Enjeux européens et mondiaux de la protection des données personnelles La protection des données bancaires Me Rosario GRASSO 31-33, rue Ste Zithe L-2763 Luxembourg T.: +352 22 73 30-1 F.: +352 22 73 32 www.kckg.com 2014 KLEYR GRASSO
Avant l entrée en relation avec son client, la banque lui demande : son état civil, sa situation professionnelle, sa situation patrimoniale et financière (actif / passif), ses sources et types de revenus, sa situation médicale (assurances-vie/solde restant dû ), aspects de la vie privée du client, son profil investisseur ou épargnant, obligations KYC : vérifications plus approfondies et étendues tout au long de la relation d affaire 2
3 Toutes ces données sont : collectées, traitées, croisées, conservées, exploitées, accessibles légalement : au client concerné, à la banque, à ses employés, à des tiers dans certaines circonstances (instruction pénale, entraide fiscale), illégalement / abusivement : hackers ou à tout autre tiers (employé de la banque, fisc p.ex.)
Obligations du banquier ou de ses sous-traitants : Mesures de sécurité et d organisation proportionnelles au risque d atteinte au droit à la vie privée, Confidentialité, Protection des données personnelles contre des traitements abusifs ou illégitimes mesures de sécurité contre la destruction/ ou altération accidentelle ou illicite ; perte accidentelle, diffusion et accès non-autorisés, Accorder l accès aux tiers dans les situations et conditions exceptionnels prévues par la loi (enquêtes pénales ; entraide en matière fiscale et pénale (exceptionnellement), Secret bancaire. 4
Le secret bancaire sera-t-il remplacé par «data protection»? 5
Cadre légal UE (non exhaustif cf temps à ma disposition) Directive 95/46/CE du 24 octobre 1995 : Protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données, transposée en droit luxembourgeois par loi du 2 août 2002 Directive 2002/58/CE du 12 juillet 2002 (remplace Dir. 97/66/CE) : Traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, transposée en droit luxembourgeois par loi modifiée du 30 mai 2005 6
Directive 2006/24/CE du 15 mars 2006 : Conservation de données générées ou traitées dans le cadre de la fourniture de services de communication électronique accessibles au public ou de réseaux publics de communication, modifie la Dir. 2002/58/CE. Directive 2009/136/CE du 25 novembre 2009 : modifie (i) Dir. 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communication électronique, (ii) Dir. 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (iii) règlement (CE) n 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l application de la législation en matière de protection des consommateurs. 7
Décision-cadre 2008/977/JAI du Conseil du 27 novembre 2008 : Protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Règlement (CE) 45/2001 du Parlement européen (PE) et du Conseil du 18 décembre 2000 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données 8
Charte des Droits Fondamentaux de l Union Européenne (2000/C 364/01) : proclamée le 7.12.2000 par le PE, le Conseil et la Commission : Article 8 : Protection des données à caractère personnel 1. Toute personne a droit à la protection des données à caractère personnel la concernant 2. Ces données doivent être traitées loyalement, à des fins déterminées sur la base du consentement de la personne concernée ou en vertu d un autre fondement légitime prévu par la loi. Toute personne a le droit d accéder aux données collectées la concernant et d en obtenir la rectification. 3. Le respect de ces règles est soumis au contrôle d une autorité indépendante. 9
Convention de Sauvegarde des Droits de l Homme et des Libertés Fondamentales, Énumère les droits et libertés fondamentaux que les états membres du Conseil de l Europe s engagent à reconnaître à toute personne relevant de leur juridiction. La «Protection des Données Personnelles» n en fait pas partie. Mécanisme de contrôle et de sécurité juridique : Cour Européenne des Droits de l Homme à Strasbourg : sur requête individuelle et/ou interétatique. les arrêts lient obligatoirement les parties à l affaire avis consultatifs (interprétation Convention et protocoles). 10
Néanmoins et via le «droit au respect de la vie privée et familiale» (Article 8 de la Convention) la jurisprudence de la Cour a : Contribué à la protection des données personnelles. En tenant compte des limitations ou restrictions opposées par les états, Accepté des ingérences à condition qu elles : soient prévues par la loi, poursuivent un but légitime et soient nécessaires dans une société démocratique. 11
La Cour a jugé que : Affaires d écoutes téléphoniques : ces communications sont protégées par l article 8 de la Convention, leur interception par la police constituait une ingérence, (i) prévue par la loi, (ii) nécessaire dans une société démocratique. (Arrêt du 6 septembre 1978 - Affaire KLASS c/allemagne) violation de la Convention au motif d absence de base légale. 12 compte-tenu du but légitime poursuivi et pour fournir au justiciable une protection adéquate contre l arbitraire : la loi doit être compatible avec la prééminence du droit, le pouvoir d appréciation de l exécutif doit être défini de manière claire et suffisante (Arrêt du 2 août 1984 Affaire MALONE c/ Royaume-Uni)
affaire d interception de conversations entre détenus et leurs proches dans les parloirs d une maison d arrêt Contraire à l article 8 de la Convention au motif que : possibilité d ingérence par les autorités dans la vie privée des détenus, champ et modalités d exercice du pouvoir d appréciation en matière d enregistrement de conversations tenues dans les parloirs des maisons d arrêt pas suffisamment prévus par le droit français. (Arrêt du 20 décembre 2005 - Affaire WISSE c/ France) 13
Recours dans les états membres de l UE : Actions pénales et/ou civiles Recours effectifs pour protéger toute violation en matière de protection des données personnelles Au niveau de l UE : La jurisprudence de la Cour de Justice de l Union Européenne (CJUE) contribue à : L interprétation du droit UE Uniformité du droit UE Sécurité juridique 14
CJUE Arrêt C-131/12 du 13 mai 2014 : «Responsabilité de l exploitant d un moteur de recherches sur internet du traitement qu il effectue des données à caractère personnel qui apparaissent sur des pages web publiées par des tiers Facilité d accéder à une multitude d aspects de la vie privée via des moteurs de recherches et possibilité d établir un profil plus ou moins détaillé de la personne recherchée, Ingérence dans les droits de la personne recherchée Intérêt légitime des internautes à avoir accès à des informations concernant une personne déterminée Rechercher un juste équilibre entre cet intérêt et les droits fondamentaux de la personne concernée (droit au respect de la vie privée et à la protection des données à caractère personnel) 15
Un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec la directive 95/46/CE si au regard des circonstances elles apparaissent inadéquates, pas ou plus pertinentes, ou excessives au regard des finalités pour lesquelles elles ont été traitées et du temps qui s est écoulé Droit à l effacement et à la suppression des liens vers des pages web contenant des informations sur des données personnelles d une personne Exception : Rôle de la personne concernée dans la vie publique, justifiant un intérêt prépondérant du public à avoir accès à ces informations.» 16
CJUE Arrêt du 8 avril 2014, affaires jointes C-293/12 et C-594/12 A déclaré invalide la Dir. 2006/24/CE du PE et du Conseil du 15 mars 2006 (conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication) : Ingérence d une vaste ampleur et d une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel sans que cette ingérence soit limitée au strict nécessaire, Prise d effet à la date de l entrée en vigueur de la directive (la Cour n ayant pas limité son arrêt dans le temps) 17
Contrôleur européen de la protection des données Contrôle des traitements de données à caractère personnel effectués par l'administration de l'ue, Conseils sur les politiques et les textes législatifs qui touchent à la vie privée, Coopération avec les autorités de même nature pour garantir une protection des données qui soit cohérente. Ce contrôleur ensemble avec les contrôleurs nationaux des Etats membres de l'ue contribue à la sécurité juridique et protection des personnes par rapport au traitement de leurs données à caractère personnel 18
Cadre légal USA Contrairement à l UE, les USA n ont pas de législation «uniforme» ce qui affecte la sécurité juridique. «Patchwork» législatif : Différentes sources de droit privé Tant au niveau fédéral que des états Etendues et finalités varient d un état à l autre. Différences de sanctions en cas de violations des lois 19
En cas de violation de la loi : uniquement des actions civiles en dommages et intérêts Exceptionnellement : Sanctions pénales et/ou civiles : «violations of the Federal Electronic Communications Privacy act (ECPA)» «The Computer Fraud and Abuse Act (CFAA)» Pour ne citer que ceux-ci 20
Pas d autorité dédiée au contrôle du respect des lois en matière de «data protection» aux USA. A côté de l autorité au niveau fédéral, il y en a d autres à différents niveaux : Dans le secteur financier : Différents régulateurs des services financiers ont adopté des standards suite au «Gramm-Leach-Bliley Act» (GLB) concernant la collecte et la divulgation de données personnelles Les régulateurs en matière d assurances ont suivi la même démarche 21
Suite aux attentats du 11 septembre 2001 : Society for Worldwide Interbank Financial Telecommunication (société coopérative de droit belge) Exploitation secrète des données du réseau SWIFT Sans base juridique Par les USA. Communication à la CIA (Central Intelligence Agency) et au département du Trésor des USA, des données personnelles concernant des transactions financières et bancaires. N.B. En Suisse, cette transmission de données aux autorités USA a été jugée contraire à l article 6 de la loi fédérale sur la protection des données. La procédure similaire intentée en Belgique a été «abandonnée». 22
Réaction au niveau de l UE : résolution du PE en 2006 : respecter la directive 95/46/CE sur la «Protection des Données Personnelles». Rejet de l accord USA/UE de novembre 2009 par le PE : pas de protection suffisante des libertés individuelles. Accord «SWIFT II» tient compte des exigences du PE : Accès des USA aux données bancaires UE stockées sur le réseau SWIFT Finalité : lutter contre le terrorisme, sous certaines conditions de protection de la vie privée 23
Edward SNOWDEN (ES) et le scandale NSA En été 2013 ES, informaticien de formation, ex-consultant CIA et NSA révèle à la presse : l'existence d'un système de surveillance massive des communications mis en place par ces agences gouvernementales Intégration progressive des sites de Microsoft, Google, Yahoo!, Facebook, YouTube, Skype, AOL et Apple dans un programme secret de la NSA (2007-2011), Consultation directe et en temps réel de courriers électroniques envoyés via Hotmail p.ex, conversations, photos, vidéos et chats internet sur ces sites Accès aux serveurs Google et Facebook (entre autres) 24
Pratiques depuis la présidence de George Bush «approuvées» par l'administration Barack Obama. Barack Obama a défendu le programme «PRISM» : il «ne s'appliquait pas aux citoyens américains» ni aux «personnes qui vivent aux Etats-Unis», nécessité d'un «compromis» entre la «sécurité» des Américains et «la protection de la vie privée». 25
Eté 2013 résolution du PE enquête parlementaire via la commission des libertés civiles du PE qui a : condamné «le recueil à grande échelle, systémique et aveugle des données à caractère personnel de personnes innocentes, qui comprennent souvent des informations personnelles intimes». proposé des recommandations : l'adoption du parquet européen relatif à la protection des données en 2014, conclusion d un accord-cadre UE et UISA autorisant les citoyens UE d'agir en justice aux USA contre l'exploitation de leurs données, suspension de l'accord dit «Safe Harbour» et de l'accord antiterrorisme SWIFT/TFTP sur le transfert de données interbancaires, protection de la liberté de la presse et des lanceurs d'alerte 26
12 mars 2014 adoption par le PE du (i) Projet de réforme sur la protection des données : un projet de règlement qui couvre l'essentiel du traitement des données personnelles au sein de l'ue, une directive sur la protection des données qui vise à prévenir, détecter ou poursuivre les infractions pénales ainsi qu'à appliquer les peines. (ii) Rapport de la commission des libertés civiles du PE (LIBE) 27
Conclusions : La surveillance de masse et le traitement massif de données à caractère personnel est contraire à la «loi». La lutte contre le terrorisme «ne peut en aucun cas justifier l'existence de programmes de surveillance de masse non ciblés, secrets, voire parfois illégaux» (rapport PE) Nécessité de «perfectionner/uniformiser/globaliser» la législation «Data protection» au vu de l absence de convention internationale UE/USA (et autres) garanties et protections suffisantes recours effectifs contre des abus ou agissements illicites USA ou autres 28
Merci pour votre attention Me Rosario GRASSO Partner rosario.grasso@kleyrgrasso.com 29