Le vol de données bancaires - Universités de Genève et de Lausanne Faculté de droit Master of advanced studies (LL.M.) in Business Law - MBL ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Universités de Genève et de Lausanne
Faculté de droit
Master of advanced studies (LL.M.) in Business Law – MBL
Mémoire
Le vol de données bancaires
Mélissa Palin
Sous la direction du Professeur Christian Bovet
Années académiques 2009-2011Remerciements
Par ces quelques lignes, je tiens à remercier Madame Simona Mulinari et Maître Emmanuel
Genequand pour le soutien qu’ils m’ont apporté durant l’accomplissement de ce mémoire ainsi
que pour leurs précieux conseils. Que mes collègues chez PricewaterhouseCoopers trouvent
également ici l’expression de mes remerciements pour leur encouragement et leur aide au
cours de ce travail.
Enfin, je remercie mes proches pour leur soutien, leur présence et leur encouragement tout au
long de ce travail.
1Tables des matières
REMERCIEMENTS................................................................................................................. 1
LISTE DES ABRÉVIATIONS ................................................................................................ 4
I. INTRODUCTION ........................................................................................................... 6
II. DONNÉES PROTÉGÉES PAR LE SECRET BANCAIRE........................................ 8
III. LA GARANTIE DE L’ACTIVITÉ IRRÉPROCHABLE.......................................... 10
IV. L’ORGANISATION DE L’INTERMÉDIAIRE FINANCIER................................. 13
a. Du point de vue interne -------------------------------------------------------------- 13
i. Au niveau du Conseil d’administration ------------------------------------------ 13
ii. Au niveau de la direction ---------------------------------------------------------- 17
iii.Au niveau de la révision interne -------------------------------------------------- 17
iv. Au niveau du compliance ---------------------------------------------------------- 19
v. Au niveau risk management ------------------------------------------------------- 21
b. Du point de vue externe -------------------------------------------------------------- 22
i. Le cas de l’outsourcing------------------------------------------------------------- 22
ii. La surveillance consolidée --------------------------------------------------------- 26
iii.Les réviseurs externes -------------------------------------------------------------- 30
V. LES DISPOSITIONS PÉNALES ................................................................................. 32
a. La Convention du Conseil de l’Europe sur la cybercriminalité------------- 32
i. Champ d’application---------------------------------------------------------------- 32
ii. Les dispositions transposées------------------------------------------------------- 33
b. La compétence pénale ---------------------------------------------------------------- 33
c. Les dispositions spéciales applicables --------------------------------------------- 36
i. La soustraction de données (art.143 CP) ---------------------------------------- 36
ii. L’accès indu à un système informatique (art.143bis CP) --------------------- 39
iii.Le service de renseignements économiques (art. 273 CP) -------------------- 40
d. La responsabilité pénale de l’intermédiaire financier------------------------- 42
2VI. LES DISPOSITIONS EN MATIÈRE FISCALE ....................................................... 45
a. Procédure formelle d’entraide en matière fiscale ------------------------------ 46
b. Procédure informelle dans le cadre du FATCA -------------------------------- 48
i. Explications --------------------------------------------------------------------------- 48
ii. Conséquences pour les intermédiaires financiers ------------------------------- 49
iii. Problèmes et conflits dans l’application des règles FATCA ----------------- 51
VII. LES CONSÉQUENCES POUR LES INTERVENANTS............................................ 52
a. En matière civile ----------------------------------------------------------------------- 52
i. En droit de la personnalité --------------------------------------------------------- 52
ii. En matière délictuelle--------------------------------------------------------------- 54
iii.En matière contractuelle------------------------------------------------------------ 56
b. En matière administrative (LFINMA et pratique de la FINMA)----------- 59
c. En matière pénale --------------------------------------------------------------------- 60
d. En matière fiscale --------------------------------------------------------------------- 61
e. En matière d’autorégulation -------------------------------------------------------- 61
VIII. CONCLUSION .............................................................................................................. 62
IX. ANNEXE - REGLES DE CONDUITE PROPOSEES ET COMMENTEES .......... 64
a. Le domaine des ressources humaines --------------------------------------------- 66
b. Le domaine informatique------------------------------------------------------------ 67
c. Le domaine de l’organisation ------------------------------------------------------- 68
d. Le domaine des prestataires externes --------------------------------------------- 68
BIBLIOGRAPHIE .................................................................................................................. 70
3Liste des abréviations
Al. Alinéa
Art. Article
ASB Association Suisse des Banquiers
ATF Arrêt du Tribunal fédéral
BCM Business Continuity Management
CC Code Civil suisse
CFB Commission fédérale des banques
CO Code suisse des obligations
CP Code pénal suisse
FATCA Foreign Account Tax Compliance Act
FF Feuille fédérale
FFI Foreign Financial Intermediary
FINMA Autorité fédérale de surveillance des marchés financiers
HIRE Hiring Incentives to Restore Employment Act
IT Information Technology
IRS Internal Revenue Service
JDT Journal des Tribunaux
LB Loi fédérale sur les banques et les caisses d’épargne
Let. Lettre
LFINMA Loi fédérale sur l’Autorité fédérale de surveillance des marchés financiers
LPD Loi fédérale sur la protection des données
4OACDI Ordonnance relative à l’assistance administrative d’après les conventions
contre les doubles impositions
OB Ordonnance sur les banques et les caisses d’épargne
OCDE Organisation de coopération et de développement économiques
SWIFT Society for Worldwide Interbank Financial Telecommunication
5I. Introduction
1. Le vol de données est une problématique actuelle qui s’est distinguée dans plusieurs
affaires médiatiques. S’agissant du domaine bancaire, cette problématique s’est illustrée
dans plusieurs affaires dont notamment celle survenue au sein de HSBC ou encore celle
de LGT. Le nombre de personnes affectées par une perte ou un vol de données est
estimé à environ 250 millions en 2009 dont environ 40 % dans le domaine des services
financiers.1
2. Quelque soit le secteur concerné, le facteur humain est le point commun des différents
vols de données. En effet, pour la majeure partie des cas reportés, il s’est avéré que la
personne physique traitant des données confidentielles était souvent un des maillons
faible de la chaîne.2 Les personnes intervenant dans le processus de traitement des
données peuvent être poussées à la commission d’un vol pour différents motifs qui
peuvent être de plusieurs ordres. Bien souvent le vol de données est motivé par des
aspirations économiques, l’auteur de la soustraction de données espérant pouvoir
monnayer les informations dérobées et ainsi tirer un profit de la commission de
l’infraction. Ces employés ont souvent le profil d’employés mécontents ayant volé les
informations dans divers but dont entre autres de mettre leur ancien employeur dans une
position préjudiciable à sa réputation.
3. Un établissement est confronté en permanence au risque de vol de données qu’il soit
perpétré par un membre interne ou externe à son organisation. Afin de minimiser ce
risque, un établissement doit se doter de mesures lui permettant de contrôler et limiter la
fuite d’informations confidentielles. Dans le domaine bancaire, la fuite d’information a
diminué de deux tiers en 2009, il ne reste pas moins que ce secteur est le plus touché par
ce genre d’infraction.3
4. Ce travail a pour objectif de se concentrer sur la problématique du vol de données dans
les établissements bancaires. Le vol de données, en plus d’avoir des conséquences sur le
plan réputationnel, peut induire d’autres effets plus dommageables encore pour un
établissement bancaire soumis à autorisation de l’autorité de surveillance des marchés
financiers. Afin de cerner tous les enjeux de la fuite d’informations pour un
1
Data loss barometer, pp. 14-15.
2
Data loss barometer, p. 5.
3
Data loss barometer, p. 6.
6établissement assujetti à la surveillance de la FINMA, nous allons aborder la question
des normes applicables à un tel événement, tant dans le domaine administratif que pénal
en passant par l’aspect fiscal. Puis nous analyserons les conséquences juridiques qu’un
vol d’informations confidentielles pourrait avoir sur les intervenants d’un événement de
ce type. Pour finir, nous tenterons de proposer un code de conduite à l’intention des
établissements bancaires visant à leur proposer une manière de monitorer et surveiller ce
risque afin de mieux canaliser cette problématique.
7II. Données protégées par le secret bancaire
5. L’un des points centraux de l’activité bancaire4 en Suisse réside dans l’obligation de
discrétion à la charge des banques, de leurs organes, de leurs employés et de leurs
mandataires sur les affaires de leurs clients ou de tiers qui viendraient à leur
connaissance dans le cadre de l’exercice de leur profession. Lors d’une relation bancaire
avec une personne, l’intermédiaire financier dispose d’informations très étendues sur
cette personne, notamment sur sa situation financière, ses revenus, ses relations
professionnelles et personnelles. Les renseignements qu’il détient révèlent certains
aspects de la vie de son client. Il s’avère donc nécessaire que ces données personnelles
soient protégées et restent confidentielles.5 Juridiquement, l’obligation de confidentialité
du banquier et de ses auxiliaires trouve son fondement dans trois domaines du droit
distincts.
6. Tout d’abord, elle trouve son fondement dans le droit de la personnalité traité aux
articles 27 et suivants du Code civil suisse, droit qui vise à assurer la protection des
valeurs qui constituent l’essentiel du domaine intime de l’individu.6 A noter que le
domaine privé économique est également couvert par cette norme dont la violation
constitue un acte illicite au sens des articles 41 et suivants du Code civil.7
7. L’obligation de confidentialité trouve également son expression dans le domaine
contractuel et plus précisément dans les règles du mandat énoncées aux articles 394 et
suivants du Code des obligations suisse. En effet, l’intermédiaire financier est tenu dans
le cadre d’une relation contractuelle avec son client à tous les égards découlant des
règles sur le contrat de mandat, il est tenu à la bonne et fidèle exécution du mandat
conformément à l’article 398 al.2 CO et doit pour se faire conserver la confidentialité sur
les informations entrant en sa connaissance durant la relation avec son client.
8. Pour finir l’obligation de confidentialité résulte de la loi fédérale sur les banques et les
caisses d’épargne (LB)8, plus particulièrement de son article 47. Cette base légale
constitue le fondement pénal de la violation de l’obligation de discrétion du banquier.
4
Par soucis de précision, ce travail se concentre sur la réglementation applicable au domaine bancaire. Ainsi, la
réglementation applicable aux négociants en valeurs mobilières n’a, volontairement, pas été abordée.
5
C. LOMBARDINI, p. 965 N. 1.
6
A. BUCHER, N. 413.
7
M. AUBERT, P.-A. BÉGUIN, P. BERNASCONI et consorts, p. 44. ATF 64 II 162 ss, 169, JT 1938 522ss 531-
532.
8
RS 952.0.
8Elle considère l’obligation de confidentialité du banquier comme un devoir
professionnel ayant sa source dans le droit économique administratif régissant l’activité
des banques.9 La LB ne définit pas spécifiquement la notion au centre de l’obligation de
discrétion, il convient donc de se référer, selon la doctrine unanime et la jurisprudence10,
à la définition de droit civil afin de pouvoir déterminer ce qu’il faut entendre par secret
bancaire.11 A la différence du droit civil, l’étendue de la notion de droit administratif ne
recouvre pas le même cercle de personnes. En effet, contrairement au droit de la
personnalité, droit dont la portée est absolu et donc opposable à tous, l’obligation
contenue dans cette disposition de droit administratif se destine à un cercle limité de
personnes à savoir celles mentionnées au deuxième alinéa de cette disposition.12 En ce
qui concerne les bénéficiaires du secret et les informations confidentielles couvertes par
celui-ci, il ne résulte aucune divergence quelque soit le fondement employé.
9. A noter que la loi fédérale sur la protection des données (LPD) tend quant à elle à
protéger la personnalité et les droits fondamentaux des personnes qui font l’objet d’un
traitement de données. Les données bancaires entrent également dans la sphère de
protection de cette loi. Cette loi appréhende des situations pour lesquelles le droit de la
personnalité n’est pas adéquat, ni efficace lors de traitements de données personnelles,
en raison des difficultés quant à l’identification des risques encourus ou des atteintes
subies et quant à la détermination de la licéité des traitements effectués. 13 La protection
des données doit également être assurée dans le cadre du trafic international des
paiements. Plusieurs décisions ont permis de préciser la pratique dans ce domaine-là. La
plus connue est sans doute la décision SWIFT dans laquelle il a été jugé que la
transmission de données concernant le trafic de paiement de la part de SWIFT aux
autorités américaines était contraire aux principes énoncés par la LPD, en particulier à
celui énoncé à l’article 6 LPD, lequel impose un degré de protection adéquat des
données dans le pays requérant et le consentement de la personne concernée par les
9
AUBERT, BÉGUIN, BERNASCONI et consorts, p. 52.
10
RDAF 1970 p. 133, pp. 136-137.
11
A. RAPPO p. 92.
12
Ibidem.
13
AUBERT, BÉGUIN, BERNASCONI et consorts, p. 45.
9données à transmettre.14 La transmission de données ne doit se faire qu’en présence de
motifs justificatifs, ces derniers doivent être compris comme étant le consentement de la
personne concernée, un intérêt prépondérant public ou privé, ou une disposition légale.15
III. La garantie de l’activité irréprochable
10. L’activité bancaire est une activité soumise à autorisation de la FINMA, la banque ne
pourra commencer son activité et être inscrite au Registre du Commerce qu’une fois
l’autorisation obtenue (art. 3 al.1 LB). Cette autorisation est dite de police, c’est-à-dire
qu’une fois les conditions remplies, l’autorisation ne peut être refusée.16 Afin d’obtenir
l’autorisation, l’intermédiaire financier doit remplir certaines conditions, celles-ci
peuvent être classées en trois catégories17. Tout d’abord, la banque doit répondre à des
conditions d’organisation administrative et à une surveillance appropriée (art. 3 al. 2 let.
a LB, art. 6 et 7-10 OB), puis elle doit répondre à des exigences relatives à la
surveillance des risques et à l’adéquation de ses fonds propres (art. 3 al. 2 let. b LB et
art. 4 OB). Pour finir, la dernière catégorie fait référence à des conditions personnelles,
celles de la bonne réputation et de la garantie irréprochable des personnes qui sont
chargées d’administrer et de gérer la banque (art. 3 al. 2 let. c LB).
11. Concernant la condition de la garantie de l’activité irréprochable, l’article 3 al. 2 let. c
LB précise que l’autorisation d’exercer une activité bancaire est accordée à la condition
continue que, notamment, les personnes chargées d’administrer et de gérer la banque
jouissent d’une bonne réputation et présentent toutes les garanties d’une activité
irréprochable. La garantie d’une activité irréprochable, notion d’abord introduite pour
les banques étrangères18, est souvent définie comme étant une condition personnelle que
doivent remplir les membres de la direction et du conseil d’administration. La FINMA
14
Protection des données dans le trafic international des paiements (SWIFT) ; L’accès aux données des
transactions bancaires du réseau mondial SWIFT-Avis du Préposé fédéral à la protection des données et à la
transparence. R. MONTBEYRE, « Le transfert de données bancaires à caractère personnel vers les Etats-Unis :
aspects juridiques de l’Affaire SWIFT ».
15
Communication de données personnelles relatives au trafic des paiements aux autorités américaines ;
Communication de données du trafic international des paiements à des gouvernements étrangers, dans la
perspective de l’application de sanctions.
16
C. LOMBARDINI, p. 17.
17
A. RAPPO, ECS p. 208.
18
A. HIRSCH, nbp N. 2.
10précise qu’entrent dans cette « garantie » toutes les compétences professionnelles et
personnelles qui permettent à une personne d’assurer correctement la direction d’un
établissement assujetti.19 Elle précise également que le principal critère lui permettant de
déterminer si la garantie de l’activité irréprochable est remplie est celui de l’activité
professionnelle passée et présente de la personne au regard de l’activité envisagée. 20 A
l’évidence cette disposition semblait jusqu’à maintenant n’être destinée qu’aux
personnes physiques ayant pour tâche la gestion de la banque, cependant la pratique de
l’autorité de surveillance démontre que cette notion est une notion plutôt « malléable »
qui peut être modulée par l’autorité au gré des situations qu’elle juge propre à mettre en
péril la gestion et l’administration de la banque.21
12. En effet, une évolution de la notion de garantie de l’activité irréprochable est apparue
dans les décisions rendues par la CFB puis par la FINMA. Désormais la garantie de
l’activité irréprochable n’est plus seulement applicable aux personnes en charge de la
gestion et de l’administration de la banque, mais l’est également à l’établissement lui-
même. L’autorité de surveillance a rapproché dans plusieurs décisions la notion
d’organisation adéquate à celle de la garantie de l’activité irréprochable.
13. Le premier rapprochement opéré par l’autorité de surveillance est apparu dans la
décision Montesinos22. Dans cette décision, la CFB examine la condition de l’activité
irréprochable du directeur de l’établissement. Elle constate que ce dernier a manqué à
ses principales obligations, c’est-à-dire celles de veiller à ce que son établissement soit
organisé de manière adéquate et suffisante. La CFB a ainsi conclu que cette carence dans
l’organisation de l’établissement est par là même une des raisons pour lesquelles le
directeur de cet établissement ne remplit pas la condition de la garantie de l’activité
irréprochable. Dans cette décision, la CFB a ainsi clairement établi un lien entre
l’organisation de l’établissement bancaire et la garantie de l’activité irréprochable des
19
Questions et réponses au sujet de la lettre de la Commission fédérale des banques (CFB) concernant la
« garantie d’une activité irréprochable ».
20
http://www.finma.ch/f/sanktionen/gewaehrserfordernis-watchlist/Pages/gewaehrserfordernis.aspx site consulté
le 14.10.2010
21
Op cit n°14.
22
Rapport de gestion CFB 2001, p. 170, Bulletin CFB 42, p.123.
11personnes chargées de la gestion et de l’administration de celui-ci. Une autre décision
allant dans ce sens et confirmant cette tendance a été rendue dans une autre affaire23.
14. La CFB a ensuite aussi établi que le manquement dans l’identification des risques de
réputation et des risques juridiques était propre à remettre en question la garantie de
l’activité irréprochable des membres du Conseil d’administration. 24 En effet, comme
nous le verrons plus en avant dans ce travail, les administrateurs ont notamment pour
tâches d’identifier les risques potentiels et de les limiter autant que possible.
15. S’agissant de la conservation et de l’archivage de données, autre élément inhérent à
l’organisation des établissements bancaires, la CFB a précisé que des manquements dans
ce domaine sont perçus comme incompatibles avec le comportement adéquat attendu
d’une banque et des personnes chargées de l’administrer et de la gérer. 25
16. Dans son premier bulletin26, la FINMA reprend et confirme la pratique de la CFB et
relève que la banque doit disposer d’une organisation administrative correspondant à son
activité (art. 3 al.2 let. a LB). Dans ce cadre, elle doit être en mesure de déterminer, de
limiter et de contrôler les risques pertinents. Font notamment partie de ces risques, les
risques juridiques et les risques de réputation au sens de l’article 9 al.2 OB. Une
déficience dans l’organisation de la banque sera considérée comme incompatible avec la
garantie de l’activité irréprochable.
17. Dans ce même bulletin, la FINMA déclare que la garantie de l’activité irréprochable est
applicable aux personnes chargées d’administrer et de gérer la banque, mais aussi à la
banque elle-même. En sa qualité d’entreprise, la banque doit également respecter la
condition de la garantie d’une activité irréprochable.27
18. Au vu de ces exemples, on ne peut que constater que la pratique de l’autorité de
surveillance a évolué vers une prise en compte des déficiences organisationnelles de la
banque dans son appréciation de la condition de la garantie de l’activité irréprochable
des organes de direction. Evolution ayant pour conséquences que les insuffisances
organisationnelles de la banque risquent de plus en plus souvent d’avoir des
23
Bulletin CFB 46, p. 31.
24
Bulletin CFB 49, p. 133 et Bulletin CFB 50, p. 65.
25
Bulletin CFB 51, p. 70.
26
Bulletin FINMA 1/2010, pp. 104, 111-113.
27
Bulletin CFB 41, p.15, Bulletin CFB 47, p. 21, Bulletin FINMA 1/2010, pp. 50-51.
12conséquences négatives sur la garantie d’une activité irréprochable des organes de
direction.
IV. L’organisation de l’intermédiaire financier
19. Comme nous l’avons vu précédemment, l’intermédiaire financier doit requérir une
autorisation d’exercer une activité bancaire de la part de la FINMA. Une des conditions
devant être remplie est celle d’une organisation interne appropriée (art. 3 al. 2 let. a LB).
Cette dernière nécessite notamment le pouvoir d’imposer des directives reposant sur des
règles d’attribution des tâches, de compétence et de comportement.28 Elle nécessite aussi
des mécanismes de contrôle adaptés et efficaces. Pour remplir cette exigence, la banque
doit, notamment, disposer d’organes chargés de la haute direction, de la surveillance et
du contrôle et d’organes chargés de la direction.29 L’organisation de l’intermédiaire
financier devra être telle qu’il puisse déterminer, limiter et contrôler tous les risques
auxquels il peut être confronté. Lors de la sollicitation d’une licence bancaire,
l’intermédiaire financier devra également démontrer qu’il bénéficie d’organisation
adéquate du point de vue logistique et informatique, il devra faire part à l’autorité de
surveillance d’éventuels accords d’externalisation de prestations de service. L’existence
et la fonctionnalité d’un système informatique adéquat font parties des exigences devant
être satisfaites préalablement à la demande d’autorisation d’exercer. La société de
révision devra d’ailleurs prendre position sur la satisfaction de cette condition vis-à-vis
entre autres de la séparation adéquate des compétences, notamment dans l’octroi des
accès informatiques.
a. Du point de vue interne
i. Au niveau du Conseil d’administration
20. L’article 3 al. 2 let. a LB correspond à l’article 716a CO définissant les attributions
intransmissibles et inaliénables du Conseil d’administration d’une société anonyme.
28
B. STÖCKLI, pp. 584-588.
29
C. LOMBARDINI, p. 45 N. 11.
13Dans le domaine bancaire, les attributions du Conseil d’administration ont été étoffées et
complétées par des dispositions spéciales se trouvant dans la législation bancaire et plus
particulièrement dans la circulaire sur la surveillance et le contrôle interne dans le
secteur bancaire (ci-après circulaire FINMA 08/24).30
21. Le Conseil d’administration est ainsi l’organe chargé de la haute direction de la banque,
de sa surveillance et de son contrôle. Il est également tenu de fixer son organisation. A la
différence de la direction, le Conseil d’administration n’est pas tenu de gérer la banque,
mais uniquement d’en assurer la haute surveillance. Par l’attribution de la haute
direction de l’établissement, le Conseil d’administration a pour tâches plus spécifiques
de déterminer la politique de gestion des risques choisie par la banque, il doit également
veiller à ce que la banque dispose des moyens financiers et personnels pour suivre la
politique choisie. Le Conseil d’administration a la responsabilité d’édicter les principes
généraux inhérents à la gestion des risques et de veiller à ce que ceux-ci soient mis en
place par la direction et que les mesures visant à l’identification, la gestion et à la
surveillance des risques soient implémentées par l’établissement.31 Comme nous le
verrons plus tard, le Conseil d’administration a également la responsabilité de mettre en
œuvre la Recommandation de l’ASB en matière de Business Continuity Management et
de veiller au respect d’une stratégie en la matière sous forme écrite.32
22. Concernant la gestion des risques, le Conseil d’administration doit, afin de satisfaire à
ses obligations, mettre en place un système lui permettant d’être régulièrement informé
sur la situation de l’établissement et sur son exposition aux risques. A cette fin, le
Conseil d’administration doit mettre en place un système de reporting et d’information
des risques qui doit être efficient, périodique et fonctionnel, mais qui doit également être
un système permettant de délivrer des informations adaptées.33 Conformément au chiffre
marginal 9 de la circulaire FINMA 08/24, le Conseil d’administration est également tenu
de réglementer, d’instaurer, de maintenir, de surveiller et de valider un contrôle interne
approprié. En instaurant ce système de contrôle interne, et en le surveillant, le Conseil
d’administration s’assure que tous les risques inhérents à l’établissement ont été
30
P. HAURI, pp. 25-32.
31
C. LOMBARDINI, p.49 N. 26; P. HAURI, A. CARRI, p. 1235.
32
Recommandation en matière de Business Continuity Management (BCM), p. 6.
33
P. HAURI, A. CARRI, p. 1235.
14identifiés, limités et surveillés.34 Le Conseil d’administration est tenu de vérifier que la
révision interne dispose des ressources et des compétences adéquates, y compris en
matière informatique, et pour la surveillance appropriée des risques auxquels la banque
est exposée, dont également ceux liés aux technologies informatiques. Le Conseil
d’administration a de ce fait la compétence d’approuver les accords relatifs à
l’externalisation de prestations de service, y compris ceux liés à ce domaine-là.
23. Comme nous l’avons vu au sujet de la garantie de l’activité irréprochable, l’autorité de
surveillance a précédemment estimé qu’une lacune dans l’identification des risques de
réputation et des risques juridiques est susceptible de contrevenir à la garantie de
l’activité irréprochable dont les administrateurs sont notamment les sujets. 35
24. Le Conseil d’administration est composé de personnes devant disposer des compétences
professionnelles, d’expérience et de disponibilités nécessaires à l’accomplissement de
leurs fonctions, notamment au vu des domaines d’exposition de la banque. Dans le cas
contraire, l’autorité de surveillance pourrait estimer que la condition de la garantie de
l’activité irréprochable, applicable notamment aux personnes chargées d’administrer,
n’est pas remplie. Afin d’éviter les conflits d’intérêts, les administrateurs doivent être
indépendants. Il est ainsi interdit aux membres du Conseil d’administration d’occuper un
poste dans la direction opérationnelle de la banque.36 Le critère d’indépendance doit
également être satisfait au regard des chiffres marginaux 20 à 24 de la circulaire FINMA
08/24. Les membres du Conseil d’administration seront ainsi réputés indépendants s’ils
n’occupent pas d’autre fonction au sein de l’établissement, ou s’ils n’ont pas occupé de
poste au sein de l’établissement durant les deux dernières années, ni au sein de la société
d’audit externe. Les membres du Conseil d’administration ne doivent également pas
avoir de relations d’affaires qui pourraient conduire à un conflit d’intérêt, de même
qu’ils ne doivent pas détenir de participation qualifiée, ni représenter un tel détenteur de
participation.
25. Concernant la répartition des tâches au sein du Conseil d’administration, ce dernier peut
instaurer des comités chargés de le seconder ou confier des tâches à certains de ses
34
Circulaire FINMA 08/24 cm 10.
35
Bulletin CFB 49, p. 133; Bulletin CFB 50, p.65.
36
Article 8 al. 2 OB, Circulaire FINMA 08/24 cm 18.
15membres. L’établissement d’un audit committee est exigé dès lors que l’établissement
atteint une certaine taille ou un certain niveau de complexité.37
26. Le comité d’audit est chargé d’une tâche importante en matière de gestion des risques, il
est entre autres tenu de créer le système de gestion des risques, de définir le profil de
risque de l’établissement, d’évaluer et de surveiller le contrôle interne.38 Il peut aussi
intervenir en matière de risques juridiques. Afin d’assurer un suivi approprié d’un sujet
comme le vol de données, il est utile que le comité d’audit dispose en son sein d’une ou
de plusieurs personnes compétentes dans le domaine informatique. Ces personnes
seront, ainsi, plus à même d’évaluer, surveiller et gérer les risques liés au système
informatique.
27. L’article 9 al.2 OB dispose que la banque doit déterminer, limiter et contrôler les
risques, notamment, opérationnels et juridiques, ainsi que les risques susceptibles de
ternir sa réputation. On peut définir le risque opérationnel comme étant le risque pour la
banque de pertes résultant de carences ou de défauts attribuables à des procédures,
personnels et systèmes internes ou à des événements extérieurs. La définition inclut le
risque juridique.39 Celui-ci inclut l’exposition à des amendes, pénalités et dommages
pour faute résultant de la surveillance prudentielle ainsi que de transactions privées.40 La
pratique de la CFB, puis de la FINMA, a mis en évidence qu’un manquement dans
l’établissement des risques était propre à mettre en péril la garantie de l’activité
irréprochable des membres du Conseil d’administration et par là même la garantie de
l’activité irréprochable de l’établissement lui-même.41
28. Ainsi comme nous l’avons vu, le Conseil d’administration est en charge notamment de
l’organisation de la banque et de l’établissement des risques. On peut ainsi se demander
si la garantie de l’activité irréprochable des membres du Conseil d’administration ne
pourrait pas être remise en question dès lors que ceux-ci n’ont pas cerné le risque de vol
ou de fuite de données dans leur établissement. En effet, comme mentionné
précédemment, la pratique de l’autorité de surveillance tend à rapprocher la notion
d’organisation adéquate à celle de la garantie de l’activité irréprochable. Elle fait de
37
Circulaire FINMA 08/24 cm 28-29 et 32-37.
38
C. TAGOUO, p. 604, Circulaire FINMA 08/24 cm 41à 53.
39
Bâle II p. 121 disponible sur http://www.bis.org/publ/bcbs107fre.pdf. C. LOMBARDINI, p. 67 N. 86.
40
Bâle II, p.121 nbp N. 90.
41
Bulletin CFB 49, p. 133; Bulletin CFB 50, p. 65.
16même pour la gestion des risques. Ainsi un tel manquement peut amener à la conclusion
que les membres du Conseil d’administration, mais également l’établissement bancaire
lui-même, ne respectent plus cette exigence impérative à l’exercice de l’activité
bancaire.
ii. Au niveau de la direction
29. La direction est l’organe en charge de la gestion de la banque, elle est tenue de mettre en
application les politiques de gestion adoptées par le Conseil d’administration et de
prendre des mesures opérationnelles pour limiter les risques identifiés par ce dernier.
Elle est en particulier affectée de la tâche de l’élaboration des procédures appropriées
pour identifier, mesurer, évaluer, analyser et contrôler les risques pris par l’établissement
(Circulaire FINMA 08/24 cm 81). Elle est en charge aussi de la fonction compliance et
du contrôle des risques. A noter que la mise en œuvre du dispositif de gestion des
risques peut nécessiter la création d’un poste spécifique de risk manager dont la tâche
est de s’assurer que le système de gestion des risques soit appliqué par les personnes
concernées.42
30. La direction doit veiller à contrôler l’application des règlements internes et à
l’organisation appropriée de l’établissement conformément à l’article 3 al.2 let a LB.
Ainsi une surveillance insuffisante de la part de la direction sera considérée comme
contraire à la garantie de l’activité irréprochable.43
31. En matière informatique, la direction est tenue de s’assurer que la banque dispose d’un
système informatique performant et en adéquation avec l’activité de la banque.44 Elle est
aussi en charge de superviser le système d’information à l’intérieur de son établissement
et de veiller à ce que la ségrégation des compétences, de façon générale, soit maintenue,
ce qui inclut notamment la vérification du respect des compétences et des autorisations
pour l’octroi et la modification des accès informatiques.45
iii.Au niveau de la révision interne
32. Chaque établissement est tenu d’instaurer une révision interne ou aussi appelée
inspectorat (art. 9 al.4 OB). Dans certains cas, la FINMA peut exempter, après
42
C. TAGOUO, p. 604.
43
Bulletin CFB 45, pp. 150, 159.
44
C. LOMBARDINI, p. 52 N. 40.
45
C. LOMBARDINI, p. 53 N. 44.
17consultation avec la société d’audit, l’établissement de l’obligation d’instaurer une
révision interne.46
33. La révision interne occupe une position directement subordonnée au Conseil
d’administration ou à l’un des ses comités. Ses tâches sont celles de l’évaluation des
risques, de la planification de la révision et de l’émission de rapports à l’attention du
Conseil d’administration. Elle fournit les éléments clés permettant au Conseil
d’administration d’apprécier si l’établissement dispose d’un système de contrôle interne
efficace et adapté à son profil de risque47 en d’autre termes, elle vérifie et évalue le
contrôle interne et contribue à son amélioration.
34. Il est utile de rappeler que la circulaire FINMA 08/24 définit le système de contrôle
interne comme étant l’ensemble des structures et processus de contrôle qui, à tous les
échelons de l’établissement, constituent la base de son bon fonctionnement et la
réalisation des objectifs de politique commerciale. Il comprend à part les activités de
contrôle a posteriori, les activités en rapport avec la gestion et la planification.
35. La révision interne est tenue une fois par an de procéder à une évaluation globale des
risques encourus par l’établissement notamment en tenant dûment compte des évolutions
externes telles que le contexte économique, les modifications réglementaires, mais aussi
en prenant en considération les facteurs internes pouvant se présenter au sein de
l’établissement (les projets importants pouvant être réalisés par l’établissement ou
encore à une réorientation de l’activité, par exemple).48 Une fois les conclusions de
l’inspectorat déposées, la direction prend les mesures qui s’imposent en vue de parvenir
à un système de contrôle de risques satisfaisant.
36. A noter que la révision n’a pas le pouvoir d’émettre des directives, elle met uniquement
en relief les défaillances du système de contrôle interne, à charge pour la direction de
prendre les mesures adaptées pour y remédier. Précisons encore que l’autorité de
surveillance n’a aucun contact direct avec la révision interne et n’est pas informée du
contenu des rapports de cette dernière à moins qu’elle demande à en prendre
connaissance.49
46
Circulaire FINMA 08/24 cm 55.
47
Circulaire FINMA 08/24 cm 69.
48
Circulaire FINMA 08/24 cm 70.
49
C. LOMBARDINI, p. 56 N. 55.
18Cas pratique
L’audit interne d’une banque a procédé à ses tâches d’évaluation des risques encourus. A
l’achèvement de son examen, l’audit interne a émis un rapport dans lequel il relevait que
les accès au fichier client n’étaient pas assez restreints, en d’autres termes un certain
nombre d’employés avaient accès au fichier source contenant les données clients
numérisées en même temps que l’accès à d’autres systèmes informatiques leur permettant
ainsi de réconcilier les numéros clients aux opérations effectuées par ceux-ci. A l’issue de
ce rapport, l’audit interne a relevé les carences de ce système et a demandé à la direction
l’octroi d’un budget visant à remédier à des manquements concernant l’accès aux
systèmes informatiques de la banque. La direction a refusé l’octroi du budget. Quid juris
dans l’hypothèse où un vol de données est commis quelques mois après les constatations
faites par l’audit interne ? Pour la direction ? Pour le Conseil d’administration ?
iv. Au niveau du compliance
37. Le fondement de la fonction compliance a d’abord été exprimé dans les règles destinées
à l’organisation de la société anonyme. En effet, l’article 716a CO dispose que le
Conseil d’administration a, entre autres, pour attribution intransmissible et inaliénable
d’exercer la haute surveillance sur les personnes chargées de la gestion afin de s’assurer
que ces dernières respectent la loi, les statuts, les règlements et les instructions
données.50 Le fondement a, par la suite, été exprimé spécifiquement dans la législation
bancaire et plus particulièrement dans la circulaire FINMA 08/24. Celle-ci définit par
compliance la conformité aux prescriptions légales, réglementaires et internes, ainsi que
le respect des normes et règles déontologiques en usage sur le marché concerné. Ainsi
lorsqu’on parle de risque de compliance, on entend par là le risque pour l’établissement
d’enfreindre des prescriptions légales, réglementaires, pouvant engendrer des sanctions
légales ou règlementaires, des pertes financières ou des atteintes à la réputation.
38. Cette exigence de conformité à la loi est un élément fondamental de l’octroi et du
maintien de l’autorisation d’exercer nécessaire à la banque pour exister, en effet elle
constitue un des constituants permettant une gestion irréprochable au sens de l’article 3
al.2 let. c LB.51 La FINMA a d’ailleurs rendu une décision dans laquelle elle déclare que
50
C. SUHR BRUNNER, P. PORTMANN, p. 1041.
51
Ibidem p. 1041.
19les exigences en matière de compliance, en tant que concept et en tant que fonction,
découlent directement des exigences organisationnelles visées à l’article 3 al.2 let. c
LB.52 Elle précise également, dans cette même décision, qu’un comportement en affaires
approprié suppose de la part des personnes chargées d’administrer et de gérer la banque
qu’elles donnent elles-mêmes l’exemple et soutiennent une culture d’entreprise
encourageant la compliance. Dans une autre décision, l’autorité de surveillance de
l’époque, la CFB, avait aussi déclaré que la condition de l’organisation adéquate pouvait
être remise en cause lorsque le service compliance ne satisfaisait pas à ses fonctions,
dans la prise en compte des aspects réglementaires et de la prise en compte de risques, et
par là même la condition de l’activité irréprochable pouvait être remise en question.53
39. Afin d’assurer la compliance au sein de l’établissement, chaque banque doit créer un
département se concentrant sur tout ce qui attrait à la fonction compliance, dont la
responsabilité incombe à la direction.
40. Concernant les tâches dévolues à la fonction compliance, elles sont nombreuses et
comprennent entre autres la tâche d’appui et de conseil en matière d’application et de
surveillance du respect des normes, puis d’évaluation annuelle du risque de compliance
lié à l’établissement et la création d’un plan d’action centré sur le risque préalablement
défini, ainsi que les modifications ultérieures relatives à l’évaluation du risque de
compliance. Elle fournit également un appui à la direction en cas de manquements
graves constatés en matière de compliance en la conseillant sur les instructions à donner
ou les mesures à prendre.54
41. Dans sa fonction liée au risque compliance, juridique et de réputation, le département
compliance doit veiller à ce que toutes les normes légales, réglementaires ou de toutes
autres niveaux soient respectées au sein de l’établissement. L’accomplissement de cette
tâche nécessitera une interaction avec le département IT de l’établissement. En effet,
dans différents domaines du droit, comme par exemple en matière de lutte contre le
blanchiment d’argent, la loi pose des exigences liées au domaine informatique. Le
compliance officer devra de ce fait collaborer étroitement avec le département IT afin de
s’assurer que le système informatique fonctionne correctement et soit conforme aux
52
Décision non publiée de la FINMA du 9 octobre 2009.
53
Bulletin CFB 47, p. 20; Bulletin FINMA 1/2010, p. 45.
54
Circulaire FINMA 08/24 cm108-112.
20exigences légales. A cet effet, le département compliance identifiera les exigences
légales auxquelles la banque doit se conformer et discutera avec le département IT des
mesures techniques à prendre afin que ces exigences soient remplies (pensons à titre
d’exemple, aux procédures à mettre en place pour l’application de la réglementation
fiscale américaine FATCA qui se repose sur les procédures informatiques, etc…).
v. Au niveau risk management
42. La notion de gestion des risques ou risk management est une notion rarement utilisée de
manière autonome, mais en général toujours en lien avec celle de système de contrôle
interne. La circulaire FINMA 08/2455 définit la gestion des risques comme étant la
gestion et la restriction complètes et systématiques des risques sur la base de
connaissances économiques et statistiques. Elle comprend l’identification, la mesure,
l’évaluation, la gestion et l’établissement de rapports sur des positions-risques
individuelles ou agrégées. La gestion des risques est assurée, aux niveaux
organisationnels appropriés, au moyen de méthodes adéquates qui tiennent compte des
particularités de l’établissement. De cette définition, on comprend donc que la gestion
des risques se rapporte à des méthodes et à des processus et non pas à un organe sociale
au sens du Code des obligations suisse. A défaut d’être un organe, la gestion des risques
est toutefois une véritable fonction à part entière, à l’instar de la fonction compliance, à
la tête de laquelle doit être nommé un responsable, le risk manager.56
43. La gestion des risques fait ainsi partie du système de contrôle interne que chaque
établissement bancaire est tenu d’avoir. Elle implique la désignation de personnes en
charge de ce processus, plus particulièrement en charge de l’identification, de la
surveillance et de la prise de mesures relatives aux risques spécifiques aux activités de la
banque, mais également aux risques globaux.57
44. Cette personne aura également pour tâche de communiquer aux employés de
l’établissement les risques identifiés par le Conseil d’administration et la manière dont
ces risques seront monitorés et surveillés.
55
Cm 126.
56
C. TAGOUO, p. 601.
57
C. LOMBARDINI p. 70 N. 92.
21b. Du point de vue externe
45. L’établissement bancaire, en plus de devoir répondre à certaines exigences quant à son
organisation interne, doit également respecter certaines règles concernant des aspects
que nous pouvons qualifier d’externes à son organisation. Ainsi que nous le verrons,
l’établissement est souvent confronté à des règles nécessitant pour lui de devoir régler
certains aspects de son organisation vis-à-vis de problématiques externes.
i. Le cas de l’outsourcing
46. Un point essentiel de l’organisation de la banque est celle de savoir si l’établissement
souhaite externaliser certaines de ses prestations. Il y a externalisation ou outsourcing,
lorsqu’une entreprise charge une autre entreprise, le délégataire, d’assurer pour elle de
manière indépendante et durable une prestation de services. L’externalisation doit
concerner des prestations de services essentielles.58 Dans le domaine bancaire, la
délégation de prestations de services à une entreprise tierce fait l’objet d’une
réglementation spéciale, en l’occurrence la circulaire FINMA 08/7.
47. La circulaire FINMA 08/7 concernant l’externalisation d’activités dans le secteur
bancaire précise qu’on entend par prestations de services essentielles, les prestations de
services qui peuvent en particulier avoir un effet sur la détermination, la limitation et le
contrôle des risques, notamment, opérationnels et juridiques, ainsi que des risques
susceptibles de ternir sa réputation.59
48. Dans le cas d’activités externalisées, le risque de fuite ou de vol d’information, et par là
la violation du secret bancaire est décuplée. En effet, la banque décide d’elle-même de
transmettre volontairement à des tiers des données pouvant susciter l’intérêt de
personnes externes à celle-ci. De plus, en cas d’outsourcing à l’étranger le risque de
perte de maîtrise se voit également coupler avec un risque d’accès et de saisie des
données par une autorité étrangère ce qui augmente les risques pour l’établissement
faisant recours à cette pratique.
49. En soi l’externalisation de prestations de services n’est pas soumise à autorisation de
l’autorité de surveillance, elle est néanmoins soumise à certains principes devant être
58
Externalisation par les banques, FINMA, version du 1er avril 2009.
59
Circulaire FINMA 08/7 cm 2.
22Vous pouvez aussi lire
