 102 CP. Sont ainsi concernés par cette disposition, les personnes morales de droit privé, les personnes morales de droit public, les sociétés et les raisons individuelles. A noter que cette disposition s applique également aux succursales par quoi il faut entendre les établissements commerciaux, qui tout en étant dépendant d une entreprise principale dont ils font juridiquement parties, exercent de façon durable une activité similaire à celle du siège avec une certaine autonomie organisationnelle S agissant des groupes de sociétés, le rattachement à une société du groupe d une infraction commise par une autre société n est possible que si la société à laquelle on souhaite imputer l infraction se trouve dans une position de garant vis-à-vis du tiers. La position de garant peut être définie comme étant celle qui impose légalement, en vertu d une obligation légale ou contractuelle inhérente au statut spécifique de la personne, un devoir d agir pour éviter qu un résultat dommageable n ait lieu. 144 Pour que la position de garant soit retenue dans le cadre de groupe de société des conditions particulières doivent être remplies. Ainsi un lien étroit doit exister entre les deux sociétés du groupe 140 U. CASSANI, actualités législatives, p Circulaire FINMA 08/7 sur l externalisation d activités dans le secteur bancaire, cm 21 ss. 142 U. CASSANI, actualités législatives, p. 682 ; U. CASSANI, JDBF 2008, p. 53, p F. CHAUDET, p. 217 ; A. MACALUSO, pp P. GRAVEN, p

46 sous forme d une unité économique, nul besoin d une certitude quant à l existence de ce lien, un faisceau d indices est suffisant. Comme indices permettant d établir le lien étroit entre les deux sociétés figure celui de l importance de la participation au capital d une société dans l autre. Ce critère n étant pas considéré comme un critère absolu, il convient également de porter attention à d autres critères tels le pouvoir d instructions d une société sur l autre, l intégration des structures de décision, l identité des dirigeants ou encore la confiance suscitée ou les apparences créées Certains auteurs estiment que la théorie du démembrement applicable en droit de la concurrence trouverait également application en droit pénal. Cette théorie établit une présomption selon laquelle il existe au final une unité économique entre une société mère et sa société fille En plus de l exigence du lien étroit entre les deux sociétés, il conviendra d analyser la condition subjective de la faute et d établir si on peut reprocher à la société mère le défaut d organisation de la société fille ou de la société contrôlée, ainsi le défaut d organisation doit pouvoir être imputable à la société mère. 148 VI. Les dispositions en matière fiscale 113. Les dernières affaires médiatiques en matière de vol de données ont démontré que le volet pénal était souvent évoqué en relation avec le domaine fiscal. En effet, la pression budgétaire et la nécessité d intégrer de manière rapide les recettes étatiques de certains gouvernements, ont conduit à des pratiques de contournement des procédures d entraides administratives en matière fiscale, souvent perçues comme lentes et complexes ou non suffisamment efficaces par rapport à certaines infractions. Ces pratiques ont débouché sur plusieurs cas d incitation à la transmission de données bancaires en dehors des voies officielles. Afin de mieux comprendre ces contraintes, nous allons nous pencher sur l analyse des dispositions en matière fiscale. 145 ATF 120 II 331 = JT 1995 I A. MACALUSO, pp ; P. GRAVEN, p A. MACALUSO, p A. MACALUSO, pp

47 a. Procédure formelle d entraide en matière fiscale 114. En matière de fiscalité internationale, la Suisse a adhéré à un large panel de convention de double imposition. La plupart de ces conventions ont été calquées sur le modèle de convention de l organisation de coopération et de développement économique (OCDE). Cette convention modèle établit, en particulier à son article 26 1, une obligation d échanger des renseignements qui sont vraisemblablement pertinents pour l application correcte d une convention fiscale, ainsi que pour l application des législations fiscales nationales des Etats contractants Il sied de distinguer les deux types d entraide administrative contenus dans le modèle de l OCDE. En effet, la convention modèle distingue entre la petite entraide, c est-à-dire l entraide administrative visant l échange de renseignements nécessaires à la bonne application des conventions de double imposition, de la grande entraide qui, elle, concerne l échange de renseignements à des fins d application du droit national de l Etat requérant La Suisse, considérant que le but premier des conventions de double imposition est avant tout de lutter contre une double imposition et non contre une soustraction fiscale, a émis des réserves concernant l obligation d échange de renseignements et concernant l interdiction, contenue au paragraphe cinq, d opposer un refus à la fourniture de renseignements au motif que ces informations sont protégées par le secret bancaire. Ainsi la Suisse limite l octroi de l entraide administrative au cas où les informations requises sont nécessaires à l application de la convention uniquement. Cette réserve n est pas applicable au cas de fraude passible de l emprisonnement dans les deux Etats parties Suite à la crise financière, les pressions des autres Etats, ainsi que la menace du G20 d inscrire la Suisse sur la liste noire des Etats paradis fiscaux non-coopératifs, se sont intensifiées. Le Conseil fédéral a ainsi décidé en date du 13 mars d utiliser 149 Commentaire de la Convention modèle de l OCDE, 24, p DFF, «La Suisse entend reprendre les standards de l OCDE relatifs à l assistance administrative en matière fiscale»,

48 comme base pour la révision des conventions de double imposition le modèle OCDE et ainsi de n émettre aucune réserve sur l article 26 Modèle OCDE L exécution de l assistance administrative est réglée par l ordonnance relative à l assistance administrative d après les conventions contre les doubles impositions (OACDI), entrée en vigueur le 1 er octobre Elle règle l exécution de l assistance administrative prévue par les conventions en vue d éviter les doubles impositions nouvelles ou révisées qui entrent en vigueur après l entrée en vigueur de cette ordonnance (art. 1 al.1 OACDI). Cette ordonnance vise donc la mise en pratique de la procédure d entraide administrative prévue à l article 26 Modèle OCDE. Cette ordonnance réglemente divers aspects de l entraide administrative en matière fiscale dont notamment l examen préliminaire de la demande d entraide (art. 5 OACDI). Ainsi cette disposition prévoit que la demande d entraide sera rejetée si elle viole l ordre public ou si elle est incompatible avec les intérêts essentiels de la Suisse, ou encore si elle ne respecte pas le principe de la bonne foi, ou pour finir si elle est fondée sur des renseignements qui ont été obtenus ou transmis par des actes punissables selon le droit suisse. Cette disposition a ainsi pour conséquence que toutes demandes d entraide administrative fondées sur des renseignements obtenus par la commission d un vol seront automatiquement rejetées Cette ordonnance ne s applique pas aux conventions de double imposition conclues avant l entrée en vigueur de celle-ci. Ainsi le refus à des demandes d octroi de l assistance administrative fondées sur des conventions antérieures à cette ordonnance devra trouver sa justification ailleurs. Les principes jurisprudentiels énoncés en matière d utilisation de moyens de preuve dans le cadre d une procédure pénale peuvent être appliqués à une demande d entraide administrative découlant d une convention entrée en vigueur antérieurement à l OACDI et fondées sur des données volées. Ainsi la Suisse pourra refuser une telle demande d entraide au motif de la garantie d une procédure équitable et du principe de la présomption d innocence. Au vu des similitudes des situations tirées de la jurisprudence rendue en matière d entraide pénale, il convient d appliquer par 151 ASB, «L essentiel en bref sur la position du Conseil fédéral du 13 mars 2009 visant à ouvrir les négociations sur l entraide administrative en matière fiscale. OCDE, «Promouvoir la transparence et l échange de renseignements à des fins fiscales» du 3 septembre 2010, 1-2,

49 analogie ces principes aux situations susmentionnées. En effet, sans le comportement illégal d un individu, l Etat requérant n aurait eu aucune base pour fonder sa demande et ainsi obtenir des moyens de preuve à l appui de sa requête, ce qui motive l application de ces principes à l entraide administrative également. 152 b. Procédure informelle dans le cadre du FATCA i. Explications 120. Le Hiring Incentives to Restore Employment Act (HIRE) et le Foreign Account Tax Compliance Act (FATCA) ont été adoptés par le Congrès américain le 16 mars 2010, et officiellement approuvé par le Président américain deux jours plus tard. Le FATCA, composante du HIRE, a pour but de lutter contre l évasion fiscale des contribuables américains. Cette législation établit une retenue à la source applicable à une large catégorie de revenus de source américaine pour les établissements financiers étrangers. Cette retenue a pour objectif d inciter les établissements financiers étrangers à respecter la législation FATCA et par là même à se conformer à l obligation de reporting et de retenue à la base de ce système Le système FATCA est basé sur un système de reporting et de paiements à la charge des instituts financiers étrangers. Le système de reporting à la base du FATCA impose aux intermédiaires financiers étrangers la divulgation des noms des clients américains avec lesquels ils entretiennent des relations d affaires. Ce système entrera formellement en vigueur le 1 er janvier La retenue perçue sur les revenus de sources américaines et sur le produit de la vente de titres américains est une sorte d amende qui s imposerait à tous les intermédiaires financiers étrangers qui ne se conformeraient pas à l obligation imposée par le FATCA. Ce prélèvement à la source s effectuera à hauteur de 30 % sur les revenus de source américaine perçus par les intermédiaires financiers ou leurs clients, ainsi que sur le produit de la vente de titres. La législation FATCA concerne un très large éventail de 152 DFJP, Demandes d assistance administrative fondées sur des données volées, JAAC 2/2010 du 3 août 2010, pp P. ASCARI, J. BRUNISHOLZ, p Internal Revenue Code section 1474 ; P. ASCARI, J. BRUNISHOLZ, p

50 revenus, appelés dans la loi Withholdable payements, comme par exemple les intérêts, les dividendes, salaires Un compte est réputé être à une personne américaine lorsqu il est directement détenu par un ressortissant américain ou une entité américaine ou lorsqu il est détenu par une entité étrangère dans laquelle un ressortissant américain à des intérêts. Précisons encore qu une personne peut être américaine notamment en vertu de sa nationalité, de son permis de séjour américain, de sa présence test sur le territoire américain (plus de 183 jours sur 3 ans). Seuls les comptes détenus par des américains font l objet du reporting aux autorités américaines Le reporting comprend la divulgation des informations relatives au nom, adresse, code fiscal du ressortissant américain, le numéro de compte, le solde ou la valeur du compte et enfin toutes les transactions effectuées sur le compte. ii. Conséquences pour les intermédiaires financiers 125. Le système FATCA impose également indirectement aux intermédiaires financiers certains investissements financiers inhérents aux obligations d organisation découlant de l obligation de reporting dont ils sont les sujets. En effet, la contrainte imposée par les règles FATCA nécessite que les intermédiaires financiers se dotent des systèmes reposant sur des procédures d identification des clients impliquant la mise en place et l adaptation des systèmes informatiques et de leurs operating models Outre les conséquences financières, l intermédiaire financier se verra confronter à des conséquences décisionnelles, c est-à-dire qu il devra émettre un choix quant à sa position vis-à-vis de la législation FATCA. Trois possibilités s offrent à l intermédiaire financier Soit il se retire du marché américain et par conséquent stoppe tout investissement sur des titres US, et/ou met un terme à ses relations avec des clients US. En effet, certains intermédiaires financiers à dimension locale pourront décider de choisir cette option tactique, choix qui aura pour conséquence que l établissement sera considéré comme non compliant aux normes FATCA. La FINMA a d ores et déjà annoncé que 155 P. ASCARI, J. BRUNISHOLZ, p

51 l alternative mentionnée combinée avec l option stratégique de maintenir leur relation avec des clients US ne serait pas acceptable du point de vue de la garantie de l activité irréprochable Pour d autres établissements à caractère international, cette alternative ne paraît pas envisageable et constituerait un désavantage compétitif, c est pourquoi ils se verront contraints de décider s ils souhaitent conclure un accord avec l IRS. Par la conclusion d un accord, l intermédiaire financier se déclare fully compliant au niveau du groupe et s engage à identifier les comptes américains et à les reporter au fisc américain. 157 Il s engage également par cet accord à prélever un montant correspondant à 30% des paiements de source américaines destinés à des contribuables américains refusant de divulguer les informations requises par l IRS ou n autorisant pas l intermédiaire financier à lever le secret sur ces informations-là. 158 L accord signé sera applicable à toutes les entités d un même groupe pour autant que ces entités soient soumises au FATCA Une dernière possibilité s offre encore au foreign financial intermediary, cette option est mentionnée à la section 1471 b 2. Elle prévoit que le FFI peut demander de bénéficier d une présomption selon laquelle le FFI remplirait toutes les conditions du FATCA («deemed compliant»). Cette option est ouverte à la condition que le FFI atteste n entretenir aucune relation financière avec un contribuable américain, ce qui a pour conséquence qu il devra clôturer toutes les relations existantes répondant à ce critère et ne plus en conclure de nouvelles L application de la législation FATCA peut être découpée en quatre étapes. 161 Tout d abord, il s agit pour le FFI d identifier les comptes soumis au FATCA, en l occurrence il s agira des comptes détenus directement ou indirectement par des contribuables américains. Une fois les comptes identifiés, il conviendra que le FFI obtienne des clients 156 Risques juridiques (accrus) dans le cadre d activités financières transfrontières, Point Presse du 22 octobre 2010, FINMA. 157 Internal Revenue Code section 1471 b ; Notice section III A P. ASCARI, J. BRUNISHOLZ, pp FATCA Section 1471 e. 160 P. ASCARI, J. BRUNISHOLZ, p Notice , Section III. 161 Foreign Account Tax Compliance Act (FATCA), Mastering the challenges of the new US regulation, Ernst & Young, pp

52 en question un waiver lui permettant de procéder au reporting des informations personnelles demandé par l IRS et ainsi lever le secret bancaire sur ces informations au bénéfice du fisc américains. Dans l hypothèse où le client refuserait d autoriser le FFI de procéder au reporting de ses données personnelles, le FFI devrait clôturer sa relation avec ce client ou refuser d entrer en relation s agissant d un client futur. Ensuite, le FFI procédera annuellement au reporting des informations mentionnées précédemment. Pour finir, les FFI non-coopératifs, l IRS prélèvera une retenue de 30% sur tous les investissements de source américaine du FFI lui-même et de ses clients quelque soit leur nationalité. 162 iii. Problèmes et conflits dans l application des règles FATCA 131. L application des règles FATCA peut entrer en conflit avec la législation nationale des intermédiaires financiers. Tel est le cas en Suisse où le secret bancaire est à la base des relations entre l intermédiaire financier et son client. La législation FATCA oblige les établissements à lever le secret sur des informations couvertes par le secret bancaire et ainsi contrevenir aux dispositions relatives à l obligation de discrétion à la charge du financier. En plus de violer le secret bancaire, la divulgation de ces informations à l IRS contrevient à l article 271 CP réprimant les actes exécutés sans droit pour un Etat étranger. 163 Nous ne savons pas pour le moment si les organes de la Confédération interviendront pour autoriser les banques et les autres intermédiaires financiers à se mettre en conformité avec les règles FATCA et ainsi autoriseront les intermédiaires financiers à transmettre les informations demandées à l IRS sans violer l article 271 CP comme cela a déjà été le cas en matière de Qualified Intermediaries. 162 P. ASCARI, J. BRUNISHOLZ, p P. ASCARI, J. BRUNISHOLZ, p

53 VII. Les conséquences pour les intervenants 132. Les conséquences pour les différents intervenants, c est-à-dire pour l auteur du vol de données, pour la banque et pour la victime s articulent sur différentes bases juridiques. Différentes actions pourront être intentées contre l auteur de la soustraction de données tant sur le plan pénal que civil. Ces possibilités sont également envisageable vis-à-vis de la banque, personne morale, qui risque de voir sa responsabilité civile et pénale engagée à certaines conditions, en plus pour elle des conséquences administratives des mesures que la FINMA pourrait prendre à son encontre. Sans oublier qu une soustraction de données aura des conséquences non négligeables sur la personne victime de ses atteintes. Ce chapitre traitera des conséquences juridiques qu un vol de données pourrait avoir sur les différentes personnes impliquées. a. En matière civile 133. Dans le domaine du droit civil, les conséquences pour les intervenants peuvent être de plusieurs ordres. En effet, la personne lésée a plusieurs cordes à son arc et peut ainsi agir sur différentes bases, soit en utilisant une action fondée sur le droit de la personnalité, soit sur une base délictuelle ou encore contractuelle. i. En droit de la personnalité 134. Comme nous l avons vu précédemment, le secret bancaire trouve son fondement, entre autres, dans le droit de la personnalité. La protection des droits de la personnalité est exprimée aux articles 28 et suivants du Code civil suisse et confère à la personne sujette à une atteinte une protection absolue. La protection, bien qu absolue, est limitée à la condition qu un acte illicite soit à la base de l atteinte. Ainsi la victime d une atteinte pourra décider de fonder son action sur les dispositions relevant du droit de la personnalité, plus précisément les articles 28 et suivants CC, elle devra cependant prouver que les conditions mentionnées dans ces bases légales sont bien remplies Une atteinte à la personnalité est réalisée dès lors qu un comportement humain, ou tout acte de tiers, cause ou menace de causer, ou laisse subsister un trouble aux intérêts personnels d autrui. 164 Pour qu une action fondée sur le droit de la personnalité soit 164 ATF 120 II 369, c.2. A. BUCHER, N. 514,

54 consécutive d une atteinte, cette dernière doit être illicite, c est-à-dire ne pas reposer sur des motifs justificatifs tels qu énoncés à l article 28 al. 2 CC. Si ces deux conditions, celle de l atteinte et de son illicéité, sont remplies le lésé peut intenter une action spécifique relevant du droit de la personnalité et prévue par l article 28a al. 1 CC Cette disposition prévoit trois types d actions fondées sur la nature de l atteinte. Ainsi si l atteinte n a pas eu encore lieu, mais qu elle est imminente, le potentiel lésé fondera sa requête au juge sur l article 28a al.1 ch.1 et demandera que le juge interdise une telle atteinte. Alors que si l atteinte est actuelle et continue, le lésé demandera plutôt au juge de la faire cesser et dans le cas où le trouble que l atteinte a créé subsiste, au-delà de l atteinte elle-même, d en constater le caractère illicite Dans la situation d un vol de données, le lésé ayant eu connaissance qu un tel vol s est produit au sein de l établissement avec lequel il est en relation d affaires et que les données le concernant ont fait l objet du vol, peut ainsi agir contre l auteur du vol en interdiction de l atteinte afin de prévenir l utilisation frauduleuse des informations recueillies par l auteur de l atteinte potentielle Par ailleurs, l article 28a al.3 CC réserve d autres actions possibles en droit de la personnalité visant à réparer le dommage causé. On entend par autres actions, l action en dommages-intérêts et en réparation du tort moral, ainsi que l action en remise du gain perçu. Dans le cas d un vol de données, les actions envisageables sont celles de l action en dommages-intérêts et celle en remise du gain perçu S agissant de l action en remise du gain auquel renvoie l article 28a al.3 CC, action basée sur le droit de la gestion d affaires, elle serait tout à fait pertinente lorsque l auteur d un vol de données a été rémunéré, à l instar des affaires de vols de données médiatisées, pour la commission de l infraction ou pour la revente des données. En agissant sur cette base, la victime de l infraction aux droits de sa personnalité pourrait ainsi récupérer le gain généré par ses propres données personnelles. La difficulté, cependant, résidera dans la détermination du montant du gain résultant de l atteinte à la personnalité perçu par l auteur de celle-ci. Dans un tel cas, le juge pourra appliquer 53

55 l article 42 al. 2 CO et déterminera équitablement le montant du gain en prenant en considération le cours ordinaire des choses. 165 ii. En matière délictuelle 140. Le lésé aura également la possibilité, si les conditions sont remplies, de fonder son action sur les dispositions relevant du domaine délictuelle. Les conditions pour l application de cette action sont nombreuses, l article 41 CO exige qu un dommage ait été causé par une atteinte illicite résultant du comportement fautif d autrui. L exigence qui sera la plus difficile à prouver est celle du dommage. Le dommage au sens strict est défini comme étant la diminution involontaire du patrimoine qui peut intervenir sous la forme d une augmentation des passifs ou une diminution des actifs ou d une nondiminution du passif ou encore d une non-augmentation de l actif. 166 Le lésé devra ainsi démontrer que sans l atteinte, sa fortune aurait été plus élevée. La réalisation de cette condition est une des plus difficiles à prouver. En effet, lorsque le vol de données aura pour conséquence le paiement du solde d impôts impayés ou le paiement d une amende, le client ne subit pas de préjudice susceptible d être réparé. 167 Le Tribunal fédéral a relevé, s agissant de la situation précitée qu une taxation fiscale se fonde sur la fortune du sujet et qu une amende tirerait son origine dans la décision du sujet de soustraire des impôts. 168 Notre Haute Cour a également précisé que l amende a un caractère strictement personnel, son but étant de sanctionner le comportement délictueux de celui à qui elle est attribuée. De ce fait, le paiement de l amende ne peut en aucun cas être reporté sur un tiers. 169 Nous relevons tout de même que dans l hypothèse où le client s est alloué les services d un homme de loi, les frais inhérents à sa défense pourront eux être considérés comme un dommage, avec pour conséquence que l établissement bancaire devra indemniser son client à hauteur des frais d avocat déboursés. S agissant de la condition de la causalité, nous notons que, dans le cadre d un vol de données, la causalité naturelle est réalisée, ce qui n est pas le cas de la causalité adéquate. En effet, selon le cours ordinaire des choses et l expérience générale de la vie, 165 A. BUCHER, N ATF 133 III 462, c ; ATF 129 III 18, c. 2.4; ATF 128 III 22, c.2aa ; ATF 116 II 441, c. 2c. 167 ATF 115 II ATF 123 IV 254, ATF 115 II 72,

56 le vol de données bancaires n est pas propre à entraîner un dommage, de même qu un dommage ne paraît pas favorisé par le vol de données Le préjudice peut également se manifester sous la forme d un tort moral, c est-à-dire sous la forme de souffrances physiques ou psychiques ressenties par la victime à la suite de l atteinte à sa personnalité. 171 L article 49 al.1 CO prévoit que celui qui subit une atteinte illicite à sa personnalité a droit à une somme d argent à titre de réparation morale, pour autant que la gravité de l atteinte le justifie et que l auteur ne lui ait pas donné satisfaction autrement. Cette disposition revêt un caractère exceptionnel, du fait d une part qu elle ne trouve application qu en cas d atteinte d une gravité avérée et d autre part par son application en second recours, lorsque la victime n a pas trouvé réparation autrement. Par personnalité, il faut entendre notamment les biens de la personnalité tels que la liberté, l honneur, la sphère personnelle. 172 Cette disposition exige que l atteinte à la personnalité soit d une certaine gravité, en d autres termes le résultat de l atteinte doit être grave objectivement et subjectivement. 173 Dans l hypothèse d une soustraction de données, l application de l article 49 CO peut être envisagée, la victime de l atteinte devra prouver les circonstances dont on peut, à partir de l atteinte, tirer comme conséquence sa souffrance. 174 Il convient de relever que la victime de l atteinte ne pourra réclamer la réparation du tort moral si elle a obtenu réparation d une autre manière, par exemple en obtenant notamment un droit de réponse ou encore une condamnation pénale. Il sied de relever que la personne morale, victime d une soustraction de données, peut également subir un tort moral causé par une atteinte à la personnalité pour laquelle la réparation prévue à l article 49 al. 1 CO est possible Plutôt que d agir directement contre l auteur, personne physique, de l atteinte, le lésé peut agir contre la banque elle-même en faisant application de la base légale sur la responsabilité de l employeur (art. 55 CO). Cette disposition prévoit que l employeur est responsable du dommage causé par ses travailleurs ou ses autres auxiliaires dans l accomplissement de leur travail, s il ne prouve qu il a pris tous les soins commandés 170 P. TERCIER, N P. TERCIER, N F. WERRO, N F. WERRO, N ATF 120 II 96, c. 2b = JdT 1996 I 119, ATF 95 II 481, c. 4 = JdT 1971 I 226,

57 par les circonstances pour détourner un dommage de ce genre ou que sa diligence n eût empêché le dommage de se produire Cette responsabilité est une responsabilité objective simple de l employeur, ainsi cette base légale sanctionne la violation d un devoir de diligence sans égard à la faute de l employeur. Ce dernier sera par conséquent tenu de réparer un dommage bien qu aucune violation ne puisse lui être reprochée subjectivement. Pour renverser la présomption selon laquelle la violation d un devoir de diligence lui est imputable, l employeur doit apporter une preuve libératoire. Afin de se disculper, l employeur doit établir qu il a cumulativement été diligent dans le choix de ses employés, dans leur instruction, dans leur surveillance, enfin l employeur devra également établir que son entreprise est organisée de façon rationnelle, en d autres termes qu une répartition des tâches et des compétences hiérarchiques existe. 176 En outre, l employeur peut démontrer que, bien qu ayant pris toutes les mesures de diligence qui pouvaient être attendues de sa part, ces mesures n étaient pas propre à empêcher qu un tel dommage se produise. 177 iii.en matière contractuelle 144. Le contrat conclu entre la banque et son client peut être qualifié de contrat de mandat pour lequel les parties sont tenues à une obligation de discrétion. Dans le cas où les parties sont liées contractuellement et que l une d elles viendrait à violer illicitement une obligation résultant du contrat conclu entre elles, la responsabilité contractuelle de cette partie pourrait être engagée L action en responsabilité contractuelle se fondera donc sur la violation d une obligation prévue par le contrat. Dans l hypothèse où cette obligation fait partie des clauses contractuelles, la partie contractante lésée par la violation de cette clause pourra agir sur la base des articles 97 et suivants CO Dans l hypothèse contraire, c est-à-dire celle où l obligation de confidentialité n est pas réglée par le contrat, il convient d appliquer les principes généraux du droit des obligations et de déterminer si l obligation de discrétion constitue une obligation accessoire ou principale du contrat. Dans le cas où cette obligation ressortie des obligations principales, le juge ne peut user de son pouvoir pour combler cette lacune en 176 F. WERRO, N F. WERRO, N

58 vertu de l article 2 al.2 CO, car les parties n auraient pas conclu le contrat sans régler ce point, le contrat serait donc nul. Au contraire si on considère que l obligation de discrétion est une obligation accessoire du contrat, le juge pourra combler cette lacune du contrat en appliquant les principes généraux du droit contractuelle. Le juge devra par conséquent déterminer s il s agit d un contrat nommé, c est-à-dire d un contrat réglé par la loi, ou d un contrat innommé non réglé par la loi. Concernant les contrats innommés, le juge devra apprécier dans quelle mesure il pourra user de son pouvoir pour combler la lacune ressortant d un tel contrat Il convient donc de considérer l obligation de discrétion comme une obligation accessoire des parties pour laquelle une responsabilité contractuelle peut être engagée. Si on qualifie le contrat entre la banque et son client, comme c est raisonnablement le cas, de contrat de mandat, l obligation de discrétion est légalement comprise dans la bonne et fidèle exécution du contrat prévue à l article 398 al.2 CO La responsabilité contractuelle de la banque pourra être engagée sur la base de l article 97 al.1 CO en lien avec l article susmentionné. Les conditions de la responsabilité devront être remplies pour que la responsabilité de la banque soit engagée. En l occurrence, ces conditions sont celles du dommage, du lien de causalité entre la violation d une obligation contractuelle et le dommage, puis enfin la faute de l auteur de la violation. Il sied de rappeler que la responsabilité de la banque sera engagée par le biais de l article 101 al.1 CO prévoyant la responsabilité de l employeur pour les actes de ses auxiliaires à moins que le contrat conclu entre la banque et le client ne contienne une clause d exclusion de responsabilité pour faute légère. L employeur pourra intenter une action récursoire envers le travailleur sur la base de l article 321e CO afin de mettre à la charge du travailleur ou du moins répartir la responsabilité lié au dommage supporté par la banque vis-à-vis du client Dans le cas d un vol de données, comme nous l avons déjà mentionné, la condition qui sera la plus difficile à prouver sera celle du dommage subi par le cocontractant. En effet, par la révélation de données personnelles, le lésé subi certes un dommage, mais un dommage qui se concrétise plus sous la forme d un tort moral plutôt que patrimonialement. 178 R. WYLER, p

59 150. S agissant des conséquences contractuelles pour l auteur du vol de données, plusieurs aspects doivent être abordés et différentes hypothèses doivent être dressées Dans la situation où le travailleur est toujours employé de la banque et que celle-ci ne l a donc pas encore licencié, elle pourra actionner la responsabilité du travailleur sur la base des articles 321e al.1 CO et 321a al.4 CO. L article 321e al. 1 CO dispose que le travailleur répond du dommage qu il cause à l employeur. Pour que la responsabilité du travailleur soit engagée, l employeur doit prouver qu il a subi un dommage lié à la violation par le travailleur de ses obligations contractuelles et que cette violation est causale de l existence du dommage subi par l employeur. Le travailleur doit avoir agi intentionnellement ou par négligence. Par conséquent, si le travailleur souhaite se disculper il doit démontrer qu il n a pas agi de manière fautive Il convient de relever que bien que s agissant d une responsabilité contractuelle répondant aux principes généraux applicables en matière de responsabilités contractuelles, il est néanmoins important de noter que l étendue de la responsabilité du travailleur est atténuée par la prise en considération d éléments permettant une appréciation précise de la diligence du travailleur dans ses obligations contractuelles envers l employeur (art. 321e al.2 CO) Si les conditions de la responsabilité sont réalisées, le travailleur devra une indemnité en réparation du dommage causé à son employeur. Cette indemnité prendra en considération divers éléments comme le rang hiérarchique de l employé, les instructions qui lui ont été données, le contrôle de sa prestation par l employeur, l existence d une faute concomitante de l employeur Dans l hypothèse, cette fois plus probable, que la banque ait usé de son droit de licenciement immédiat pour justes motifs motivé par la rupture de tous liens de confiance permettant la continuation des rapports de travail (art. 337 al.1 CO), la réparation du dommage subi par la banque se fonderait sur l article 337b al.1 CO disposant que si les justes motifs à la base du licenciement immédiat reposent sur des motifs fautifs imputables à l autre partie, cette dernière doit réparer intégralement le dommage causé compte tenu de toutes les prétentions découlant des rapports de travail. 179 R. WYLER, p R. WYLER, pp

60 155. Il sied de relever qu une jurisprudence a indiqué qu un travailleur licencié pour justes motifs répond du dommage causé avant la résiliation sur la base de l article 321e CO, l article 337b est applicable dans la situation où la résiliation elle-même cause un dommage Enfin, comme c est souvent le cas, les données volées sont révélées au public quelques temps après la fin des rapports de travail entre la banque et l auteur de l infraction. Dans cette situation, il conviendra pour la banque d agir sur une base extracontractuelle, puisque plus aucun rapport contractuel ne la lie à l auteur de la violation. Ainsi comme nous l avons vu plus haut, la banque devra démontrer que les conditions de l article 41 CO sont remplies Reste un dernier volet à mentionner lorsque nous parlons des conséquences en matière civil, il s agit de la responsabilité fondée sur la confiance pouvant engager la responsabilité de la maison mère du groupe. Comme nous l avons déjà abordé dans le volet consacré à la responsabilité pénale de l entreprise, les sociétés d un groupe de sociétés peuvent être recherchées en responsabilité si elles ont créées une situation pouvant laisser penser qu elles occupaient une position de garant de la société ayant agi. b. En matière administrative (LFINMA et pratique de la FINMA) 158. L exercice de l activité bancaire est soumis à autorisation préalable de la FINMA. Afin d obtenir l autorisation d exercer, l établissement requérant doit établir qu il respecte certaines exigences, dont celle de la garantie d une activité irréprochable, mentionnée à l article 3 al.2 let. c LB La LFINMA prévoit à son article 37 alinéa 1 que la FINMA a la compétence de retirer l autorisation d exercer d un assujetti si celui-ci ne remplit plus les conditions requises ou s il viole gravement le droit de la surveillance. Comme nous l avons vu précédemment, l autorité de surveillance a tendance à rapprocher la notion d organisation adéquate à la notion de la garantie de l activité irréprochable, de même que la notion de garantie de l activité irréprochable est également applicable à l établissement lui-même en plus de l être aux membres de la direction et du Conseil d administration. Ainsi le vol de données peut être appréhendé comme un manquement à 181 R. WYLER, p ATF 123 III 257 = JdT 1998 I 176,

61 l exigence d organisation adéquate qui impose aux établissements bancaires d évaluer et de surveiller les risques liés à leur activité. L autorité de surveillance peut, à la lumière de la gravité du cas, décider de retirer l autorisation d exercer à une banque qui serait victime d un vol de données et qui n aurait pas abordé la problématique du risque de vol ou de fuite de données dans sa gestion des risques. Cette solution est la solution la plus radicale pour l établissement bancaire, car la conséquence est telle que le retrait de l autorisation aboutit à la dissolution de la personne morale (art. 23 quinquies LB). c. En matière pénale 160. S agissant des conséquences en matière pénales, la personne physique, auteur de l infraction risque diverses peines en fonction des infractions retenues. En effet, comme nous l avons vu, la soustraction de données peut remplir la typicité de plusieurs infractions. Tout d abord, la soustraction de données, prévue à l article 143 CP, prévoit comme peine menace une peine privative de liberté de cinq ans au plus ou une peine pécuniaire. S agissant de l accès indu à un système informatique, le législateur a prévu une peine privative de liberté de trois ans au plus ou une peine pécuniaire. Et pour finir, celui qui remplit la typicité de l infraction de service de renseignements économiques risque une peine privative de liberté de trois ans au plus, dans les cas graves la peine privative sera d un an au moins S agissant des concours entre les différentes dispositions envisagées, nous retenons que l article 143bis revêt un caractère subsidiaire par rapport à l article 143 CP 182, l article 49 CO traitant des concours d infractions ne trouvera ainsi pas application, seul la peine menace de l article 143 CP est applicable. En ce qui concerne le concours entre l article 273CP et les articles 143 et 143bis, nous retenons un concours parfait conduisant à l application de l article 49 CP, l alinéa premier de cette disposition prévoyant que la peine menace en cas de concours sera d au maximum une fois et demi la peine la plus lourde tout en respectant le maximum légal du genre de la peine Dans l hypothèse où la responsabilité pénale de la personne morale pourrait être mise en cause, celle-ci risquerait, selon l article 102 al. 1 CP, de se voir infliger une amende de cinq millions de francs au plus. Le juge prendra, cependant, en compte la gravité de 182 B. CORBOZ, volume 1, pp

62 l infraction, du manque d organisation, du dommage causé et de la capacité économique de l entreprise pour fixer la peine (art.102 al.3 CP). d. En matière fiscale 163. En matière fiscal, les conséquences d un vol de données se manifestent du côté de la victime du vol ou du moins de la personne sujette des données ayant été l objet du vol. Dans de nombreux cas, les données volées ont été transmises aux autorités fiscales étrangères pour pouvoir être utilisées à des fins de recouvrement d impôts impayés. Le contribuable se voit ainsi contraint, suite à la révélation de données relatives à ses activités bancaires, de déclarer l existence de comptes bancaires cachés et par voie de conséquences de payer des impôts sur les montants relatifs Ainsi que nous l avons vu, les impôts payés suite au vol de données ne pourront être considérés comme constituant un dommage. En effet, la jurisprudence considère que la taxation fiscale se base sur la situation patrimoniale du contribuable, et l amende relative à la soustraction d impôts relève, elle, de la décision du contribuable de ne pas honorer ses obligations fiscales. Il n y a par conséquent par de diminution de la fortune du contribuable étant donné que le montant des impôts étaient dû. 183 e. En matière d autorégulation 165. Des conséquences peuvent également avoir lieu dans le domaine de l autorégulation. En effet, l établissement bancaire qui serait membre de l association suisse des banquiers pourrait voir son exclusion prononcée. Le paragraphe 5 alinéa 2 des statuts de l association suisse des banquiers prévoit que le Conseil d administration de l association peut prononcer sans indication de motif l exclusion d un membre. Cette décision doit être prise à la majorité des deux tiers des membres présents ATF 123 IV 254, al. 2 Statuts de l ASB. 61

63 VIII. Conclusion 166. Comme nous l avons vu tout au long de ce travail, les implications juridiques et les conséquences d un événement comme le vol ou la fuite de données sont multiples tant pour la banque, victime du vol de données que pour l auteur de cet acte L obligation de discrétion à la charge du banquier, mise en péril par la survenance d un tel acte, trouve son fondement dans divers source du droit. Les banques suisses sont connues pour respecter la confidentialité des informations qui leurs sont transmises, c est pourquoi lorsqu un vol de données survient dans un de leur établissement leur réputation est profondément entachée, donnant l image d un établissement dont la sécurité des données ne serait pas assurée et qui pourrait laisser échapper des informations tant sur l activité bancaire que personnelle de ses clients En plus des conséquences réputationnelles pour l établissement s ajoutent des conséquences organisationnelles importantes. En effet, les établissements bancaires sont soumis à autorisation de l autorité de surveillance des marchés financiers. Ainsi un événement de ce type pourrait avoir pour conséquence que la garantie de l activité irréprochable, condition à l octroi de l autorisation d exercer, puisse être remise en question par la FINMA, situation qui aurait pour conséquence que l établissement ne puisse plus exercer son activité En effet, l autorité de surveillance a plusieurs fois rapproché la condition de la garantie de l activité irréprochable à celle d une organisation adéquate dont doivent être pourvus les assujettis. La condition adéquate à ses activités a pour incidence que l établissement doit être en mesure de déterminer, limiter et contrôles les risques inhérents à son activité, tâche de la responsabilité de divers organes de la banque. En quelques mots, on peut dire que l évolution de la pratique a pour effet qu une déficience organisationnelle sera prise en compte par la FINMA pour son appréciation de la condition de la garantie de l activité irréprochable Concernant le volet pénal du vol de données, la commission d un tel acte est de nature à remplir les éléments constitutifs de plusieurs infractions du droit suisse. En effet, les dispositions sur la soustraction de données, de l accès indu à un système informatique, mais également celle sur le service de renseignements économiques peuvent entrer en considération dans l appréciation des infractions dont la typicité serait réalisée par un tel 62

64 acte. En plus des conséquences pénales qu aurait la commission d un vol de données pour l auteur direct de l acte, celui-ci peut également avoir des conséquences pour l établissement lui-même qui par le biais de la responsabilité pénale de l entreprise pourrait également se voir reprocher les faits si l impossibilité de l identification de l auteur trouve sa cause dans la mauvaise organisation de l entreprise En matière fiscale, nous avons vu que les pratiques ont été mises en place par les gouvernements visant à contourner les procédures en place pour intégrer au plus vite des recettes fiscales disparues dans les caisses de l Etat. Des cas d incitation de transmission de données bancaires en dehors des voies officielles ont eu lieu et ont ainsi permis à ce que des données bancaires volées soient monnayées et trouvent preneur en la personne de gouvernements étatiques. La Suisse a par ailleurs eu l occasion de clarifier sa position face à l utilisation de données volées dans le cadre de procédure d assistance, celle-ci a clairement établi qu aucune entraide ne sera octroyée lorsqu elle se base sur des données volées Enfin comme nous l avons vu, les implications juridiques sont diverses, diversité qui a pour conséquence un éventail de conséquences juridiques pour les divers intervenants. La personne dont les données auront été volées peut agir sur une base civile en fondant son action soit sur le droit de la personnalité et ses actions relatives, soit sur une base contractuelle ou encore sur une base délictuelle pour réclamer réparation pour le dommage qu elle subi. Son action pourra être tournée contre l auteur du vol ou bien contre la banque qui supporte une responsabilité du fait de sa position d employeur de l auteur du vol lorsque le vol est commis par un de ses employés. Quant à l employeur, celui-ci pourra également tenter de réclamer réparation pour le dommage causé par son employé en se retournant contre lui sur une base contractuelle ou délictuelle. 63

65 IX. Annexe - Règles de conduite proposées et commentées 173. Ce chapitre a pour objectif de proposer aux intermédiaires financiers des règles de conduite commentées, à l instar de la Convention de diligence des Banques dans le domaine de la lutte contre le blanchiment, ou encore à l image des différents codes de conduite en matière de gestion proposés par les organismes d autorégulation Les mesures de conduite proposées viseront un objectif de monitoring de l éventualité qu une soustraction de données survienne Il convient de préciser que chaque intermédiaire financier doit ouvrir la réflexion sur ce sujet en se questionnant de façon approfondie sur divers aspects relatifs à cette problématique et sur les mesures préventives et détectives qu il pourra mettre en œuvre L entreprise devra également être consciente des contraintes résultant de son modèle d affaire, de son organisation, mais encore des contraintes réglementaires relatives à son domaine d activité La réflexion sur les différents aspects mentionnés permettra à l entreprise de trouver un équilibre entre les facteurs identifiés et le risque jugé acceptable par le Conseil d administration de l entreprise Il conviendra, tout d abord, à l intermédiaire financier de prendre des mesures préventives. Il devra établir un cadre règlementaire en édictant, d une part une politique de sécurité, c est-à-dire les orientations suivies par l entreprise en termes de sécurité, et d autres part des procédures et un règlement du personnel L intermédiaire financier devra également veiller à classifier les données selon leur degré de sensibilité et de convoitise afin de déterminer quelles sont les données sensibles en sa possession et quel niveau de protection devra être mis en œuvre Ensuite, une personne, en général le responsable de la sécurité des systèmes d informations, devra être désignée afin de constituer la personne à contacter en cas d intrusion dans le système. Le responsable de la sécurité des systèmes d informations aura pour tâches de définir la politique de sécurité, de faire appliquer cette politique ainsi que les mesures techniques, de contrôler les actions des administrateurs IT et de reporter directement ses constatations à la direction de l intermédiaire financier Dans le cadre du règlement du personnel, les rôles et responsabilités de chacun des employés devront être clairement définis. 64

66 182. Il est également conseillé, dans le cadre de la prévention, de sensibiliser les utilisateurs des systèmes d informations aux problématiques résultant de l utilisation de tels systèmes et des mesures à éviter pour se protéger contre des attaques extérieures ou à adopter pour maintenir un haut niveau de confidentialité L intermédiaire financier devra également prendre des mesures techniques préventives. Ainsi il lui est recommandé de sécuriser les postes de travail en fermant par exemple les ports USB, en instaurant une procédure d autorisation pour l activation des ports de sorties. Il devra aussi installer des outils techniques tels que le firewall ou encore l installation d un Intrusion Detection System (IDS), mécanisme destiné à détecter les activités anormales ou suspectes sur un réseau et permettant ainsi d avoir connaissance des tentatives d intrusion réussies ou échouées S agissant des données considérées comme sensibles, celles-ci peuvent être stockées sur un serveur séparé situé sur un réseau à part ou encore être stockées sur un disque dur crypté Il est nécessaire à l intermédiaire financier d établir une sécurité logique afin de définir les personnes pouvant accéder à l information, en déterminant quelles informations leurs sont accessibles et qui sont les personnes détenant les droits de modifications, de lecture et de sauvegarde de telles informations En plus des mesures techniques préventives générales, l intermédiaire peut instaurer des mesures particulières telles que le blocage des s sortants contenant des pièces jointes, le blocage de l impression de certains documents ou encore le blocage des boîtes s personnelles et l aménagement d une salle réservés à la consultation sur internet avec des ordinateurs séparés du réseau Suite à la prise de mesures préventives, la banque devra prendre des mesures détectives visant à découvrir toute intrusion. Elle pourra par exemple installer une application «radar» lui permettant de contrôler les accès au fichier client. Cette installation lui permettra de revoir les logs d accès et ainsi de connaître les personnes ayant eu accès aux informations, le moment de la consultation et sa fréquence. Comme nous l avons mentionné précédemment la banque pourra également installer un IDS afin de surveiller et contrôler les accès externes au réseau et de contrer les attaques. 65

67 188. En plus des remarques précédentes relatives aux mesures préventives et détectives, il est utile d apporter des éléments supplémentaires relatifs au domaine dans lesquels les fuites de données sont les plus fréquentes. On peut identifier quatre domaines de risques qu il convient de surveiller. 185 a. Le domaine des ressources humaines 189. Ainsi beaucoup de risques se trouvent rattacher au domaine des ressources humaines. En effet, ce secteur doit savoir faire face à des problématiques pouvant engendrer une attitude conduisant à la commission d une soustraction de données. Dans la pratique, les vols de données survenus ont tous une composante en commun qui est celle du facteur humain. En effet, le facteur humain est un aspect du vol de données qu il ne faut pas négliger. Face à des comportements inadaptés d employés ou face à une mauvaise gestion des ressources humaines, il convient de prendre des mesures pour diminuer le risque qu un employé dérobe des informations confidentielles Dans ce domaine, des mesures simples peuvent être prises pour contrer cette éventualité. Ainsi le département des ressources humaines peut mettre en œuvre diverses procédures. Par exemple, le screening des candidats à un poste en lien avec des données sensibles. L entreprise peut effectuer des recherches poussées sur les futurs collaborateurs tout d abord en vérifiant scrupuleusement les références mentionnées dans leur curriculum vitae Dans le même ordre d idée, on peut imaginer en plus du screening que l entreprise pourrait faire un sondage sur l intégrité et l éthique des personnes postulant à des emplois dans son établissement et pour les personnes en poste, l établissement pourrait envisager l édiction d un code de conduite applicable à son personnel lequel comprendrait une clause relative à l intégrité du personnel à l instar des articles 8 LBA 186 et 25 OBA-FINMA 187 qui prévoit que le personnel doit être intègre et formé de manière adéquate L entreprise doit également contrôler aléatoirement les activités de ses employés durant la période pendant laquelle ils sont employés. L éventualité de son contrôle 185 Présentation KPMG «Le vol de données disséqué : Protéger ses données mode d emploi» donnée lors de la conférence sur le vol de données disséqué de l ISACA. 186 RS RS

68 aléatoire aura un effet dissuasif sur les employés à condition que la possibilité du contrôle soit annoncée avant l entrée en fonction du collaborateur L autre mesure essentiel pour lutter contre le vol de données, est celle de la ségrégation des environnements de travail, mais également des accès aux ressources informatiques ou physiques. Par la ségrégation, l employeur réduit considérablement le risque que des informations confidentielles soient portées à la connaissance de personnes n ayant pas nécessairement besoin de ces renseignements pour effectuer leur travail, en plus de donner une meilleure vision des personnes en contact avec celles-ci Il est également important d ajouter en lien avec ce domaine et celui de l informatique que les accès des employés ayant quitté l entreprise doivent être immédiatement et impérativement désactivés. En effet, dans la pratique il est courant de voire des employés s approprier des comptes informatiques de collègues ayant changé de département ou ayant quitté l entreprise Cette appropriation a pour effet que l identification de la personne utilisant le compte de cette personne est difficile voire impossible. b. Le domaine informatique 195. Le risque dans le domaine informatique est celui de ne pas aborder le problème de la fuite ou du vol de données de manière assez drastique. Une approche limitative ou insuffisante est souvent la cause d une mauvaise protection des données et par conséquent de l accessibilité de celles-ci par des personnes non-autorisées externes ou internes à l entreprise Pour mitiger ce risque et éviter l accès à des personnes non-légitimées, il convient que le département IT prenne des mesures visant à protéger les accès informatiques, cette protection peut être mise en œuvre de différentes façons Tout d abord, comme nous l avons dit, l entreprise devrait ségréger les accès aux informations confidentielles de manière à ce que seule les personnes ayant obligatoirement besoin de ces informations puissent y accéder. Il est également souhaitable que l accès soit délimité à certaines informations en particulier, ceci afin d éviter qu un collaborateur puisse avoir connaissance de l ensemble des informations 188 Préposé fédéral à la protection des données, «Guide relatif aux mesures techniques et organisationnelles de la protection des données, p Prévenir les défaillances, Serge MAILLARD, Private Banking, Octobre 2010.

69 ou encore qu il puisse faire une réconciliation, une connexion entre les différents renseignements dont il aurait eu connaissance par divers biais. c. Le domaine de l organisation 198. L organisation est un point central dans la lutte contre la fuite et le vol de données. En effet, elle permet d éviter par des mesures d organisation, des défaillances ou des inadéquations dans le système de gestion des risques qui conduiraient à négliger le risque relatif en matière de soustraction d informations confidentielles L établissement établira une séparation stricte entre les environnements de travail. La première mesure qui s impose en matière d organisation a déjà été mentionnée précédemment lorsque nous avons abordé la question de la ségrégation des départements et des accès informatiques L intermédiaire édictera un Code de conduite à l attention de ses employés sur les procédures de confidentialité. Une autre mesure est celle de l édiction d un code de conduite interne à l établissement règlementant les procédures en matière de code d accès et de confidentialité des données. Ces procédures pourrait être contrôlées par l organe de révision externe dans le cadre d un audit spécial, afin d évaluer l efficacité et les faiblesses des mesures déployées. d. Le domaine des prestataires externes 201. Beaucoup d établissements bancaires ont recours à des prestataires externes pour l exécution de diverses tâches comme par exemple le compliance ou encore l informatique. En ayant recours à l outsourcing, l entreprise augmente le risque de fuite de données dans la mesure où ces données sont rendues accessibles à des tiers. La direction de l établissement a pour tâche d identifier, d analyser et de contrôler le risque pris par l établissement. Elle doit rendre compte au Conseil d administration de l efficacité du contrôle interne et l informer en cas de constatations graves. Confier des tâches à des prestataires externes peut être source de problèmes pour l établissement. En effet, le prestataire peut disposer des standards de protection faibles ou encore d une organisation inadaptée au type de tâches outsourcées qui augmenteraient le risque inhérent. 68

70 202. Pour contrôler ce risque, l établissement peut, à l exemple des mesures prises pour l engagement de nouveaux collaborateurs, effectuer un screening des prestataires avec lesquels il envisage de travailler et investiguer sur leur activité et leur organisation L établissement peut également imposer des règles de conduite et de qualité aux entreprises avec lesquelles il souhaite travailler. Ces règles imposeraient par exemple à l établissement que ses employés suivent des formations dans le domaine de la sécurité des données, les sensibilisant ainsi à la problématique de la fuite des données A noter que dans le cas d un outsourcing interne au groupe, c est-à-dire de la délégation de la part d un intermédiaire financier à une autre entité du groupe faisant également partie du périmètre de consolidation, il convient de dresser une séparation entre les personnes s occupant de la surveillance consolidée et celles traitant des données. 69

71 Bibliographie ALTHAUS STÄMPFLI Annette, Kundendaten von Banken und Finanzdienstleistern: Datenschutz und Bankgeheimnis versus Offenlegungspflichten und Outsourcing, Berne 2009 (cité: A. ALTHAUS STÄMPFLI) ALTHAUS STÄMPFLI Annette, Personendaten von Bankkunden Ihre Witerleitung im Finanzkonzern und dritte Dienstleister, Bern 2004 (cité : A. ALTHAUS STÄMPFLI, Personendaten von Bankkunden) ASCARI Patrizia, BRUNISHOLZ Jean, «Mise en place d un système de communication de renseignements : le système FATCA», STR 2010 p AUBERT Maurice, BÉGUIN Pierre-André, BERNASCONI Paolo, GRAZIANO-VON BURG Johanna, SCHWOB Renate, TREUILLAUD Raphaël, Le secret bancaire suisse, 3ème éd., Berne 1995 BANQUE DES RÈGLEMENTS INTERNATIONAUX, Convergence internationale de la mesure et des normes de fonds propres, ( décembre 2010 (cité : Bâle II) BICHOVSKY Aude, «L appréciation de la loi pénale dans l espace», in La nouvelle partie générale du Code pénal suisse, édit. KUHN et al., Berne, 2006, p BORLA Manuel, Surveillance bancaire consolidée, Flux d informations appartenant à la clientèle : Pratique des autorités et obstacles des législations étrangères, Genève 2007 BUCHER Andreas, Les droits de la personnalité, 4 ème édition, Bâle 1999 CASSANI Ursula, «Droit pénal économique : actualités législatives», in FELLMANN/POLENDA (édit.), La pratique de l avocat 2005, Berne, 2005, p. 671 (cité : U. CASSANI, actualités législatives) CASSANI Ursula, «Sur qui tombe le couperet du droit pénal? Responsabilité personnelle, responsabilité hiérarchique et responsabilité de l entreprise», in JDBF 2008, Genève, 2008 p. 53 (cité : U. CASSANI, JDBF 2008) 70

72 CHAUDET François, Droit suisse des affaires, 2 e éd., Bâle, 2004 CHENAL Arnaud, «La dimension informatique dans le SCI, retour d expérience sur l intégration des systèmes d information dans l évaluation du SCI», ECS 2010, p. 34 COMMISSION FÉDÉRALE DES BANQUES, Questions et réponses au sujet de la lettre de la Commission fédérale des banques (CFB) concernant la «garantie d une activité irréprochable», ( octobre 2010 CONNE Jean-Blaise, PERNOLLET Jean-Christophe, «Comment contrôler l activité bancaire? Réflexions sur les dernières crises», ECS 2008, p CORBOZ Bernard, Les infractions en droit suisse, volume 1, 3 e édition, Berne, 2010 (cité : B. CORBOZ, volume 1) CORBOZ Bernard, Les infractions en droit suisse, volume 2, 3 e édition, Berne, 2010 (cité : B. CORBOZ, volume 2) DÉPARTEMENT FÉDÉRAL DES FINANCES, La Suisse entend reprendre les standards de l OCDE relatifs à l assistance administrative en matière fiscale, ( g-id=25863, 13 mars 2011 DÉPARTEMENT FÉDÉRAL DE JUSTICE ET POLICE, «Demandes d assistance administrative fondées sur des données volées», JAAC 2/ ERNST & YOUNG, Foreign Account Tax Compliance Act (FATCA), Mastering the challenges of the new US regulation, 2010 FINMA, Bulletin 1, Berne 2010 FINMA, Externalisation par les banques, ( septembre

73 FINMA, Risques juridiques (accrus) dans le cadre d activités financières transfrontières, ( février 2011 FRANKHAUSER Reto, «Protection of company data against malicious IT staff», in Banque & Finance, Banking solutions, Octobre 2010 GASSER Andreas, KRAMER Georg, TÖDTLI Markus R., WERLEN Thomas, Das Schweizerische Bankgeschäft Das praktische Lehrbuch und Nachschlagewerk, 6ème édition, Genève 2004 GRAVEN Philippe, L infraction pénale punissable, 2 e éd., Berne, 1995 HAURI Patrick,, Pflichten und Verantwortlichkeit des Bank-Verwaltungsrates : Asset- & Liability-Management und seine Aufgaben im Risikomanagement, ECS 1998, p. 25 HAURI Patrick, CARRI Anna, «Comment le conseil d administration bancaire peut-il remplir ses devoirs dans la gestion des risques?», ECS 2000, p HIRSCH Alain, «La garantie de l activité irréprochable : l évolution de la pratique», Bulletin anniversaire de la Commission fédérale des banques, Bulletin 50, p. 29 HURTADO POZO José, Droit pénal Partie spéciale, 2 éd., Genève, Bâle, Zurich, 2009 (cité : J. HURTADO POZO, Partie spéciale) IT GOVERNANCE INSTITUTE, Information Security Governance : Guidance for information security managers, 2ème éd., USA 2006 KPMG, «Data loss barometer, Insights into lost and stolen information in 2009», 2009 LOMBARDINI Carlo, Droit bancaire suisse, 2ème éd., Zurich 2008 MACALUSO Alain, La responsabilité pénale de l entreprise : principes et commentaire des art. 100 quater et 10 quinquies CP, Zurich, Bâle, Genève, 2004 pp MAILLARD Serge, «Prévenir les défaillances», in Private Banking, Octobre

74 MARGIOTTA Adriano, Das Bankgeheimnis Rechtliche Schranke eines bankkonzerninternen Informationsflusses?, Zurich 2002 MARTENET Vincent, «La communication de données personnelles à l étranger par une entreprise», AJP 3/2005, p. 251 MONNIER Gilles, «Le hacking : enjeux actuels à la lumière du cas «Hacker-Croll»», Medialex 2010 p. 130 (cité : G. MONNIER, Medialex) MONNIER Gilles, «Le piratage informatique en droit pénal», sic! 2009, p. 141 (cité : G. MONNIER, sic!) MONTBEYRE Richard, Le transfert de données bancaires à caractère personnel vers les Etats-Unis : aspects juridiques de l Affaire SWIFT, Paris 2008 ORGANISATION DE COOPÉRATION ET DE DÉVELOPPEMENT ÉCONOMIQUES, Commentaire de la Convention modèle de l OCDE, 7 ème éd., 2008 ORGANISATION DE COOPÉRATION ET DE DÉVELOPPEMENT ÉCONOMIQUES, Promouvoir la transparence et l échange de renseignements à des fins fiscales, ( pdf, 25 février 2011 PONCET Dominique, MACALUSO Alain, «Evolution de la responsabilité de l entreprise en Suisse et perspective inspirée de modèles étrangers» in Strafrecht, Strafprozess, Menschenrechte, Zurich, Bâle, Genève, 2002, p. 517 PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES ET À LA TRANSPARENCE, Protection des données dans le trafic international des paiements (SWIFT), PFPDT, ( septembre

75 PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES ET À LA TRANSPARENCE, L accès aux données des transactions bancaires du réseau mondial SWIFT-Avis du Préposé fédéral à la protection des données et à la transparence, PFPDT, ( B/8ull6Du36WenojQ1NTTjaXZnqWfVp7Yhmfhnapmmc7Zi6rZnqCkkIN0hHyCbKbXrZ6lhu DZz8mMps2gpKfo, 10 septembre 2010 PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES ET À LA TRANSPARENCE, Communication de données du trafic international des paiements à des gouvernements étrangers, dans la perspective de l application de sanctions, ( septembre 2010 PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES ET À LA TRANSPARENCE, Communication de données personnelles relatives au trafic des paiements aux autorités américaines,( septembre 2010 PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES ET À LA TRANSPARENCE, Guide relatif aux mesures techniques et organisationnelles de la protection des données, ( mai 2011 RAPPO Aurélia Joyce, Le secret bancaire, sa portée dans le temps, dans l espace et dans les groupes de sociétés, Berne 2002 (cité : A. RAPPO) RAPPO Aurélia Joyce, «La surveillance consolidée des banques. Les flux d informations au sein des groupes bancaires et les enjeux pour le secret bancaire», ECS 2004, p. 208 (cité : A. RAPPO, ECS) 74

76 ROTH Robert, «L entreprise, nouvel acteur pénal», in BERTOUD (édit.), Droit pénal des affaires : La responsabilité pénale du fait d autrui, Lausanne, 2002, p. 77 STÖCKLI Beat, Die Organisation von Banken Aus privat-, aufsichts-, straf- und standesrechtlicher Perspektive, ST 2008 s STRATENWERTH Günter, JENNY Guido, BOMMER Felix, Schweizerisches Strafrecht Besondere Teil I: Straftaten gegen Individualinteressen, 7e éd., Berne, 2010 SUHR BRUNNER Christiana, PORTMANN Pascal, «La compliance dans les banques : La confiance comme facteur décisif», ECS 2005, p TAGOUO Christophe, «Système de gestion des risques et corporate gouvernance», AJP/PJA 2010, p. 599 TERCIER Pierre, Le droit des obligations, 3 ème éd., Bâle 2004 WERRO Franz, Le droit de la responsabilité civile, 1 ère éd., Berne 2005 WYLER Rémy, Le droit du travail, 2 Ème éd., Berne 2008 I. Arrêts du TF ATF 64 II 162 ATF 95 II 481 = JdT 1971 I 226 ATF 98 IV 209 = JdT 1973 IV 125 ATF 104 IV 175 ATF 105 IV 326 ATF 111 IV 74 ATF 115 II 72 ATF 116 II

77 ATF 120 II 96 = JdT 1996 I 119 ATF 120 II 331 = JdT 1995 I 359 ATF 120 II 369 ATF 123 IV 254 ATF 123 III 257 = JdT 1998 I 176 ATF 124 IV 241 ATF 128 III 22 ATF 129 III 18 ATF 130 III 28 ATF 133 III 462 II. Arrêts d autres instances RVJ