La Cour d’appel de Luxembourg a interdit à la banque Hapoalim le transfert d’informations aux Etats-Unis à l’insu d’un de ses clients. Le règlement sur la protection des données s’oppose à cet échange, faute de garanties suffisantes de l’autre côté de l’Atlantique. La décision est inédite.

Le débat sur les données personnelles des clients que les banques luxembourgeoises peuvent ou non communiquer aux autorités étrangères, hors Union européenne, a fait son apparition devant la justice. La Cour d’appel a en effet tranché pour la première fois sur les garanties que le Règlement général de protection des données (RGPD) donne aux personnes contre la dispersion d’informations souvent sensibles et leur utilisation par les autorités américaines.

La justice suisse avait déjà dit non au transfert massif de données bancaires personnelles aux Etats-Unis, le pays n’offrant pas de garanties de protection équivalentes à celle de l’Europe. Saisis à leur tour dans le cadre d’une procédure en référé (qui traite les cas urgents), les juges luxembourgeois ont également interdit à la Banque Hapoalim Suisse et à sa succursale luxembourgeoise d’envoyer outre-Atlantique des informations susceptibles d’identifier un de leurs clients, sans son consentement.

Positions contradictoires

Au nom de la défense d’un des droits fondamentaux des citoyens qu’est la protection des données personnelles, le «non» de la justice du Grand-Duché prend le contrepied du mouvement global de transparence financière qui a eu raison du secret bancaire.

«Le problème, très connu en Suisse avec des positions contradictoires les tribunaux d’une part et d’autre part les autorités helvétiques très enclines à faire plaisir à l’administration américaine, s’importe à Luxembourg», assure l’avocat Mathieu Richard. Il défend un ressortissant israélien, né aux Etats-Unis et qui a quitté ce pays à l’âge de 19 ans, il y a plus de 50 ans.

Mon mandant est un vieil homme qui n’a plus rien à voir avec les Etats-Unis et n’y a pas fait d’affaires. »Maître Mathieu Richard

Considéré malgré lui comme un «US Citizen», ce dernier s’oppose à ce que la filiale suisse de la plus grande banque d’Israël et sa succursale luxembourgeoise envoient au ministère de la justice américain (DOJ) des données sur ses comptes privés et de sociétés offshores dont il est le bénéficiaire économique. Les comptes ont été ouverts entre 2001 et 2005. «Mon mandant est un vieil homme qui n’a plus rien à voir avec les Etats-Unis et n’y a pas fait d’affaires», assure Me Richard.

Le 13 août 2018, Monsieur B. reçoit de la banque Hapoalim en Suisse une lettre l’informant de son intention d’envoyer ses données personnelles aux Etats-Unis, où l’établissement était poursuivi pour complicité de fraude fiscale.

La transmission d’une liste sur ses clients supposés Américains devait entre autres permettre à Hapoalim de négocier une réduction de peine avec la justice US. La banque a reconnu avoir aidé des Américains à dissimuler au fisc des milliards de dollars en les cachant sur des comptes en Suisse et au Luxembourg. Plus de 2.000 comptes suspects ont été identifiés, selon le DOJ.

En 2018, le groupe bancaire a décidé de se concentrer sur ses activités en Israël, en fermant ses implantations à l’étranger. A Luxembourg, un plan social avait touché la trentaine d’employés de la filiale et de la succursale.

Une amende à 874 millions de dollars

Le 30 avril dernier, après des mois de tractations, le groupe israélien a finalement conclu un accord avec le procureur de New-York, en charge de l’enquête, pour mettre fin aux poursuites pénales en échange d’un plaider-coupable et d’une amende record de 874 millions de dollars.

La liste à transmettre ne fournit pas l’identité des clients. Elle donne aussi des données sous forme agrégée. Pseudonymisées, les listes n’en comportent pas moins des informations sensibles, notamment des numéros de comptes bancaires, les dates d’ouverture de comptes ainsi que les seuils de transactions.

Les mesures de pseudonymisation doivent en principe empêcher l’identification d’une personne. Cette technique permet d’échapper aux contraintes de la règlementation sur la protection des données personnelles, comme c’est le cas pour les données anonymisées.

Contrairement aux données anonymisées, les données pseudonymisées sont toujours des données à caractère personnel et sont soumises à la législation relative à la protection des données. »7e chambre de la Cour d’appel

Combinées à d’autres sources d’informations (entre autres grâce aux données des centres de traitement des systèmes de paiement Swift, situés aux USA), ces données permettraient néanmoins aux Américains d’identifier les clients et, par la suite, d’engager des poursuites à leur encontre pour ne pas avoir déclaré leurs avoirs étrangers à l’administration fiscale US.

Craignant que son nom se trouve exposé dans une procédure outre-Atlantique où l’identité des prévenus est régulièrement publiée sur le site Internet du DOJ, Monsieur B. a saisi le tribunal de commerce de Zurich, le 16 août 2018. La juridiction a rendu quatre mois plus tard une ordonnance interdisant à la banque la transmission des données litigieuses, sous peine de sanctions pénales.

Les juges zurichois ont toutefois renvoyé une partie de l’affaire au Grand-Duché, où B. avait ouvert un compte personnel en 2004 auprès de la succursale ainsi que les comptes de ses sociétés offshore. Une clause prévoyait la compétence des juridictions luxembourgeoises en cas de litige. L’affaire a donc rebondi devant les tribunaux du pays.

Clarifications sur les données pseudonymisées

En juin 2019, un juge de référé a rejeté la demande de B. d’interdire la transmission de ses données bancaires et l’a même condamné à payer 1.000 euros d’indemnité de procédure à Hapoalim. Le magistrat a estimé qu’il n’y avait pas de certitudes que les données pseudonymisées permettent aux autorités américaines in fine de remonter jusqu’à Monsieur B., de l’identifier formellement et de le poursuivre. Rien ne s’opposait donc à la transmission de ses données de l’autre côté de l’Atlantique.

L’homme a fait appel. Son second procès a donné lieu à un débat juridique inédit sur la portée du RGPD, ancré dans la loi du 1er août 2018 ayant mis en œuvre le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes à l’égard du traitement des données et à leur libre circulation.

Me Philippe Dupont, qui défend la banque, avait minimisé la nature des informations à transmettre aux Etats-Unis en échange d’une réduction de peine. Hapoalim assurait en effet ne vouloir transmettre «que des informations anonymisées au DOJ», et donc licites au regard des critères du RGDP.

L’étendue de la notion de ‘données pseudonymisées’ est tout aussi large et couvre toutes sortes de cryptage. »7e chambre de la Cour d’appel

Or, les données bancaires au cœur du litige sont tout sauf anonymes, puisqu’elles sont susceptibles de porter sur les dates d’ouverture des comptes, les montants maximaux des avoirs et la nationalité des titulaires. «Au vu de (…) l’énumération des données que la banque est disposée à transférer aux autorités judiciaires américaines, il n’est pas contestable que ces données constituent des données à caractère personnel, même lorsque ces données seront pseudonomysées», affirme la Cour d’appel dans son arrêt du 6 mai dernier.

Cette décision de justice met à mal les engagements politiques du gouvernement luxembourgeois qui a signé en 2014 avec les Etats-Unis un accord connu sous le nom de FATCA (Foreign Account Tax Compliance Act) portant sur l’échange automatique d’informations bancaires.

Pour autant, la clarification que les juges ont apportée à la notion de «pseudonymisation» des listes, en en donnant une interprétation très large, est vue avec un certain soulagement sur la place financière, ses opérateurs n’aimant pas les incertitudes juridiques.

Astreinte jusqu’à 1 million d’euros

«Contrairement aux données anonymisées, les données pseudonymisées sont toujours des données à caractère personnel et sont soumises à la législation relative à la protection des données», soulignent les juges d’appel. Ils considèrent les données que Hapoalim s’apprêtait à faire partir aux Etats-Unis, sans le consentement du client, relèvent de la même catégorie que les informations sensibles relatives aux origines raciales, ethniques, à la santé ou à l’appartenance syndicale. «L’étendue de la notion de ‘données pseudonymisées’ est tout aussi large et couvre toutes sortes de cryptage», précise leur arrêt.

Le débat devrait se poursuivre au Luxembourg à la faveur des jugements au fond, l’affaire des fichiers d’Hapoalim ayant jusqu’à présent été tranchée à titre provisoire.

La Cour a assorti l’interdiction de transmettre les données aux Etats-Unis d’une astreinte de 100.000 euros par contravention, avec une limite à un million d’euros, «au vu de la persistance de la banque à vouloir justifier le transfert de données litigieuses anonymisées, au pire pseudonymisées».