- La FINMA gère depuis 2009 un recueil de données permettant d’évaluer la garantie d’une activité irréprochable et l’exercice de la profession.
- Le Tribunal administratif fédéral confirme la base légale (art. 17, al. 2, LPD ; art. 23 LFINMA) et le pouvoir de délégation.
- L’art. 3 de l’ordonnance sur les données de la FINMA énumère des exemples, mais n’est pas exhaustif ; d’autres données pertinentes peuvent être incluses.
- L’inscription sur la liste de surveillance interne de soupçons qui n’ont pas été clarifiés de manière définitive ne viole pas le principe d’exactitude, pour autant que l’obligation de s’assurer soit respectée.
[décision annulée par le Tribunal fédéral ; voir le rapport chez swissblawg]
La FINMA gère depuis 2009 le recueil de données “Garantie d’une activité irréprochable et d’un exercice professionnel irréprochable” dont le but est “d’établir un recueil de données auxiliaires permettant d’évaluer si certaines personnes physiques présentent ou présenteraient pour certaines fonctions auprès d’assujettis la garantie d’une activité irréprochable exigée par les lois de surveillance”.
Un ancien cadre supérieur d’une banque qui avait gravement enfreint le droit suisse des marchés financiers a d’abord demandé l’accès à ses données dans le fichier susmentionné, puis leur suppression et l’interdiction de tout autre traitement de ses données. La FINMA a rejeté cette demande.
Le TAF confirme cette décision:
Il existe une base légale (LPD 17 II) pour la gestion du fichier :
L’exigence prévue à l’art. 17, al. 2, LPD, selon laquelle le traitement de données personnelles sensibles et de profils de la personnalité doit être ancré dans une loi au sens formel, est donc remplie. La disposition contient également une délégation expresse pour régler d’autres détails. Le point de vue du recourant selon lequel, parce que le législateur a lui-même expressément mentionné divers autres fichiers dans la loi sur les marchés financiers applicable, cela serait nécessaire pour tous les fichiers de l’instance inférieure, est manifestement dénué de fondement au vu du libellé clair de cette norme de délégation.
2.4.2 Se fondant sur l’art. 23 al. 1 LFINMA, l’instance inférieure a rendu la Ordonnance sur les données-FINMAL’art. 1 de cette convention décrit son objet comme suit :
“1 La FINMA intègre dans un fichier les données de personnes dont la garantie d’une activité irréprochable au sens des lois sur les marchés financiers et de la LFINMA est douteuse ou inexistante.
2 Elle gère le fichier afin de s’assurer que seules les personnes présentant la garantie d’une activité commerciale irréprochable :
a. sont chargés de l’administration ou de la gestion d’assujettis, ou
b. détiennent une participation déterminante dans les assujettis”.2.4.3 En ce qui concerne le but du traitement des données, il ressort de l’art. 23 al. 1 LFINMA que l’autorité inférieure traite des données personnelles, y compris des données sensibles et des profils de la personnalité, “dans le cadre de la surveillance prévue par la présente loi et les lois sur les marchés financiers”.
La liste de l’art. 3 de l’ordonnance sur les données de la FINMA n’est pas exhaustive :
3.1 L’art. 3 de l’ordonnance sur les données de la FINMA contient une énumération des données qui doivent figurer dans le fichier. Selon cette disposition, le fichier contient les données suivantes : […].
3.1.1 Il ne ressort pas du libellé de cette disposition si la liste doit être considérée comme exhaustive ou non.
3.1.4 Il ressort donc de l’interprétation que l’opinion du recourant selon laquelle seules les données expressément énumérées à l’art. 3 de l’ordonnance sur les données de la FINMA peuvent être intégrées dans le fichier ne peut pas être suivie. Il faut au contraire partir du principe que cette liste n’est pas exhaustive et que l’instance inférieure est habilitée à intégrer dans le fichier toutes les données qui pourraient, avec une certaine probabilité, être pertinentes dans la perspective d’une future évaluation de la garantie d’une activité irréprochable.
L’enregistrement de soupçons qui n’ont pas fait l’objet d’une enquête définitive ne viole pas le principe d’exactitude :
Situation de départ :
Selon l’article 5, alinéa 1 de la LPD, celui qui traite des données personnelles doit s’assurer de leur exactitude. Le traitement de données personnelles inexactes n’est illicite que si leur inexactitude est due à un manque de vérification de la part du responsable du traitement. L’obligation de s’assurer de l’exactitude des données personnelles qu’il traite, conformément à l’art. 5 al. 1 LPD, implique que l’organe fédéral responsable doit vérifier d’office dès que des indices concrets d’inexactitude lui sont soumis avec une demande de rectification. S’il ne remplit pas cette obligation ou s’il le fait de manière insuffisante, le traitement futur des données concernées devient illicite et justifie ainsi le droit à l’omission et à la rectification selon l’art. 25 al. 1 let. a et al. 3 let. a LPD (cf. JAN BANGERT, in : Basler Kommentar DSG, op. cit. 46 f. p. 471 ; Yvonne JÖHRI, in : Handkommentar zum Datenschutzgesetz, 2008, art. 25 N. 12 ss. P. 588 ; TV 2013/30 E. 4.1 ; VPB 65.51). La loi sur la protection des données ne connaît pas d’obligation proprement dite de ne traiter que des données exactes. Le responsable du traitement des données est uniquement tenu de s’assurer de l’exactitude des données qu’il traite. Il convient d’examiner au cas par cas jusqu’où il doit aller dans ses investigations sur l’exactitude. Les éléments déterminants sont notamment la finalité du fichier, la mesure dans laquelle les données sont communiquées et leur sensibilité. […].
La FINMA n’a pas violé ces principes :
4.2 La liste de surveillance de l’instance inférieure dont il est question sert, comme nous l’avons expliqué, exclusivement à la gestion interne des connaissances de l’autorité. Il s’agit d’un recueil de données purement interne, que seuls quelques collaborateurs de l’instance inférieure ont le droit de consulter. L’instance inférieure y collecte des données qui pourraient, avec une certaine probabilité, être pertinentes en vue d’une future évaluation de la garantie d’une activité irréprochable. La définition de l’art. 1 de l’ordonnance sur les données de la FINMA, selon laquelle les données de “personnes dont la garantie d’une activité irréprochable est douteuse ou inexistante” sont collectées, montre déjà clairement que des soupçons qui n’ont pas encore été clarifiés de manière définitive peuvent être documentés dans le fichier.
L’instance inférieure a reçu ce document de la banque X., respectivement de ses avocats. Les enquêtes internes de banques actives au niveau international ne sont typiquement pas menées par la banque elle-même, mais par un cabinet d’avocats ou une société d’audit, qui sont internationalement reconnus pour la qualité et l’indépendance de leurs enquêtes, notamment par les autorités de surveillance étrangères concernées. Si l’instance inférieure a accepté, pour sa collecte de données, des pièces justificatives ou des procès-verbaux issus d’une telle enquête interne, on ne peut pas lui reprocher de ne pas avoir satisfait à son obligation de s’assurer, du moins tant qu’il n’existe pas d’indices concrets qui permettraient de douter de l’authenticité ou de l’exactitude des documents concernés.