Externalisation à l’étranger de données bancaires pseudonymisées

Dans le cadre de la consultation organisée en 2013 par l’Autorité fédérale de surveillance des marchés financiers (FINMA) concernant la révision partielle de la circulaire 2008/21 «Risques opérationnels – banques», nous avons explicité notre position concernant la qualification juridique des données pseudonymisées et de ses conséquences dans le domaine bancaire.

Au cours de l'année sous revue, la FINMA a attiré notre attention sur les divergences entre la mise en oeuvre pratique de la circulaire 2008/7 de la FINMA «Outsourcing - banques» et la position du PFPDT. En Suisse, une grande partie des instituts financiers surveillés estiment qu'il n'est pas obligatoire d'informer spécifiquement les clients sur l'externalisation de leurs données personnelles lorsque celles-ci sont pseudonymisées. Les représentants de la branche sont en effet d'avis que ces données ne relèvent pas de la loi fédérale sur la protection des données (LPD).

Cette position repose sur une interprétation divergente de la qualification juridique de données pseudonymisées. La LPD prévoit que toutes les informations qui se rapportent à une personne identifiée ou identifiable sont des données personnelles. Les représentants du secteur financier estiment que les données pseudonymisées ne peuvent pas être considérées comme des données personnelles. En effet, ils considèrent les données du point de vue du destinataire des données pseudonymisées qui lui, n'est pas en possession des indications nécessaires pour relier les données à une personne et procéder ainsi à une ré-identification. Si l'on suivait cette interprétation, cela aurait pour résultat que l'on pourrait contourner la loi sur la protection des données simplement par le biais de mesures techniques, ce qui est incompatible avec la volonté du législateur.

Il faut partir de définitions claires si l'on veut comprendre la situation d'un point de vue technique. La «pseudonymisation» est procédé spécifique par lequel les éléments permettant une identification directe sont remplacés par un identifiant neutre, en l'occurrence un pseudonyme. Ce pseudonyme est enregistré dans un tableau de correspondance séparé avec les éléments d'identification et permet aux ayants droit d'établir un lien avec la personne concernée qui, de ce fait, est identifiable conformément à la LPD. Cette méthode a pour conséquence que les données ainsi pseudonymisées peuvent être considérées comme non identifiables pour toutes les personnes qui n'ont pas accès au tableau de correspondance. Bien que par ce processus de pseudonymisation, le lien direct avec une personne est éliminé pour quelqu'un qui ne possède pas de possibilités d'identification, une personne reste identifiable pour le détenteur du tableau de correspondance.

Dans ce cas, une banque par exemple peut conserver son tableau de correspondance en Suisse et externaliser à l'étranger le traitement des données de ses clients après pseudonymisation. Se pose donc la question de savoir à partir de quel point de vue il convient d'apprécier la possibilité d'identifier les personnes concernées: exclusivement du point de vue du destinataire des données (variante A)? Exclusivement du point de vue du fournisseur des données (variante B)? Ou de façon alternative (variante C)? La LPD est applicable ou non selon le point de vue choisi.

Dans la variante A, on se place du point de vue du destinataire des données pour lequel une ré-identification n'est plus guère possible. Les informations externalisées ne peuvent pas être qualifiées, de son point de vue, de données personnelles. La LPD n'est donc dans ce cas pas applicable. Dans la variante B, on parvient à la conclusion contraire. Dans la variante C, on part d'un point de vue alternatif, à savoir ou bien le point de vue de la banque qui externalise, ou celui du destinataire des données. Dans ce cas, la LPD est toujours applicable.

La LPD elle-même ne mentionne pas expressément quelle base d'appréciation appliquer. Toutefois, le législateur était conscient du potentiel considérable de développement de la technique dans le domaine numérique. Il a donc créé une loi techniquement neutre devant permettre de suivre l'évolution de la technologie moderne. En outre, le Tribunal fédéral a confirmé notre position dans l'arrêt Logistep (ATF 136 II 508; cf. notre 18e rapport d'activités 2010/2011, ch. 1.3.5). Dans cet arrêt, le Tribunal fédéral établit les conditions précisant de quel point de vue l'appréciation de l'identifiabilité doit avoir lieu et applique à cet égard l'approche dite «alternative».

Il ressort de ce qui précède que la LPD est applicable dans le cas de l'externalisation à l'étranger de données de clients de banques, ce qui implique certaines obligations pour les banques qui externalisent. Selon la circulaire de la FINMA 2008/7 (Cm 35), le client doit être informé d'une externalisation par courrier spécial et de manière détaillée. En outre, dans cette situation, il doit avoir la possibilité de refuser la clause litigieuse (opt-out ou option de retrait) ou de rompre la relation contractuelle, cela sans subir de préjudice. Nous estimons qu'actuellement, ces règles sont contraignantes dans le domaine de la circulation électronique de données financières où le risque accru de manipulation des données ou d'accès non autorisé de tiers est doit être pris en considération. Il découle en outre de cette approche fondée sur les risques qu'il relève de la responsabilité des instituts financiers de garantir la transparence de ce type de traitement à l'égard des clients afin que ceux-ci puissent faire valoir sans entrave leurs droits à l'autodétermination en matière d'information

La LPD ne fixe aucune contrainte pour ce qui est du support d'information. Il est possible de fournir des informations concernant les risques de l'externalisation dans les conditions générales de la banque, à condition que les clients soient également informés explicitement d'une autre manière et qu'il n'y ait pas d'intégration globale des conditions générales dans le contrat. Comme mentionné plus haut, le client doit avoir la possibilité de se prévaloir d'une option de retrait (opt-out): la banque doit dans ce cas octroyer au client un délai approprié dans lequel il pourra écarter la clause litigieuse ou dénoncer son contrat sans préjudice. Dans le cas contraire, il ne saurait y avoir de consentement libre et éclairé. Si le client n'effectue pas une option de retrait dans le délai fixé, on peut partir de l'idée qu'il a tacitement consenti à l'externalisation. Si des données personnelles sensibles ou des profils de la personnalité sont concernées par l'externalisation à l'étranger, le consentement explicite du client est nécessaire (opt-in, option d'adhésion). Tant que ce dernier n'est pas effectif, la clause d'externalisation n'est pas valable.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/22e-rapport-d-activites-2014-2015/externalisation-a-letranger-de-donnees-bancaires-pseudonymisees.html