La watch list de la FINMA sous le feu du Tribunal fédéral

Le Tribunal fédéral a, dans un arrêt 1C_214/2016 du 22 mars 2017 destiné à publication au recueil officiel, sensiblement restreint la FINMA dans la tenue de sa « watch list ».

Afin de s’assurer que les dirigeants offrent la garantie d’une activité irréprochable, la FINMA tient depuis 2009 une watch list, à savoir un fichier de données personnelles, qui se fonde sur les informations que l’autorité reçoit dans le cadre de son activité.

Un ex-directeur d’UBS AG avait demandé à ce que la FINMA supprime de sa watch list les données en sa possession, ce en lien avec l’affaire de manipulation du LIBOR. Suite à un échange de correspondance, la FINMA avait « adouci » la description de l’ex-directeur dans son fichier. La watch list contenait par ailleurs divers documents, dont des emails, récoltés dans le cadre de la procédure menée contre UBS AG. L’ex-directeur ne s’est toutefois pas contenté des modifications faites par la FINMA. La FINMA refusant de supprimer toutes les données à son sujet, il a fait recours au Tribunal administratif fédéral (TAF), puis au TF, qui lui a donné raison.

Une première question était de savoir si la tenue du fichier requérait une base légale formelle. Selon l’art. 13 al. 2 Cst,  « toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent ». Les atteintes étatiques aux droits constitutionnels sont soumises aux conditions de l’art. 36 Cst, avec en particulier l’exigence d’une base légale au sens formel en cas de restriction grave. Cette exigence découle également de l’art. 17 al. 2 LPD en cas de traitement de données sensibles ou de profils de la personnalité.

En l’espèce, les données de la watch list constituaient bien un profil de la personnalité. La gravité de l’atteinte découlait par ailleurs, selon le TF, de la durée de conservation des données (en général 10 ans selon l’art. 9 de l’Ordonnance de la FINMA sur les données, ci-après « Ordonnance FINMA »), du risque de compromission de l’avenir professionnel du recourant lié à la watch list ou encore de l’absence de procédure de suppression et correction des données prévue par l’Ordonnance FINMA. Par conséquent, une base légale formelle était nécessaire à la FINMA pour traiter les données (art. 36 al. 1 Cst combiné avec l’art. 13 al. 2 Cst ; art. 17 al. 2 LPD).

Le TF analyse ensuite s’il existait en l’espèce une base légale formelle. Il relève que l’exigence de garantie d’une activité irréprochable, qui est l’objectif de la tenue de la watch list, se trouve dans cinq des lois de marchés financiers. Par ailleurs, l’art. 23 al. 1 LFINMA prévoit que « la FINMA traite des données personnelles, y compris des données sensibles et des profils de la personnalité ». La FINMA règle par ailleurs les modalités du traitement (art. 23 al. 1 in fine LFINMA), ce qu’elle a fait en adoptant l’Ordonnance FINMA. Le TF prend soin de souligner que l’Ordonnance FINMA a une légitimité démocratique affaiblie en ce qu’elle émane de la FINMA et non du Conseil fédéral.

Il existait donc bien une base légale formelle. Celle-ci ne couvrait toutefois pas les données en  question. En effet, l’art. 3 de l’Ordonnance FINMA énumère de manière précise et exhaustive les types de données qui peuvent être traitées par la FINMA. Or, le TF a considéré que les données du cas d’espèce n’étaient pas couvertes par cette disposition. En effet, elles provenaient en grande partie d’une procédure, dirigée contre UBS AG, à laquelle l’ex-directeur n’était pas partie, et ne reposaient que sur des soupçons. Par conséquent, le TF a ordonné la suppression des données concernées.

Commentaires

La FINMA ne peut donc pas conserver dans sa watch list de nombreuses données personnelles, en particulier celles récoltées dans le cadre de procédures dirigées seulement contre des assujettis.

L’interprétation plutôt restrictive de l’art. 3 de l’Ordonnance FINMA faite par le TF est à lire à la lumière de l’arrêt dans son ensemble, notamment dans son appréciation de la gravité de l’atteinte et de la légitimité démocratique affaiblie de l’Ordonnance FINMA. Une modification du texte de l’art. 3 de l’Ordonnance FINMA, avec une extension des données personnelles énumérées, pourrait dès lors ne pas suffire au TF pour admettre la conservation du type de données en question.  L’argument de la légitimité démocratique affaiblie, développé par le TF, est par ailleurs susceptible d’avoir une portée plus large : d’une part dans l’interprétation des normes édictées par la FINMA et d’autre part dans la réflexion que le législateur devrait avoir au moment de décider de déléguer un pouvoir normatif à la FINMA plutôt qu’au Conseil fédéral.

Suite à l’arrêt, la FINMA devrait tout de même réviser l’Ordonnance FINMA, notamment afin de mettre en place une procédure de correction ou suppression des données à disposition des personnes concernées (au-delà de l’art. 7), dont l’absence est relevée par le TF. Par ailleurs,  elle devrait également avoir une réflexion plus générale quant à sa pratique de sa lettre sur la garantie d’une activité irréprochable et sa coordination avec les procédures d’interdiction d’exercer.

Cette jurisprudence est enfin à lire en lien avec l’ATF 142 II 243 (cf. Commentaire n° 946). Dans cet arrêt, le TF a reproché au TAF de s’être fondé sur le résultat de la procédure contre une banque pour admettre une violation grave des devoirs de son ex-directeur général, alors que les parties à la procédure n’étaient pas les mêmes. Or, selon le TF, le TAF aurait dû examiner l’argumentation du recourant et donner suite aux mesures d’administration des preuves demandées (art. 29 PA, droit d’être entendu). En revanche, le TF a considéré que l’interdiction d’exercer de l’art. 33 LFINMA ne constituait pas une accusation pénale au sens de l’art. 6 al. 1 CEDH. Sous cette réserve, le TF a rappelé dans ces deux arrêts l’attention qu’il portait au respect des droits constitutionnels et procéduraux des individus, alors que ceux-ci font l’objet d’une action intensifiée de la FINMA.

Cf. ég. C. Lombardini et C. Hirsch