La «Schadenfreude» du banquier nostalgique
L’OCDE a pris cette décision à la suite du piratage de données bancaires subi par le fisc bulgare fin juin. Une partie des informations des contribuables concernés avaient été partagées mi-juillet avec la presse bulgare
«On vous l’avait bien dit», ont certainement pensé, petit sourire en coin, certains banquiers suisses en découvrant que la Bulgarie s’était fait voler des millions de données financières. Cette Schadenfreude ne vise pas ce petit pays, mais l’échange automatique de données bancaires, mis en place après la crise financière de 2008. Pour une partie de la place financière, ce piratage apporte la preuve qu’il ne fonctionne pas. Ou qu’il est dangereux. Et que des banquiers ont eu raison de le combattre, même s’il a fini par avoir la peau du secret bancaire.
Parmi les millions de données volées au sein du fisc bulgare, certaines lui avaient été envoyées par d’autres pays où des Bulgares possèdent des comptes bancaires – dont probablement la Suisse, donc. C’est apparemment l’oeuvre d’un professionnel de la cybersécurité, qui offre aujourd’hui une douce revanche aux nostalgiques du secret bancaire.
Ces derniers avaient plutôt dénoncé d’autres risques découlant du partage tous azimuts d’informations bancaires. Des fonctionnaires corrompus risqueraient de les céder à des mafias locales qui trouveraient des cibles idéales pour du kidnapping ou des rançons. Des pays autoritaires pourraient imposer de sévères représailles à leurs contribuables ayant de l’argent caché en Suisse ou ailleurs.
Le piratage bulgare remet-il en cause l’échange automatique? Probablement pas. L’OCDE, qui chapeaute les transmissions au niveau international, en a exclu la Bulgarie jusqu’à ce que la sécurité des données soit renforcée. L’organisation a bien précisé que son système d’échange centralisé n’avait pas été hacké, et donc que tout allait bien.
En outre, l’échange automatique ne l’est pas vraiment. Un pays peut refuser d’envoyer des données bancaires à un pays qui ne présente pas de garantie suffisante en matière de confidentialité et de sécurité. La Suisse, par exemple, a décidé d’attendre qu’une quinzaine de juridictions plus ou moins exotiques musclent leurs infrastructures avant de leur envoyer quoi que ce soit. Dommage que la Bulgarie n’en fasse pas partie.
Surtout, on voit mal l’opinion publique revenir en arrière sur l’ère de transparence fiscale qui s’est imposée depuis le milieu des années 2010. A l’heure où tout le monde craint de se faire voler ses données, le commun des mortels se réjouira que, pour une fois, ce ne soit pas lui la victime. Chacun sa Schadenfreude.
La transparence fiscale survivra à ce couac
Gros couac dans l’échange automatique d’informations bancaires. La Bulgarie ne peut plus recevoir de données dans le cadre du mécanisme piloté par l’OCDE, et auquel participe la Suisse. La décision est tombée fin août, lorsque l’Organisation de coopération et de développement économiques a réagi à un piratage de données commis fin juin en Bulgarie.
Le fisc bulgare s’était alors fait voler les informations personnelles et financières de plusieurs millions de ses contribuables. Y compris des données envoyées par d’autres juridictions dans le cadre de l’échange automatique de renseignements bancaires. La Suisse pratique l’échange de données avec la Bulgarie depuis 2017, les premiers envois ont été effectués en 2018.
Il s’agit du plus grand vol de données de l’histoire de la Bulgarie. Les informations de pratiquement l’ensemble de la population adulte de ce pays de 7 millions d’habitants ont été compromises, selon un chercheur en cybersécurité de l’Académie bulgare des sciences, interrogé par Reuters. Mi-juillet, le hacker se présentant comme l’auteur du piratage avait affirmé détenir les données de plus de 5 millions de citoyens bulgares et étrangers, ainsi que d’entreprises. Le pirate présumé avait alors partagé la moitié de ses données avec la presse. Le journal 24 Chasa avait ainsi reçu par e-mail les revenus et numéros de sécurité sociale de plus d’un million de personnes.
Le scandale a conduit le ministre des Finances, Vladislav Goranov, à présenter des excuses officielles devant le parlement. Selon lui, les informations piratées ne représentaient que 3% des données du fisc bulgare et ne remettaient pas en cause la stabilité financière. Le 17 juillet, un employé bulgare d’une société de cybersécurité avait été arrêté, soupçonné d’être l’auteur du vol. Décrit comme un «magicien» du hacking par le premier ministre, Boyko Borissov, l’homme encourt 8 ans de prison. Son avocat dément les accusations portées contre son client.
Cet été, à la suite de la révélation du hack, des experts ont relevé que les techniques utilisées étaient relativement basiques, ce qui témoignait davantage d’une protection inadéquate des données que des talents du hacker.
C’est dans ce contexte que l’OCDE a décidé de suspendre l’échange automatique d’informations avec la Bulgarie le 30 août. Et jusqu’à ce qu’une enquête satisfaisante ait eu lieu et que les défaillances identifiées aient été résolues. Mis en place à la suite de la crise financière de 2008, l’échange automatique d’informations est entré en vigueur en 2017.
Participante de la première heure, la Suisse a progressivement conclu des accords d’échange de données avec les 28 Etats membres de l’OCDE et 81 autres juridictions dans le monde. A chaque nouvelle tournée d’accords, des voix s’élevaient pour mettre en garde contre l’insuffisante protection des données offerte par certains pays. Des voix qui se sont probablement réjouies, discrètement, du hack subi par la Bulgarie cet été.
Dans la pratique, les intermédiaires financiers basés en Suisse récoltent des informations sur les comptes détenus par des résidents des pays avec lesquels Berne a conclu un accord. Puis ces données sont envoyées vers une plateforme en ligne de l’OCDE à l’automne de l’année suivante. Les pays concernés peuvent alors les télécharger depuis cette plateforme centrale, qui n’a pas été hackée, a précisé l’OCDE dans son communiqué. Au total, l’échange automatique est pratiqué par une centaine de pays dans le monde, en comptant les six nouvelles juridictions qui échangeront des données dès 2020.
Evaluation globalement positive
Certains accords signés par la Suisse doivent entrer en vigueur en janvier prochain, notamment avec les Maldives. Mais Berne a choisi de ne pas encore échanger d’informations avec certains Etats, jugés insuffisamment performants en matière de confidentialité et de sécurité des données. Il s’agit essentiellement d’îles des Antilles, mais aussi du Liban ou encore de Macao. Les banques suisses doivent néanmoins récolter les données des ressortissants de ces juridictions. Elles seront échangées lorsque ces Etats auront mis en place des procédures validées par l’OCDE.
Chaque pays participant au mécanisme de l’échange automatique est évalué par un petit nombre d’autres participants. Publié en novembre 2016, le rapport de l’OCDE sur la Bulgarie concluait que le pays respectait le standard international en matière d’échange d’informations. Le pays devait améliorer l’identification des détenteurs d’actions au porteur, mais était considéré comme un «partenaire important et fiable» de l’échange d’informations.
Le hacker présumé était déjà apparu dans les médias en 2017, lorsqu’il avait révélé des failles sur le site internet du Ministère bulgare de l’éducation, expliquant «remplir son devoir civique». Ce qui lui avait valu à l’époque les remerciements de la vice-ministre de l’Education, rappelle Reuters.
A la suite du piratage du fisc bulgare, le journal «24 Chasa» avait reçu les revenus et numéros de sécurité sociale de plus d’un million de personnes