Le secret bancaire est mort, vive la protection des données!
Selon une idée largement répandue, le secret bancaire suisse agonise et les banques suisses se voient contraintes de transmettre sans restriction toutes les données bancaires aux autorités étrangères. Or, la pratique judiciaire établie dans le cadre du programme américain de régularisation fiscale démontre le contraire, non pas en raison du secret bancaire helvétique, mais grâce à la loi sur la protection des données.
Depuis l’été 2013, un grand nombre de banques suisses ont participé au programme américain. Le programme et les accords conclus avec les autorités américaines dans ce contexte imposent aux banques de transmettre au Département fédéral de la justice des Etats-Unis un grand nombre de données bancaires, notamment le nom des employés ainsi que diverses informations relatives aux comptes d’ayants droit économiques américains. Le Conseil fédéral suisse a validé ces conditions, mais a imposé aux banques d’informer préalablement les employés concernés par cette transmission de données.
Des clients américains, des employés et des avocats refusant de voir leurs informations transmises aux autorités américaines ont alors agi en justice afin d’empêcher tout transfert de leurs données. Les banques faisaient valoir que les transmissions de données étaient indispensables à la sauvegarde de la place financière suisse, laquelle relevait d’un intérêt public prépondérant. Le préposé fédéral à la protection des données s’est rallié à ce point de vue, en soulignant toutefois la nécessité d’une pesée des intérêts dans chaque cas concret (communiqué du préposé du 16 octobre 2012).
Ce nonobstant, les tribunaux suisses ont très majoritairement jugé les transferts envisagés contraires au droit suisse de la protection des données. Ils ont en particulier massivement interdit le transfert aux autorités américaines du nom et de la fonction des employés et des titulaires de procurations sur les comptes bancaires liés aux Etats-Unis. Le Tribunal fédéral retient à ce sujet qu’un intérêt public prépondérant justifiant le transfert de ces informations n’existe que si, en cas de refus de transmission des données, la place financière helvétique dans son ensemble et la réputation de la Suisse en tant que partenaire de négociation fiable devaient être compromises (4A_390/2017, résumé in: LawInside.ch/559). A notre connaissance, cette condition n’a jamais été considérée comme remplie par les tribunaux suisses.
En outre, la plupart des banques participant au programme ont transmis aux autorités américaines des données clients pseudonymisées (p. ex. remplacement du nom du client par un alias), en conservant une table de concordance afin de pouvoir identifier la personne concernée ultérieurement en cas de demande des autorités fiscales par les voies judiciaires applicables. En 2014 déjà, le préposé fédéral à la protection des données a contesté la légalité de cette pratique (rapport d’activité 2014/2015). Selon cette prise de position, les données pseudonymisées demeuraient soumises à la législation suisse relative aux données personnelles tant que la banque conservait un tableau de concordance, même si les autorités américaines n’y avaient pas accès. Par conséquent, la remise de ces données aux autorités américaines enfreignait en principe le droit suisse, sous réserve de motifs justificatifs particuliers.
Dans un arrêt récent (4A_365/2017, résumé in: LawInside.ch/660), le Tribunal fédéral adopte une approche plus nuancée. Les juges de Mon-Repos retiennent en effet que le transfert de données pseudonymisées aux autorités américaines est licite si la banque peut démontrer que les mesures de pseudonymisation empêchent effectivement l’identification des personnes concernées par ces autorités. Cela étant, l’apport de cette preuve s’avère très difficile en pratique. En effet, les moyens techniques actuels permettent d’opérer des recoupements avec les larges volumes de données existants. En particulier, de nombreuses informations provenant de récentes fuites de données sont désormais librement accessibles (les Panama Papers, les SwissLeaks ou encore les Paradise Papers) et pourraient aider les EtatsUnis à identifier les clients concernés. Enfin, selon les tribunaux suisses, les autorités américaines pourraient avoir accès aux données des centres de traitement des paiements Swift situés aux Etats-Unis (Handelsgericht Zürich, 30.05.2017, HG150170-O). Dès lors, les autorités américaines pourraient retrouver l’identité des clients concernés par les données transmises, malgré la pseudonymisation mise en place par la banque.
Il apparaît ainsi que nonobstant les impératifs politiques et l’érosion du secret bancaire helvétique, les tribunaux suisses appliquent rigoureusement les règles suisses relatives à la protection des données personnelles. Cette pratique ne fera pas obstacle à l’échange automatique de renseignements en matière fiscale en vertu d’accords correspondants conclus par la Suisse. Elle restreindra en revanche largement la remise d’informations en dehors de ces accords à des Etats n’assurant pas un niveau adéquat de protection des données, comme les Etats-Unis. ▅
Les tribunaux suisses appliquent rigoureusement les règles relatives à la protection des données personnelles ÉMILIE JACOT-GUILLARMOD AVOCATE CHEZ LENZ & STAEHELIN
CÉLIAN HIRSCH DOCTORANT, CENTRE DE DROIT BANCAIRE ET FINANCIER DE L’UNIVERSITÉ DE GENÈVE