Le vol de données bancaires

Universités de Genève et de Lausanne Faculté de droit

Master of advanced studies (LL.M.) in Business Law – MBL

Mémoire

Le vol de données bancaires

Mélissa Palin

Sous la direction du Professeur Christian Bovet

Années académiques 2009-2011

Remerciements

Par ces quelques lignes, je tiens à remercier Madame Simona Mulinari et Maître Emmanuel Genequand pour le soutien qu’ils m’ont apporté durant l’accomplissement de ce mémoire ainsi que pour leurs précieux conseils. Que mes collègues chez PricewaterhouseCoopers trouvent également ici l’expression de mes remerciements pour leur encouragement et leur aide au cours de ce travail.

Enfin, je remercie mes proches pour leur soutien, leur présence et leur encouragement tout au long de ce travail.

Tables des matières

REMERCIEMENTS... 1

LISTE DES ABRÉVIATIONS ... 4

I. INTRODUCTION ... 6

II. DONNÉES PROTÉGÉES PAR LE SECRET BANCAIRE... 8

III. LA GARANTIE DE L’ACTIVITÉ IRRÉPROCHABLE... 10

IV. L’ORGANISATION DE L’INTERMÉDIAIRE FINANCIER... 13

a. Du point de vue interne --- 13

i. Au niveau du Conseil d’administration --- 13

ii. Au niveau de la direction --- 17

iii.Au niveau de la révision interne --- 17

iv. Au niveau ducompliance--- 19

v. Au niveau risk management --- 21

b. Du point de vue externe --- 22

i. Le cas de l’outsourcing--- 22

ii. La surveillance consolidée --- 26

iii.Les réviseurs externes --- 30

V. LES DISPOSITIONS PÉNALES ... 32

a. La Convention du Conseil de l’Europe sur la cybercriminalité--- 32

i. Champ d’application--- 32

ii. Les dispositions transposées --- 33

b. La compétence pénale --- 33

c. Les dispositions spéciales applicables --- 36

i. La soustraction de données (art.143 CP) --- 36

ii. L’accès indu à un système informatique (art.143bis CP) --- 39

iii.Le service de renseignements économiques (art. 273 CP) --- 40

d. La responsabilité pénale de l’intermédiaire financier --- 42

VI. LES DISPOSITIONS EN MATIÈRE FISCALE ... 45

a. Procédure formelle d’entraide en matière fiscale --- 46

b. Procédure informelle dans le cadre du FATCA --- 48

i. Explications --- 48

ii. Conséquences pour les intermédiaires financiers --- 49

iii. Problèmes et conflits dans l’application des règles FATCA --- 51

VII. LES CONSÉQUENCES POUR LES INTERVENANTS... 52

a. En matière civile --- 52

i. En droit de la personnalité --- 52

ii. En matière délictuelle--- 54

iii.En matière contractuelle--- 56

b. En matière administrative (LFINMA et pratique de la FINMA)--- 59

c. En matière pénale --- 60

d. En matière fiscale --- 61

e. En matière d’autorégulation --- 61

VIII. CONCLUSION ... 62

IX. ANNEXE - REGLES DE CONDUITE PROPOSEES ET COMMENTEES ... 64

a. Le domaine des ressources humaines --- 66

b. Le domaine informatique--- 67

c. Le domaine de l’organisation --- 68

d. Le domaine des prestataires externes --- 68

BIBLIOGRAPHIE ... 70

Liste des abréviations

Al. Alinéa

Art. Article

ASB Association Suisse des Banquiers ATF Arrêt du Tribunal fédéral

BCM Business Continuity Management

CC Code Civil suisse

CFB Commission fédérale des banques CO Code suisse des obligations

CP Code pénal suisse

FATCA Foreign Account Tax Compliance Act

FF Feuille fédérale

FFI Foreign Financial Intermediary

FINMA Autorité fédérale de surveillance des marchés financiers HIRE Hiring Incentives to Restore Employment Act

IT Information Technology

IRS Internal Revenue Service JDT Journal des Tribunaux

LB Loi fédérale sur les banques et les caisses d’épargne

Let. Lettre

LFINMA Loi fédérale sur l’Autorité fédérale de surveillance des marchés financiers LPD Loi fédérale sur la protection des données

OACDI Ordonnance relative à l’assistance administrative d’après les conventions contre les doubles impositions

OB Ordonnance sur les banques et les caisses d’épargne

OCDE Organisation de coopération et de développement économiques SWIFT Society for Worldwide Interbank Financial Telecommunication

I. Introduction

1. Le vol de données est une problématique actuelle qui s’est distinguée dans plusieurs affaires médiatiques. S’agissant du domaine bancaire, cette problématique s’est illustrée dans plusieurs affaires dont notamment celle survenue au sein de HSBC ou encore celle de LGT. Le nombre de personnes affectées par une perte ou un vol de données est estimé à environ 250 millions en 2009 dont environ 40 % dans le domaine des services financiers.¹

2. Quelque soit le secteur concerné, le facteur humain est le point commun des différents vols de données. En effet, pour la majeure partie des cas reportés, il s’est avéré que la personne physique traitant des données confidentielles était souvent un des maillons faible de la chaîne.² Les personnes intervenant dans le processus de traitement des données peuvent être poussées à la commission d’un vol pour différents motifs qui peuvent être de plusieurs ordres. Bien souvent le vol de données est motivé par des aspirations économiques, l’auteur de la soustraction de données espérant pouvoir monnayer les informations dérobées et ainsi tirer un profit de la commission de l’infraction. Ces employés ont souvent le profil d’employés mécontents ayant volé les informations dans divers but dont entre autres de mettre leur ancien employeur dans une position préjudiciable à sa réputation.

3. Un établissement est confronté en permanence au risque de vol de données qu’il soit perpétré par un membre interne ou externe à son organisation. Afin de minimiser ce risque, un établissement doit se doter de mesures lui permettant de contrôler et limiter la fuite d’informations confidentielles. Dans le domaine bancaire, la fuite d’information a diminué de deux tiers en 2009, il ne reste pas moins que ce secteur est le plus touché par ce genre d’infraction.³

4. Ce travail a pour objectif de se concentrer sur la problématique du vol de données dans les établissements bancaires. Le vol de données, en plus d’avoir des conséquences sur le plan réputationnel, peut induire d’autres effets plus dommageables encore pour un établissement bancaire soumis à autorisation de l’autorité de surveillance des marchés financiers. Afin de cerner tous les enjeux de la fuite d’informations pour un

1Data loss barometer, pp. 14-15.

2Data loss barometer, p. 5.

3Data loss barometer, p. 6.

établissement assujetti à la surveillance de la FINMA, nous allons aborder la question des normes applicables à un tel événement, tant dans le domaine administratif que pénal en passant par l’aspect fiscal. Puis nous analyserons les conséquences juridiques qu’un vol d’informations confidentielles pourrait avoir sur les intervenants d’un événement de ce type. Pour finir, nous tenterons de proposer un code de conduite à l’intention des établissements bancaires visant à leur proposer une manière demonitoreret surveiller ce risque afin de mieux canaliser cette problématique.

II. Données protégées par le secret bancaire

5. L’un des points centraux de l’activité bancaire⁴ en Suisse réside dans l’obligation de discrétion à la charge des banques, de leurs organes, de leurs employés et de leurs mandataires sur les affaires de leurs clients ou de tiers qui viendraient à leur connaissance dans le cadre de l’exercice de leur profession. Lors d’une relation bancaire avec une personne, l’intermédiaire financier dispose d’informations très étendues sur cette personne, notamment sur sa situation financière, ses revenus, ses relations professionnelles et personnelles. Les renseignements qu’il détient révèlent certains aspects de la vie de son client. Il s’avère donc nécessaire que ces données personnelles soient protégées et restent confidentielles.⁵Juridiquement, l’obligation de confidentialité du banquier et de ses auxiliaires trouve son fondement dans trois domaines du droit distincts.

6. Tout d’abord, elle trouve son fondement dans le droit de la personnalité traité aux articles 27 et suivants du Code civil suisse, droit qui vise à assurer la protection des valeurs qui constituent l’essentiel du domaine intime de l’individu.⁶ A noter que le domaine privé économique est également couvert par cette norme dont la violation constitue un acte illicite au sens des articles 41 et suivants du Code civil.⁷

7. L’obligation de confidentialité trouve également son expression dans le domaine contractuel et plus précisément dans les règles du mandat énoncées aux articles 394 et suivants du Code des obligations suisse. En effet, l’intermédiaire financier est tenu dans le cadre d’une relation contractuelle avec son client à tous les égards découlant des règles sur le contrat de mandat, il est tenu à la bonne et fidèle exécution du mandat conformément à l’article 398 al.2 CO et doit pour se faire conserver la confidentialité sur les informations entrant en sa connaissance durant la relation avec son client.

8. Pour finir l’obligation de confidentialité résulte de la loi fédérale sur les banques et les caisses d’épargne (LB)⁸, plus particulièrement de son article 47. Cette base légale constitue le fondement pénal de la violation de l’obligation de discrétion du banquier.

4Par soucis de précision, ce travail se concentre sur la réglementation applicable au domaine bancaire. Ainsi, la réglementation applicable aux négociants en valeurs mobilières n’a, volontairement, pas été abordée.

5C. LOMBARDINI, p. 965 N. 1.

6A. BUCHER, N. 413.

7M. AUBERT, P.-A. BÉGUIN, P. BERNASCONI et consorts, p. 44. ATF 64 II 162 ss, 169, JT 1938 522ss 531- 532.

8RS 952.0.

Elle considère l’obligation de confidentialité du banquier comme un devoir professionnel ayant sa source dans le droit économique administratif régissant l’activité des banques.⁹La LB ne définit pas spécifiquement la notion au centre de l’obligation de discrétion, il convient donc de se référer, selon la doctrine unanime et la jurisprudence¹⁰, à la définition de droit civil afin de pouvoir déterminer ce qu’il faut entendre par secret bancaire.¹¹A la différence du droit civil, l’étendue de la notion de droit administratif ne recouvre pas le même cercle de personnes. En effet, contrairement au droit de la personnalité, droit dont la portée est absolu et donc opposable à tous, l’obligation contenue dans cette disposition de droit administratif se destine à un cercle limité de personnes à savoir celles mentionnées au deuxième alinéa de cette disposition.¹²En ce qui concerne les bénéficiaires du secret et les informations confidentielles couvertes par celui-ci, il ne résulte aucune divergence quelque soit le fondement employé.

9. A noter que la loi fédérale sur la protection des données (LPD) tend quant à elle à protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un traitement de données. Les données bancaires entrent également dans la sphère de protection de cette loi. Cette loi appréhende des situations pour lesquelles le droit de la personnalité n’est pas adéquat, ni efficace lors de traitements de données personnelles, en raison des difficultés quant à l’identification des risques encourus ou des atteintes subies et quant à la détermination de la licéité des traitements effectués.¹³ La protection des données doit également être assurée dans le cadre du trafic international des paiements. Plusieurs décisions ont permis de préciser la pratique dans ce domaine-là. La plus connue est sans doute la décision SWIFT dans laquelle il a été jugé que la transmission de données concernant le trafic de paiement de la part de SWIFT aux autorités américaines était contraire aux principes énoncés par la LPD, en particulier à celui énoncé à l’article 6 LPD, lequel impose un degré de protection adéquat des données dans le pays requérant et le consentement de la personne concernée par les

9AUBERT, BÉGUIN, BERNASCONI et consorts, p. 52.

10RDAF 1970 p. 133, pp. 136-137.

11A. RAPPO p. 92.

12Ibidem.

13AUBERT, BÉGUIN, BERNASCONI et consorts, p. 45.

données à transmettre.¹⁴ La transmission de données ne doit se faire qu’en présence de motifs justificatifs, ces derniers doivent être compris comme étant le consentement de la personne concernée, un intérêt prépondérant public ou privé, ou une disposition légale.¹⁵

III. La garantie de l’activité irréprochable

10. L’activité bancaire est une activité soumise à autorisation de la FINMA, la banque ne pourra commencer son activité et être inscrite au Registre du Commerce qu’une fois l’autorisation obtenue (art. 3 al.1 LB). Cette autorisation est dite de police, c’est-à-dire qu’une fois les conditions remplies, l’autorisation ne peut être refusée.¹⁶ Afin d’obtenir l’autorisation, l’intermédiaire financier doit remplir certaines conditions, celles-ci peuvent être classées en trois catégories¹⁷. Tout d’abord, la banque doit répondre à des conditions d’organisation administrative et à une surveillance appropriée (art. 3 al. 2 let.

a LB, art. 6 et 7-10 OB), puis elle doit répondre à des exigences relatives à la surveillance des risques et à l’adéquation de ses fonds propres (art. 3 al. 2 let. b LB et art. 4 OB). Pour finir, la dernière catégorie fait référence à des conditions personnelles, celles de la bonne réputation et de la garantie irréprochable des personnes qui sont chargées d’administrer et de gérer la banque (art. 3 al. 2 let. c LB).

11. Concernant la condition de la garantie de l’activité irréprochable, l’article 3 al. 2 let. c LB précise que l’autorisation d’exercer une activité bancaire est accordée à la condition continue que, notamment, les personnes chargées d’administrer et de gérer la banque jouissent d’une bonne réputation et présentent toutes les garanties d’une activité irréprochable. La garantie d’une activité irréprochable, notion d’abord introduite pour les banques étrangères¹⁸, est souvent définie comme étant une condition personnelle que doivent remplir les membres de la direction et du conseil d’administration. La FINMA

14 Protection des données dans le trafic international des paiements (SWIFT) ; L’accès aux données des transactions bancaires du réseau mondial SWIFT-Avis du Préposé fédéral à la protection des données et à la transparence. R. MONTBEYRE, « Le transfert de données bancaires à caractère personnel vers les Etats-Unis : aspects juridiques de l’Affaire SWIFT ».

15 Communication de données personnelles relatives au trafic des paiements aux autorités américaines ; Communication de données du trafic international des paiements à des gouvernements étrangers, dans la perspective de l’application de sanctions.

16C. LOMBARDINI, p. 17.

17A. RAPPO, ECS p. 208.

18A. HIRSCH, nbp N. 2.

précise qu’entrent dans cette « garantie » toutes les compétences professionnelles et personnelles qui permettent à une personne d’assurer correctement la direction d’un établissement assujetti.¹⁹Elle précise également que le principal critère lui permettant de déterminer si la garantie de l’activité irréprochable est remplie est celui de l’activité professionnelle passée et présente de la personne au regard de l’activité envisagée.²⁰ A l’évidence cette disposition semblait jusqu’à maintenant n’être destinée qu’aux personnes physiques ayant pour tâche la gestion de la banque, cependant la pratique de l’autorité de surveillance démontre que cette notion est une notion plutôt « malléable » qui peut être modulée par l’autorité au gré des situations qu’elle juge propre à mettre en péril la gestion et l’administration de la banque.²¹

12. En effet, une évolution de la notion de garantie de l’activité irréprochable est apparue dans les décisions rendues par la CFB puis par la FINMA. Désormais la garantie de l’activité irréprochable n’est plus seulement applicable aux personnes en charge de la gestion et de l’administration de la banque, mais l’est également à l’établissement lui- même. L’autorité de surveillance a rapproché dans plusieurs décisions la notion d’organisation adéquate à celle de la garantie de l’activité irréprochable.

13. Le premier rapprochement opéré par l’autorité de surveillance est apparu dans la décision Montesinos²². Dans cette décision, la CFB examine la condition de l’activité irréprochable du directeur de l’établissement. Elle constate que ce dernier a manqué à ses principales obligations, c’est-à-dire celles de veiller à ce que son établissement soit organisé de manière adéquate et suffisante. La CFB a ainsi conclu que cette carence dans l’organisation de l’établissement est par là même une des raisons pour lesquelles le directeur de cet établissement ne remplit pas la condition de la garantie de l’activité irréprochable. Dans cette décision, la CFB a ainsi clairement établi un lien entre l’organisation de l’établissement bancaire et la garantie de l’activité irréprochable des

19 Questions et réponses au sujet de la lettre de la Commission fédérale des banques (CFB) concernant la

« garantie d’une activité irréprochable ».

20http://www.finma.ch/f/sanktionen/gewaehrserfordernis-watchlist/Pages/gewaehrserfordernis.aspxsite consulté le 14.10.2010

21Op cit n°14.

22Rapport de gestion CFB 2001, p. 170, Bulletin CFB 42, p.123.

personnes chargées de la gestion et de l’administration de celui-ci. Une autre décision allant dans ce sens et confirmant cette tendance a été rendue dans une autre affaire²³. 14. La CFB a ensuite aussi établi que le manquement dans l’identification des risques de

réputation et des risques juridiques était propre à remettre en question la garantie de l’activité irréprochable des membres du Conseil d’administration.²⁴ En effet, comme nous le verrons plus en avant dans ce travail, les administrateurs ont notamment pour tâches d’identifier les risques potentiels et de les limiter autant que possible.

15. S’agissant de la conservation et de l’archivage de données, autre élément inhérent à l’organisation des établissements bancaires, la CFB a précisé que des manquements dans ce domaine sont perçus comme incompatibles avec le comportement adéquat attendu d’une banque et des personnes chargées de l’administrer et de la gérer.²⁵

16. Dans son premier bulletin²⁶, la FINMA reprend et confirme la pratique de la CFB et relève que la banque doit disposer d’une organisation administrative correspondant à son activité (art. 3 al.2 let. a LB). Dans ce cadre, elle doit être en mesure de déterminer, de limiter et de contrôler les risques pertinents. Font notamment partie de ces risques, les risques juridiques et les risques de réputation au sens de l’article 9 al.2 OB. Une déficience dans l’organisation de la banque sera considérée comme incompatible avec la garantie de l’activité irréprochable.

17. Dans ce même bulletin, la FINMA déclare que la garantie de l’activité irréprochable est applicable aux personnes chargées d’administrer et de gérer la banque, mais aussi à la banque elle-même. En sa qualité d’entreprise, la banque doit également respecter la condition de la garantie d’une activité irréprochable.²⁷

18. Au vu de ces exemples, on ne peut que constater que la pratique de l’autorité de surveillance a évolué vers une prise en compte des déficiences organisationnelles de la banque dans son appréciation de la condition de la garantie de l’activité irréprochable des organes de direction. Evolution ayant pour conséquences que les insuffisances organisationnelles de la banque risquent de plus en plus souvent d’avoir des

23Bulletin CFB 46, p. 31.

24Bulletin CFB 49, p. 133 et Bulletin CFB 50, p. 65.

25Bulletin CFB 51, p. 70.

26Bulletin FINMA 1/2010, pp. 104, 111-113.

27Bulletin CFB 41, p.15, Bulletin CFB 47, p. 21, Bulletin FINMA 1/2010, pp. 50-51.

conséquences négatives sur la garantie d’une activité irréprochable des organes de direction.

IV. L’organisation de l’intermédiaire financier

19. Comme nous l’avons vu précédemment, l’intermédiaire financier doit requérir une autorisation d’exercer une activité bancaire de la part de la FINMA. Une des conditions devant être remplie est celle d’une organisation interne appropriée (art. 3 al. 2 let. a LB).

Cette dernière nécessite notamment le pouvoir d’imposer des directives reposant sur des règles d’attribution des tâches, de compétence et de comportement.²⁸Elle nécessite aussi des mécanismes de contrôle adaptés et efficaces. Pour remplir cette exigence, la banque doit, notamment, disposer d’organes chargés de la haute direction, de la surveillance et du contrôle et d’organes chargés de la direction.²⁹ L’organisation de l’intermédiaire financier devra être telle qu’il puisse déterminer, limiter et contrôler tous les risques auxquels il peut être confronté. Lors de la sollicitation d’une licence bancaire, l’intermédiaire financier devra également démontrer qu’il bénéficie d’organisation adéquate du point de vue logistique et informatique, il devra faire part à l’autorité de surveillance d’éventuels accords d’externalisation de prestations de service. L’existence et la fonctionnalité d’un système informatique adéquat font parties des exigences devant être satisfaites préalablement à la demande d’autorisation d’exercer. La société de révision devra d’ailleurs prendre position sur la satisfaction de cette condition vis-à-vis entre autres de la séparation adéquate des compétences, notamment dans l’octroi des accès informatiques.

a. Du point de vue interne

i. Au niveau du Conseil d’administration

20. L’article 3 al. 2 let. a LB correspond à l’article 716a CO définissant les attributions intransmissibles et inaliénables du Conseil d’administration d’une société anonyme.

28B. STÖCKLI, pp. 584-588.

29C. LOMBARDINI, p. 45 N. 11.

Dans le domaine bancaire, les attributions du Conseil d’administration ont été étoffées et complétées par des dispositions spéciales se trouvant dans la législation bancaire et plus particulièrement dans la circulaire sur la surveillance et le contrôle interne dans le secteur bancaire (ci-après circulaire FINMA 08/24).³⁰

21. Le Conseil d’administration est ainsi l’organe chargé de la haute direction de la banque, de sa surveillance et de son contrôle. Il est également tenu de fixer son organisation. A la différence de la direction, le Conseil d’administration n’est pas tenu de gérer la banque, mais uniquement d’en assurer la haute surveillance. Par l’attribution de la haute direction de l’établissement, le Conseil d’administration a pour tâches plus spécifiques de déterminer la politique de gestion des risques choisie par la banque, il doit également veiller à ce que la banque dispose des moyens financiers et personnels pour suivre la politique choisie. Le Conseil d’administration a la responsabilité d’édicter les principes généraux inhérents à la gestion des risques et de veiller à ce que ceux-ci soient mis en place par la direction et que les mesures visant à l’identification, la gestion et à la surveillance des risques soient implémentées par l’établissement.³¹ Comme nous le verrons plus tard, le Conseil d’administration a également la responsabilité de mettre en œuvre la Recommandation de l’ASB en matière deBusiness Continuity Management et de veiller au respect d’une stratégie en la matière sous forme écrite.³²

22. Concernant la gestion des risques, le Conseil d’administration doit, afin de satisfaire à ses obligations, mettre en place un système lui permettant d’être régulièrement informé sur la situation de l’établissement et sur son exposition aux risques. A cette fin, le Conseil d’administration doit mettre en place un système de reporting et d’information des risques qui doit être efficient, périodique et fonctionnel, mais qui doit également être un système permettant de délivrer des informations adaptées.³³Conformément au chiffre marginal 9 de la circulaire FINMA 08/24, le Conseil d’administration est également tenu de réglementer, d’instaurer, de maintenir, de surveiller et de valider un contrôle interne approprié. En instaurant ce système de contrôle interne, et en le surveillant, le Conseil d’administration s’assure que tous les risques inhérents à l’établissement ont été

30P. HAURI, pp. 25-32.

31C. LOMBARDINI, p.49 N. 26; P. HAURI, A. CARRI, p. 1235.

32Recommandation en matière de Business Continuity Management (BCM), p. 6.

33P. HAURI, A. CARRI, p. 1235.

identifiés, limités et surveillés.³⁴ Le Conseil d’administration est tenu de vérifier que la révision interne dispose des ressources et des compétences adéquates, y compris en matière informatique, et pour la surveillance appropriée des risques auxquels la banque est exposée, dont également ceux liés aux technologies informatiques. Le Conseil d’administration a de ce fait la compétence d’approuver les accords relatifs à l’externalisation de prestations de service, y compris ceux liés à ce domaine-là.

23. Comme nous l’avons vu au sujet de la garantie de l’activité irréprochable, l’autorité de surveillance a précédemment estimé qu’une lacune dans l’identification des risques de réputation et des risques juridiques est susceptible de contrevenir à la garantie de l’activité irréprochable dont les administrateurs sont notamment les sujets.³⁵

24. Le Conseil d’administration est composé de personnes devant disposer des compétences professionnelles, d’expérience et de disponibilités nécessaires à l’accomplissement de leurs fonctions, notamment au vu des domaines d’exposition de la banque. Dans le cas contraire, l’autorité de surveillance pourrait estimer que la condition de la garantie de l’activité irréprochable, applicable notamment aux personnes chargées d’administrer, n’est pas remplie. Afin d’éviter les conflits d’intérêts, les administrateurs doivent être indépendants. Il est ainsi interdit aux membres du Conseil d’administration d’occuper un poste dans la direction opérationnelle de la banque.³⁶ Le critère d’indépendance doit également être satisfait au regard des chiffres marginaux 20 à 24 de la circulaire FINMA 08/24. Les membres du Conseil d’administration seront ainsi réputés indépendants s’ils n’occupent pas d’autre fonction au sein de l’établissement, ou s’ils n’ont pas occupé de poste au sein de l’établissement durant les deux dernières années, ni au sein de la société d’audit externe. Les membres du Conseil d’administration ne doivent également pas avoir de relations d’affaires qui pourraient conduire à un conflit d’intérêt, de même qu’ils ne doivent pas détenir de participation qualifiée, ni représenter un tel détenteur de participation.

25. Concernant la répartition des tâches au sein du Conseil d’administration, ce dernier peut instaurer des comités chargés de le seconder ou confier des tâches à certains de ses

34Circulaire FINMA 08/24 cm 10.

35Bulletin CFB 49, p. 133; Bulletin CFB 50, p.65.

36Article 8 al. 2 OB, Circulaire FINMA 08/24 cm 18.

membres. L’établissement d’un audit committee est exigé dès lors que l’établissement atteint une certaine taille ou un certain niveau de complexité.³⁷

26. Le comité d’audit est chargé d’une tâche importante en matière de gestion des risques, il est entre autres tenu de créer le système de gestion des risques, de définir le profil de risque de l’établissement, d’évaluer et de surveiller le contrôle interne.³⁸ Il peut aussi intervenir en matière de risques juridiques. Afin d’assurer un suivi approprié d’un sujet comme le vol de données, il est utile que le comité d’audit dispose en son sein d’une ou de plusieurs personnes compétentes dans le domaine informatique. Ces personnes seront, ainsi, plus à même d’évaluer, surveiller et gérer les risques liés au système informatique.

27. L’article 9 al.2 OB dispose que la banque doit déterminer, limiter et contrôler les risques, notamment, opérationnels et juridiques, ainsi que les risques susceptibles de ternir sa réputation. On peut définir le risque opérationnel comme étant le risque pour la banque de pertes résultant de carences ou de défauts attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs. La définition inclut le risque juridique.³⁹ Celui-ci inclut l’exposition à des amendes, pénalités et dommages pour faute résultant de la surveillance prudentielle ainsi que de transactions privées.⁴⁰La pratique de la CFB, puis de la FINMA, a mis en évidence qu’un manquement dans l’établissement des risques était propre à mettre en péril la garantie de l’activité irréprochable des membres du Conseil d’administration et par là même la garantie de l’activité irréprochable de l’établissement lui-même.⁴¹

28. Ainsi comme nous l’avons vu, le Conseil d’administration est en charge notamment de l’organisation de la banque et de l’établissement des risques. On peut ainsi se demander si la garantie de l’activité irréprochable des membres du Conseil d’administration ne pourrait pas être remise en question dès lors que ceux-ci n’ont pas cerné le risque de vol ou de fuite de données dans leur établissement. En effet, comme mentionné précédemment, la pratique de l’autorité de surveillance tend à rapprocher la notion d’organisation adéquate à celle de la garantie de l’activité irréprochable. Elle fait de

37Circulaire FINMA 08/24 cm 28-29 et 32-37.

38C. TAGOUO, p. 604, Circulaire FINMA 08/24 cm 41à 53.

39Bâle II p. 121 disponible sur http://www.bis.org/publ/bcbs107fre.pdf. C. LOMBARDINI, p. 67 N. 86.

40Bâle II, p.121 nbp N. 90.

41Bulletin CFB 49, p. 133; Bulletin CFB 50, p. 65.

même pour la gestion des risques. Ainsi un tel manquement peut amener à la conclusion que les membres du Conseil d’administration, mais également l’établissement bancaire lui-même, ne respectent plus cette exigence impérative à l’exercice de l’activité bancaire.

ii. Au niveau de la direction

29. La direction est l’organe en charge de la gestion de la banque, elle est tenue de mettre en application les politiques de gestion adoptées par le Conseil d’administration et de prendre des mesures opérationnelles pour limiter les risques identifiés par ce dernier.

Elle est en particulier affectée de la tâche de l’élaboration des procédures appropriées pour identifier, mesurer, évaluer, analyser et contrôler les risques pris par l’établissement (Circulaire FINMA 08/24 cm 81). Elle est en charge aussi de la fonction complianceet du contrôle des risques. A noter que la mise en œuvre du dispositif de gestion des risques peut nécessiter la création d’un poste spécifique de risk manager dont la tâche est de s’assurer que le système de gestion des risques soit appliqué par les personnes concernées.⁴²

30. La direction doit veiller à contrôler l’application des règlements internes et à l’organisation appropriée de l’établissement conformément à l’article 3 al.2 let a LB.

Ainsi une surveillance insuffisante de la part de la direction sera considérée comme contraire à la garantie de l’activité irréprochable.⁴³

31. En matière informatique, la direction est tenue de s’assurer que la banque dispose d’un système informatique performant et en adéquation avec l’activité de la banque.⁴⁴Elle est aussi en charge de superviser le système d’information à l’intérieur de son établissement et de veiller à ce que la ségrégation des compétences, de façon générale, soit maintenue, ce qui inclut notamment la vérification du respect des compétences et des autorisations pour l’octroi et la modification des accès informatiques.⁴⁵

iii.Au niveau de la révision interne

32. Chaque établissement est tenu d’instaurer une révision interne ou aussi appelée inspectorat (art. 9 al.4 OB). Dans certains cas, la FINMA peut exempter, après

42C. TAGOUO, p. 604.

43Bulletin CFB 45, pp. 150, 159.

44C. LOMBARDINI, p. 52 N. 40.

45C. LOMBARDINI, p. 53 N. 44.

consultation avec la société d’audit, l’établissement de l’obligation d’instaurer une révision interne.⁴⁶

33. La révision interne occupe une position directement subordonnée au Conseil d’administration ou à l’un des ses comités. Ses tâches sont celles de l’évaluation des risques, de la planification de la révision et de l’émission de rapports à l’attention du Conseil d’administration. Elle fournit les éléments clés permettant au Conseil d’administration d’apprécier si l’établissement dispose d’un système de contrôle interne efficace et adapté à son profil de risque⁴⁷ en d’autre termes, elle vérifie et évalue le contrôle interne et contribue à son amélioration.

34. Il est utile de rappeler que la circulaire FINMA 08/24 définit le système de contrôle interne comme étant l’ensemble des structures et processus de contrôle qui, à tous les échelons de l’établissement, constituent la base de son bon fonctionnement et la réalisation des objectifs de politique commerciale. Il comprend à part les activités de contrôle a posteriori, les activités en rapport avec la gestion et la planification.

35. La révision interne est tenue une fois par an de procéder à une évaluation globale des risques encourus par l’établissement notamment en tenant dûment compte des évolutions externes telles que le contexte économique, les modifications réglementaires, mais aussi en prenant en considération les facteurs internes pouvant se présenter au sein de l’établissement (les projets importants pouvant être réalisés par l’établissement ou encore à une réorientation de l’activité, par exemple).⁴⁸ Une fois les conclusions de l’inspectorat déposées, la direction prend les mesures qui s’imposent en vue de parvenir à un système de contrôle de risques satisfaisant.

36. A noter que la révision n’a pas le pouvoir d’émettre des directives, elle met uniquement en relief les défaillances du système de contrôle interne, à charge pour la direction de prendre les mesures adaptées pour y remédier. Précisons encore que l’autorité de surveillance n’a aucun contact direct avec la révision interne et n’est pas informée du contenu des rapports de cette dernière à moins qu’elle demande à en prendre connaissance.⁴⁹

46Circulaire FINMA 08/24 cm 55.

47Circulaire FINMA 08/24 cm 69.

48Circulaire FINMA 08/24 cm 70.

49C. LOMBARDINI, p. 56 N. 55.

Cas pratique

L’audit interne d’une banque a procédé à ses tâches d’évaluation des risques encourus. A l’achèvement de son examen, l’audit interne a émis un rapport dans lequel il relevait que les accès au fichier client n’étaient pas assez restreints, en d’autres termes un certain nombre d’employés avaient accès au fichier source contenant les données clients numérisées en même temps que l’accès à d’autres systèmes informatiques leur permettant ainsi de réconcilier les numéros clients aux opérations effectuées par ceux-ci. A l’issue de ce rapport, l’audit interne a relevé les carences de ce système et a demandé à la direction l’octroi d’un budget visant à remédier à des manquements concernant l’accès aux systèmes informatiques de la banque. La direction a refusé l’octroi du budget. Quid juris dans l’hypothèse où un vol de données est commis quelques mois après les constatations faites par l’audit interne ? Pour la direction ? Pour le Conseil d’administration ?

iv. Au niveau ducompliance

37. Le fondement de la fonctioncompliancea d’abord été exprimé dans les règles destinées à l’organisation de la société anonyme. En effet, l’article 716a CO dispose que le Conseil d’administration a, entre autres, pour attribution intransmissible et inaliénable d’exercer la haute surveillance sur les personnes chargées de la gestion afin de s’assurer que ces dernières respectent la loi, les statuts, les règlements et les instructions données.⁵⁰ Le fondement a, par la suite, été exprimé spécifiquement dans la législation bancaire et plus particulièrement dans la circulaire FINMA 08/24. Celle-ci définit par compliancela conformité aux prescriptions légales, réglementaires et internes, ainsi que le respect des normes et règles déontologiques en usage sur le marché concerné. Ainsi lorsqu’on parle de risque decompliance, on entend par là le risque pour l’établissement d’enfreindre des prescriptions légales, réglementaires, pouvant engendrer des sanctions légales ou règlementaires, des pertes financières ou des atteintes à la réputation.

38. Cette exigence de conformité à la loi est un élément fondamental de l’octroi et du maintien de l’autorisation d’exercer nécessaire à la banque pour exister, en effet elle constitue un des constituants permettant une gestion irréprochable au sens de l’article 3 al.2 let. c LB.⁵¹La FINMA a d’ailleurs rendu une décision dans laquelle elle déclare que

50C. SUHR BRUNNER, P. PORTMANN, p. 1041.

51Ibidemp. 1041.

les exigences en matière de compliance, en tant que concept et en tant que fonction, découlent directement des exigences organisationnelles visées à l’article 3 al.2 let. c LB.⁵²Elle précise également, dans cette même décision, qu’un comportement en affaires approprié suppose de la part des personnes chargées d’administrer et de gérer la banque qu’elles donnent elles-mêmes l’exemple et soutiennent une culture d’entreprise encourageant la compliance. Dans une autre décision, l’autorité de surveillance de l’époque, la CFB, avait aussi déclaré que la condition de l’organisation adéquate pouvait être remise en cause lorsque le service compliance ne satisfaisait pas à ses fonctions, dans la prise en compte des aspects réglementaires et de la prise en compte de risques, et par là même la condition de l’activité irréprochable pouvait être remise en question.⁵³ 39. Afin d’assurer la compliance au sein de l’établissement, chaque banque doit créer un

département se concentrant sur tout ce qui attrait à la fonction compliance, dont la responsabilité incombe à la direction.

40. Concernant les tâches dévolues à la fonction compliance, elles sont nombreuses et comprennent entre autres la tâche d’appui et de conseil en matière d’application et de surveillance du respect des normes, puis d’évaluation annuelle du risque de compliance lié à l’établissement et la création d’un plan d’action centré sur le risque préalablement défini, ainsi que les modifications ultérieures relatives à l’évaluation du risque de compliance. Elle fournit également un appui à la direction en cas de manquements graves constatés en matière decomplianceen la conseillant sur les instructions à donner ou les mesures à prendre.⁵⁴

41. Dans sa fonction liée au risque compliance, juridique et de réputation, le département compliancedoit veiller à ce que toutes les normes légales, réglementaires ou de toutes autres niveaux soient respectées au sein de l’établissement. L’accomplissement de cette tâche nécessitera une interaction avec le département IT de l’établissement. En effet, dans différents domaines du droit, comme par exemple en matière de lutte contre le blanchiment d’argent, la loi pose des exigences liées au domaine informatique. Le compliance officerdevra de ce fait collaborer étroitement avec le département IT afin de s’assurer que le système informatique fonctionne correctement et soit conforme aux

52Décision non publiée de la FINMA du 9 octobre 2009.

53Bulletin CFB 47, p. 20; Bulletin FINMA 1/2010, p. 45.

54Circulaire FINMA 08/24 cm108-112.

exigences légales. A cet effet, le département compliance identifiera les exigences légales auxquelles la banque doit se conformer et discutera avec le département IT des mesures techniques à prendre afin que ces exigences soient remplies (pensons à titre d’exemple, aux procédures à mettre en place pour l’application de la réglementation fiscale américaine FATCA qui se repose sur les procédures informatiques, etc…).

v. Au niveau risk management

42. La notion de gestion des risques ourisk managementest une notion rarement utilisée de manière autonome, mais en général toujours en lien avec celle de système de contrôle interne. La circulaire FINMA 08/24⁵⁵ définit la gestion des risques comme étant la gestion et la restriction complètes et systématiques des risques sur la base de connaissances économiques et statistiques. Elle comprend l’identification, la mesure, l’évaluation, la gestion et l’établissement de rapports sur des positions-risques individuelles ou agrégées. La gestion des risques est assurée, aux niveaux organisationnels appropriés, au moyen de méthodes adéquates qui tiennent compte des particularités de l’établissement. De cette définition, on comprend donc que la gestion des risques se rapporte à des méthodes et à des processus et non pas à un organe sociale au sens du Code des obligations suisse. A défaut d’être un organe, la gestion des risques est toutefois une véritable fonction à part entière, à l’instar de la fonctioncompliance, à la tête de laquelle doit être nommé un responsable, lerisk manager.⁵⁶

43. La gestion des risques fait ainsi partie du système de contrôle interne que chaque établissement bancaire est tenu d’avoir. Elle implique la désignation de personnes en charge de ce processus, plus particulièrement en charge de l’identification, de la surveillance et de la prise de mesures relatives aux risques spécifiques aux activités de la banque, mais également aux risques globaux.⁵⁷

44. Cette personne aura également pour tâche de communiquer aux employés de l’établissement les risques identifiés par le Conseil d’administration et la manière dont ces risques serontmonitoréset surveillés.

55Cm 126.

56C. TAGOUO, p. 601.

57C. LOMBARDINI p. 70 N. 92.

b. Du point de vue externe

45. L’établissement bancaire, en plus de devoir répondre à certaines exigences quant à son organisation interne, doit également respecter certaines règles concernant des aspects que nous pouvons qualifier d’externes à son organisation. Ainsi que nous le verrons, l’établissement est souvent confronté à des règles nécessitant pour lui de devoir régler certains aspects de son organisation vis-à-vis de problématiques externes.

i. Le cas de l’outsourcing

46. Un point essentiel de l’organisation de la banque est celle de savoir si l’établissement souhaite externaliser certaines de ses prestations. Il y a externalisation ou outsourcing, lorsqu’une entreprise charge une autre entreprise, le délégataire, d’assurer pour elle de manière indépendante et durable une prestation de services. L’externalisation doit concerner des prestations de services essentielles.⁵⁸ Dans le domaine bancaire, la délégation de prestations de services à une entreprise tierce fait l’objet d’une réglementation spéciale, en l’occurrence la circulaire FINMA 08/7.

47. La circulaire FINMA 08/7 concernant l’externalisation d’activités dans le secteur bancaire précise qu’on entend par prestations de services essentielles, les prestations de services qui peuvent en particulier avoir un effet sur la détermination, la limitation et le contrôle des risques, notamment, opérationnels et juridiques, ainsi que des risques susceptibles de ternir sa réputation.⁵⁹

48. Dans le cas d’activités externalisées, le risque de fuite ou de vol d’information, et par là la violation du secret bancaire est décuplée. En effet, la banque décide d’elle-même de transmettre volontairement à des tiers des données pouvant susciter l’intérêt de personnes externes à celle-ci. De plus, en cas d’outsourcing à l’étranger le risque de perte de maîtrise se voit également coupler avec un risque d’accès et de saisie des données par une autorité étrangère ce qui augmente les risques pour l’établissement faisant recours à cette pratique.

49. En soi l’externalisation de prestations de services n’est pas soumise à autorisation de l’autorité de surveillance, elle est néanmoins soumise à certains principes devant être

58Externalisation par les banques, FINMA, version du 1^eravril 2009.

59Circulaire FINMA 08/7 cm 2.

respectés.⁶⁰ La circulaire FINMA 08/7, et plus particulièrement les chiffres marginaux 19 et suivants énoncent neuf principes devant être respectés pour que l’externalisation de prestations de la part d’un établissement bancaire satisfasse aux exigences d’une organisation appropriée, du secret bancaire et de la protection des données.⁶¹L’annexe à la circulaire dresse des exemples d’activités pouvant être externalisées. On y retrouve, entre autres, le stockage des données, l’exploitation et l’entretien de banques de données, l’exploitation de système de technologie de l’information et la fonction compliance.

Cette circulaire est applicable pour autant qu’il s’agisse d’un intermédiaire financier, c’est-à-dire une banque ou un négociant en valeurs mobilières, organisé selon le droit suisse ou d’une succursale de banques et négociants étrangers.⁶²

50. Il convient de distinguer deux situations d’outsourcing, celle où les prestations de services sont externalisées en Suisse de celle où elles le sont à un délégataire étranger.

Un des principes centraux de cette circulaire est mentionné au chiffre marginal 34. Le délégataire suisse doit être assujetti au secret des affaires de l’entreprise et, dans la mesure où des données concernant des clients lui sont connues, au secret professionnel ou au secret bancaire de l’entreprise qui lui a délégué des activités.⁶³ Un autre point essentiel est celui de la sécurité. L’entreprise et le délégataire doivent déterminer les exigences à respecter en matière de sécurité et doivent élaborer un dispositif de sécurité.

Ce dispositif de sécurité doit prévoir la suppléance du délégataire en cas d’empêchement de sa part afin que la conduite des activités soit assurée en continue.⁶⁴

51. Concernant les données client, la circulaire FINMA 08/7 prévoit que ces données doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Ainsi l’entreprise et le délégataire doivent protéger les systèmes contre notamment la destruction accidentelle ou non autorisée, la perte accidentelle, la falsification ou encore bien sûr contre le vol ou l’utilisation illicite.

Lors de l’établissement des mesures organisationnelles et des techniques sécuritaires, l’entreprise et le délégataire devront prendre en considération le but du traitement de

60C. LOMBARDINI, p. 84 N. 139.

61V. MARTENET, pp. 251, 265 ; A. ALTHAUS STÄMPFLI, pp.192-194.

62Circulaire FINMA 08/7 cm 4.

63Circulaire FINMA 08/7 cm 34.

64Circulaire FINMA 08/7 cm 28-29.

données, sa nature et son étendue, l’évaluation des risques potentiels pour les clients concernés et le développement technique.⁶⁵

52. A noter que l’entreprise continue d’assumer, à l’égard de l’autorité de surveillance, la responsabilité découlant des activités externalisées. L’autorité de surveillance a établi une responsabilité objective de l’entreprise délégatrice. Ainsi l’établissement ayant transféré des données ne saurait voir sa responsabilité diminuer du fait qu’il ait recouru à l’externalisation de prestations. Par conséquent, il répond des défaillances techniques et organisationnelles du délégataire comme si elles étaient siennes. Il pourra par la suite exercer une action récursoire contre le tiers responsable des défaillances.⁶⁶

53. En cas d’externalisation de prestations de services à l’étranger, le chiffre marginal 35 stipule qu’il doit être garanti par des moyens techniques et organisationnels appropriés que le secret bancaire et la protection des données seront respectés conformément au droit suisse. Cette disposition donne ainsi une portée extraterritoriale au droit suisse puisque les exigences quant au secret bancaire et à la protection des données devront également être respectées hors des frontières helvétiques.⁶⁷Ainsi le chiffre marginal 35 relatif à la protection des données en cas d’externalisation à l’étranger est plus strict que les principes énoncés dans la législation suisse en matière de protection des données. En effet, les principes généraux relatifs à la protection des données énoncés dans la LPD disposent que la communication de données personnelles dans un Etat tiers ne menace pas a priori la personnalité des personnes concernées pour autant que la législation de l’Etat tiers dispose d’une législation équivalente. Le chiffre marginal 35 est quant à lui plus restrictif et dispose qu’il n’y a pas de menace à la protection des données lorsque le droit suisse est respecté.⁶⁸

54. A l’obligation d’implémenter des mesures organisationnelles et techniques appropriées conduisant ainsi le délégataire à séparer son personnel afin d’assurer la confidentialité des données entre tiers, mais également entre les différentes entreprises recourant aux services du délégataire⁶⁹, s’ajoute l’obligation d’information des clients. En effet, les clients doivent être tenus informés avant que des données les concernant ne soient

65Circulaire FINMA 08/7 cm 32. A. ALTHAUS STÄMPFLI, Personendaten von Bankkunden, pp. 174-175.

66V. MARTENET, p. 266.

67V. MARTENET, p. 266, A. ALTHAUS STÄMPFLI, Personendaten von Bankkunden, pp. 166-167 et 201.

68V. MARTENET, p. 266.

69Circulaire FINMA 08/7 cm 36.

remises à un délégataire. Une information détaillée doit leur être adressée, celle-ci doit indiquer les mesures de sécurité prises à cet effet et donner la possibilité au client de résilier le contrat dans un délai approprié avant un tel transfert.⁷⁰ Enfin, tel qu’il est mentionné au chiffre marginal 40, l’entreprise mandante, ses organes de révision interne et sa société d’audit externe, de même que la FINMA, doivent pouvoir avoir accès, en tout temps et sans qu’il leur soit opposé d’obstacles, au domaine d’activités transféré.

Les trois principes susmentionnés sont tout particulièrement relevant lorsqu’il s’agit d’une externalisation à l’étranger à un délégataire extérieur au groupe.⁷¹

55. Ainsi que nous l’avons vu, il est de la responsabilité de l’établissement délégataire de minimiser les risques pouvant survenir lors de l’externalisation de prestations. Ces risques sont de plusieurs ordres et doivent faire partis des risques évalués par le contrôle interne et revus par la suite par le Conseil d’administration. Un autre point important est celui de l’organisation devant être mise en place lors d’une externalisation, ainsi les protagonistes d’une telle mesure ont l’obligation de prévoir des mesures organisationnelles et des techniques sécuritaires visant à faire face à des risques inattendus dont notamment le vol de données ou son utilisation illicite. Ainsi en cas de manquement ou de défaillance dans l’établissement de telles mesures on peut se demander si la garantie de l’activité irréprochable pourrait être remise en cause du fait que la banque délégatrice n’a pris de mesures préventives et sécuritaires à la survenance d’un tel événement. En effet, la direction de l’établissement a notamment pour tâche d’identifier, d’analyser et de contrôler les risques pris par l’établissement. Elle doit rendre compte au Conseil d’administration de l’efficacité du contrôle interne et l’informer en cas de constatations graves. Par conséquent, un manquement dans la prise de mesures organisationnelles et techniques peut être le reflet d’une mauvaise organisation au sein de l’établissement en termes de répartition des compétences et d’évaluation des risques. De telles défaillances peuvent remettre en question la garantie de l’activité irréprochable, car comme nous l’avons vu précédemment cette exigence est étroitement liée à l’organisation de l’établissement et à sa prise en considération des risques.

70Circulaire FINMA 08/7 cm 37-39.

71Circulaire FINMA 08/7 cm 6-9 a contrario.

Cas pratique

Une succursale d’une banque étrangère externalise les opérations informatiques et la gestion de son application bancaire à sa maison mère établie à l’étranger. Les détails de cette externalisation sont réglés dans un contrat d’outsourcing entre les deux entités. Afin de garantir le secret bancaire, les données relatives à la clientèle de l’établissement suisse sont conservées dans une base de données séparée et localisée sur un serveur en Suisse.

Les accès au réseau local et aux données clients sont sécurisés par unfirewall. Suite à une contraction des ressources IT de la succursale, des employés de l’entité étrangère sont intervenus afin de résoudre des problèmes techniques au niveau du réseau. Les employés de l’entité étrangère ont estimé que, par manque de personnes compétentes dans la gestion technique du pare-feu, la gestion des droits d’administration du serveur ainsi que du pare- feu de la succursale devaient être reprises par eux-mêmes. Ils disposaient ainsi de la possibilité d’accéder à distance, i.e aussi depuis l’étranger, aux données clients du serveur se trouvant en Suisse.

Qu’en est-t-il du point de vue du droit de la surveillance en matière bancaire ?

ii. La surveillance consolidée

56. Pour être autorisée en Suisse, une banque étrangère doit faire l’objet d’une surveillance consolidée appropriée incluant l’entité suisse du groupe.⁷² La surveillance consolidée s’applique aux groupes bancaires ou financiers composés de plusieurs entités. Elle constitue au niveau du groupe ce que la surveillance individuelle est au niveau de l’entité individuelle.⁷³Elle a pour objectif d’offrir une vue des risques pris par le groupe dans son ensemble et de permettre une évaluation correcte des fonds propres du groupe par rapport aux risques pris par celui-ci. Du fait de l’exigence d’une surveillance consolidée, les banques étrangères en Suisse, dans la pratique, risquent d’être plus facilement exposées à une violation du secret du fait du reportingà la maison mère. La surveillance consolidée n’est pas à proprement parler une situation de risque de vol de données, mais peut le devenir quand à l’élément préalable technique se rajoute une

72C. LOMBARDINI, p. 26 N. 44.

73A. RAPPO, ECS, p. 209.

composante humaine, telle que celle de l’employé mécontent, comme nous le verrons par la suite.

57. Le principe de la surveillance consolidée est mentionné à l’article 4^quinquies LB. Cette disposition constitue le fondement légal pour permettre la transmission d’informations d’une filiale à la maison mère, puis ensuite à l’autorité de surveillance de la maison mère. La société fille est ainsi autorisée, ou plutôt obligée, de transmettre les informations requises par la société mère.⁷⁴Cette base légale est applicable aux groupes bancaires suisses, mais également étrangers.⁷⁵

58. En principe, le secret bancaire énoncé à l’article 47 LB doit également être respecté au sein d’un groupe bancaire, chaque filiale constituant une personne juridique indépendante, distincte de la mère.⁷⁶ Cependant, la législation suisse prévoit à des conditions strictes dans quelles situations un établissement peut partager des informations et documents au sein du groupe. Ainsi l’article 4^quinquiesLB prévoit que les banques sont autorisées à communiquer à leurs sociétés mères, qui sont elles-mêmes surveillées par une autorité de surveillance des banques et des marchés financiers, les informations et les documents non accessibles au public qui sont nécessaires à la surveillance consolidée, ceci à des conditions particulières. Plus précisément, la transmission d’informations est autorisée si les données récoltées ne sont employées qu’à des fins de contrôle interne ou de surveillance prudentielle, ainsi par exemple, aucune information ponctuelle ne pourra être délivrée. Enfin la société mère et l’autorité compétente doivent être liées par le secret professionnel ou de fonction et ces informations ne doivent pas être transmises à des tiers sans l’accord préalable de la banque.⁷⁷

59. La législation suisse s’appuie sur les principes énoncés par les Comité de Bâle dans ses normes minimales⁷⁸ pour le contrôle des groupes bancaires internationaux et leurs établissements à l’étranger. Le Comité a par la suite étendu la surveillance consolidée à la garantie de l’activité irréprochable⁷⁹ et a adopté des règles minimales sur les

74C. LOMBARDINI, p. 977 N. 34; A. MARGIOTTA, p. 437.

75A. RAPPO, ECS, p. 208, C. LOMBARDINI, p. 977 N. 35; contra A. MARGIOTTA, p. 349.

76Rapport de gestion CFB 1984, p. 34 ; C. LOMBARDINI, p. 976 N. 31.

77Article 4^quinquiesLB ; Rapport de gestion CFB 1996 p. 32.

78Bulletin CFB 31, p. 106ss; Bulletin CFB 23, p. 52ss.

79Rapport de gestion CFB 2002, pp. 97-98.

obligations de consolidation en matière de procédures d’identification du client et de surveillance des risques juridiques et de réputation au niveau mondial.⁸⁰La FINMA voit également la surveillance consolidée comme un moyen permettant d’éviter l’utilisation de société du groupe comme objet permettant le contournement des prescriptions et des règles de comportement applicables en Suisse.⁸¹

60. La loi sur les banques dispose à l’article 3f que les personnes chargées de la gestion et celles responsables de la haute direction, de la surveillance et du contrôle du groupe financier ou du conglomérat financier doivent jouir d’une bonne réputation et présenter toutes les garanties d’une activité irréprochable. Le groupe financier doit être organisé de manière à pouvoir déterminer, limiter et contrôler les risques principaux. L’article 14a OB précise que le contenu de la surveillance consolidée porte notamment sur tous les risques liés aux activités de l’établissement surveillé.

61. Pour savoir s’il existe une obligation de consolidation, il y a lieu de distinguer si la société mère possède une domination effective sur la filiale.⁸² En effet, en cas de domination insignifiante, c’est-à-dire en dessous de 20% de droits de participation, il n’y a pas d’obligation pour la société mère de procéder à une surveillance consolidée, et par conséquent la banque peut opposer son obligation de confidentialité à son actionnaire minoritaire, ce dernier étant considéré comme un tiers à la relation avec la banque. A l’inverse en cas de domination effective de la société mère, que la filiale se trouve en Suisse ou à l’étranger, la transmission d’informations à des fins de surveillance consolidée est autorisée au sens de l’article 4^quinquies LB. A noter que si les conditions de cette disposition sont remplies, cela constitue, en droit pénal, un fait justificatif au sens des articles 14 CP et 47 al. 6 LB, ni le secret bancaire, ni l’infraction prévue à l’article 273 CP ne seraient violés.⁸³

62. La question qui peut se poser en pratique est celle de savoir dans quelles mesures une succursale est soumise à l’obligation de transmettre des informations à la société mère.

Tout d’abord, il convient de faire la distinction entre une succursale d’une banque dont la société mère est en Suisse et celle où la société mère est à l’étranger.

80A. RAPPO, ECS 2004 p. 209.

81A. RAPPO, ECS 2004, p. 209.

82A. RAPPO, ECS 2004 p.209-210; A. RAPPO, pp. 192-206.

83A. RAPPO, p. 200.

63. Dans la première hypothèse, la succursale suisse d’une banque suisse n’est pas soumise à l’obligation de discrétion. En effet, la succursale n’ayant pas d’autonomie juridique propre, elle ne constitue pas une personne morale indépendante de celle de la société mère, il n’est par conséquent pas possible qu’une obligation de discrétion existe à l’intérieur d’une même personne morale. Dans la seconde hypothèse, c’est-à-dire celle où la société mère se trouve à l’étranger, l’article 4^quinquies LB trouve pleinement application, en effet cette base légale autorise la transmission d’informations confidentielles à la société mère si elles sont absolument nécessaires à la surveillance prudentielles des banques.⁸⁴ A noter que la succursale d’une banque ayant son siège à l’étranger est soumise au secret bancaire suisse. Il convient de préciser que les employés et les organes de la maison mère située à l’étranger ne sont, quant à eux, pas astreints au secret bancaire suisse, situation qui a pour conséquence qu’ils ne pourront pas obtenir de données précises sur des clients de la succursale suisse à moins que les clients leur accordent unwaiver.⁸⁵

64. S’agissant du cercle des informations pouvant être communiquées, celui-ci doit être clairement délimité. Ainsi les données clients individualisées ne pourront pas être transmises, seules des données anonymisées, sauf exception, pourront être communiquées à la maison mère afin que celle-ci puissent tenir compte des risques liés à l’établissement soumis à la surveillance consolidée. Les exceptions⁸⁶ pouvant se présenter sont celles où ces données sont nécessaires à la gestion globale des risques juridiques et de réputation⁸⁷ou encore du risque de crédit.

65. Chaque établissement bancaire suisse doit se doter d’une organisation interne propre à éviter toutes violations du secret bancaire. Ainsi, la maison mère d’une banque étrangère doit déléguer aux organes de sa succursale suisse tous les pouvoirs qui lui sont nécessaires pour assurer elle-même sa gestion et sa surveillance.⁸⁸

84A. RAPPO, p. 189-190; M. AUBERT, P.- A. BÉGUIN, P. BERNASCONI et consorts, p. 411.

85A. RAPPO, p. 190; M. AUBERT, P.- A. BÉGUIN, P. BERNASCONI et consorts, pp. 429-430.

86Par exemple lors d’enquêtes pénales, civiles ou administratives ouvertes à l’étranger ou encore pour contrôler et limiter le risque de blanchiment d’argent.

87Article 9 al. 4 OBA-FINMA; M. BORLA, pt. 5.

88A. RAPPO, p. 190.

iii.Les réviseurs externes

66. Le système de surveillance suisse a souvent été qualifié de dualiste ou d’indirect en raison de délégation par l’autorité de surveillance de tâches de surveillance étatiques à des sociétés d’audit agréées et de son activité réservée de haute surveillance et de contrainte.⁸⁹Bien que la société d’audit se voie déléguer des tâches publiques, elle n’est pas à même de rendre des décisions, mais uniquement de rendre des recommandations et d’émettre des irrégularités, seul l’autorité de surveillance pourra rendre des décisions.

67. Les sociétés d’audit exercent des contrôles directs auprès des établissements soumis à la surveillance de l’autorité. Trois circulaires, les circulaires CFB 05/1 à 05/3, définissent l’objet et le déroulement des contrôles effectués par les sociétés d’audit. Lors de l’audit, la révision externe analyse notamment le droit de la surveillance. La tâche de la société d’audit est vaste, car elle doit apprécier et se prononcer sur toute l’activité bancaire de l’établissement audité. Elle devra ainsi comprendre les affaires conclues par la banque et apprécier les risques encourus par la prise de ces engagements.⁹⁰ Elle devra également examiner l’organisation et la réglementation interne de la banque afin d’apprécier si cette dernière satisfait aux exigences de l’article 3 al. 2 let. a LB et si cette règlementation est appliquée. Pour finir, elle devra s’assurer que l’établissement répond toujours aux exigences légales pour pouvoir exercer une activité bancaire.⁹¹

68. Lors de l’audit prudentiel, la société d’audit se prononcera sur l’adéquation de l’organisation et du système de contrôle interne, également du point de vue informatique.⁹² Sans oublier que la société de révision a pour importante mission d’émettre une opinion sur la réalisation de la condition de la garantie de l’activité irréprochable des membres de la direction et de l’administration.

69. Comme nous l’avons vu, la société doit rendre un rapport comportant une prise de position de sa part sur les conditions de l’exercice de l’activité bancaire. Sa prise de position aura pour conséquence que la société d’audit engagera sa responsabilité et pourra voir son agrément retiré si l’autorité de surveillance estime qu’elle ne remplit plus les conditions légales à son octroi.⁹³

89J.-B. CONNE, J.-C. PERNOLLET, p. 5664.

90Circulaire CFB 05/1 cm 40.

91C. LOMBARDINI, p. 265 N. 2.

92Circulaire CFB 05/1 cm 39.

93C. LOMBARDINI, p. 270 N. 20.