166. Comme nous l’avons vu tout au long de ce travail, les implications juridiques et les conséquences d’un événement comme le vol ou la fuite de données sont multiples tant pour la banque, victime du vol de données que pour l’auteur de cet acte.
167. L’obligation de discrétion à la charge du banquier, mise en péril par la survenance d’un tel acte, trouve son fondement dans divers source du droit. Les banques suisses sont connues pour respecter la confidentialité des informations qui leurs sont transmises, c’est pourquoi lorsqu’un vol de données survient dans un de leur établissement leur réputation est profondément entachée, donnant l’image d’un établissement dont la sécurité des données ne serait pas assurée et qui pourrait laisser échapper des informations tant sur l’activité bancaire que personnelle de ses clients.
168. En plus des conséquences réputationnelles pour l’établissement s’ajoutent des conséquences organisationnelles importantes. En effet, les établissements bancaires sont soumis à autorisation de l’autorité de surveillance des marchés financiers. Ainsi un événement de ce type pourrait avoir pour conséquence que la garantie de l’activité irréprochable, condition à l’octroi de l’autorisation d’exercer, puisse être remise en question par la FINMA, situation qui aurait pour conséquence que l’établissement ne puisse plus exercer son activité.
169. En effet, l’autorité de surveillance a plusieurs fois rapproché la condition de la garantie de l’activité irréprochable à celle d’une organisation adéquate dont doivent être pourvus les assujettis. La condition adéquate à ses activités a pour incidence que l’établissement doit être en mesure de déterminer, limiter et contrôles les risques inhérents à son activité, tâche de la responsabilité de divers organes de la banque. En quelques mots, on peut dire que l’évolution de la pratique a pour effet qu’une déficience organisationnelle sera prise en compte par la FINMA pour son appréciation de la condition de la garantie de l’activité irréprochable.
170. Concernant le volet pénal du vol de données, la commission d’un tel acte est de nature à remplir les éléments constitutifs de plusieurs infractions du droit suisse. En effet, les dispositions sur la soustraction de données, de l’accès indu à un système informatique, mais également celle sur le service de renseignements économiques peuvent entrer en considération dans l’appréciation des infractions dont la typicité serait réalisée par un tel
acte. En plus des conséquences pénales qu’aurait la commission d’un vol de données pour l’auteur direct de l’acte, celui-ci peut également avoir des conséquences pour l’établissement lui-même qui par le biais de la responsabilité pénale de l’entreprise pourrait également se voir reprocher les faits si l’impossibilité de l’identification de l’auteur trouve sa cause dans la mauvaise organisation de l’entreprise.
171. En matière fiscale, nous avons vu que les pratiques ont été mises en place par les gouvernements visant à contourner les procédures en place pour intégrer au plus vite des recettes fiscales disparues dans les caisses de l’Etat. Des cas d’incitation de transmission de données bancaires en dehors des voies officielles ont eu lieu et ont ainsi permis à ce que des données bancaires volées soient monnayées et trouvent preneur en la personne de gouvernements étatiques. La Suisse a par ailleurs eu l’occasion de clarifier sa position face à l’utilisation de données volées dans le cadre de procédure d’assistance, celle-ci a clairement établi qu’aucune entraide ne sera octroyée lorsqu’elle se base sur des données volées.
172. Enfin comme nous l’avons vu, les implications juridiques sont diverses, diversité qui a pour conséquence un éventail de conséquences juridiques pour les divers intervenants.
La personne dont les données auront été volées peut agir sur une base civile en fondant son action soit sur le droit de la personnalité et ses actions relatives, soit sur une base contractuelle ou encore sur une base délictuelle pour réclamer réparation pour le dommage qu’elle subi. Son action pourra être tournée contre l’auteur du vol ou bien contre la banque qui supporte une responsabilité du fait de sa position d’employeur de l’auteur du vol lorsque le vol est commis par un de ses employés. Quant à l’employeur, celui-ci pourra également tenter de réclamer réparation pour le dommage causé par son employé en se retournant contre lui sur une base contractuelle ou délictuelle.
IX. Annexe - Règles de conduite proposées et commentées
173. Ce chapitre a pour objectif de proposer aux intermédiaires financiers des règles de conduite commentées, à l’instar de la Convention de diligence des Banques dans le domaine de la lutte contre le blanchiment, ou encore à l’image des différents codes de conduite en matière de gestion proposés par les organismes d’autorégulation.
174. Les mesures de conduite proposées viseront un objectif de monitoring de l’éventualité qu’une soustraction de données survienne.
175. Il convient de préciser que chaque intermédiaire financier doit ouvrir la réflexion sur ce sujet en se questionnant de façon approfondie sur divers aspects relatifs à cette problématique et sur les mesures préventives et détectives qu’il pourra mettre enœuvre.
176. L’entreprise devra également être consciente des contraintes résultant de son modèle d’affaire, de son organisation, mais encore des contraintes réglementaires relatives à son domaine d’activité.
177. La réflexion sur les différents aspects mentionnés permettra à l’entreprise de trouver un équilibre entre les facteurs identifiés et le risque jugé acceptable par le Conseil d’administration de l’entreprise.
178. Il conviendra, tout d’abord, à l’intermédiaire financier de prendre des mesures préventives. Il devra établir un cadre règlementaire en édictant, d’une part une politique de sécurité, c’est-à-dire les orientations suivies par l’entreprise en termes de sécurité, et d’autres part des procédures et un règlement du personnel.
179. L’intermédiaire financier devra également veiller à classifier les données selon leur degré de sensibilité et de convoitise afin de déterminer quelles sont les données sensibles en sa possession et quel niveau de protection devra être mis enœuvre.
180. Ensuite, une personne, en général le responsable de la sécurité des systèmes d’informations, devra être désignée afin de constituer la personne à contacter en cas d’intrusion dans le système. Le responsable de la sécurité des systèmes d’informations aura pour tâches de définir la politique de sécurité, de faire appliquer cette politique ainsi que les mesures techniques, de contrôler les actions des administrateurs IT et de reporter directement ses constatations à la direction de l’intermédiaire financier.
181. Dans le cadre du règlement du personnel, les rôles et responsabilités de chacun des employés devront être clairement définis.
182. Il est également conseillé, dans le cadre de la prévention, de sensibiliser les utilisateurs des systèmes d’informations aux problématiques résultant de l’utilisation de tels systèmes et des mesures à éviter pour se protéger contre des attaques extérieures ou à adopter pour maintenir un haut niveau de confidentialité.
183. L’intermédiaire financier devra également prendre des mesures techniques préventives.
Ainsi il lui est recommandé de sécuriser les postes de travail en fermant par exemple les ports USB, en instaurant une procédure d’autorisation pour l’activation des ports de sorties. Il devra aussi installer des outils techniques tels que le firewall ou encore l’installation d’un Intrusion Detection System (IDS), mécanisme destiné à détecter les activités anormales ou suspectes sur un réseau et permettant ainsi d’avoir connaissance des tentatives d’intrusion réussies ou échouées.
184. S’agissant des données considérées comme sensibles, celles-ci peuvent être stockées sur un serveur séparé situé sur un réseau à part ou encore être stockées sur un disque dur crypté.
185. Il est nécessaire à l’intermédiaire financier d’établir une sécurité logique afin de définir les personnes pouvant accéder à l’information, en déterminant quelles informations leurs sont accessibles et qui sont les personnes détenant les droits de modifications, de lecture et de sauvegarde de telles informations.
186. En plus des mesures techniques préventives générales, l’intermédiaire peut instaurer des mesures particulières telles que le blocage des emails sortants contenant des pièces jointes, le blocage de l’impression de certains documents ou encore le blocage des boîtes emails personnelles et l’aménagement d’une salle réservés à la consultation sur internet avec des ordinateurs séparés du réseau.
187. Suite à la prise de mesures préventives, la banque devra prendre des mesures détectives visant à découvrir toute intrusion. Elle pourra par exemple installer une application
« radar » lui permettant de contrôler les accès au fichier client. Cette installation lui permettra de revoir les logs d’accès et ainsi de connaître les personnes ayant eu accès aux informations, le moment de la consultation et sa fréquence. Comme nous l’avons mentionné précédemment la banque pourra également installer un IDS afin de surveiller et contrôler les accès externes au réseau et de contrer les attaques.
188. En plus des remarques précédentes relatives aux mesures préventives et détectives, il est utile d’apporter des éléments supplémentaires relatifs au domaine dans lesquels les fuites de données sont les plus fréquentes. On peut identifier quatre domaines de risques qu’il convient de surveiller.185
a. Le domaine des ressources humaines
189. Ainsi beaucoup de risques se trouvent rattacher au domaine des ressources humaines. En effet, ce secteur doit savoir faire face à des problématiques pouvant engendrer une attitude conduisant à la commission d’une soustraction de données. Dans la pratique, les vols de données survenus ont tous une composante en commun qui est celle du facteur humain. En effet, le facteur humain est un aspect du vol de données qu’il ne faut pas négliger. Face à des comportements inadaptés d’employés ou face à une mauvaise gestion des ressources humaines, il convient de prendre des mesures pour diminuer le risque qu’un employé dérobe des informations confidentielles.
190. Dans ce domaine, des mesures simples peuvent être prises pour contrer cette éventualité.
Ainsi le département des ressources humaines peut mettre enœuvre diverses procédures.
Par exemple, lescreening des candidats à un poste en lien avec des données sensibles.
L’entreprise peut effectuer des recherches poussées sur les futurs collaborateurs tout d’abord en vérifiant scrupuleusement les références mentionnées dans leur curriculum vitae.
191. Dans le même ordre d’idée, on peut imaginer en plus du screening que l’entreprise pourrait faire un sondage sur l’intégrité et l’éthique des personnes postulant à des emplois dans son établissement et pour les personnes en poste, l’établissement pourrait envisager l’édiction d’un code de conduite applicable à son personnel lequel comprendrait une clause relative à l’intégrité du personnel à l’instar des articles 8 LBA186et 25 OBA-FINMA187qui prévoit que le personnel doit être intègre et formé de manière adéquate.
192. L’entreprise doit également contrôler aléatoirement les activités de ses employés durant la période pendant laquelle ils sont employés. L’éventualité de son contrôle
185Présentation KPMG « Le vol de données disséqué : Protéger ses données – mode d’emploi » donnée lors de la conférence sur le vol de données disséqué de l’ISACA.
186RS 955.0
187RS 955.030.0
aléatoire aura un effet dissuasif sur les employés à condition que la possibilité du contrôle soit annoncée avant l’entrée en fonction du collaborateur.
193. L’autre mesure essentiel pour lutter contre le vol de données, est celle de laségrégation des environnements de travail, mais également des accès aux ressources informatiques ou physiques. Par la ségrégation, l’employeur réduit considérablement le risque que des informations confidentielles soient portées à la connaissance de personnes n’ayant pas nécessairement besoin de ces renseignements pour effectuer leur travail, en plus de donner une meilleure vision des personnes en contact avec celles-ci.188
194. Il est également important d’ajouter en lien avec ce domaine et celui de l’informatique que les accès des employés ayant quitté l’entreprise doivent être immédiatement et impérativement désactivés. En effet, dans la pratique il est courant de voire des employés s’approprier des comptes informatiques de collègues ayant changé de département ou ayant quitté l’entreprise.189 Cette appropriation a pour effet que l’identification de la personne utilisant le compte de cette personne est difficile voire impossible.
b. Le domaine informatique
195. Le risque dans le domaine informatique est celui de ne pas aborder le problème de la fuite ou du vol de données de manière assez drastique. Une approche limitative ou insuffisante est souvent la cause d’une mauvaise protection des données et par conséquent de l’accessibilité de celles-ci par des personnes non-autorisées externes ou internes à l’entreprise.
196. Pour mitiger ce risque et éviter l’accès à des personnes non-légitimées, il convient que le département IT prenne des mesures visant à protéger les accès informatiques, cette protection peut être mise enœuvre de différentes façons.
197. Tout d’abord, comme nous l’avons dit, l’entreprise devrait ségréger les accès aux informations confidentielles de manière à ce que seule les personnes ayant obligatoirement besoin de ces informations puissent y accéder. Il est également souhaitable que l’accès soit délimité à certaines informations en particulier, ceci afin d’éviter qu’un collaborateur puisse avoir connaissance de l’ensemble des informations
188Préposé fédéral à la protection des données, « Guide relatif aux mesures techniques et organisationnelles de la protection des données, p. 6.
189“Prévenir les défaillances”, Serge MAILLARD, Private Banking, Octobre 2010.
ou encore qu’il puisse faire une réconciliation, une connexion entre les différents renseignements dont il aurait eu connaissance par divers biais.
c. Le domaine de l’organisation
198. L’organisation est un point central dans la lutte contre la fuite et le vol de données. En effet, elle permet d’éviter par des mesures d’organisation, des défaillances ou des inadéquations dans le système de gestion des risques qui conduiraient à négliger le risque relatif en matière de soustraction d’informations confidentielles.
199. L’établissement établira une séparation stricte entre les environnements de travail.
La première mesure qui s’impose en matière d’organisation a déjà été mentionnée précédemment lorsque nous avons abordé la question de la ségrégation des départements et des accès informatiques.
200. L’intermédiaire édictera un Code de conduite à l’attention de ses employés sur les procédures de confidentialité.
Une autre mesure est celle de l’édiction d’un code de conduite interne à l’établissement règlementant les procédures en matière de code d’accès et de confidentialité des données. Ces procédures pourrait être contrôlées par l’organe de révision externe dans le cadre d’un audit spécial, afin d’évaluer l’efficacité et les faiblesses des mesures déployées.
d. Le domaine des prestataires externes
201. Beaucoup d’établissements bancaires ont recours à des prestataires externes pour l’exécution de diverses tâches comme par exemple le compliance ou encore l’informatique. En ayant recours à l’outsourcing,l’entreprise augmente le risque de fuite de données dans la mesure où ces données sont rendues accessibles à des tiers. La direction de l’établissement a pour tâche d’identifier, d’analyser et de contrôler le risque pris par l’établissement. Elle doit rendre compte au Conseil d’administration de l’efficacité du contrôle interne et l’informer en cas de constatations graves. Confier des tâches à des prestataires externes peut être source de problèmes pour l’établissement. En effet, le prestataire peut disposer des standards de protection faibles ou encore d’une organisation inadaptée au type de tâches outsourcées qui augmenteraient le risque inhérent.
202. Pour contrôler ce risque, l’établissement peut, à l’exemple des mesures prises pour l’engagement de nouveaux collaborateurs, effectuer un screening des prestataires avec lesquels il envisage de travailler et investiguer sur leur activité et leur organisation.
203. L’établissement peut également imposer des règles de conduite et de qualité aux entreprises avec lesquelles il souhaite travailler. Ces règles imposeraient par exemple à l’établissement que ses employés suivent des formations dans le domaine de la sécurité des données, les sensibilisant ainsi à la problématique de la fuite des données.
204. A noter que dans le cas d’un outsourcing interne au groupe, c’est-à-dire de la délégation de la part d’un intermédiaire financier à une autre entité du groupe faisant également partie du périmètre de consolidation, il convient de dresser une séparation entre les personnes s’occupant de la surveillance consolidée et celles traitant des données.
Bibliographie
ALTHAUS STÄMPFLI Annette, Kundendaten von Banken und Finanzdienstleistern:
Datenschutz und Bankgeheimnis versus Offenlegungspflichten und Outsourcing, Berne 2009 (cité: A. ALTHAUS STÄMPFLI)
ALTHAUS STÄMPFLI Annette, Personendaten von Bankkunden – Ihre Witerleitung im Finanzkonzern und dritte Dienstleister, Bern 2004 (cité : A. ALTHAUS STÄMPFLI, Personendaten von Bankkunden)
ASCARI Patrizia, BRUNISHOLZ Jean, « Mise en place d’un système de communication de renseignements : le système FATCA »,STR2010 p. 828.
AUBERT Maurice, BÉGUIN Pierre-André, BERNASCONI Paolo, GRAZIANO-VON BURG Johanna, SCHWOB Renate, TREUILLAUD Raphaël, Le secret bancaire suisse, 3ème éd., Berne 1995
BANQUE DES RÈGLEMENTS INTERNATIONAUX, Convergence internationale de la
mesure et des normes de fonds propres, (www.bis.org),
http://www.bis.org/publ/bcbs107fre.pdf, 27 décembre 2010 (cité : Bâle II)
BICHOVSKY Aude, « L’appréciation de la loi pénale dans l’espace », in La nouvelle partie générale du Code pénal suisse, édit. KUHN et al., Berne, 2006, p. 1-34
BORLA Manuel, Surveillance bancaire consolidée, Flux d’informations appartenant à la clientèle : Pratique des autorités et obstacles des législations étrangères, Genève 2007
BUCHER Andreas,Les droits de la personnalité, 4èmeédition, Bâle 1999
CASSANI Ursula, « Droit pénal économique 2003-2005 : actualités législatives », in FELLMANN/POLENDA (édit.), La pratique de l’avocat 2005, Berne, 2005, p. 671 (cité : U.
CASSANI, actualités législatives)
CASSANI Ursula, « Sur qui tombe le couperet du droit pénal ? Responsabilité personnelle, responsabilité hiérarchique et responsabilité de l’entreprise »,inJDBF 2008, Genève, 2008 p.
53 (cité : U. CASSANI, JDBF 2008)
CHAUDET François,Droit suisse des affaires, 2eéd., Bâle, 2004
CHENAL Arnaud, « La dimension informatique dans le SCI, retour d’expérience sur l’intégration des systèmes d’information dans l’évaluation du SCI »,ECS 2010, p. 34
COMMISSION FÉDÉRALE DES BANQUES,Questions et réponses au sujet de la lettre de la Commission fédérale des banques (CFB) concernant la « garantie d’une activité
irréprochable », (www.finma.ch),
http://www.finma.ch/archiv/ebk/f/faq/pdf/FAQ_Gewaehrsbrief_f.pdf, 14 octobre 2010
CONNE Jean-Blaise, PERNOLLET Jean-Christophe, « Comment contrôler l’activité bancaire ? Réflexions sur les dernières crises »,ECS2008, p. 5664
CORBOZ Bernard,Les infractions en droit suisse, volume 1, 3eédition, Berne, 2010 (cité : B.
CORBOZ, volume 1)
CORBOZ Bernard,Les infractions en droit suisse, volume 2, 3eédition, Berne, 2010 (cité : B.
CORBOZ, volume 2)
DÉPARTEMENT FÉDÉRAL DES FINANCES, La Suisse entend reprendre les standards de l’OCDE relatifs à l’assistance administrative en matière fiscale, (www.efd.admin.ch), http://www.efd.admin.ch/dokumentation/medieninformationen/00467/index.html?lang=fr&ms g-id=25863, 13 mars 2011
DÉPARTEMENT FÉDÉRAL DE JUSTICE ET POLICE, « Demandes d’assistance administrative fondées sur des données volées »,JAAC2/2010 82
ERNST & YOUNG, Foreign Account Tax Compliance Act (FATCA), Mastering the challenges of the new US regulation, 2010
FINMA, Bulletin 1, Berne 2010
FINMA, Externalisation par les banques, (www.finma.ch),
http://www.finma.ch/f/faq/beaufsichtigte/Pages/faq-outsourcing.aspx, 23 septembre 2010
FINMA, Risques juridiques (accrus) dans le cadre d’activités financières transfrontières, (www.finma.ch), http://www.finma.ch/f/medien/medienanlaesse/Documents/pdp-genf-referat-urszulauf-20101022-f.pdf, 15 février 2011
FRANKHAUSER Reto, « Protection of company data against malicious IT staff », in Banque
& Finance, Banking solutions, Octobre 2010
GASSER Andreas, KRAMER Georg, TÖDTLI Markus R., WERLEN Thomas, Das Schweizerische Bankgeschäft Das praktische Lehrbuch und Nachschlagewerk, 6ème édition, Genève 2004
GRAVEN Philippe,L’infraction pénale punissable,2eéd.,Berne, 1995
HAURI Patrick, ,“Pflichten und Verantwortlichkeit des Bank-Verwaltungsrates : Asset- &
Liability-Management und seine Aufgaben im Risikomanagement”,ECS1998, p. 25
HAURI Patrick, CARRI Anna, « Comment le conseil d’administration bancaire peut-il remplir ses devoirs dans la gestion des risques ? »,ECS2000, p. 1235.
HIRSCH Alain, « La garantie de l’activité irréprochable : l’évolution de la pratique »,Bulletin anniversaire de la Commission fédérale des banques, Bulletin 50, p. 29
HURTADO POZO José,Droit pénal Partie spéciale, 2 éd., Genève, Bâle, Zurich, 2009 (cité : J. HURTADO POZO, Partie spéciale)
IT GOVERNANCE INSTITUTE, Information Security Governance : Guidance for information security managers, 2ème éd., USA 2006
KPMG, « Data loss barometer, Insights into lost and stolen information in 2009 », 2009 LOMBARDINI Carlo,Droit bancaire suisse, 2ème éd., Zurich 2008
MACALUSO Alain, La responsabilité pénale de l’entreprise : principes et commentaire des art. 100quateret 10quinquiesCP, Zurich, Bâle, Genève, 2004 pp. 146-147.
MAILLARD Serge, « Prévenir les défaillances », in Private Banking, Octobre 2010