Communication de données du trafic international des paiements à des gouvernements étrangers, dans la perspective de l'application de sanctions

Dans le cadre de leurs activités internationales, les instituts suisses de crédit peuvent avoir besoin de prouver à des Etats étrangers (notamment les Etats-Unis) qu'elles respectent les sanctions requises par ces derniers. Faute de quoi l'accès commercial à l'Etat demandeur pourrait, selon les cas, être entravé. Dans ce contexte, un institut suisse de crédit a envisagé, dans le cadre du trafic international des paiements dans lequel il officie au titre de banque de transfert, de communiquer volontairement des données de transfert aux Etats-Unis. Après avoir examiné les faits et la situation juridique, nous avons conclu que pour prouver le respect des sanctions, seule une transmission volontaire de données de transferts anonymisées était autorisée.

Nous avons examiné, pour un institut suisse de crédit, la question de savoir dans quelle mesure la LPD autorisait la transmission de données à des autorités étrangères dans le cadre d'opérations de transferts internationaux. Dans le cas concret, l'institut suisse était un maillon dans la chaîne des flux de paiements internationaux et voulait apporter la preuve aux autorités américaines qu'il avait respecté les sanctions américaines contre l'Iran dans le cadre d'opérations de transfert.

La LPD s'applique du fait que les transferts nécessitent un traitement de données personnelles. La communication de données n'est donc possible que s'il n'y a pas atteinte illicite à la personnalité de la personne concernée. Vu que la transmission de données aux autorités américaines ne repose sur aucune base légale et qu'un intérêt prépondérant public ou privé n'est pas manifeste, nous avons examiné dans quelle mesure on pouvait supposer l’existence d’un consentement implicite.

L'institut suisse de crédit a avancé à cet égard l'argument selon lequel la personne qui fait exécuter un mandat de transfert en dollars américains doit s'attendre à ce que le traitement des données se fasse aux Etats-Unis. Dans le monde de la finance nul n'ignore que les transactions sur devises, à de rares exceptions, ont lieu dans le pays de la monnaie correspondante et que de ce fait, les banques intérieures entretiennent avec les banques étrangères des relations de compte nostro/vostro. Mais c'est une chose que les particuliers dans leur majorité ignorent et qui, à notre avis, ne peut être connue d'une manière générale. Il est donc du devoir de la banque du client effectuant une transaction financière en monnaie étrangère (dans ce cas des dollars américains) qu'elle informe son client qu'un transfert de données vers une banque dans le pays de la monnaie étrangère peut avoir lieu (ici les Etats-Unis). Néanmoins, dans le cadre de la transaction, la banque de transfert peut tout à fait partir du fait que la banque du mandant a informé en conséquence son client.

Dans les cas où l'institut suisse de crédit a réellement procédé au transfert par l'intermédiaire d'une banque ou d'une filiale aux Etats-Unis et que les autorités américaines, s'appuyant sur une base légale, accèdent à ces données, rien ne s'y oppose du point de vue de la protection des données, car pour que le mandat soit exécuté, le client a consenti à la communication de données à l'étranger. Par contre, une transmission de données ultérieure et de plein gré aux autorités américaines irait à l'encontre des principes du traitement des données (notamment du principe de la proportionnalité). Nous en avons donc conclu qu'une transmission de plein gré des données aux autorités américaines dans le cas présent n'était pas admissible. En revanche, il n'y a pas de violation de la loi sur la protection des données lorsque les autorités américaines consultent les données de transfert transmises aux Etats-Unis dans le cadre de la transaction auprès d'une filiale de l'institut suisse de crédit aux Etats-Unis ou auprès d'une banque partenaire aux Etats-Unis et qu'elle y est légalement légitimée.

Nous soulignons par ailleurs que les sanctions des Etats-Unis ne visent normalement pas les individus, mais les Etats. Pour cette raison, l'institut suisse de crédit a la possibilité d'anonymiser les données de transaction qu'il doit communiquer de telle manière que l'on puisse encore en déduire l'Etat, et éventuellement la ville d'origine du mandant et du destinataire de la transaction, mais pas l'identité propre de ces deux personnes. En procédant ainsi, l'institut suisse de crédit pourrait prouver aux autorités étrangères qu'il respecte les sanctions et en même temps tient compte de manière adéquate de la protection des données.

Dernière modification 30.06.2008

Début de la page

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/15eme-rapport-d-activites-2007-2008/communication-de-donnees-du-trafic-international-des-paiements-a.html