Le secret bancaire va disparaître pour les clients étrangers, cela aura sans doute d’importantes conséquences économiques pour le marché financier suisse. Certaines banques pourraient être tentées de régulariser leur situation sur le dos de leur personnel. Or, précisément dans le cadre du projet qui doit remplacer une « Lex USA » qui a échoué au Parlement, les risques pour le personnel des banques ne doivent pas être sous-estimés. Au Conseil fédéral de garantir la protection des données le concernant.
L’objectif juridique prioritaire doit être de trouver, pour le personnel, la solution la meilleure possible aux conflits fiscaux avec l’étranger (États-Unis, Union européenne…) qui menacent aujourd’hui de fermer aux banques suisses l’accès au marché.
Le dossier américain montre que, pour certaines banques, la tentation est forte de se soustraire à une poursuite pénale Outre-Atlantique en livrant des données aussi complètes que possible aux États-Unis. Alors que le secret bancaire est protégé aux plans du droit pénal et civil par l’article 47 de la loi sur les banques (LB), quelques banques se sont en effet montrées prêtes à transmettre aux autorités américaines des données personnelles sur des collaborateurs ou collaboratrices ayant été en contact des ressortissant(e)s américains.
La protection du personnel en milieu bancaire
À divers égards, cette attitude n’est juridiquement pas défendable. Toutes les personnes qui travaillent en Suisse bénéficient d’une protection (qualifiée) des données : l’article 328b du Code des obligations (CO) stipule que l’employeur doit aussi protéger, dans le cadre de ses obligations, les données personnelles de ses collaborateurs ou collaboratrices. Cela comprend surtout, en plus d’une interdiction a priori de transmettre de telles données à des tiers, l’interdiction même de traiter des données personnelles, de les consulter ou d’en stocker, si elles ne sont pas en rapport direct avec les tâches prévues sur le contrat de travail et si les conditions stipulées dans la loi sur la protection des données (LPD) ne sont pas respectées. Mentionnons ici entre autres les principes de la proportionnalité en matière de traitement de données relatives à des collaborateurs ou collaboratrices et de leur transmission uniquement avec le consentement de la personne concernée. En l’absence d’un tel consentement, le traitement de données doit être justifié par « un intérêt prépondérant privé ou public, ou par la loi » (art. 12 et 13 LPD).
Vu les compétences peu claires du Conseil fédéral en matière de droit d’urgence et les questions qui se posent donc quant au respect du principe de la légalité, il y a vraiment lieu de douter du caractère légal (art. 271 du Code pénal, CP) de la livraison, en avril 2012, de données concernant des milliers de personnes ; cela, via le droit d’urgence appliqué dans le but d’octroyer aux banques l’« autorisation globale » de communiquer ces données. Petit rappel : cet article 271 CP sanctionne les « actes exécutés sans droit pour un État étranger ». Il faut donc garantir que la sphère de la souveraineté ne soit pas violée par des actes de caractère officiel qui exigent, par conséquent, l’application de certaines procédures de droit public lorsqu’ils sont effectués dans notre pays sur mandat d’un État étranger (p. ex. demandes d’entraide judiciaire, autorisation préalable de tribunaux, etc.).
Le préposé fédéral à la protection des données n’était pas en mesure non plus, en 2012, d’imposer la protection légale des données à celles relatives au personnel des banques. On a au contraire observé qu’il a quelque peu relativisé la protection des employé(e)s de banque au nom des intérêts économiques supposés « supérieurs » qu’il y a avait à ne pas risquer une plainte des autorités américaines[1]. Ce qui a été particulièrement scabreux lors de la livraison de ces données aux autorités américaines par les employeurs CS, HSBS, Julisus Bär et les banques cantonales bernoise et zurichoise – une livraison d’ailleurs justifiée de manière très tortueuse par le biais du droit d’urgence - c’est que les (anciens) employé(e)s concernés n’en ont pas toujours été explicitement informés au préalable. Le droit suisse en vigueur en matière de protection des données d’employé(e)s a en tout cas on ne peut plus clairement montré ses limites formelles et matérielles dans le domaine très exposé des banques.
Différend fiscal avec les États-Unis : de la « Lex USA » au Plan B
Manifestement, le Conseil fédéral a reconnu, entre 2012 et 2013, le sérieux de la situation et il a décidé de passer par une loi pour trouver une solution aussi globale que possible. C’est ainsi qu’il s’est agi de régulariser les activités passées de certaines banques au moyen d’une « Lex USA », à savoir en édictant, sans recourir au droit d’urgence, une loi fédérale[2] qui serait appliquée sur une durée limitée. Cette loi aurait permis aux banques concernées, d’une part, d’échanger avec les États-Unis, selon l’article 271 du CP, des données qui, sinon, auraient dû être traitées uniquement dans le cadre d’une demande d’entraide ordinaire compliquée déposée auprès des autorités suisses compétentes. D’autre part, l’obligation des employeurs aurait été étendue dans le cadre d’un train, à proprement parler, de mesures d’accompagnement.
L’Association suisse des employés de banque (ASEB), l’Association patronale des banques en Suisse (AGV Banken) et l’Association suisse des banquiers (ASB) ont été à juste titre associées par le Conseil fédéral à l’élaboration parallèle d’un accord destiné à donner forme aux obligations de l’employeur selon l’article 328 du CO en ce qui concerne d’éventuelles suites financières. Cela, afin de neutraliser le plus possible avec des mesures d’accompagnement, dans le cadre du traitement en cours le plus global possible aujourd’hui des anciennes fautes commises avec des clients américains, les conséquences les plus graves de la transmission en soi scandaleuse au Département de la justice américain (DoJ) de données sur des collaborateurs et collaboratrices de banques. La mise au point d’un tel accord, condition minimale pour qu’il puisse y avoir communication de données au DoJ, est un succès à porter au crédit de l’ASEB et du partenariat social dans le secteur bancaire.
Pendant la première semaine de juillet 2013, le Conseil fédéral a présenté un « Plan B », suite à l’échec de la « Lex USA » devant le Parlement. Ce plan prévoit la mise en vigueur par voie d’ordonnance d’une base légale spécifique permettant d’octroyer plus facilement des autorisations individuelles assorties d’obligations selon l’article 271 du CP. Dans le cadre du droit en vigueur (CO, LPD, LB, CP), le Conseil fédéral a fixé les lignes directrices de la coopération des banques suisses avec les autorités américaines. En outre, sur la base de ces lignes, intégrées ensuite dans l’ordonnance, il mènera de nouveaux entretiens avec le DoJ concernant le lancement d’un programme américain unilatéral sur la régularisation des activités passées des banques contre qui aucune procédure pénale n’a été engagée. En cas de participation à ce programme, ces banques auront aussi besoin d’une autorisation dans le cadre des lignes directrices adoptées. Quant au contenu du programme, il relèvera uniquement du DoJ, car il s’agit là d’une offre unilatérale de procédure faite par les autorités américaines à diverses banques suisses.
Éléments contraignants du Plan B concernant la protection des employé(e)s
Le 3 juillet 2013, le Conseil fédéral a décidé que l’accord mis au point avec les partenaires sociaux serait le principal pilier de la coopération des banques suisses avec les autorités américaines. Les banques devront s’engager à prendre à leur charge tous les éventuels frais de tribunaux, d’avocats et autres aux États-Unis, ainsi qu’à créer un fonds pour les cas de rigueur pour financer des coûts imprévus.
Les banques doivent bien sûr répondre aussi rétroactivement des coûts dus à la livraison de données sur la base de l’arrêté fédéral édicté dans la précipitation la plus totale le 4 avril 2012. Et le débat au plan juridique n’est pas encore terminé, comme l’a rappelé le blocage, fin juin 2013, par un tribunal genevois de la livraison de données aux États-Unis.
Le fait que les réglementations du Plan ne sont inscrites que dans une ordonnance, et non dans une loi comme cela aurait été le cas avec la « Lex USA », montre clairement que la protection juridique, tant matérielle que formelle, doit être améliorée et renforcée, en particulier pour les employé(e)s. D’une part, toutes les personnes concernées, et aussi les anciens employé(e)s, dont les données sont communiquées doivent être informées au préalable individuellement. D’autre part, dans le respect du principe de proportionnalité, on ne devra communiquer, si tant est que livraison de données il y a, que des noms, respectivement des données de cadres dirigeants. La transmission aux autorités américaines de données sur les employé(e)s de banque subordonnés (conseillers/conseillères clientèle, personnel d’arrière-guichet ou « back office », responsables de dossiers, etc.) ne serait juridiquement pas justifiable.
[1] Pour une critique des recommandations du préposé fédéral à la protection des données et à la transparence du 17 octobre 2012, voir la prise de position de l’USS (en allemand seulement) sur la transmission de données concernant les collaborateurs et collaboratrices des banques :
<media 656>www.sgb.ch/fileadmin/user_upload/Dokumente/Vernehmlassungen/121018_LC_Uebermittlung_Bankmitarbeiterdaten.pdf</media>.
[2] Loi fédérale sur des mesures visant à faciliter le règlement du différend fiscal entre les banques suisses et les États-Unis du 29 mai 2013.