Votre contact
L’accord conclu entre la Suisse et les Etats-Unis le 29 août 2013, destiné à favoriser la collaboration entre les banques actives en Suisse et le Department of Justice (DoJ) américain (1), a déjà fait couler beaucoup d’encre. En particulier, de nombreux auteurs se sont penchés sur les droits des employés et ex-employés des banques concernées, notamment en relation avec la protection de leur personnalité et celle de leurs données.(2) Nous donnerons ici un bref tour d’horizon pour faire le point un peu moins de deux ans après la conclusion de l’accord.
La situation avant l’US Program
La problématique de la violation des règles en matière de protection des données concernant des employés et ex-employés d’instituts financiers ayant un siège en Suisse a surgi en 2008, lors la transmission par l’UBS au DoJ de données relatives aux comptes bancaires de plus de 250 clients. Celle-ci a suscité un tollé, impliquant tant les instances politiques et judiciaires les plus élevées du pays, et amorçant la longue agonie du secret bancaire.(3)
Avec la mise en examen de plusieurs banques par le DoJ en 2010 (et alors que le cas UBS n’avait pas encore été tranché par le Tribunal fédéral), les mêmes interrogations ont refait surface. Il s’est avéré que les institutions visées par des procédures pénales menées par les autorités américaines, par peur panique des sanctions dont elles étaient menacées, avaient transféré à ces dernières une multitude d’informations concernant notamment leurs employés ou ex-employés.
Si certains hauts fonctionnaires de ces banques étaient bel et bien impliqués dans la stratégie de gestion de la clientèle américaine, ce n’était toutefois pas le cas de tous les employés dont les données étaient transmises. Certains d’entre eux figuraient ainsi parfois simplement en copie de certains e-mails ou circulaires internes, sans pour autant être chargés de la détermination des stratégies d’acquisition ou de conservation de cette clientèle “sensible”.
Ce n’est ainsi qu’en 2012, alors que la presse révélait l’existence de ces transferts de données, que certains employés ont appris, à leur demande expresse, que leur nom et d’autres informations les concernant avaient d’ores et déjà été transmis aux autorités américaines.(4)
En octobre 2012, face à cette situation, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a émis des recommandations à l’intention de ces banques, selon lesquelles elles étaient tenues (i) d’accorder aux personnes concernées le droit d’accès prévu à l’art. 8 LPD, (ii) d’informer à l’avance les personnes concernées de la portée et de la nature des documents qui seront transmis ainsi que de la période concernée pour qu’elles puissent exercer leur droit d’accès et (iii) d’effectuer une pesée des intérêts en présence dans le cas concret si une personne concernée s’opposait à ce que la banque transmette son nom. Si elle arrivait à la conclusion qu’elle transmettra néanmoins les données en question sous une forme non anonymisée, elle devait en informer la personne concernée et lui faire connaître ses droits en la matière.(5)
Ce qui a changé avec l’US Program
L’US Program a pour but d’encourager l’auto-dénonciation des banques en perspective d’une renonciation aux poursuites de la part des autorités américaines, moyennant le paiement d’une amende salée. Les institutions qui se sentaient concernées par la problématique des comptes américains non-déclarés avaient la possibilité de s’inscrire dans ce programme en catégorie 2 (la catégorie 1 étant celle des banques déjà mises en examen, comme évoqué plus haut, et les catégories 3 et 4 étant réservées aux banques qui estimaient ne pas être concernées).
A leur inscription dans la catégorie 2 (par la voie d’une lettre d’intention devant parvenir au DoJ avant le 31 décembre 2013), les banques qui souhaitaient bénéficier du programme ont dû montrer patte blanche en livrant aux autorités américaines l’ensemble des données relatives à la structure et à la gestion des activités transfrontalières concernant la clientèle américaine, le nom et la fonction des personnes responsables de ces activités, les directives en matière d’acquisition de clientèle et le nombre de comptes ayant un lien avec les Etats-Unis qui (i) existaient au 1er août 2008, (ii) ont été ouverts entre le 1er août 2008 et le 28 février 2009 et (iii) ont été ouverts après le 28 février 2009 de même que la valeur totale cumulée de ces comptes (étape II.d.1).
Après avoir remis ces informations et afin de pouvoir avoir l’espoir d’obtenir un Non Prosecution Agreement (NPA), il leur a fallu dans un second temps (avant le 31 juillet 2014) transmettre au DoJ les données relatives aux comptes ayant été clôturés durant la période litigieuse, soit en particulier les informations concernant (i) la valeur maximale pour chaque compte, (ii) le nombre de personnes ou entités liées au compte ayant un lien avec les Etats-Unis, (iii) si le titulaire du compte était une personne physique ou morale, (iv) s’il contenait des actions américaines pendant cette période, (v) le nom et la fonction de tous les employés et tiers actifs dans la gestion et la supervision de ces comptes pendant cette période et (vi) les informations quant au transfert de fonds de et vers chacun des comptes durant cette période (étape II.d.2, dite des “Leaver’s lists”).
Dans la mesure où le Programme concernait potentiellement l’ensemble des banques du pays et que l’implémentation d’une “Lex USA” destinée à fournir une base légale pour la collaboration des banques avec une autorité étrangère s’est heurtée au refus du Conseil national(6), le Conseil fédéral a délivré des autorisations sur la base d’une “décision modèle” exemptant les institutions destinataires de toutes poursuites fondées sur l’art. 271 CP, qui réprime les actes exécutés sans droit pour un Etat étranger. Celles-ci permettent aux banques de collaborer activement avec le DoJ dans le cadre du Programme. La communication de données relatives aux titulaires de compte reste en revanche interdite, dès lors que ces informations sont couvertes par le secret bancaire et doivent donc être obtenues par la voie d’une demande d’entraide.
Toutefois, le Conseil fédéral a précisé que “l’autorisation prévue à l’art. 271 ch. 1 CP exclut uniquement une punissabilité en vertu de cette disposition. Elle ne dispense cependant pas du respect des autres dispositions du droit suisse, notamment de la prise en compte du secret d’affaires et du secret bancaire existants, des dispositions sur la protection des données et des obligations de l’employeur”(7).
Le PFPDT a également publié une note à l’attention des banques sur la transmission de données personnelles aux autorités américaines(8), dans laquelle il rappelait les cinq principes devant être respectés dans ce contexte. Il a notamment précisé qu’en cas de refus de la personne concernée de voir transmettre son nom, la banque doit, en vertu de l’art 13 LPD, faire valoir des motifs justificatifs pour pouvoir procéder à la transmission et, par ailleurs, remplir les conditions de l’art. 6 LPD pour pouvoir transmettre des données dans un pays ne disposant pas d’une législation assurant un niveau de protection adéquat. Il a également ajouté que si, après avoir pesé les intérêts en présence, la banque décide de transmettre des données contre la volonté de la personne concernée, cette dernière peut intenter une action en protection de la personnalité auprès d’un tribunal civil conformément à l’art. 15 LPD.
En parallèle, une convention a été signée entre l’Association suisse des employés de banque (ASEB), l’Association patronale des banques suisses (AP Banques) et l’Association suisse des banquiers (ASB) en date du 29 mai 2013(9). Celle-ci liste les obligations des banques en matière de protection de données et de la personnalité de leurs employés et ex-employés. En particulier, elle prévoit que celles-ci doivent respecter les recommandations du PFPDT et prendre le cas échéant en charge les frais de défense des collaborateurs poursuivis pénalement aux Etats-Unis pour des activités réalisées dans le cadre de leur activité professionnelle. Elle prévoit également la mise en place d’un fonds pour les cas de rigueur. Enfin, elle contient des dispositions en matière de protection contre la discrimination et contre les licenciements, le fait de figurer dans les listes d’informations transmises ne constituant pas un motif de licenciement admissible.
Atteinte illicite ou non?
Selon l’art. 4 al. 1 LPD, tout traitement de données doit être licite. L’art. 6 al. 1 LPD exclut la communication transfrontière de données personnelles si la personnalité des individus concernés s’en trouve gravement menacée, notamment du fait de l’absence d’une législation assurant un niveau de protection adéquat. Parmi les exceptions à ce principe figurent en particulier le consentement de la personne (al. 2 let. b) ou l’existence d’un intérêt public prépondérant (al. 2 let. d). Enfin, l’art. 13 al. 1 LPD prévoit qu’une atteinte à la personnalité est illicite à moins d’être justifiée par le consentement de la victime, par un intérêt prépondérant privé ou public, ou par la loi.
Il est intéressant de relever que dans une décision du 25 avril 2013(10), la Cour des plaintes du Tribunal pénal fédéral, saisie d’un recours d’un employé de la banque HSBC (mise en examen en 2010) contre une ordonnance de non-entrée en matière rendue par le Ministère public de la Confédération, avait confirmé que la transmission des données aux autorités américaines ne pouvait être tenue pour illicite et, par conséquent, “ne saurait être sanctionnée pénalement sous l’angle de la protection des données” (consid. 5.1). De même, dans une décision du 16 octobre 2013(11), le Tribunal des prud’hommes de Genève avait retenu que la banque n’avait pas commis d’atteinte illicite à la personnalité de son employée (consid. 5).
Néanmoins, depuis la mise en place de l’US Program, respectivement des remous qu’a causés la phase II.d.2, la jurisprudence semble évoluer vers une plus grande protection des employés. En effet, le motif justificatif tiré de l’intérêt public de la place financière suisse, invoqué par les banques dans le cadre des procédures intentées par leurs employés, a cette récemment été rejeté par les tribunaux. En particulier, la Cour de justice de la République et canton de Genève a, dans un arrêt du 12 décembre 2014(12), relevé que « le PFPDT a certes reconnu de manière générale l’existence d’un intérêt public à la transmission des données dans le cadre du conflit fiscal opposant la Suisse et les Etats-Unis. [Il] n’a cependant pas estimé que cet intérêt devait systématiquement l’emporter, mais a souligné qu’il restait sujet à appréciation de cas en cas » (consid. 3.2.4). S’agissant du cas d’espèce, la Cour a ainsi estimé que “les allégations de [la banque] selon lesquelles tout défaut de collaboration de sa part avec les autorités américaines serait susceptible de ternir globalement l’image de la place financière suisse aux Etats-Unis [n’étaient] rendues vraisemblables par aucun élément particulier”, estimant au contraire que le seul intérêt pouvant entrer en ligne de compte était l’intérêt privé de la banque elle-même (consid. 3.2.4).
Si cette évolution vers une meilleure mise en balance des droits des employés doit être saluée, il faut toutefois rappeler qu’à l’heure actuelle, les tribunaux ayant prononcé à titre provisoire l’interdiction du transfert des données aux autorités américaines doivent encore statuer sur la validité au fond de cette interdiction. Il faut donc espérer que la position de la Cour de justice mentionnée supra sera maintenue. Cependant, dans la mesure où il s’agit d’une approche au cas par cas et que plusieurs cantons sont concernés par de telles procédures, il est à craindre que la multiplication des décisions à ce sujet donne naissance à de nombreuses contradictions. Malheureusement, en raison du principe de l’épuisement des instances cantonales, le Tribunal fédéral ne pourra sans doute pas se prononcer sur la question avant 2016.
Qu’espérer du futur?
Du point de vue des autorités judiciaires cantonales, il est manifeste que la première décision sur la question servira de référence. Ce jugement fera toutefois l’effet d’un coup de tonnerre au sein de la place financière suisse dès lors que si l’absence d’intérêt public prépondérant est confirmée, il pourra avoir des répercussions importantes sur les prétentions en dommages-intérêts des employés dont les noms ont été transmis.
Pour ce qui est des possibles retombées à l’étranger des jugements prononcés en Suisse, rappelons que l’on ne sait pas encore quelle sera la réaction du DoJ, en particulier s’il se satisfera des amendes encaissées et des informations obtenues ou s’il serait susceptible de se lancer dans une offensive à grande échelle contre les collaborateurs des banques, étant précisé que le texte du NPA n’exclut pas les poursuites à titre individuel contre ces derniers(13). Toutefois dans la mesure où le DoJ aura alors réglé le litige avec la banque elle-même, il n’est pas certain qu’il ait encore un intérêt à poursuivre les employés à titre individuel, à tout le moins pas les “petits poissons”. Un indice de plus dans ce sens réside dans le résultat du procès intenté à l’encontre de Raoul Weil, qui a débouché sur un acquittement. Les Etats-Unis seront donc sans doute plus circonspects à l’avenir lors de l’évaluation des chances de succès d’une action contre un employé de banque.
On ne peut toutefois pas exclure des désagréments futurs pour les employés dont les données ont été transférées dès lors qu’il est impossible de prédire ce que les autorités feront des informations obtenues de la part des institutions financières suisses. Le scénario le plus à craindre est bien évidemment celui d’une collaboration étroite entre les différentes agences fédérales (DoJ, IRS, USCIS), qui faciliterait l’échange d’informations sensibles et les poursuites contre chaque individu, à plus forte raison s’il se trouve sur le territoire américain. De plus, il y a lieu de penser que la crainte des poursuites subsistera pendante de nombreuses années pour ces employés, chaque voyage constituant ainsi une source d’angoisse non négligeable. Les banques ont par conséquent tout intérêt à jouer leur rôle de soutien vis-à-vis de leurs employés et ex-employés si elles souhaitent minimiser les risques de devoir ensuite défendre à des actions en dommages-intérêts.
En conclusion, force est de constater que l’incertitude plane à près de deux années de la signature de l’accord, alors même que l’US Program fait désormais partie du quotidien de toute une industrie et de plusieurs dizaines de milliers d’employés, ce d’autant plus que l’accord FATCA (facilitant l’application du Foreign Account Tax Compliance Act américain) est désormais entré en vigueur en Suisse et règle pour l’avenir les échanges d’informations entre les banques suisses et les autorités américaines. Le fait que de nombreuses questions restent encore en suspens, d’une part en l’absence de décision jurisprudentielle définitive et d’autre part du fait que les intentions des USA restent floues, indique au contraire l’US Program n’a pas fini de faire parler de lui.
——————–
(1) Déclaration commune (“Joint Statement”) signé par les autorités suisses et américaines et détail de l’US-Program, publiés par le DoJ le 29 août 2013 sous https://www.justice.gov/iso/opa/resources/8592013829164213235599.pdf
(2) “Knacknüsse bei der Lieferung von Daten durch Schweizer Banken an die USA”, article de Dr Tobias F. Rohner et Urs Furrer, publié in ST/ECS 2013, p. 515 ff.; “La communication aux autorités américaines, par des banques, de données personnelles sur leurs employés: aspects de droit du travail”, article du Prof. Gabriel Aubert publié in SZW/RSDA 2013, p. 40 ff.
(3) “Transmission par la FINMA de dossiers de clients aux Etats-Unis, le Tribunal fédéral met un point final à l’affaire”, article de Lucia Gomez Richa publié le 30 novembre 2011 sur le site web du Centre de droit bancaire et financier de l’Université de Genève, disponible sur https://www.cdbf.ch/776/; ATF 137 II 431 du 15 juillet 2011.
(4) Arrêts du Tribunal fédéral 4A_406/2014 et 4A_408/2014 du 12 janvier 2015, consid. A.
(5) Communiqué de presse du PFPDT du 16 décembre 2012.
(6) Bulletin officiel – Conseil national – 19.06.13: 13.054 Déclaration du Conseil national. Règlement du différend fiscal entre les banques suisses et les Etats-Unis d’Amérique.
(7) Modèle de décision du Conseil fédéral et note explicative publiées par le Département Fédéral des Finances (DFF), disponibles sur https://www.news.admin.ch/NSBSubscriber/message/attachments/31821.pdf.
(8) Note du PFPDT à l’attention des banques sur la transmission de données personnelles aux autorités Convention ASEB/AP/ASB du 29 mai 2013, disponible sur https://www.sbpv.ch/fileadmin/user_upload/Dossiers/auslieferung/Vereinbarung_USA_Unterzeichnet_en.pdf
(9) Décision de la Cour des plaintes du Tribunal pénal fédéral du 25 avril 2013 dans la cause BB.2012.133.
(10) Jugement du Tribunal des prud’hommes de Genève du 16 octobre 2013, publié in JAR 2014 p. 410.
(11) Arrêt de la Cour de justice de la République et canton de Genève n° ACJC/1541/2014 du 12 décembre 2014.
(12) Non-Prosecution Agreement conclu avec la banque BSI en date du 25 mars 2015, publié sur le site du DoJ sous https://www.justice.gov/file/385831/download.