• Like

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
386
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. | Réseau mondial des avocats spécialisés en droit des technologies avancées
  • 2. GENEVE, VENDREDI 22 MARS 2012 Obligations légales et responsabilités de l’intermédiaire financier qui détient des données de ses clients Sébastien FANTI sebastien.fanti@sebastienfanti.ch| Allemagne | Belgique | Canada | Espagne | Etats-Unis | France | Israël | Italie | Maroc | Mexique | Norvège | Royaume-Uni | Suisse
  • 3. INTERMEDIAIRES FINANCIERS Sommaire de l’exposé1. Prolégomènes2. Protection des données3. Dispositions pénales4. Dispositions disciplinaires5. Conclusions et conseils PAGE 03 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 4. INTERMEDIAIRES FINANCIERS ProlégomènesChères Consoeurs, Chers Confrères,Vous trouverez ci-joint lordre du jour de la séance de ce jeudi. Elle sera brève, de sorte que nous auronsun peu de temps pour un tour de table destiné à préparer lassemblée générale.Jinvite :Me X à me faire parvenir sa note de frais pour le dossier L, pour que jétablisse sans tarder la facture àlintention du DSSI (le préavis lui a déjà été transmis).Me Y à vérifier si les frais des dossiers suivants ont été acquittés: 118/2008 (A), 135/2009 (B), 136/2009 (C)et 141/2009 (D), avant que je ne les archive.Avec mes salutations confraternellesMe Z, président de la chambre de surveillance des notairesChères Consoeurs, Chers Confrères,Un courriel destiné aux seuls membres de la chambre de surveillance vient de vous être adressé à tous.Je vous invite à le détruire sans délai et vous adresse mes excuses pour ce lapsus. Ce sont là les risques dela communication électronique, en attendant les actes électroniques ... PAGE 04 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 5. INTERMEDIAIRES FINANCIERS Protection des donnéesQualification de données sensibles (art. 3 let. c LPD) et de profil de la personnalité (art. 3let. d LPD) :Soit les données qui peuvent par leur nature porter atteinte aux libertés fondamentalesou à la vie privée (le revenu ou la fortune n’en font pas partie).Le profil de la personnalité est un assemblage de données qui permet d’apprécier lescaractéristiques essentielles de la personnalité d’une personne physique (art. 3 let. dLPD). Le profil client établi dans le cadre des règles KYC (Know Your Customer) par legestionnaire de fortune, notamment s’agissant d’un PEP (Politically Exposed Person; cf.art. 2 OBA-FINMA) remplit les conditions légales de cette définition (cf. art. 17 del’ancienne Ordonnance 1 de la FINMA sur le blanchiment d’argent du 18 décembre2002).Les effets juridiques de la qualification de profil de la personnalité sont les mêmes quepour les données sensibles. PAGE 05 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 6. INTERMEDIAIRES FINANCIERS Protection des donnéesEffets juridiques de la qualification de profil de la personnalité:- Rigueur accrue dans l’application des principes généraux de traitement (finalité, etc.);- Consentement explicite requis pour le traitement des données;- Obligation de déclaration des fichiers au PFPDT lorsque les personnes traitent régulièrement des données sensibles;- Interdiction de communiquer à des tiers de telles données sans motif justificatif;- Sécurité des données (cf. article 8 OPD);- …En résumé, un degré d’attention accru, des mesures préventives supplémentaires et untraitement strictement conforme aux règles légales. PAGE 06 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 7. INTERMEDIAIRES FINANCIERS Protection des donnéesDéclaration des fichiers au PFPDT:https://www.datareg.admin.ch/WebDatareg/search/SearchSimple.aspx PAGE 07 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 8. INTERMEDIAIRES FINANCIERS Protection des donnéesDéclaration des fichiers au PFPDT (art. 11a al. 5 let. a LPD):Le maître de fichier privé qui traite des données et établit un fichier sur la base d’uneobligation légale est dispensé de déclaration. Il peut toutefois par mesure desimplification choisir d’opérer une telle déclaration. Conseil: le publier donne uneimpression de sérieux et conforte le client dans la relation de confiance établie.Cela concerne également les intermédiaires financiers conformément aux normeslégales et professionnelles relatives à la lutte contre le blanchiment d’argent et leterrorisme.La liste des intermédiaires financiers au bénéfice d’une autorisation n’a pas à êtrepubliée sur le net (JAAC 68.92). La liste des faux intermédiaires l’est par contre. PAGE 08 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 9. INTERMEDIAIRES FINANCIERS Protection des donnéesCommunication transfrontière des données:Le mandataire prendra toutes les mesures organisationnelles et techniques appropriées pour éviter touttraitement non autorisé des données personnelles en application de l’article 7 de la loi fédérale sur laprotection des données. Le fichier constitué par les données clients fait lobjet dune déclaration au Préposéfédéral à la protection des données et à la transparence (numéro de registre 201200002).Le mandant est toutefois informé du fait que le mandataire ne peut garantir que les données le concernantne soient pas communiquées à l’étranger dans un pays ne bénéficiant pas d’une législation assurant unniveau de protection adéquat. Cela est notamment dû intrinsèquement à la communication par courriel, austockage dans les nuages (cloud computing), ainsi qu’aux logiciels de bureautique les plus courants, étantprécisé que le mandataire n’est lui-même régulièrement pas informé de cette communication transfrontièrede données par les différents prestataires.Le mandant consent à cette communication transfrontière de données le concernant (art. 6 al. 2 let. bLPD). Si tel ne devait pas être le cas, il sollicite immédiatement du mandataire la prise de mesures deprotection spécifiques et déclare formellement en assumer le coût supplémentaire. PAGE 09 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 10. INTERMEDIAIRES FINANCIERS Protection des donnéesCommunication transfrontière des données:Le champ d’application des législations en matière de protection des données estlimité par le principe de territorialité.Article 6 al. 1 LPD: aucune donnée personnelle ne peut être communiquée àl’étranger si la personnalité des personnes concernées devait s’en trouvergravement menacée, notamment du fait de l’absence d’une législation assurant unniveau de protection adéquat. La violation de cet article constitue per se uneatteinte à la personnalité.Le problème principal concerne les USA (U.S. – Swiss Safe Harbor Framework).Il est donc indispensable de procéder à des vérifications approfondies. PAGE 010 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 11. INTERMEDIAIRES FINANCIERS Droit pénalCasus introductif:• Le Tribunal cantonal valaisan a jugé que celui qui, au bénéfice d’un mot de passe communiqué par son employeur, accède à des serveurs lui permettant de disposer de données spécifiques ne se rend pas coupable de soustraction de données, ceci à défaut de protection spécifique!• En étant simplement au bénéfice du mot de passe lui permettant de sacquitter de ses obligations contractuelles, X. a pu accéder aux serveurs contenant les données dont il sest ensuite emparé. Bien que lesdits serveurs aient fait lobjet de diverses protections contre des intrusions de lextérieur (chambre forte, contrôles daccès biométriques, pare-feu), cet employé na rencontré aucune mesure de sécurité spécifique lui entravant laccès aux logiciels du "Back Office" recherchés ou encore aux données dY. SA relatives aux adresses e-mail des abonnés au service de messagerie A.ch, de même que celles afférentes à la liste des clients du site B., le tout "logins" et mots de passe compris.PAGE 011 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 12. INTERMEDIAIRES FINANCIERS Droit pénal• Il importe peu quen fonction de la formation ou des capacités de celui-ci, voire des renseignements fournis par des collègues mieux aguerris en ce domaine, lemployé indélicat ait mis plus ou moins de temps pour trouver le chemin des données recherchées, dès lors lintéressé na dû surmonter aucun obstacle de sécurité mis en œuvre volontairement par son employeur.• Au contraire, faisant prévaloir des raisons de rentabilité dont il nappartient pas à la cour de vérifier le bien-fondé, les organes dY. SA ont opté pour une barrière dite morale, qui ne suffit évidemment pas à réunir les réquisits posés à lart. 143 CP, alors même - tel que déjà évoqué en droit - que cette barrière aurait été assortie dinstructions voire dinterdictions orales ou écrites. PAGE 012| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 13. INTERMEDIAIRES FINANCIERS Droit pénal• Avec la société lésée, on peut sinterroger sur le sens de la protection pénale restreinte ainsi accordée par le législateur, dans sa volonté de renoncer à réprimer ce qui équivaut à un abus de confiance au sens large du terme. Cest bien la raison pour laquelle ont déjà été relevé le peu dincidence pratique de lart. 143 CP et même le caractère dépassé des moyens légaux mis en œuvre dès 1995 pour lutter contre la criminalité informatique. Il suit de là quun renvoi en jugement fondé sur lart. 143 CP ne saurait se justifier.• Pour des motifs similaires, lapplication de lart. 143bis CP nentre pas en ligne de compte, outre que lactivité de lemployé X. ne peut être assimilée à celle dun "hacker" qui visite le site dautrui en vue den percer les défenses et den violer le domicile informatique. PAGE 013| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 14. INTERMEDIAIRES FINANCIERS Droit pénal• La cause pénale concernant X. a en revanche été renvoyée à jugement sagissant de la violation du secret des postes et des télécommunications.• Ainsi, celui-ci ne semble pas avoir échappé à une sanction justifiée; toutefois, cet arrêt signifie clairement que pour éviter tout problème ultérieur, mieux vaut sécuriser «en interne» vos systèmes informatiques.• À défaut, toute poursuite pénale fondée sur l’article 143 du Code pénal risque fort d’être vouée à l’échec! PAGE 014| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 15. INTERMEDIAIRES FINANCIERS Droit pénal enseignements• Les instructions et/ou interdictions orales ou écrites sont insuffisantes. Une barrière électronique et des contre-mesures sont nécessaires.• Le règlement informatique et les clauses contractuelles ne sont donc, du point de vue pénal, d’aucun secours pour démontrer la réalisation des conditions objectives d’infractions, telles que la soustraction de données ou l’accès indu à un système informatique.• Elles pourront, par contre, fonder une action civile.• Les erreurs de vos employés vous seront imputées; ex: un client d’une banque voit ses données communiquées au fisc de son pays et dépose une plainte contre X. Il existe un risque que l’employeur doive justifier des mesures de sécurité prises et de grands risques qu’il doive assumer les conséquences civiles du comportement illicite soient à sa charge (action récursoire possible). PAGE 015| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 16. INTERMEDIAIRES FINANCIERS Droit pénal enseignements• Ne comptez sur personne pour vous aider en cas de pépin: la Suisse va probablement ratifier la Convention du Conseil de l’Europe sur la cybercriminalité signée en 2001… en 2011.• Aucun article juridique, ni aucun jugement n’ont été publiés en matière de data loss prevention à ce jour!• Il n’y a qu’un DIEU informatique, c’est le responsable de la sécurité des données de vos clients et de vos données!• Ni un juge, ni un policier, ni un politicien ne pourront rétablir une réputation ternie et vous permettre de vous soustraire aux procédures qui ne manqueront pas d’être diligentées (ex: procédure disciplinaire contre un avocat dont l’épouse a subtilisé les données client pour démontrer le niveau de revenu… avant de demander le divorce!). PAGE 016| Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 17. INTERMEDIAIRES FINANCIERS Droit pénal• Autres cas d’application: clés USB; ordinateurs portables; photocopieurs; devices…Selon le dernier rapport de la Central d’enregistrement et d’analyse pour la sûretéde l’information (Melani, rapport semestriel 2010/1):Les affaires d’espionnage et de vols de données ont augmenté au premier semestre2010 sur le plan mondial. PAGE 017 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 18. INTERMEDIAIRES FINANCIERS Droit disciplinaireLa publication des décisions de la FINMA en vertu de l’article 34 LFINMA estdésastreuse en termes d’images:Art. 34 Publication d’une décision en matière de surveillance1 En cas de violation grave du droit de la surveillance, la FINMA peut publier sadécision finale, y compris les données personnelles des assujettis concernés, sousforme électronique ou écrite, à compter de son entrée en force.2 La publication doit être ordonnée dans la décision elle-même.Il n’existe aucun droit à l’oubli concernant la publication de telles décisions dont leréférencement aura lieu automatiquement compte tenu de l’excellente tenue dusite de la FINMA.Le dommage est donc exponentiel et permanent. Faire disparaître une telleinformation du web coûte des dizaines de milliers de francs. PAGE 018 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 19. INTERMEDIAIRES FINANCIERS Outsourcer sa sécurité?La délégation de traitement de données (outsourcing, cf. art. 10a LPD) eststrictement encadrée. Elle concerne la collecte, la saisie, l’exploitation, l’analyse, lecontrôle, la destruction, l’archivage, la sauvegarde et l’accès à distances à desdonnées. En pratique on outsource même sans le savoir au sens de la loi dès lorsque l’on fait appel à un avocat, un fournisseur d’accès, etc.Lorsque le traitement de données par un tiers est conforme aux conditions fixéesci-après, elle ne nécessite ni information ni a fortiori consentement de lapersonne concernée même si on traite des données sensibles.Le mandant doit tout d’abord:- Choisir avec soin le tiers qui va traiter les données;- Lui donner toutes les instructions adéquates;- Exercer la surveillance pour s’assurer que les instructions soient respectées;L’indiquer dans le contrat est suffisant. Il faut que le pouvoir d’instruction et de 019 PAGEcontrôle soit effectif. | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 20. INTERMEDIAIRES FINANCIERS Outsourcer sa sécurité?La délégation n’est admise que si aucune obligation légale ou contractuelle degarder le secret ne l’interdit.L’outsourcing de certaines tâches par une banque ne contrevient pas à l’article 47LB pour autant que les neuf principes de la circulaire FINMA 2008/7 du 20novembre 2008 soient respectés. Parmi ces principes figure l’information du client.La délégation ne dispense pas le mandant de l’ensemble de ses devoirs générauxen matière de protection des données notamment en ce qui concerne le principede sécurité et le principe de proportionnalité (ne pas transférer plus de donnéesque nécessaire). Il faut en particulier effectuer des vérifications régulières etpouvoir accéder en tout temps aux données dont le traitement a été délégué(notamment pour répondre aux demandes de tiers – art. 8 LPD).Le cadre juridique et règlementaire est donc clairement établi. PAGE 020 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 21. INTERMEDIAIRES FINANCIERS Conclusions et conseils1. Connaître ses limites;2. Prendre conscience du fait qu’un incident important peut entraîner la faillite de l’entreprise;3. Déléguer les tâches pour lesquelles le savoir-faire fait défaut;4. S’assurer que la délégation respecte les normes;5. Ne pas considérer que le service juridique est peuplé de gêneurs et d’empêcheurs d’affaires;6. Dans le doute, solliciter les structures professionnelles et les services étatiques de manière anonymisée.7. Choisir un employé et le charger d’une veille liée aux technologies de l’information.À défaut… priez !Merci de votre attention. PAGE 021 | Suisse | Me Sébastien FANTI | sebastien.fanti@sebastienfanti.ch
  • 22. Allemagne Belgique Canada Espagne Etats-unisBuse Heberer Fromm Rechtsanwälte elegis Langlois, Kronström, Desjardins Alliant Abogados Asociados SLP IT Law GroupBernd Reinmüller, Tim Caesar et Stephan Jean-François Henrotte Richard Ramsay et Jean-François De Rico Marc Gallardo Françoise GilbertMenzemer jf.henrotte@avocat.be jean-francois.derico@lkd.ca Gran Via Corts Catalanes 702 555 Bryant Street #603Neue Mainzer Strasse 28 http://lexing.elegis.be www.langloiskronstromdesjardins.com 08010 Barcelone Palo Alto, CA 9430160311 Frankfurt Am Main T. 0034 93 265 58 42 T. 0016 508 04 12 35T. 0049 699 71 09 71 00 Liège Montréal F. 0034 93 265 52 90 F. 0016 507 35 18 01F. 0049 699 71 09 72 00 Place des Nations-Unies, 7 1002, rue Sherbrooke Ouest, 28e étage marc.gallardo@alliantabogados.com fgilbert@itlawgroup.comreinmueller@buse.de 4020 Liège H3A3L6 Montréal www.alliantabogados.com www.itlawgroup.comwww.buse.de T. 0032 43 42 30 50 T. 0015 148 42 95 12 F. 0032 70 22 52 22 F. 0015 148 45 65 73 Bruxelles Québec Boulevard de la Woluwe, 60 801, Grande Allée Ouest, Bureau 300 1200 Bruxelles G1S1C1 Québec T. 0032 22 40 15 20 T. 0014 186 50 70 00 F. 0032 70 22 52 22 F. 0014 186 50 70 75France Israël Italie Maroc MexiqueAlain Bensoussan, Isabelle Tellier Livnat, Mayer & Co Studio Legale Zallone Bassamat & Associée Langlet, Carpio y Asociadoset Frédéric Fortster Russelle D. Mayer Raffaele Zallone Fassi-Fihri Bassamat Enrique Ochoawww.alain-bensoussan.com Jérusalem Technology Park, 31 Via Dell’Annunciata 30 rue Mohamed Ben Brahim Al Torre Axis Santa Fe Building 9, 4th Floor 20121 Milano Mourrakouchi Prolongación Paseo de la Reforma # 61, PB-B1Paris P.O. Box 48193 Malcha T. 0039 229 01 35 83 20000 Casablanca Col. Paseo de las Lomas29, rue du Colonel Pierre Avia 91481 Jérusalem F. 0039 229 01 03 04 T. 00212 522 26 68 03 01330 Mxico, D.F.F75508 Paris cedex 15 T. 0097 226 79 95 33 r.zallone@studiozallone.it F. 00212 522 26 68 07 T. 0052 55 25 91 10 70T. 0033 141 33 35 35 F. 0097 226 79 95 22 www.studiovallone.it contact@cabinetbassamat.com F. 0052 55 25 91 10 40F. 0033 141 33 35 36 mayer@lmf.co.il www.cabinetbassamat.com eochoa@lclaw.com.mxparis@alain-bensoussan.com www.livmaylaw.co.il www.lclaw.com.mxGrenoble7, place Firmin GautierF38000 GrenobleT. 0033 476 70 09 95F. 0033 476 70 09 96grenoble@alain-bensoussan.comNorvège Royaume-Uni SuisseFøyen Advøkatfirma DA Preiskel & Co LLP Sébastien Fanti Avocat & NotaireArve Føyen Danny Preiskel 8B rue de Pré-Fleuri, CP 497Postboks 7086 St. Olavs pl. 5 Fleet Place 1951 Sion0130 Oslo London EC4M 7RD T. 0041 27 322 15 15T. 0047 21 93 10 00 T. 0044 20 7332 5640 F. 0041 27 322 15 70F. 0047 21 93 10 01 F. 0044 20 7332 5641 sebastien.fanti@sebastienfanti.charve.foyen@foyen.no dpreiskel@preiskel.com www.sebastienfanti.chwww.foyen.no www.preiskel.com | Réseau mondial des avocats spécialisés en droit des technologies avancées