Conference Presentation
Reference
Fuite de données bancaires : du devoir d'informer à la responsabilité de la banque
HIRSCH, Célian
HIRSCH, Célian. Fuite de données bancaires : du devoir d'informer à la responsabilité de la banque. In: Webinaire du 11 juin 2020 sur les données bancaires, Genève, 11 juin 2020, 2020
Fuite de données bancaires : du devoir
d’informer à la responsabilité de la banque
Célian Hirsch Webinaire du 11 juin 2020 sur les données bancaires
I. Introduction
• Cas introductif : la messagerie interne du groupe de sociétés
• Groupe de sociétés avec des entreprises actives dans le domaine des banques, de l’assurance et des médias
• Système de messagerie interne unique à l’ensemble du groupe
• Accès « public » à l’ensemble du groupe des nouveaux dossiers partagés via cette messagerie
I. Introduction
1. Lorsqu'un employé omet de modifier l'accès "public" de son dossier partagé, s'agit-il d'une fuite de données ?
1. Oui, le risque virtuel suffit, sans besoin d’accès concret d’une personne non autorisée.
2. Non, la fuite de données ne se réalise qu’au moment de l’accès par une personne non autorisée.
2. Lorsque la banque (suisse) découvre que les dossiers partagés
pouvaient être accessibles à l'ensemble des employés du groupe, doit- elle en informer...
1. La FINMA ?
2. Le Préposé fédéral à la protection des données et à la transparence ?
3. Les personnes dont les données étaient accessibles ? 4. Aucune personne.
3. En raison du fait qu'un dossier partagé soit accessible aux employés du groupe, la banque ou les employés en question peuvent-ils être...
1. Sanctionnés selon le droit administratif ? 2. Civilement responsables ?
3. Pénalement responsables ?
I. Introduction
II. Notion juridique de fuite de données et but du devoir d’informer
• Notion de la fuite
• Violation de la sécurité des données personnelles (data breach ; Verletzung der Datensicherheit) (art. 4 let. g P-LPD ; art. 4 ch. 12 RGPD ; ch. 3.7 de la Norme ISO 27040)
• Perte
• Vol/perte d’un support de données ou d’une clé de cryptage
• Altération (modification ou effacement)
• Suppression accidentelle de données
• Divulgation ou accès non autorisés
• Envoi d’un e-mail à un mauvais destinataire
• Mauvaise gestion des droits d’accès
• Devoir de documentation en droit européen (art. 33 par. 5 RGPD)
• But du devoir d’informer
• Protéger la personnalité des personnes concernées par la fuite
III. Destinataires du devoir d’information
• Personnes et autorités à informer selon le droit bancaire et financier
• FINMA
• Les assujettis renseignent sans délai la FINMA sur tout fait important susceptible de l’intéresser (art. 29 al. 2 LFINMA)
• Clients
• Devoir d’information en vertu des règles du mandat
• Autorités européennes compétentes (Banque de France, BaFin,…) et utilisateurs de service de paiements
• « En cas d’incident opérationnel ou de sécurité majeur » (art. 96 par. 1 DSP2)
• Applicable uniquement dans l’UE
III. Destinataires du devoir d’information
• Personnes et autorités à informer selon le droit de la protection des données
• Droit suisse
• Préposé fédéral à la protection des données et à la transparence (art. 22 al. 1 P-LPD)
• « Risque élevé »
• Personnes concernées (art. 22 al. 4 P-LPD)
• Si c’est nécessaire à leur protection, ou
• Si le Préposé fédéral l’exige
• Droit européen
• Autorité de contrôle compétente (bit.ly/breach-not)
• Toujours, sauf s’il n’y a pas de risque (art. 33 RGPD)
• Personnes concernées
• «Risque élevé» (art. 34 RGPD)
• Si l’autorité compétente l’exige
IV. Délais
• Autorités
• « sans délai » (art. 29 al. 2 LFINMA) ; « 72 heures » (Communication FINMA sur la surveillance 05/2020)
• « dans les meilleurs délais » (art. 22 al. 1 P-LPD)
• « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance » (art. 33 par. 1 RGPD)
• Personnes concernées
• Aucun délai légal prévu par le P-LPD
• « dans les meilleurs délais » (art. 34 par. 1 RGPD)
V. Restrictions possibles
• Pas de restrictions possibles en principe s’agissant des autorités (FINMA, Préposé fédéral, autorité de contrôle européenne)
• Art. 271 CP (actes exécutés sans droit pour un État étranger) pour les autorités étrangères ?
• Non, cf. la note du DFJP du 4 septembre 2018
• Pour les personnes concernées (clients, employés, …), il n’est pas nécessaire de les informer directement si :
• Droit suisse (art. 22 al. 5 P-LPD)
• les intérêts prépondérants d’un tiers l’exigent,
• un devoir légal de garder le secret l’interdit, ou
• il est procédé à une communication publique.
• Droit européen (art. 34 par. 3 RGPD)
• des mesures appropriées avaient été mises en œuvre (chiffrement des données) ou l’ont été depuis lors, ou
• il est procédé à une communication publique.
VI. Les responsabilités pénale, administrative et civile
• Responsabilité pénale
• Pour les individus : art. 47 LB ; art. 55 let. c P-LPD
• ATF 145 IV 144 - Rudolf Elmer
• Pour la banque : art. 102 al. 1 CP ; art. 7 DPA
• Responsabilité administrative
• Organisation inappropriée et violation de la garantie de l’activité irréprochable (art. 3 al. 2 LB)
• Bulletin FINMA 3/2012 p. 105 ss – Services informatiques
• Bulletin FINMA 4/2013 p. 68 ss – Défaillances de sécurité
• Amendes administratives (art. 83 RGPD)
• Pas d’amendes administratives en droit suisse
• Responsabilité civile
VII. Conclusion
• Cas de la messagerie interne du groupe de sociétés
• Cas réel (Délibération de la CNIL n°2012-176 du 21 juin 2012)
• L’accès « public » constitue une « violation de la sécurité des données »
• Il s’agit d’un accès non autorisé
• Analyse du risque encouru par les personnes concernées pour déterminer l’existence des devoirs d’information
• Responsabilité pénale, administrative et civile envisageable
VII. Conclusion
• Eléments à retenir
• Notion très large de la « violation de la sécurité des données »
• Le devoir d’information dépend exclusivement des risques encourus par les personnes concernées
• Pour l’information à l’autorité compétente, distinction du seuil entre :
• le droit suisse (« risque élevé »), et
• le droit européen (principe d’information)
Pour approfondir
• Lignes directrices du G29 sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679, août 2018
• ENISA - Recommendations for a methodology of the assessment of severity of personal data breaches, December 2013
• Communication FINMA sur la surveillance 05/2020 : Obligation de signaler les cyberattaques selon l'art. 29 al. 2 LFINMA
• ASB - Data Leakage Protection - Information on Best Practice by the Working Group Information Security of the Swiss Bankers Association – October 2012
• Béguin/Vignieu - Fuite de données bancaires : risques et devoirs d’information, 9 avril 2018
• EBA - Guidelines on major incidents reporting under PSD2, July 2017
• Der Bayerische Landesbeauftragte für den Datenschutz, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, Juni 2019