VERS UN REVIREMENT DE JURISPRUDENCE
Dans le cadre de la surveillance des marchés financiers, la FINMA collecte des données sensibles potentiellement pertinentes regroupées dans un fichier couramment appelé la Watch List visant d’instrument d’enforcement afin de juger de la garantie irréprochable de certains acteurs financiers (voire Newsletter du 16 septembre 2016).
L’impact que la collecte de ces données et leur éventuelle divulgation peuvent avoir pour les personnes concernées impose l’existence d’une base légale garantissant un niveau suffisant de protection de la personnalité.
Dans son arrêt 1C_214/2016 du 22 mars 2017, le Tribunal fédéral (« TF ») examine les conditions auxquelles des données sensibles peuvent être collectées. Il déjuge l’instance précédente et constate que les données collectées par la FINMA en l’espèce ne remplissent pas les conditions posées pour la collecte de données sensibles.
I. DU CONTENU DE LA WATCH LIST
La Watch List est un fichier dans lequel sont détenues des données liées à certaines personnes qui pourraient potentiellement ne pas présenter toutes les garanties d’une activité irréprochable attendues d’un acteur financier [1] . L’autorité fédérale de surveillance des marchés financiers (« FINMA ») devant conserver ces informations notamment dans l’hypothèse où elle serait amenée à se prononcer sur de telles garanties.
La tenue de la Watch List se fonde sur l’art. 23 al. 1 de la loi sur l’autorité fédérale de surveillance des marchés financiers (« LFINMA » [2] ) ainsi que sur l’Ordonnance de la FINMA sur le traitement des données [3] .
Le traitement ainsi que la collecte de données sensibles soulèvent des problématiques de respect de la sphère privée, que le TF tentera de trancher du moins en partie dans son arrêt 1C_214/2016 du 22 mars 2017.
II. DE L’ARRET EN GENERAL
Suite à la retentissante affaire de manipulations des taux d’intérêts interbancaires, en particulier du LIBOR, la FINMA a ouvert une procédure administrative contre la banque UBS AG (« UBS »).
Dans ce cadre, elle a constaté des manquements graves de la banque à la réglementation sur les marchés financiers.
Forte de ce constat, la FINMA a alors ordonné la prise de mesures par la banque pour l’amélioration des processus internes destinés à prévenir ce type de manquement.
III. DES FAITS
Au moment des faits, soit lors de l’ouverture par la FINMA d’une procédure à l’encontre d’UBS, le recourant « X » était cadre supérieur au sein de la dite banque. X a demandé à la FINMA de lui communiquer les données qu’elle détenait à son sujet, chose que la FINMA a refusé dans un premier temps de faire au motif qu’il n’existait pas de procédure directe à son encontre.
Après quelques échanges de courriers, la FINMA a informé X qu’il apparaissant sur la Watch List en ces termes: « Managing Director, Global Head of STIR. Le plus haut responsable manifestement impliqué dans la manipulation des cours. UBS s’est séparée de lui ».
Subséquemment à cette découverte, X avait demandé à ce que la FINMA supprime de sa Watch List les données en sa possession le concernant, ceux en lien avec l’affaire de manipulation du LIBOR.
Suite à une nouvelle demande faite par X, la FINMA lui a donné une copie partielle et caviardée de documents à son sujet et lui a proposé une modification de la Watch List telle que suit : « il existe des indices qu’il aurait été informé de la manipulation des cours ». X a rejeté la proposition et a demandé à la FINMA de rendre une décision sujette à recours.
Après avoir requis et obtenu une décision formelle de la FINMA, X a porté l’affaire jusque devant le TF en passant par le Tribunal administratif Fédéral (« TAF »), arguant principalement que son inscription dans la WatchList et la collecte de données y afférente ne reposait sur aucune base légale suffisante.
IV. DES CONSIDERANTS EN DROIT
Fondant son raisonnement principalement sur les dispositions applicables en matière de protection des données, le TF procède à une analyse de la collecte de données diligentée par la FINMA au regard de la Constitution fédérale de la Confédération suisse [4] (« Cst »), de la loi fédérale sur la protection des données [5] (« LPD »), de la loi sur l’autorité fédérale de surveillance des marchés financiers ainsi que de l’ordonnance de la FINMA sur le traitement des données.
Si le TF ne trouve rien à redire au fait que la Watch-list peut effectivement être considérée comme une collecte de données interne, avis partagé par la doctrine [6] il a toutefois considéré que la collecte de données par la FINMA doit respecter un certain nombre de règles en raison de la sensibilité des données collectées et de l’éventuelle remise en question de la garantie d’activité irréprochable de l’individu concerné qu’elles peuvent occasionner.
a. Exigence d’une base légale formelle
Les atteintes étatiques aux droits constitutionnels sont soumises aux conditions de l’art. 36 Cst, avec en particulier l’exigence d’une base légale au sens formel en cas de restriction grave. Cette exigence découle également de l’art. 17 al. 2 LPD en cas de traitement de données sensibles ou deprofils de la personnalité qui nécessiterait qu’une loi au sens formel le prévoit expressément.
Après un examen des lois sur les marchés financiers, dont la plupart prévoient que les organes des intermédiaires financiers doivent présenter la garantie d’une activité irréprochable, et de l’article 23 LFINMA, le TF constate que la Watch-list n’est pas expressément mentionnée dans ces textes.
Toutefois, en dépit de l’absence de cette mention, il arrive à la conclusion que son existence découle de la nature même de la collecte de données permise en vertu de l’art. 23 LFINMA [7] .
Ainsi, le TF considère que l’existence de la Watch-List trouve son fondement juridique dans cette base légale. Fort de ce constat, le TF examine dès lors si les données collectées par la FINMA au sujet du recourant sont conformes à l’article 3 de l’ordonnance de la FINMA sur le traitement des données. Cet article contient une liste exhaustive des données pouvant être collectées. En dehors des catégories listées, soit les indications permettant l’identification de la personne et de décrire ses activités professionnelles, ainsi que les indications concernant les éléments susceptibles de remettre en question sa garantie d’activité irréprochable (procédures clôturées ou sources fiables et dignes de foi), aucune donnée ne peut être collectée [8] .
Dans le cas d’espèce, la FINMA a collecté différents éléments permettant de douter de la garantie d’activité irréprochable du recourant, sans qu’une procédure ne soit formellement ouverte à l’encontre de ce dernier, le privant ainsi des garanties de procédure. Or, ces éléments n’ont pas été collectés dans le cadre de procédures auxquelles le recourant aurait été partie et ne découlent pas de sources suffisamment fiables ou dignes de foi [9] .
Au vu de ces considérations, le TF conclut que les données collectées par la FINMA, sous réserve des données permettant l’identification du recourant, excèdent le cadre de l’art. 3 de l’Ordonnance de la FINMA sur le traitement des données et, partant ne reposent sur aucune base légale suffisante [10] .
Par voie de conséquence, le stockage de ces données ne repose pas sur une base légale au sens formel si bien qu’elles doivent être détruites.
b. Répercussions de l’inscription sur la Watch List
Le TF considère également que le fait d’être inscrit dans la Watch List compromet déjà les chances de l’employé de retrouver un emploi dans le domaine financier, alors même qu’il n’a pas fait l’objet d’une procédure administrative avec les droits de partie qui en découlent.
Dès lors, le TF admet le recours et ordonne à la FINMA d’effacer de la Watch List les données au sujet de l’employé [11] .
REMARQUE FINALE
S’il est indéniable que la FINMA doit pouvoir collecter les données nécessaires à l’exercice de sa surveillance dans le but, notamment, de protéger les investisseurs, la personnalité des individus dont les données sont collectées doit impérativement être protégée conformément aux dispositions constitutionnelles et à la législation sur la protection des données.
Ainsi, en constatant que les données collectées par la FINMA dans le cadre d’une procédure ouverte contre une tierce personne ne peuvent pas être conservées, ni utilisées, le TF renforce la sécurité juridique aujourd’hui fragilisée dans les relations entretenues par le justiciable avec les autorités administratives.
Dorénavant, grâce à cette décision, si la FINMA souhaite collecter et surtout conserver des données relatives à un individu, elle devra obligatoirement ouvrir une procédure administrative contre celui-ci.
NOTRE EXPÉRIENCE
lecocqassociate fournit une gamme complète de conseils dans les domaines de la règlementation financière, du corporate, ainsi que dans le domaine des affaires en relation avec la structure et l’incorporation de diverses entités.
Le contenu de cette newsletter a uniquement un but informatif et ne peut pas être assimilé à un avis ou conseil professionnel.
[1] Art. 5 de l’Ordonnance de la FINMA sur le traitement des données.
[2] RS 956.1.
[3] RS 956.124.
[4] RO 1999 2556.
[5] RO 1993 1945.
[6] ZULAUF/WYSS/TANNER/KÄHR/FRITSCHE/EYMANN/AMMANN, Finanzmarkt-enforcement, 2ème éd., 2014, p. 81.
[7] Arrêt 1C-214/2016, Considérant 6.5.2.
[8] Arrêt 1C-214/2016, Considérant 6.5.3.
[9] Arrêt 1C-214/2016, Considérant 6.5.3.
[10] Arrêt 1C-214/2016, Considérants 7.3 et 7.4.
[11] Arrêt 1C-214/2016, Considérant 8.
