consécutive d’une atteinte, cette dernière doit être illicite, c’est-à-dire ne pas reposer sur des motifs justificatifs tels qu’énoncés à l’article 28 al. 2 CC. Si ces deux conditions, celle de l’atteinte et de son illicéité, sont remplies le lésé peut intenter une action spécifique relevant du droit de la personnalité et prévue par l’article 28a al. 1 CC.
136. Cette disposition prévoit trois types d’actions fondées sur la nature de l’atteinte. Ainsi si l’atteinte n’a pas eu encore lieu, mais qu’elle est imminente, le potentiel lésé fondera sa requête au juge sur l’article 28a al.1 ch.1 et demandera que le juge interdise une telle atteinte. Alors que si l’atteinte est actuelle et continue, le lésé demandera plutôt au juge de la faire cesser et dans le cas où le trouble que l’atteinte a créé subsiste, au-delà de l’atteinte elle-même, d’en constater le caractère illicite.
137. Dans la situation d’un vol de données, le lésé ayant eu connaissance qu’un tel vol s’est produit au sein de l’établissement avec lequel il est en relation d’affaires et que les données le concernant ont fait l’objet du vol, peut ainsi agir contre l’auteur du vol en interdiction de l’atteinte afin de prévenir l’utilisation frauduleuse des informations recueillies par l’auteur de l’atteinte potentielle.
138. Par ailleurs, l’article 28a al.3 CC réserve d’autres actions possibles en droit de la personnalité visant à réparer le dommage causé. On entend par autres actions, l’action en dommages-intérêts et en réparation du tort moral, ainsi que l’action en remise du gain perçu. Dans le cas d’un vol de données, les actions envisageables sont celles de l’action en dommages-intérêts et celle en remise du gain perçu.
139. S’agissant de l’action en remise du gain auquel renvoie l’article 28a al.3 CC, action basée sur le droit de la gestion d’affaires, elle serait tout à fait pertinente lorsque l’auteur d’un vol de données a été rémunéré, à l’instar des affaires de vols de données médiatisées, pour la commission de l’infraction ou pour la revente des données. En agissant sur cette base, la victime de l’infraction aux droits de sa personnalité pourrait ainsi récupérer le gain généré par ses propres données personnelles. La difficulté, cependant, résidera dans la détermination du montant du gain résultant de l’atteinte à la personnalité perçu par l’auteur de celle-ci. Dans un tel cas, le juge pourra appliquer
l’article 42 al. 2 CO et déterminera équitablement le montant du gain en prenant en considération le cours ordinaire des choses.165
ii. En matière délictuelle
140. Le lésé aura également la possibilité, si les conditions sont remplies, de fonder son action sur les dispositions relevant du domaine délictuelle. Les conditions pour l’application de cette action sont nombreuses, l’article 41 CO exige qu’un dommage ait été causé par une atteinte illicite résultant du comportement fautif d’autrui. L’exigence qui sera la plus difficile à prouver est celle du dommage. Le dommage au sens strict est défini comme étant la diminution involontaire du patrimoine qui peut intervenir sous la forme d’une augmentation des passifs ou une diminution des actifs ou d’une non-diminution du passif ou encore d’une non-augmentation de l’actif.166Le lésé devra ainsi démontrer que sans l’atteinte, sa fortune aurait été plus élevée. La réalisation de cette condition est une des plus difficiles à prouver. En effet, lorsque le vol de données aura pour conséquence le paiement du solde d’impôts impayés ou le paiement d’une amende, le client ne subit pas de préjudice susceptible d’être réparé.167 Le Tribunal fédéral a relevé, s’agissant de la situation précitée qu’une taxation fiscale se fonde sur la fortune du sujet et qu’une amende tirerait son origine dans la décision du sujet de soustraire des impôts.168 Notre Haute Cour a également précisé que l’amende a un caractère strictement personnel, son but étant de sanctionner le comportement délictueux de celui à qui elle est attribuée. De ce fait, le paiement de l’amende ne peut en aucun cas être reporté sur un tiers.169 Nous relevons tout de même que dans l’hypothèse où le client s’est alloué les services d’un homme de loi, les frais inhérents à sa défense pourront eux être considérés comme un dommage, avec pour conséquence que l’établissement bancaire devra indemniser son client à hauteur des frais d’avocat déboursés.
S’agissant de la condition de la causalité, nous notons que, dans le cadre d’un vol de données, la causalité naturelle est réalisée, ce qui n’est pas le cas de la causalité adéquate. En effet, selon le cours ordinaire des choses et l’expérience générale de la vie,
165A. BUCHER, N. 605.
166ATF 133 III 462, c. 4.4.2; ATF 129 III 18, c. 2.4; ATF 128 III 22, c.2aa ; ATF 116 II 441, c. 2c.
167ATF 115 II 72.
168ATF 123 IV 254, 256.
169ATF 115 II 72, 75.
le vol de données bancaires n’est pas propre à entraîner un dommage, de même qu’un dommage ne paraît pas favorisé par le vol de données.170
141. Le préjudice peut également se manifester sous la forme d’un tort moral, c’est-à-dire sous la forme de souffrances physiques ou psychiques ressenties par la victime à la suite de l’atteinte à sa personnalité.171 L’article 49 al.1 CO prévoit que celui qui subit une atteinte illicite à sa personnalité a droit à une somme d’argent à titre de réparation morale, pour autant que la gravité de l’atteinte le justifie et que l’auteur ne lui ait pas donné satisfaction autrement. Cette disposition revêt un caractère exceptionnel, du fait d’une part qu’elle ne trouve application qu’en cas d’atteinte d’une gravité avérée et d’autre part par son application en second recours, lorsque la victime n’a pas trouvé réparation autrement. Par personnalité, il faut entendre notamment les biens de la personnalité tels que la liberté, l’honneur, la sphère personnelle.172 Cette disposition exige que l’atteinte à la personnalité soit d’une certaine gravité, en d’autres termes le résultat de l’atteinte doit être grave objectivement et subjectivement.173Dans l’hypothèse d’une soustraction de données, l’application de l’article 49 CO peut être envisagée, la victime de l’atteinte devra prouver les circonstances dont on peut, à partir de l’atteinte, tirer comme conséquence sa souffrance.174 Il convient de relever que la victime de l’atteinte ne pourra réclamer la réparation du tort moral si elle a obtenu réparation d’une autre manière, par exemple en obtenant notamment un droit de réponse ou encore une condamnation pénale. Il sied de relever que la personne morale, victime d’une soustraction de données, peut également subir un tort moral causé par une atteinte à la personnalité pour laquelle la réparation prévue à l’article 49 al. 1 CO est possible.175 142. Plutôt que d’agir directement contre l’auteur, personne physique, de l’atteinte, le lésé
peut agir contre la banque elle-même en faisant application de la base légale sur la responsabilité de l’employeur (art. 55 CO). Cette disposition prévoit quel’employeur est responsable du dommage causé par ses travailleurs ou ses autres auxiliaires dans l’accomplissement de leur travail, s’il ne prouve qu’il a pris tous les soins commandés
170P. TERCIER, N. 1734.
171P. TERCIER, N. 1105.
172F. WERRO, N. 150.
173F. WERRO, N. 153.
174ATF 120 II 96, c. 2b = JdT 1996 I 119, 120.
175ATF 95 II 481, c. 4 = JdT 1971 I 226, 230-231.
par les circonstances pour détourner un dommage de ce genre ou que sa diligence n’eût empêché le dommage de se produire.
143. Cette responsabilité est une responsabilité objective simple de l’employeur, ainsi cette base légale sanctionne la violation d’un devoir de diligence sans égard à la faute de l’employeur. Ce dernier sera par conséquent tenu de réparer un dommage bien qu’aucune violation ne puisse lui être reprochée subjectivement. Pour renverser la présomption selon laquelle la violation d’un devoir de diligence lui est imputable, l’employeur doit apporter une preuve libératoire. Afin de se disculper, l’employeur doit établir qu’il a cumulativement été diligent dans le choix de ses employés, dans leur instruction, dans leur surveillance, enfin l’employeur devra également établir que son entreprise est organisée de façon rationnelle, en d’autres termes qu’une répartition des tâches et des compétences hiérarchiques existe.176En outre, l’employeur peut démontrer que, bien qu’ayant pris toutes les mesures de diligence qui pouvaient être attendues de sa part, ces mesures n’étaient pas propre à empêcher qu’un tel dommage se produise.177
iii.En matière contractuelle
144. Le contrat conclu entre la banque et son client peut être qualifié de contrat de mandat pour lequel les parties sont tenues à une obligation de discrétion. Dans le cas où les parties sont liées contractuellement et que l’une d’elles viendrait à violer illicitement une obligation résultant du contrat conclu entre elles, la responsabilité contractuelle de cette partie pourrait être engagée.
145. L’action en responsabilité contractuelle se fondera donc sur la violation d’une obligation prévue par le contrat. Dans l’hypothèse où cette obligation fait partie des clauses contractuelles, la partie contractante lésée par la violation de cette clause pourra agir sur la base des articles 97 et suivants CO.
146. Dans l’hypothèse contraire, c’est-à-dire celle où l’obligation de confidentialité n’est pas réglée par le contrat, il convient d’appliquer les principes généraux du droit des obligations et de déterminer si l’obligation de discrétion constitue une obligation accessoire ou principale du contrat. Dans le cas où cette obligation ressortie des obligations principales, le juge ne peut user de son pouvoir pour combler cette lacune en
176F. WERRO, N. 464 – 477.
177F. WERRO, N. 464.
vertu de l’article 2 al.2 CO, car les parties n’auraient pas conclu le contrat sans régler ce point, le contrat serait donc nul. Au contraire si on considère que l’obligation de discrétion est une obligation accessoire du contrat, le juge pourra combler cette lacune du contrat en appliquant les principes généraux du droit contractuelle. Le juge devra par conséquent déterminer s’il s’agit d’un contrat nommé, c’est-à-dire d’un contrat réglé par la loi, ou d’un contrat innommé non réglé par la loi. Concernant les contrats innommés, le juge devra apprécier dans quelle mesure il pourra user de son pouvoir pour combler la lacune ressortant d’un tel contrat.
147. Il convient donc de considérer l’obligation de discrétion comme une obligation accessoire des parties pour laquelle une responsabilité contractuelle peut être engagée. Si on qualifie le contrat entre la banque et son client, comme c’est raisonnablement le cas, de contrat de mandat, l’obligation de discrétion est légalement comprise dans la bonne et fidèle exécution du contrat prévue à l’article 398 al.2 CO.
148. La responsabilité contractuelle de la banque pourra être engagée sur la base de l’article 97 al.1 CO en lien avec l’article susmentionné. Les conditions de la responsabilité devront être remplies pour que la responsabilité de la banque soit engagée. En l’occurrence, ces conditions sont celles du dommage, du lien de causalité entre la violation d’une obligation contractuelle et le dommage, puis enfin la faute de l’auteur de la violation. Il sied de rappeler que la responsabilité de la banque sera engagée par le biais de l’article 101 al.1 CO prévoyant la responsabilité de l’employeur pour les actes de ses auxiliaires à moins que le contrat conclu entre la banque et le client ne contienne une clause d’exclusion de responsabilité pour faute légère. L’employeur pourra intenter une action récursoire envers le travailleur sur la base de l’article 321e CO afin de mettre à la charge du travailleur ou du moins répartir la responsabilité lié au dommage supporté par la banque vis-à-vis du client.178
149. Dans le cas d’un vol de données, comme nous l’avons déjà mentionné, la condition qui sera la plus difficile à prouver sera celle du dommage subi par le cocontractant. En effet, par la révélation de données personnelles, le lésé subi certes un dommage, mais un dommage qui se concrétise plus sous la forme d’un tort moral plutôt que patrimonialement.
178R. WYLER, p. 143.
150. S’agissant des conséquences contractuelles pour l’auteur du vol de données, plusieurs aspects doivent être abordés et différentes hypothèses doivent être dressées.
151. Dans la situation où le travailleur est toujours employé de la banque et que celle-ci ne l’a donc pas encore licencié, elle pourra actionner la responsabilité du travailleur sur la base des articles 321e al.1 CO et 321a al.4 CO. L’article 321e al. 1 CO dispose que le travailleur répond du dommage qu’il cause à l’employeur.Pour que la responsabilité du travailleur soit engagée, l’employeur doit prouver qu’il a subi un dommage lié à la violation par le travailleur de ses obligations contractuelles et que cette violation est causale de l’existence du dommage subi par l’employeur. Le travailleur doit avoir agi intentionnellement ou par négligence. Par conséquent, si le travailleur souhaite se disculper il doit démontrer qu’il n’a pas agi de manière fautive.
152. Il convient de relever que bien que s’agissant d’une responsabilité contractuelle répondant aux principes généraux applicables en matière de responsabilités contractuelles, il est néanmoins important de noter que l’étendue de la responsabilité du travailleur est atténuée par la prise en considération d’éléments permettant une appréciation précise de la diligence du travailleur dans ses obligations contractuelles envers l’employeur (art. 321e al.2 CO).179
153. Si les conditions de la responsabilité sont réalisées, le travailleur devra une indemnité en réparation du dommage causé à son employeur. Cette indemnité prendra en considération divers éléments comme le rang hiérarchique de l’employé, les instructions qui lui ont été données, le contrôle de sa prestation par l’employeur, l’existence d’une faute concomitante de l’employeur.180
154. Dans l’hypothèse, cette fois plus probable, que la banque ait usé de son droit de licenciement immédiat pour justes motifs motivé par la rupture de tous liens de confiance permettant la continuation des rapports de travail (art. 337 al.1 CO), la réparation du dommage subi par la banque se fonderait sur l’article 337b al.1 CO disposant que si les justes motifs à la base du licenciement immédiat reposent sur des motifs fautifs imputables à l’autre partie, cette dernière doit réparer intégralement le dommage causé compte tenu de toutes les prétentions découlant des rapports de travail.
179R. WYLER, p. 139.
180R. WYLER, pp. 139-140.
155. Il sied de relever qu’une jurisprudence a indiqué qu’un travailleur licencié pour justes motifs répond du dommage causé avant la résiliation sur la base de l’article 321e CO, l’article 337b est applicable dans la situation où la résiliation elle-même cause un dommage.181
156. Enfin, comme c’est souvent le cas, les données volées sont révélées au public quelques temps après la fin des rapports de travail entre la banque et l’auteur de l’infraction. Dans cette situation, il conviendra pour la banque d’agir sur une base extracontractuelle, puisque plus aucun rapport contractuel ne la lie à l’auteur de la violation. Ainsi comme nous l’avons vu plus haut, la banque devra démontrer que les conditions de l’article 41 CO sont remplies.
157. Reste un dernier volet à mentionner lorsque nous parlons des conséquences en matière civil, il s’agit de la responsabilité fondée sur la confiance pouvant engager la responsabilité de la maison mère du groupe. Comme nous l’avons déjà abordé dans le volet consacré à la responsabilité pénale de l’entreprise, les sociétés d’un groupe de sociétés peuvent être recherchées en responsabilité si elles ont créées une situation pouvant laisser penser qu’elles occupaient une position de garant de la société ayant agi.
b. En matière administrative (LFINMA et pratique de la FINMA)
158. L’exercice de l’activité bancaire est soumis à autorisation préalable de la FINMA. Afin d’obtenir l’autorisation d’exercer, l’établissement requérant doit établir qu’il respecte certaines exigences, dont celle de la garantie d’une activité irréprochable, mentionnée à l’article 3 al.2 let. c LB.
159. La LFINMA prévoit à son article 37 alinéa 1 que la FINMA a la compétence de retirer l’autorisation d’exercer d’un assujetti si celui-ci ne remplit plus les conditions requises ou s’il viole gravement le droit de la surveillance. Comme nous l’avons vu précédemment, l’autorité de surveillance a tendance à rapprocher la notion d’organisation adéquate à la notion de la garantie de l’activité irréprochable, de même que la notion de garantie de l’activité irréprochable est également applicable à l’établissement lui-même en plus de l’être aux membres de la direction et du Conseil d’administration. Ainsi le vol de données peut être appréhendé comme un manquement à
181R. WYLER, p. 140. ATF 123 III 257 = JdT 1998 I 176, 177-178.
l’exigence d’organisation adéquate qui impose aux établissements bancaires d’évaluer et de surveiller les risques liés à leur activité. L’autorité de surveillance peut, à la lumière de la gravité du cas, décider de retirer l’autorisation d’exercer à une banque qui serait victime d’un vol de données et qui n’aurait pas abordé la problématique du risque de vol ou de fuite de données dans sa gestion des risques. Cette solution est la solution la plus radicale pour l’établissement bancaire, car la conséquence est telle que le retrait de l’autorisation aboutit à la dissolution de la personne morale (art. 23quinquiesLB).
c. En matière pénale
160. S’agissant des conséquences en matière pénales, la personne physique, auteur de l’infraction risque diverses peines en fonction des infractions retenues. En effet, comme nous l’avons vu, la soustraction de données peut remplir la typicité de plusieurs infractions. Tout d’abord, la soustraction de données, prévue à l’article 143 CP, prévoit comme peine menace une peine privative de liberté de cinq ans au plus ou une peine pécuniaire. S’agissant de l’accès indu à un système informatique, le législateur a prévu une peine privative de liberté de trois ans au plus ou une peine pécuniaire. Et pour finir, celui qui remplit la typicité de l’infraction de service de renseignements économiques risque une peine privative de liberté de trois ans au plus, dans les cas graves la peine privative sera d’un an au moins.
161. S’agissant des concours entre les différentes dispositions envisagées, nous retenons que l’article 143bis revêt un caractère subsidiaire par rapport à l’article 143 CP182, l’article 49 CO traitant des concours d’infractions ne trouvera ainsi pas application, seul la peine menace de l’article 143 CP est applicable. En ce qui concerne le concours entre l’article 273CP et les articles 143 et 143bis, nous retenons un concours parfait conduisant à l’application de l’article 49 CP, l’alinéa premier de cette disposition prévoyant que la peine menace en cas de concours sera d’au maximum une fois et demi la peine la plus lourde tout en respectant le maximum légal du genre de la peine.
162. Dans l’hypothèse où la responsabilité pénale de la personne morale pourrait être mise en cause, celle-ci risquerait, selon l’article 102 al. 1 CP, de se voir infliger une amende de cinq millions de francs au plus. Le juge prendra, cependant, en compte la gravité de
182B. CORBOZ, volume 1, pp. 292-293.
l’infraction, du manque d’organisation, du dommage causé et de la capacité économique de l’entreprise pour fixer la peine (art.102 al.3 CP).
d. En matière fiscale
163. En matière fiscal, les conséquences d’un vol de données se manifestent du côté de la victime du vol ou du moins de la personne sujette des données ayant été l’objet du vol.
Dans de nombreux cas, les données volées ont été transmises aux autorités fiscales étrangères pour pouvoir être utilisées à des fins de recouvrement d’impôts impayés. Le contribuable se voit ainsi contraint, suite à la révélation de données relatives à ses activités bancaires, de déclarer l’existence de comptes bancaires cachés et par voie de conséquences de payer des impôts sur les montants relatifs.
164. Ainsi que nous l’avons vu, les impôts payés suite au vol de données ne pourront être considérés comme constituant un dommage. En effet, la jurisprudence considère que la taxation fiscale se base sur la situation patrimoniale du contribuable, et l’amende relative à la soustraction d’impôts relève, elle, de la décision du contribuable de ne pas honorer ses obligations fiscales. Il n’y a par conséquent par de diminution de la fortune du contribuable étant donné que le montant des impôts étaient dû.183
e. En matière d’autorégulation
165. Des conséquences peuvent également avoir lieu dans le domaine de l’autorégulation. En effet, l’établissement bancaire qui serait membre de l’association suisse des banquiers pourrait voir son exclusion prononcée. Le paragraphe 5 alinéa 2 des statuts de l’association suisse des banquiers prévoit que le Conseil d’administration de l’association peut prononcer sans indication de motif l’exclusion d’un membre. Cette décision doit être prise à la majorité des deux tiers des membres présents.184
183ATF 123 IV 254, 256.
184§ 5 al. 2 Statuts de l’ASB.