Protection et gouvernance des données
Aujourd’hui comme hier, la discrétion, la confidentialité et la protection des données sont des compétences clés du Swiss Banking. Voici un aperçu des principales dispositions légales applicables en Suisse ainsi que des évolutions en cours.
Evolutions dans le domaine de la protection des données
Etat des délibérations au Parlement (17.059)
La loi sur la protection des données (LPD) a été modifiée pour tenir compte du développement des nouvelles technologies et des évolutions sociales. Le Conseil fédéral a décidé de soumettre la LPD existante à une révision totale et a présenté en septembre 2017 le message en ce sens. A l’issue d’un long processus parlementaire, la nouvelle loi sur la protection des données (nLPD) a été adoptée le 25 septembre 2020. Elle devrait entrer en vigueur en 2022.
Lors des débats parlementaires, on a veillé à ce que la Suisse ne s’impose pas des règles plus strictes que nécessaire (Swiss finish). On a également fait en sorte que la LPD révisée ne soit pas une copie du Règlement général de l’Union européenne sur la protection des données (RGPD), mais conserve les spécificités suisses et laisse une marge de manœuvre suffisante à cet effet. En outre, les devoirs d’information et l’analyse d’impact relative à la protection des données, notamment, ont été aménagés de manière plus compatible avec la pratique pour les entreprises. La nLPD prévoit en particulier une extension notable du devoir d’information concernant les responsables des données. Elle formalise le concept de profilage en en donnant une définition légale. Elle complète le catalogue des sanctions et relève le montant des amendes. Elle étend le secret professionnel à toutes les professions, au-delà des secteurs déjà réglementés comme les banques et les avocats. Globalement, la nLPD intègre des modifications que les défis nationaux et internationaux liés à la numérisation rendaient nécessaires depuis longtemps.
L’ASB a accompagné la révision de la LPD en étroite coopération avec economiesuisse.
Liens
Le RGPD est directement applicable depuis le 25 mai 2018. Il renforce les droits des personnes physiques en matière de contrôle de leurs données personnelles. Ce règlement est obligatoire dans tous les Etats membres de l’Union européenne, dont certains ont déjà promulgué des lois d’exécution. Il produit toutefois aussi des effets extraterritoriaux: pour de nombreuses entreprises suisses, cela signifie en pratique qu’elles doivent respecter à la fois les dispositions de la LPD et celles du RGPD. Les nouvelles dispositions étant en général sources d’incertitudes juridiques, les conséquences du RGPD sur la Suisse ont fait l’objet d’analyses provisoires publiées en particulier par le Préposé fédéral à la protection des données et à la transparence (PFPDT) ou par l’étude d’avocats Homburger.
Liens
Etat des délibérations au Parlement (18.049)
Le Conseil fédéral a publié le 1er juin 2018 son message relatif à la loi fédérale sur les services d’identification électronique (LSIE). Le Conseil national et le Conseil des Etats ont adopté le 27 septembre 2019, à une forte majorité, le projet de loi sur l’e-ID reconnue par l’Etat. Un référendum ayant été lancé avec succès contre ce projet, le peuple suisse se prononcera dans les urnes le 7 mars 2021.
La LSIE crée un cadre juridique et normatif en vue de la reconnaissance des moyens d’identification électronique et de leurs fournisseurs. Concrètement, la Confédération entend confier à des prestataires privés appropriés la production des supports technologiques de l’e-ID ainsi que l’exploitation des systèmes d’e-ID. L’implication du secteur privé est essentielle pour que l’e-ID soit un succès. L’ASB soutient expressément la répartition des tâches entre l’Etat et le marché, telle que la prévoit le Conseil fédéral. Les entreprises disposent des compétences technologiques requises et sont proches des utilisateurs: elles sont ainsi à même d’assurer une diffusion rapide de l’e-ID sur l’ensemble du territoire suisse – d’où leur intérêt sur le plan économique. Quant aux banques suisses, elles sont appelées à jouer un rôle important à cet égard, dans la mesure où des millions de clients s’identifient quotidiennement pour accéder aux systèmes de banque mobile, et ce en toute sécurité et convivialité.
Toutefois, pour que l’e-ID s’impose, les utilisateurs doivent être certains que toutes les données utilisées sont soumises à des règles de confidentialité raisonnables.
Etat des délibérations au Parlement (15.073)
La LSFin, entrée en vigueur le 1er janvier 2020, contient également des prescriptions spécifiques relatives à la protection des données, qui s’appliquent en sus des dispositions de la LPD et peuvent se chevaucher avec ces dernières. Ainsi, le droit du client à la remise de tout document établi par le prestataire de services financiers dans le cadre de la relation d’affaires, prévu à l’article 72 de la LSFin, se retrouve pour l’essentiel à l’article 8 de la LPD (article 25 de la nLPD). Cet article règle le droit d’accès et les obligations y afférentes en matière de communication de données personnelles.
Liens
Protection des données
La protection de la sphère privée est un droit fondamental. Dès lors, en vertu de l’article 13 de la Constitution fédérale, «toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.» Plus largement, toute personne a le droit d’être protégée contre l’utilisation abusive de ses données personnelles.
Dans un monde de plus en plus numérisé, les données influent sur notre vie, à tout moment et partout. Une fois enregistrées, elles restent très longtemps sur la Toile et sont susceptibles d’être utilisées à des fins contraires à la volonté des personnes concernées. Il est donc très important pour les entreprises comme pour les particuliers que la protection de leurs données soit respectée et garantie. Les banques, qui ont derrière elles une longue tradition de discrétion et de confidentialité, sont particulièrement conscientes du fait que les informations détaillées sur la situation financière de leurs clients font partie des données personnelles les plus sensibles.
Loi sur la protection des données
En Suisse, la loi fédérale sur la protection des données (LPD) protège la personnalité et les droits fondamentaux des personnes physiques et morales qui font l’objet d’un traitement de données. Elle définit les conditions d’un traitement licite et prévient ainsi d’éventuels abus. Elle pose le principe qu’il est interdit de recueillir plus de données personnelles que nécessaire (proportionnalité et parcimonie).
La protection des données est au service du droit à la libre détermination en matière de données. En d’autres termes, chaque citoyen doit être en mesure de décider librement si ses données personnelles seront communiquées, et à quelles fins. Le droit applicable à la protection des données prévoit donc diverses possibilités permettant aux personnes d’exercer leurs droits de la personnalité.
Toute personne peut demander au maître d’un fichier si des données la concernant sont traitées et quelles sont ces données. Les renseignements correspondants ne peuvent être refusés ou restreints que si une loi au sens formel le prévoit ou si les intérêts prépondérants d’un tiers l’exigent.
Le maître du fichier a l’obligation d’informer les personnes physiques de toute collecte de données sensibles ou de profils de la personnalité les concernant. Il lui incombe de leur faire connaître notamment le but du traitement pour lequel les données sont collectées, ainsi que le destinataire en cas de communication des données.
A l’heure de la banque mobile et des applications de paiement, nombreux sont les clients des banques à accéder quotidiennement à leurs données de compte ou de carte de crédit via un ordinateur ou un smartphone. Gérer les failles en matière de sécurité constitue donc un défi de taille, que les banques relèvent en identifiant de manière ciblée les nouveaux risques et en s’efforçant de les limiter. En outre, de plus en plus, les conseils d’administration et les directions des banques se penchent sur la question de la protection et de la sécurité des données et statuent à ce propos.
Secret professionnel du banquier
Le secret professionnel du banquier (article 47 de la loi sur les banques) est un véritable secret professionnel, comparable à celui du médecin ou de l’avocat. Il vise à protéger la sphère privée financière et couvre l’ensemble des constats d’ordre factuel, des jugements de valeur et des autres informations (y compris les résultats personnels d’évaluation) attribuables à un client d’une banque. Le secret professionnel du banquier, introduit dès 1934, va donc plus loin que ce que prévoit la LPD. Pour autant, contrairement à une opinion répandue, il n’est pas illimité. Par exemple, il ne protège pas les criminels. Les banques sont tenues depuis toujours de divulguer des informations sur leurs clients dans le cadre
- des procédures de droit civil (successions ou divorces notamment),
- des procédures de poursuite pour dettes ou de liquidation forcée,
- des procédures pénales (en particulier en cas de fraude fiscale),
- de la surveillance des marchés financiers, et
- de l’échange international de renseignements.
Ces dernières années, le secret professionnel du banquier a toutefois connu une mutation profonde, notamment en matière fiscale. Sous l’impulsion des évolutions internationales, la transparence envers les autorités fiscales et de surveillance revêt désormais, en Suisse comme ailleurs, une importance accrue.
Echange automatique de renseignements (EAR)
Depuis le 1er janvier 2017, les banques suisses mettent en œuvre l’échange automatique de renseignements (EAR) avec l’étranger. L’EAR définit la manière dont les autorités fiscales des pays participants échangent entre elles des données relatives aux comptes et aux dépôts de titres détenus par des contribuables. La Suisse est particulièrement concernée par l’EAR, puisque plus d’un quart des placements transfrontaliers effectués dans le monde sont gérés sur son territoire. Aussi le gouvernement et les banques se sont-ils fortement engagés au sein de l’OCDE pour que la norme sur l’EAR soit aussi juste et adaptée à la pratique que possible, notamment en exigeant avec insistance une protection suffisante des données.
Liens
Foreign Account Tax Compliance Act (FATCA)
Les exigences accrues en matière de transparence concernent aussi les relations avec les Etats-Unis. Le FATCA est une loi fiscale américaine unilatérale, mais déployant des effets extraterritoriaux, qui est destinée à prévenir d’éventuelles soustractions d’impôts au détriment des Etats-Unis. Elle vise les établissements financiers du monde entier et exige d’eux qu’ils transmettent à échéances régulières aux autorités fiscales américaines des informations sur les comptes détenus par des contribuables américains (US accounts). La Suisse, comme de nombreux autres pays, a conclu avec les Etats-Unis un accord facilitant la mise en œuvre du FATCA. C’est sur la base de cet accord (accord FATCA) qu’a été édictée une loi fédérale dite loi FATCA, entrée en vigueur le 30 juin 2014.