Lexipedia

956.124

Ordonnance de la FINMA sur le traitement de données personnelles dans le cadre de la surveillance (Ordonnance de la FINMA sur les données)

du 4 mai 2023 (État le 1er septembre 2023)

L’Autorité fédérale de surveillance des marchés financiers (FINMA),

vu l’art. 23, al. 4, de la loi du 22 juin 2007 sur la surveillance des marchés financiers (LFINMA) 1 ,

arrête:

Section 1 Objet et compétences

Art. 1 Objet

La présente ordonnance règle les modalités du traitement de données personnelles par la FINMA dans le cadre de la surveillance conformément à la LFINMA et aux lois sur les marchés financiers citées à l’art. 1, al. 1, LFINMA.

Art. 2 Compétences

La division Technologies de l’information et de la communication assure l’exploitation technique des systèmes d’information dans lesquels des données personnelles sont traitées.

La direction de la FINMA fixe dans un règlement de traitement:

  1. les mesures techniques et organisationnelles requises pour garantir la sécurité des données;
  2. le contrôle du traitement des données;
  3. les droits d’accès des différentes catégories de collaborateurs de la FINMA.

Les personnes concernées peuvent faire valoir les droits prévus par la loi fédérale du 25 septembre 2020 sur la protection des données 2 auprès de la division Droit et compliance.

Section 2 Traitement des données

Art. 3 Compétence

Chaque unité organisationnelle de la FINMA est compétente pour ses données.

Art. 4 Accès aux données

Les collaborateurs de la FINMA ont accès aux données qui relèvent de leur fonction de surveillance.

Les collaborateurs de la FINMA chargés de tâches transversales ont en outre accès à d’autres données pour autant que cela soit nécessaire à l’exécution de leurs tâches.

Les droits d’accès peuvent être restreints à certains collaborateurs de la FINMA ou être accordés à d’autres collaborateurs de la FINMA dans la mesure où cela est nécessaire dans le cas d’espèce.

Art. 5 Catégories de données personnelles traitées

La FINMA traite les données personnelles suivantes:

  1. les données relatives à l’identité: nom, prénom, date de naissance, sexe, lieu d’origine, nationalité, langue maternelle, adresse, adresse électronique, numéro de téléphone, numéro AVS;
  2. les données relatives à la formation, à la profession et aux rapports de travail: formation, formation continue, qualifications et activités professionnelles, situation professionnelle et développement professionnel, comportement en affaires, lieu de travail, employeur y compris son numéro d’identification des entreprises (IDE), création, déroulement et fin des rapports de travail;
  3. les données relatives à la situation financière, à la situation patrimoniale et aux assurances;
  4. les extraits du registre du commerce, du registre des poursuites, du registre des faillites et du casier judiciaire;
  5. les données provenant des organes de surveillance de la négociation;
  6. les rapports, évaluations et autres documents de sociétés d’audit et de personnes mandatées par la FINMA;
  7. les rapports et décisions d’organismes de surveillance, d’organismes d’autorégulation et d’organisations professionnelles;
  8. les dossiers d’autorités pénales et d’autres autorités;
  9. les jugements, décisions et autres documents officiels;
  10. les données relatives à des mesures relevant du droit du travail, à des mesures administratives et à des mesures pénales;
  11. les rapports sur des audits et enquêtes internes d’assujettis;
  12. les données nécessaires à la sélection des personnes mandatées par la FINMA et à l’exécution de leurs tâches;
  13. les données qui parviennent à la FINMA en vertu des obligations légales de renseigner et d’annoncer;
  14. les données que des tiers ont portées à la connaissance de la FINMA, et
  15. les autres données dont la FINMA a connaissance dans le cadre de l’accomplissement de son mandat légal.

Le traitement selon l’al. 1 peut aussi porter sur des données personnelles sensibles des types suivants:

  1. les données sur les opinions ou les activités religieuses, philosophiques, politiques ou syndicales;
  2. les données sur la santé, la sphère intime ou l’origine raciale ou ethnique;
  3. les données sur des poursuites ou sanctions pénales et administratives;
  4. les données sur des mesures d’aide sociale.

Art. 6 Collecte des données personnelles

La FINMA peut collecter des données personnelles auprès:

  1. des assujettis;
  2. des employeurs;
  3. de la personne concernée;
  4. des requérants;
  5. des autorités nationales et étrangères;
  6. des parties à la procédure;
  7. des sociétés d’audit et des personnes mandatées par la FINMA;
  8. d’autres personnes soumises à des obligations de renseigner ou d’annoncer.

Elle peut en outre collecter des données personnelles à partir d’autres sources non accessibles au public et de sources accessibles au public.

Pour autant que cela soit indispensable à la finalité du traitement des données, la FINMA peut collecter des données personnelles sans révéler son identité.

Art. 7 Forme de la communication de données personnelles

La communication de données personnelles, y compris de données sensibles, a lieu sur papier ou sous forme électronique.

Art. 8 Conservation et destruction des données personnelles

Les données personnelles sont conservées auprès de la FINMA aussi longtemps qu’elles sont pertinentes et nécessaires à la surveillance. Ensuite, les données sont proposées aux Archives fédérales pour archivage et détruites à la FINMA.

Section 3 Banque de données nécessaire à l’évaluation des garanties d’une activité irréprochable

Art. 9 But

La FINMA tient une banque de données pour assurer l’évaluation des garanties d’une activité irréprochable au sens des lois sur les marchés financiers. À cet effet, elle saisit dans la banque de données les données nécessaires pour le cas où une évaluation future des garanties d’une activité irréprochable serait réalisée.

Art. 10 Accès aux données

Ont accès à la banque de données:

  1. les collaborateurs de la division Droit et compliance;
  2. les collaborateurs de la FINMA qui sont compétents pour l’évaluation des garanties d’une activité irréprochable.

Les collaborateurs visés à l’al. 1 peuvent fournir des renseignements sur les données contenues dans la banque de données à d’autres collaborateurs de la FINMA qui en font la demande, dans la mesure où l’exécution de leurs tâches l’exige.

Art. 11 Contenu

La banque de données contient les données suivantes:

  1. les données relatives à l’identité: nom, prénom, date de naissance, sexe, lieu d’origine, nationalité, langue maternelle, adresse, adresse électronique, numéro de téléphone, numéro AVS;
  2. les données relatives à la formation et à la profession: formation, formation continue, qualifications et activités professionnelles, lieu de travail, employeur y compris son IDE;
  3. les données relatives à la situation financière, à la situation patrimoniale et aux assurances;
  4. les extraits du registre du commerce, du registre des poursuites, du registre des faillites et du casier judiciaire;
  5. les rapports, évaluations et autres documents de sociétés d’audit et de personnes mandatées par la FINMA;
  6. les rapports et décisions d’organismes de surveillance, d’organismes d’autorégulation et d’organisations professionnelles;
  7. les accusations et dénonciations pénales d’autorités;
  8. les jugements, décisions et autres documents officiels;
  9. les données relatives à des mesures relevant du droit du travail, à des mesures administratives et à des mesures pénales;
  10. les rapports sur des audits et enquêtes internes d’assujettis;
  11. la reconnaissance écrite devant une autorité d’un comportement fautif et l’autodénonciation;
  12. les documents desquels ressort qu’en dépit d’indices de violations du droit de la surveillance, aucune procédure de la FINMA ne peut être conduite à l’encontre d’une personne car celle-ci se soustrait à une procédure;
  13. la renonciation écrite, limitée ou non dans le temps, à exercer dans un domaine soumis à la surveillance de la FINMA.

Art. 12 Information de la personne concernée

La personne concernée est informée après la première saisie des données dans la banque de données. L’art. 20 de la loi fédérale du 25 septembre 2020 sur la protection des données 3 est réservé.

Art. 13 Conservation et effacement des données

Les données qui concernent une personne sont conservées dans la banque de données:

  1. pendant les 10 ans qui suivent la dernière saisie pertinente pour l’évaluation des garanties;
  2. pendant les 20 ans qui suivent la dernière saisie pertinente pour l’évaluation des garanties si celle-ci était fondée sur un jugement pénal ou une décision entrée en force portant sur l’exercice d’une activité sans avoir obtenu l’autorisation nécessaire de la FINMA.

Les données qui concernent une personne sont effacées de la banque de données avant l’échéance du délai de conservation si la FINMA retient au terme d’une évaluation des garanties d’une activité irréprochable que la personne concernée présente lesdites garanties.

Section 4 Dispositions finales

Art. 14 Abrogation d’un autre acte

L’ordonnance de la FINMA du 8 septembre 2011 sur les données 4 est abrogée.

Art. 15 Entrée en vigueur

La présente ordonnance entre en vigueur le 1 er septembre 2023.