Sphère privée et protection des données
Evolutions en cours
Révision de la Loi fédérale sur la protection des données (LPD)
Loi sur la protection des données (17.059)
Le développement des nouvelles technologies et les évolutions sociales rendent nécessaire une révision de la LPD. Le Conseil fédéral a présenté un message en ce sens en septembre 2017. La Commission des institutions politiques du Conseil national (CIP-N) a toutefois décidé que cette révision totale se ferait en deux étapes.
Dans un premier temps, on se bornera à développer l’acquis de Schengen dans le domaine du droit pénal et en relation avec le traitement des données à caractère personnel (reprise de la directive (UE) 2016/680). Les textes correspondants devraient pouvoir entrer en vigueur au premier semestre 2019.
Dans un deuxième temps, la LPD devra être plus fortement alignée sur les dispositions du nouveau règlement général de l’Union européenne sur la protection des données (RGPD). L’objectif de ce projet de révision est que la Suisse puisse continuer de bénéficier de la décision de la Commission européenne reconnaissant qu’elle offre un niveau de protection des données adéquat, c’est-à-dire équivalent à celui prévu dans le RGPD. Pour des raisons économiques en particulier, c’est indispensable, car cela facilitera les flux de données entre la Suisse et l’Union européenne. On ignore encore quand la partie dite «RGPD» pourra entrer en vigueur.
Les milieux économiques ont salué le projet du Conseil fédéral, le jugeant globalement positif. Il est basé sur les risques et neutre sur le plan technologique, il maintient le conseiller interne à la protection des données et il encourage l’élaboration de codes de conduite afin d’inciter à l’autorégulation. Lors des débats parlementaires, il conviendra de veiller à ce que la Suisse ne s’impose pas des règles plus strictes que nécessaire (Swiss finish). En outre, les devoirs d’information et l’analyse d’impact relative à la protection des données, notamment, restent à aménager de manière plus compatible avec la pratique pour les entreprises. L’ASB, en collaboration avec economiesuisse, va donc continuer de suivre de près la révision de la LPD.
Nouveau règlement général de l’Union européenne sur la protection des données (RGPD)
Le RGPD est directement applicable depuis le 25 mai 2018. Il renforce les droits des personnes physiques en matière de contrôle de leurs données personnelles. Ce règlement est obligatoire dans tous les Etats membres de l’Union européenne, dont certains ont déjà promulgué des lois d’exécution. Il produit toutefois aussi des effets extraterritoriaux. De nombreuses entreprises en Suisse devront donc respecter à la fois les dispositions de la LPD, en cours de révision, et celles du RGPD. Qui dit nouvelles dispositions dit en général incertitudes juridiques. Les conséquences du RGPD sur la Suisse ont fait l’objet d’analyses provisoires publiées en particulier par le Préposé fédéral à la protection des données et à la transparence (PFPDT) ou par la société Homburger (en allemand et en anglais uniquement).
Identification électronique (e-ID)
Etat des délibérations (18.049)
Le Conseil fédéral est en train d’élaborer la base légale d’un système d’identification électronique (e-ID) reconnu par l’Etat: la Loi fédérale sur les services d’identification électronique (LSIE) créera un cadre juridique et normatif en vue de la reconnaissance de moyens d’identification électronique et de leurs fournisseurs. Concrètement, la Confédération entend confier à des prestataires privés appropriés la production des supports technologiques de l’e-ID ainsi que l’exploitation des systèmes d’e-ID.
L’ASB soutient expressément la répartition des tâches entre l’Etat et le marché, telle que la prévoit le Conseil fédéral.
L’implication du secteur privé est essentielle pour que l’e-ID soit un succès. Les entreprises disposent des compétences technologiques requises et sont proches des utilisateurs: elles sont ainsi à même d’assurer une diffusion rapide de l’e-ID sur l’ensemble du territoire suisse – d’où leur intérêt sur le plan économique. Les banques suisses sont appelées à jouer un rôle important à cet égard, dans la mesure où des millions de clients s’identifient quotidiennement pour accéder aux systèmes de banque mobile, et ce en toute sécurité et convivialité.
Toutefois, pour que l’e-ID s’impose, il faudra que les utilisateurs soient certains que toutes les données utilisées sont soumises à des règles de confidentialité raisonnables.
Directive concernant les services de paiement (DSP2)
Dans la deuxième version de sa directive concernant les services de paiement (DSP2), l’UE redéfinit les règles du jeu en matière bancaire et notamment dans le domaine des services de paiement. En particulier, ce texte oblige les banques dans l’UE à instaurer un droit d’accès aux comptes bancaires en faveur de prestataires tiers.
L’ASB rejette toute réglementation analogue pour la place financière suisse. Des arguments de sécurité, en premier lieu, incitent à penser que l’ouverture du droit d’accès aux tiers sous la contrainte des pouvoirs publics est à éviter.
La question de la sécurité des données des clients est essentielle dans le domaine de la banque électronique. Or une sécurité optimale ne peut être garantie que si le client et la banque coopèrent. Il serait donc dangereux d’imposer unilatéralement le droit d’accès, car les principes de sécurité propres aux banques ne seraient pas intégralement pris en compte: cela ouvrirait des brèches en termes de sécurité.
Loi fédérale sur les services financiers (LSFin)
Etat des délibérations (15.073)
La LSFin contient également des prescriptions spécifiques relatives à la protection des données, qui s’appliquent en sus des dispositions de la LPD et peuvent se chevaucher avec ces dernières. Ainsi, le droit du client à la remise de tout document établi par le prestataire de services financiers dans le cadre de la relation d’affaires, prévu à l’article 75 de la LSFin, se retrouve pour l’essentiel à l’article 8 de la LPD, qui règle le droit d’accès et les obligations y afférentes en matière de communication de données personnelles.
Protection des données
La protection de la sphère privée est un besoin humain. Dès lors, en vertu de l’article 13 de la Constitution fédérale, «toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.» Plus largement, toute personne a le droit d’être protégée contre l’emploi abusif de ses données personnelles.
Dans un monde de plus en plus numérisé, les données conditionnent notre vie, en permanence et en tout lieu. Une fois enregistrées, elles restent très longtemps sur la Toile et sont donc susceptibles d’être utilisées à des fins contraires à la volonté des personnes concernées. Il est donc très important pour les entreprises comme pour les particuliers de savoir que la protection de leurs données est respectée et garantie. Les banques, qui ont derrière elles une longue tradition de discrétion et de confidentialité, sont particulièrement conscientes du fait que les informations détaillées sur la situation financière d’une personne font partie des données les plus sensibles qui risquent d’être divulguées.
Loi sur la protection des données
En Suisse, la Loi fédérale sur la protection des données (LPD) protège la personnalité et les droits fondamentaux des personnes physiques et morales qui font l’objet d’un traitement de données. Elle définit les conditions d’un traitement licite et prévient ainsi d’éventuels abus. Elle pose le principe qu’il est interdit de recueillir plus de données personnelles que nécessaire (proportionnalité et parcimonie).
La protection des données est au service du droit à la libre détermination en matière de données. En d’autres termes, chaque citoyenne et chaque citoyen doit être en mesure de décider librement si ses données personnelles seront communiquées, et à quelles fins. Le droit applicable à la protection des données prévoit donc diverses possibilités permettant aux personnes d’exercer leurs droits de la personnalité.
Droit d’accès
L’article 8 LPD règle ce qu’il est convenu d’appeler le droit d’accès. En vertu de l’alinéa 1 de cet article, «toute personne peut demander au maître d’un fichier si des données la concernant sont traitées» – et quelles sont les données concernées. Les renseignements correspondants, en règle générale, doivent être fournis gratuitement et par écrit. Ils ne peuvent être refusés ou restreints que si une loi au sens formel le prévoit ou si les intérêts prépondérants d’un tiers l’exigent (article 9 LPD). Dans tous les autres cas, le maître du fichier est tenu de fournir des renseignements complets, y compris les informations disponibles sur l’origine des données et le but de leur traitement.
Devoir d’informer
En relation avec le droit d’accès, la LPD prévoit un devoir d’informer: le maître du fichier a l’obligation d’informer les personnes physiques de toute collecte de données sensibles ou de profils de la personnalité les concernant. Il lui incombe de leur faire connaître notamment le but du traitement pour lequel les données sont collectées, ainsi que le destinataire en cas de communication des données.
Les dispositions de la LPD s’appliquent uniquement au traitement de données dites personnelles. On entend par là toutes les informations qui se rapportent à une personne identifiée ou identifiable (par exemple l’adresse IP). En revanche, la LPD n’est pas applicable aux données dont le traitement est effectué par des personnes physiques exclusivement pour leur usage personnel et qui ne sont pas communiquées à des tiers.
Sécurité des données
A l’heure de la banque mobile et des applications de paiement, nombreux sont les clients des banques à accéder quotidiennement à leurs données de compte ou de carte de crédit via un ordinateur ou un smartphone. Gérer les failles en matière de sécurité constitue donc un défi de taille, d’autant plus que ces failles nuisent non seulement aux établissements concernés, mais aussi à la réputation de la place financière toute entière. Les banques réagissent en identifiant de manière ciblée les nouveaux risques et en s’efforçant de les limiter. En outre, de plus en plus, les conseils d’administration et les directions des banques se penchent et statuent sur la question de la protection et de la sécurité des données.
La LPD stipule à l’article 7 que «les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées.» Le concept de sécurité des données pour les banques est précisé sous l’angle prudentiel dans la Circ.-FINMA 2008/21 «Risques opérationnels – banques». L’annexe 3 de cette circulaire énonce neuf principes de bonne gestion des données électroniques d’identification du client («client identifying data», CID). Il s’agit principalement d’exigences à caractère technique incluant notamment la mise en place d’une instance de contrôle indépendante, l’élaboration et le respect de normes de sécurité adéquates en ce qui concerne l’infrastructure et la technologie, ou encore l’identification et le contrôle des risques en relation avec la confidentialité des CID. Les banques sont ainsi tenues d’établir un cadre global garantissant la confidentialité des données des clients dans le monde numérique.
Secret professionnel du banquier
Le secret professionnel du banquier (article 47 de la Loi sur les banques) est un véritable secret professionnel, comparable à celui du médecin ou de l’avocat. Il vise à protéger la sphère privée financière et couvre l’ensemble des constats d’ordre factuel, des jugements de valeur et des autres informations (y compris les résultats personnels d’évaluation) attribuables à un client d’une banque. Le secret professionnel du banquier, introduit dès 1934, va donc plus loin que ce que prévoit la LPD. Pour autant, contrairement à une opinion répandue, il n’est pas illimité. Par exemple, il ne protège pas les criminels. Les banques sont tenues depuis toujours de divulguer des informations sur leurs clients dans le cadre
- des procédures de droit civil (successions ou divorces notamment),
- des procédures de poursuite pour dettes ou de liquidation forcée,
- des procédures pénales (en particulier en cas de fraude fiscale),
- de la surveillance des marchés financiers, et
- de l’échange international de renseignements.
Ces dernières années, le secret professionnel du banquier a toutefois connu une mutation profonde, notamment en matière fiscale. Sous l’impulsion des évolutions internationales, la transparence envers les autorités fiscales et de surveillance revêt désormais, en Suisse comme ailleurs, une importance accrue.
Echange automatique de renseignements (EAR)
Depuis le 1er janvier 2017, les banques suisses mettent en œuvre l’échange automatique de renseignements (EAR) avec l’étranger. L’EAR définit la manière dont les autorités fiscales des pays participants échangent entre elles des données relatives aux comptes et aux dépôts de titres détenus par des contribuables. La Suisse est particulièrement concernée par l’EAR, puisque plus d’un quart des placements transfrontaliers effectués dans le monde sont gérés sur son territoire. Aussi le gouvernement et les banques se sont-ils fortement engagés au sein de l’OCDE pour que la norme sur l’EAR soit aussi juste et adaptée à la pratique que possible, notamment en exigeant avec insistance une protection suffisante des données.
Foreign Account Tax Compliance Act (FATCA)
Les exigences accrues en matière de transparence concernent aussi les relations avec les Etats-Unis. Le FATCA est une loi fiscale américaine unilatérale, mais qui déploie des effets extraterritoriaux, et qui vise à prévenir d’éventuelles soustractions d’impôts au détriment des Etats-Unis. Elle s’adresse aux établissements financiers du monde entier et exige d’eux qu’ils transmettent à échéances régulières aux autorités fiscales américaines des informations sur les comptes détenus par des contribuables américains («US accounts»). La Suisse, comme de nombreux autres pays, a conclu avec les Etats-Unis un accord facilitant la mise en œuvre du FATCA (accord FATCA). C’est sur la base de cet accord qu’a été édictée une loi fédérale dite Loi FATCA, entrée en vigueur le 30 juin 2014.