|

Rseau mondial des avocats spcialiss en droit des technologies avances

GENEVE, VENDREDI 22 MARS 2012

Obligations lgales et responsabilits de lintermdiaire financier qui dtient des donnes de ses clients
Sbastien FANTI sebastien.fanti@sebastienfanti.ch

| Allemagne | Belgique | Canada | Espagne | Etats-Unis | France | Isral | Italie | Maroc | Mexique | Norvge | Royaume-Uni | Suisse

INTERMEDIAIRES FINANCIERS

Sommaire de lexpos
1. 2. 3. 4. 5. Prolgomnes Protection des donnes Dispositions pnales Dispositions disciplinaires Conclusions et conseils

PAGE 03

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Prolgomnes
Chres Consoeurs, Chers Confrres,
Vous trouverez ci-joint l'ordre du jour de la sance de ce jeudi. Elle sera brve, de sorte que nous aurons un peu de temps pour un tour de table destin prparer l'assemble gnrale. J'invite : Me X me faire parvenir sa note de frais pour le dossier L, pour que j'tablisse sans tarder la facture l'intention du DSSI (le pravis lui a dj t transmis). Me Y vrifier si les frais des dossiers suivants ont t acquitts: 118/2008 (A), 135/2009 (B), 136/2009 (C) et 141/2009 (D), avant que je ne les archive. Avec mes salutations confraternelles Me Z, prsident de la chambre de surveillance des notaires

Chres Consoeurs, Chers Confrres, Un courriel destin aux seuls membres de la chambre de surveillance vient de vous tre adress tous. Je vous invite le dtruire sans dlai et vous adresse mes excuses pour ce lapsus. Ce sont l les risques de la communication lectronique, en attendant les actes lectroniques ...
PAGE 04

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des donnes

Qualification de donnes sensibles (art. 3 let. c LPD) et de profil de la personnalit (art. 3 let. d LPD) :
Soit les donnes qui peuvent par leur nature porter atteinte aux liberts fondamentales ou la vie prive (le revenu ou la fortune nen font pas partie). Le profil de la personnalit est un assemblage de donnes qui permet dapprcier les caractristiques essentielles de la personnalit dune personne physique (art. 3 let. d LPD). Le profil client tabli dans le cadre des rgles KYC (Know Your Customer) par le gestionnaire de fortune, notamment sagissant dun PEP (Politically Exposed Person; cf. art. 2 OBA-FINMA) remplit les conditions lgales de cette dfinition (cf. art. 17 de lancienne Ordonnance 1 de la FINMA sur le blanchiment dargent du 18 dcembre 2002). Les effets juridiques de la qualification de profil de la personnalit sont les mmes que pour les donnes sensibles.
PAGE 05

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des donnes

Effets juridiques de la qualification de profil de la personnalit: Rigueur accrue dans lapplication des principes gnraux de traitement (finalit, etc.); Consentement explicite requis pour le traitement des donnes; Obligation de dclaration des fichiers au PFPDT lorsque les personnes traitent rgulirement des donnes sensibles; Interdiction de communiquer des tiers de telles donnes sans motif justificatif; Scurit des donnes (cf. article 8 OPD);

En rsum, un degr dattention accru, des mesures prventives supplmentaires et un traitement strictement conforme aux rgles lgales.

PAGE 06

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des donnes

Dclaration des fichiers au PFPDT: https://www.datareg.admin.ch/WebDatareg/search/SearchSimple.aspx

PAGE 07

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des donnes

Dclaration des fichiers au PFPDT (art. 11a al. 5 let. a LPD): Le matre de fichier priv qui traite des donnes et tablit un fichier sur la base dune obligation lgale est dispens de dclaration. Il peut toutefois par mesure de simplification choisir doprer une telle dclaration. Conseil: le publier donne une impression de srieux et conforte le client dans la relation de confiance tablie. Cela concerne galement les intermdiaires financiers conformment aux normes lgales et professionnelles relatives la lutte contre le blanchiment dargent et le terrorisme. La liste des intermdiaires financiers au bnfice dune autorisation na pas tre publie sur le net (JAAC 68.92). La liste des faux intermdiaires lest par contre.

PAGE 08

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des donnes

Communication transfrontire des donnes:
Le mandataire prendra toutes les mesures organisationnelles et techniques appropries pour viter tout traitement non autoris des donnes personnelles en application de larticle 7 de la loi fdrale sur la protection des donnes. Le fichier constitu par les donnes clients fait l'objet d'une dclaration au Prpos fdral la protection des donnes et la transparence (numro de registre 201200002).

Le mandant est toutefois inform du fait que le mandataire ne peut garantir que les donnes le concernant ne soient pas communiques ltranger dans un pays ne bnficiant pas dune lgislation assurant un niveau de protection adquat. Cela est notamment d intrinsquement la communication par courriel, au stockage dans les nuages (cloud computing), ainsi quaux logiciels de bureautique les plus courants, tant prcis que le mandataire nest lui-mme rgulirement pas inform de cette communication transfrontire de donnes par les diffrents prestataires.
Le mandant consent cette communication transfrontire de donnes le concernant (art. 6 al. 2 let. b LPD). Si tel ne devait pas tre le cas, il sollicite immdiatement du mandataire la prise de mesures de protection spcifiques et dclare formellement en assumer le cot supplmentaire.
PAGE 09

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Protection des donnes

Communication transfrontire des donnes:

Le champ dapplication des lgislations en matire de protection des donnes est limit par le principe de territorialit. Article 6 al. 1 LPD: aucune donne personnelle ne peut tre communique ltranger si la personnalit des personnes concernes devait sen trouver gravement menace, notamment du fait de labsence dune lgislation assurant un niveau de protection adquat. La violation de cet article constitue per se une atteinte la personnalit. Le problme principal concerne les USA (U.S. Swiss Safe Harbor Framework). Il est donc indispensable de procder des vrifications approfondies.
PAGE 010

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pnal
Casus introductif:

Le Tribunal cantonal valaisan a jug que celui qui, au bnfice dun mot
de passe communiqu par son employeur, accde des serveurs lui permettant de disposer de donnes spcifiques ne se rend pas coupable de soustraction de donnes, ceci dfaut de protection spcifique!

En tant simplement au bnfice du mot de passe lui permettant de

s'acquitter de ses obligations contractuelles, X. a pu accder aux serveurs contenant les donnes dont il s'est ensuite empar. Bien que lesdits serveurs aient fait l'objet de diverses protections contre des intrusions de l'extrieur (chambre forte, contrles d'accs biomtriques, pare-feu), cet employ n'a rencontr aucune mesure de scurit spcifique lui entravant l'accs aux logiciels du "Back Office" recherchs ou encore aux donnes d'Y. SA relatives aux adresses e-mail des abonns au service de messagerie A.ch, de mme que celles affrentes la liste des clients du site B., le tout "logins" et mots de passe compris.PAGE 011

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pnal

Il importe peu qu'en fonction de la formation ou des capacits de celui-ci, voire des renseignements fournis par des collgues mieux aguerris en ce domaine, l'employ indlicat ait mis plus ou moins de temps pour trouver le chemin des donnes recherches, ds lors l'intress n'a d surmonter aucun obstacle de scurit mis en uvre volontairement par son employeur.

Au contraire, faisant prvaloir des raisons de rentabilit dont il n'appartient pas la cour de vrifier le bien-fond, les organes d'Y. SA ont opt pour une barrire dite morale, qui ne suffit videmment pas runir les rquisits poss l'art. 143 CP, alors mme - tel que dj voqu en droit - que cette barrire aurait t assortie d'instructions voire d'interdictions orales ou crites.

PAGE 012

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pnal

Avec la socit lse, on peut s'interroger sur le sens de la protection pnale restreinte ainsi accorde par le lgislateur, dans sa volont de renoncer rprimer ce qui quivaut un abus de confiance au sens large du terme. C'est bien la raison pour laquelle ont dj t relev le peu d'incidence pratique de l'art. 143 CP et mme le caractre dpass des moyens lgaux mis en uvre ds 1995 pour lutter contre la criminalit informatique. Il suit de l qu'un renvoi en jugement fond sur l'art. 143 CP ne saurait se justifier. Pour des motifs similaires, l'application de l'art. 143bis CP n'entre pas en ligne de compte, outre que l'activit de l'employ X. ne peut tre assimile celle d'un "hacker" qui visite le site d'autrui en vue d'en percer les dfenses et d'en violer le domicile informatique.

PAGE 013

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pnal

La cause pnale concernant X. a en revanche t renvoye jugement s'agissant de la violation du secret des postes et des tlcommunications. Ainsi, celui-ci ne semble pas avoir chapp une sanction justifie; toutefois, cet arrt signifie clairement que pour viter tout problme ultrieur, mieux vaut scuriser en interne vos systmes informatiques.

dfaut, toute poursuite pnale fonde sur larticle 143 du Code pnal risque fort dtre voue lchec!

PAGE 014

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pnal
enseignements

Les instructions et/ou interdictions orales ou crites sont insuffisantes. Une barrire lectronique et des contre-mesures sont ncessaires.
Le rglement informatique et les clauses contractuelles ne sont donc, du point de vue pnal, daucun secours pour dmontrer la ralisation des conditions objectives dinfractions, telles que la soustraction de donnes ou laccs indu un systme informatique. Elles pourront, par contre, fonder une action civile. Les erreurs de vos employs vous seront imputes; ex: un client dune banque voit ses donnes communiques au fisc de son pays et dpose une plainte contre X. Il existe un risque que lemployeur doive justifier des mesures de scurit prises et de grands risques quil doive assumer les consquences civiles du comportement illicite soient sa charge (action rcursoire possible).
PAGE 015

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pnal
enseignements

Ne comptez sur personne pour vous aider en cas de ppin: la Suisse va probablement ratifier la Convention du Conseil de lEurope sur la cybercriminalit signe en 2001 en 2011. Aucun article juridique, ni aucun jugement nont t publis en matire de data loss prevention ce jour! Il ny a quun DIEU informatique, cest le responsable de la scurit des donnes de vos clients et de vos donnes! Ni un juge, ni un policier, ni un politicien ne pourront rtablir une rputation ternie et vous permettre de vous soustraire aux procdures qui ne manqueront pas dtre diligentes (ex: procdure disciplinaire contre un avocat dont lpouse a subtilis les donnes client pour dmontrer le niveau de revenu avant de demander le divorce!).
PAGE 016

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit pnal

Autres cas dapplication: cls USB; ordinateurs portables; photocopieurs; devices

Selon le dernier rapport de la Central denregistrement et danalyse pour la sret de linformation (Melani, rapport semestriel 2010/1): Les affaires despionnage et de vols de donnes ont augment au premier semestre 2010 sur le plan mondial.

PAGE 017

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Droit disciplinaire
La publication des dcisions de la FINMA en vertu de larticle 34 LFINMA est dsastreuse en termes dimages: Art. 34 Publication dune dcision en matire de surveillance 1 En cas de violation grave du droit de la surveillance, la FINMA peut publier sa dcision finale, y compris les donnes personnelles des assujettis concerns, sous forme lectronique ou crite, compter de son entre en force. 2 La publication doit tre ordonne dans la dcision elle-mme.

Il nexiste aucun droit loubli concernant la publication de telles dcisions dont le rfrencement aura lieu automatiquement compte tenu de lexcellente tenue du site de la FINMA.
Le dommage est donc exponentiel et permanent. Faire disparatre une telle information du web cote des dizaines de milliers de francs.
PAGE 018

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Outsourcer sa scurit?
La dlgation de traitement de donnes (outsourcing, cf. art. 10a LPD) est strictement encadre. Elle concerne la collecte, la saisie, lexploitation, lanalyse, le contrle, la destruction, larchivage, la sauvegarde et laccs distances des donnes. En pratique on outsource mme sans le savoir au sens de la loi ds lors que lon fait appel un avocat, un fournisseur daccs, etc. Lorsque le traitement de donnes par un tiers est conforme aux conditions fixes ci-aprs, elle ne ncessite ni information ni a fortiori consentement de la personne concerne mme si on traite des donnes sensibles. Le mandant doit tout dabord: - Choisir avec soin le tiers qui va traiter les donnes; - Lui donner toutes les instructions adquates; - Exercer la surveillance pour sassurer que les instructions soient respectes;

Lindiquer dans le contrat est suffisant. Il faut que le pouvoir dinstruction et de 019 PAGE contrle soit effectif.
| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Outsourcer sa scurit?
La dlgation nest admise que si aucune obligation lgale ou contractuelle de garder le secret ne linterdit.
Loutsourcing de certaines tches par une banque ne contrevient pas larticle 47 LB pour autant que les neuf principes de la circulaire FINMA 2008/7 du 20 novembre 2008 soient respects. Parmi ces principes figure linformation du client. La dlgation ne dispense pas le mandant de lensemble de ses devoirs gnraux en matire de protection des donnes notamment en ce qui concerne le principe de scurit et le principe de proportionnalit (ne pas transfrer plus de donnes que ncessaire). Il faut en particulier effectuer des vrifications rgulires et pouvoir accder en tout temps aux donnes dont le traitement a t dlgu (notamment pour rpondre aux demandes de tiers art. 8 LPD). Le cadre juridique et rglementaire est donc clairement tabli.
PAGE 020

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

INTERMEDIAIRES FINANCIERS

Conclusions et conseils
1. Connatre ses limites; 2. Prendre conscience du fait quun incident important peut entraner la faillite de lentreprise; 3. Dlguer les tches pour lesquelles le savoir-faire fait dfaut; 4. Sassurer que la dlgation respecte les normes; 5. Ne pas considrer que le service juridique est peupl de gneurs et dempcheurs daffaires; 6. Dans le doute, solliciter les structures professionnelles et les services tatiques de manire anonymise. 7. Choisir un employ et le charger dune veille lie aux technologies de linformation.

dfaut priez !
Merci de votre attention.
PAGE 021

| Suisse | Me Sbastien FANTI | sebastien.fanti@sebastienfanti.ch

Allemagne
Buse Heberer Fromm Rechtsanwlte Bernd Reinmller, Tim Caesar et Stephan Menzemer Neue Mainzer Strasse 28 60311 Frankfurt Am Main T. 0049 699 71 09 71 00 F. 0049 699 71 09 72 00 reinmueller@buse.de www.buse.de

Belgique
elegis Jean-Franois Henrotte jf.henrotte@avocat.be http://lexing.elegis.be Lige Place des Nations-Unies, 7 4020 Lige T. 0032 43 42 30 50 F. 0032 70 22 52 22 Bruxelles Boulevard de la Woluwe, 60 1200 Bruxelles T. 0032 22 40 15 20 F. 0032 70 22 52 22

Canada
Langlois, Kronstrm, Desjardins Richard Ramsay et Jean-Franois De Rico jean-francois.derico@lkd.ca www.langloiskronstromdesjardins.com Montral 1002, rue Sherbrooke Ouest, 28e tage H3A3L6 Montral T. 0015 148 42 95 12 F. 0015 148 45 65 73 Qubec 801, Grande Alle Ouest, Bureau 300 G1S1C1 Qubec T. 0014 186 50 70 00 F. 0014 186 50 70 75

Espagne
Alliant Abogados Asociados SLP Marc Gallardo Gran Via Corts Catalanes 702 08010 Barcelone T. 0034 93 265 58 42 F. 0034 93 265 52 90 marc.gallardo@alliantabogados.com www.alliantabogados.com

Etats-unis
IT Law Group Franoise Gilbert 555 Bryant Street #603 Palo Alto, CA 94301 T. 0016 508 04 12 35 F. 0016 507 35 18 01 fgilbert@itlawgroup.com www.itlawgroup.com

France
Alain Bensoussan, Isabelle Tellier et Frdric Fortster www.alain-bensoussan.com Paris 29, rue du Colonel Pierre Avia F75508 Paris cedex 15 T. 0033 141 33 35 35 F. 0033 141 33 35 36 paris@alain-bensoussan.com Grenoble 7, place Firmin Gautier F38000 Grenoble T. 0033 476 70 09 95 F. 0033 476 70 09 96 grenoble@alain-bensoussan.com

Isral
Livnat, Mayer & Co Russelle D. Mayer Jrusalem Technology Park, Building 9, 4th Floor P.O. Box 48193 Malcha 91481 Jrusalem T. 0097 226 79 95 33 F. 0097 226 79 95 22 mayer@lmf.co.il www.livmaylaw.co.il

Italie
Studio Legale Zallone Raffaele Zallone 31 Via DellAnnunciata 20121 Milano T. 0039 229 01 35 83 F. 0039 229 01 03 04 r.zallone@studiozallone.it www.studiovallone.it

Maroc
Bassamat & Associe Fassi-Fihri Bassamat 30 rue Mohamed Ben Brahim Al Mourrakouchi 20000 Casablanca T. 00212 522 26 68 03 F. 00212 522 26 68 07 contact@cabinetbassamat.com www.cabinetbassamat.com

Mexique
Langlet, Carpio y Asociados Enrique Ochoa Torre Axis Santa Fe Prolongacin Paseo de la Reforma # 61, PB-B1 Col. Paseo de las Lomas 01330 Mxico, D.F. T. 0052 55 25 91 10 70 F. 0052 55 25 91 10 40 eochoa@lclaw.com.mx www.lclaw.com.mx

Norvge
Fyen Advkatfirma DA Arve Fyen Postboks 7086 St. Olavs pl. 0130 Oslo T. 0047 21 93 10 00 F. 0047 21 93 10 01 arve.foyen@foyen.no www.foyen.no

Royaume-Uni
Preiskel & Co LLP Danny Preiskel 5 Fleet Place London EC4M 7RD T. 0044 20 7332 5640 F. 0044 20 7332 5641 dpreiskel@preiskel.com www.preiskel.com

Suisse
Sbastien Fanti Avocat & Notaire 8B rue de Pr-Fleuri, CP 497 1951 Sion T. 0041 27 322 15 15 F. 0041 27 322 15 70 sebastien.fanti@sebastienfanti.ch www.sebastienfanti.ch

| Rseau mondial des avocats spcialiss en droit des technologies avances