-
- Art. 3 Cst.
- Art. 5a Cst.
- Art. 6 Cst.
- Art. 10 Cst.
- Art. 13 Cst.
- Art. 16 Cst.
- Art. 17 Cst.
- Art. 20 Cst.
- Art. 22 Cst.
- Art. 26 Cst.
- Art. 29a Cst.
- Art. 30 Cst.
- Art. 31 Cst.
- Art. 32 Cst.
- Art. 42 Cst.
- Art. 43 Cst.
- Art. 43a Cst.
- Art. 45 Cst.
- Art. 55 Cst.
- Art. 56 Cst.
- Art. 60 Cst.
- Art. 68 Cst.
- Art. 74 Cst.
- Art. 75b Cst.
- Art. 77 Cst.
- Art. 81 Cst.
- Art. 96 al. 1 Cst.
- Art. 96 al. 2 lit. a Cst.
- Art. 110 Cst.
- Art. 117a Cst.
- Art. 118 Cst.
- Art. 123a Cst.
- Art. 123b Cst.
- Art. 130 Cst.
- Art. 136 Cst.
- Art. 164 Cst.
- Art. 166 Cst.
- Art. 170 Cst.
- Art. 178 Cst.
- Art. 189 Cst.
- Art. 191 Cst.
-
- Art. 11 CO
- Art. 12 CO
- Art. 50 CO
- Art. 51 CO
- Art. 84 CO
- Art. 97 CO
- Art. 98 CO
- Art. 99 CO
- Art. 100 CO
- Art. 143 CO
- Art. 144 CO
- Art. 145 CO
- Art. 146 CO
- Art. 147 CO
- Art. 148 CO
- Art. 149 CO
- Art. 150 CO
- Art. 633 CO
- Art. 701 CO
- Art. 715 CO
- Art. 715a CO
- Art. 734f CO
- Art. 785 CO
- Art. 786 CO
- Art. 787 CO
- Art. 788 CO
- Art. 808c CO
- Dispositions transitoires relatives à la révision du droit de la société anonyme du 19 juin 2020
-
- Art. 2 LDP
- Art. 3 LDP
- Art. 4 LDP
- Art. 6 LDP
- Art. 10 LDP
- Art. 10a LDP
- Art. 11 LDP
- Art. 12 LDP
- Art. 13 LDP
- Art. 14 LDP
- Art. 15 LDP
- Art. 16 LDP
- Art. 17 LDP
- Art. 19 LDP
- Art. 20 LDP
- Art. 21 LDP
- Art. 22 LDP
- Art. 23 LDP
- Art. 24 LDP
- Art. 25 LDP
- Art. 26 LDP
- Art. 27 LDP
- Art. 29 LDP
- Art. 30 LDP
- Art. 31 LDP
- Art. 32 LDP
- Art. 32a LDP
- Art. 33 LDP
- Art. 34 LDP
- Art. 35 LDP
- Art. 36 LDP
- Art. 37 LDP
- Art. 38 LDP
- Art. 39 LDP
- Art. 40 LDP
- Art. 41 LDP
- Art. 42 LDP
- Art. 43 LDP
- Art. 44 LDP
- Art. 45 LDP
- Art. 46 LDP
- Art. 47 LDP
- Art. 48 LDP
- Art. 49 LDP
- Art. 50 LDP
- Art. 51 LDP
- Art. 52 LDP
- Art. 53 LDP
- Art. 54 LDP
- Art. 55 LDP
- Art. 56 LDP
- Art. 57 LDP
- Art. 58 LDP
- Art. 59a LDP
- Art. 59b PRA
- Art. 59c LDP
- Art. 60 LDP
- Art. 60a LDP
- Art. 62 LDP
- Art. 63 LDP
- Art. 64 LDP
- Art. 67 LDP
- Art. 67a LDP
- Art. 67b LDP
- Art. 73 LDP
- Art. 73a LDP
- Art. 75 LDP
- Art. 75a LDP
- Art. 76 LDP
- Art. 76a LDP
- Art. 90 LDP
-
- Art. 1 EIMP
- Art. 1a EIMP
- Art. 3 al. 1 et 2 EIMP
- Art. 8 EIMP
- Art. 8a EIMP
- Art. 11b EIMP
- Art. 16 EIMP
- Art. 17 EIMP
- Art. 17a EIMP
- Art. 32 EIMP
- Art. 35 EIMP
- Art. 47 EIMP
- Art. 55a EIMP
- Art. 67 EIMP
- Art. 67a EIMP
- Art. 74 EIMP
- Art. 74a EIMP
- Art. 80 EIMP
- Art. 80a EIMP
- Art. 80b EIMP
- Art. 80h EIMP
- Art. 63 EIMP
- Art. 80c EIMP
- Art. 80d EIMP
- Art. 80k EIMP
- Art. 54 EIMP
-
- Vorb. zu Art. 1 LPD
- Art. 1 LPD
- Art. 2 LPD
- Art. 3 LPD
- Art. 4 LPD
- Art. 5 let. c LPD
- Art. 5 let. d LPD
- Art. 5 lit. f und g LPD
- Art. 6 al. 3-5 LPD
- Art. 6 al. 6 et 7 LPD
- Art. 7 LPD
- Art. 10 LPD
- Art. 11 LPD
- Art. 12 LPD
- Art. 14 LPD
- Art. 15 LPD
- Art. 19 LPD
- Art. 18 LPD
- Art. 20 LPD
- Art. 22 LPD
- Art. 23 LPD
- Art. 25 LPD
- Art. 26 LPD
- Art. 27 LPD
- Art. 31 al. 2 let. e LPD
- Art. 33 LPD
- Art. 34 LPD
- Art. 35 LPD
- Art. 38 LPD
- Art. 39 LPD
- Art. 40 LPD
- Art. 41 LPD
- Art. 42 LPD
- Art. 43 LPD
- Art. 44 LPD
- Art. 44a LPD
- Art. 45 LPD
- Art. 46 LPD
- Art. 47 LPD
- Art. 47a LPD
- Art. 48 LPD
- Art. 49 LPD
- Art. 50 LPD
- Art. 51 LPD
- Art. 52 LPD
- Art. 54 LPD
- Art. 55 LPD
- Art. 58 LDP
- Art. 57 LPD
- Art. 60 LPD
- Art. 61 LPD
- Art. 62 LPD
- Art. 63 LPD
- Art. 64 LPD
- Art. 65 LPD
- Art. 66 LPD
- Art. 67 LPD
- Art. 69 LPD
- Art. 72 LPD
- Art. 72a LPD
-
- Art. 2 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 3 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 4 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 5 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 6 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 7 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 8 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 9 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 11 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 12 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 16 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 18 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 25 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 27 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 28 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 29 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 32 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 33 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
- Art. 34 CCC (Convention sur la cybercriminalité [Cybercrime Convention])
-
- Art. 2 al. 1 LBA
- Art. 2a al. 1-2 and 4-5 LBA
- Art. 2 al. 2 LBA
- Art. 2 al. 3 LBA
- Art. 3 LBA
- Art. 7 LBA
- Art. 7a LBA
- Art. 8 LBA
- Art. 8a LBA
- Art. 11 LBA
- Art. 14 LBA
- Art. 15 LBA
- Art. 20 LBA
- Art. 23 LBA
- Art. 24 LBA
- Art. 24a LBA
- Art. 25 LBA
- Art. 26 LBA
- Art. 26a LBA
- Art. 27 LBA
- Art. 28 LBA
- Art. 29 LBA
- Art. 29a LBA
- Art. 29b LBA
- Art. 30 LBA
- Art. 31 LBA
- Art. 31a LBA
- Art. 32 LBA
- Art. 33 LBA
- Art. 34 LBA
- Art. 38 LBA
CONSTITUTION FÉDÉRALE
CODE DES OBLIGATIONS
LOI FÉDÉRALE SUR LE DROIT INTERNATIONAL PRIVÉ
CONVENTION DE LUGANO
CODE DE PROCÉDURE PÉNALE
CODE DE PROCÉDURE CIVILE
LOI FÉDÉRALE SUR LES DROITS POLITIQUES
CODE CIVIL
LOI FÉDÉRALE SUR LES CARTELS ET AUTRES RESTRICTIONS À LA CONCURRENCE
LOI FÉDÉRALE SUR L’ENTRAIDE INTERNATIONALE EN MATIÈRE PÉNALE
LOI FÉDÉRALE SUR LA PROTECTION DES DONNÉES
LOI FÉDÉRALE SUR LA POURSUITE POUR DETTES ET LA FAILLITE
CODE PÉNAL
CYBERCRIME CONVENTION
ORDONNANCE SUR LE REGISTRE DU COMMERCE
ORDONNANCE SUR LES DISPOSITIFS MÉDICAUX
LOI SUR LE BLANCHIMENT D’ARGENT
LOI SUR LA TRANSPARENCE
LOI FÉDÉRALE SUR LE TRANSFERT INTERNATIONAL DES BIENS CULTURELS
- I. Introduction
- II. Différences dans l'application
- III. Types de données concernées
- IV. Principes de traitement des données au regard de la protection des données
- Bibliographie
- Matériaux
I. Introduction
1 La loi sur la protection des données (LPD) et la loi sur le blanchiment d'argent (LBA) reposent sur des principes directeurs différents. D'une part, la LBA vise à empêcher l'utilisation abusive de la place financière à des fins criminelles (art. 1 LBA). Pour atteindre cet objectif, le traitement, c'est-à-dire la collecte et la gestion de données personnelles, est nécessaire dans une large mesure. En revanche, le droit de la protection des données poursuit un autre objectif : il vise à protéger la personnalité et les droits fondamentaux des personnes dont les données sont traitées par des acteurs privés ou des autorités fédérales, et leur garantit le contrôle de leurs données personnelles. La référence générale à la LPD à l’art. 33 LBA est de nature purement déclaratoire. Même sans celle-ci, la LPD s’appliquerait sans restriction. Par conséquent, toutes les informations que les établissements financiers collectent dans le cadre des dispositions légales de la LBA relèvent intégralement du champ d’application de la LPD. Cette référence précise en outre que les dispositions pertinentes de la LBA ne doivent pas être considérées comme un régime spécial qui supplanterait le champ d'application de la LPD.
II. Différences dans l'application
2 Le traitement global des données personnelles s'étend à tous les niveaux des institutions concernées. Tout d’abord, les intermédiaires financiers sont tenus de collecter et de documenter certaines données relatives aux clients (par exemple, l’identité du cocontractant et de l’ayant droit économique, ou des vérifications particulières en cas de soupçon de blanchiment d’argent). En outre, les instances de surveillance compétentes (par exemple, les organismes d’autorégulation) assument même un double rôle : d'une part, elles ont accès aux informations traitées par les intermédiaires financiers, d'autre part, elles traitent elles-mêmes des données personnelles concernant les intermédiaires financiers ainsi que leurs collaborateurs. Enfin, certaines données, collectées tant par les intermédiaires financiers que par les autorités de surveillance, sont transmises au Bureau de communication en matière de blanchiment d'argent (MROS). Celui-ci transmet ensuite les informations pertinentes aux autorités de poursuite pénale compétentes. La loi sur le blanchiment d’argent distingue, dans la mise en œuvre de cet aspect, les intermédiaires financiers (personnes privées), auxquels s’applique l’art. 34 LBA, et le MROS (organe fédéral), auquel s’appliquent les art. 35 ss LBA.
A. Personnes privées
1. Intermédiaires financiers et commerçants
3 Les intermédiaires financiers et les commerçants sont qualifiés de personnes privées au sens de l’art. 2, al. 1, let. a, LPD. Le traitement de données personnelles par ces derniers est en principe autorisé, pour autant qu’aucune norme juridique en vigueur ne soit violée. Ils sont donc soumis tant aux dispositions générales des art. 1 à 29 LPD qu’aux prescriptions particulières relatives au traitement des données par des personnes privées conformément aux art. 30 à 32 LPD.
2. Organismes d’autorégulation
4 Outre les intermédiaires financiers, le message relatif à la LBA-C a également qualifié les OAR de personnes privées au sens de la LPD. Cette qualification au regard du droit de la protection des données a suscité des incertitudes dans la doctrine : les OAR sont soumises – malgré leur organisation de droit privé en tant qu’association (art. 60 ss CC) – à la surveillance de la FINMA (art. 18 LBA), qui est elle-même un organe fédéral.
5 L’objectif d’un OAR consiste principalement à garantir le respect des obligations de diligence prévues par la LBA (droit public) par les intermédiaires financiers qui lui sont affiliés. Outre les tâches énumérées à l’art. 24 LBA, les OAR agissent également en tant que représentants de la branche, ce qui relève du champ d’application du droit privé.
6 Si un OAR sanctionne un intermédiaire financier qui lui est affilié en raison d’une infraction, la sanction est, selon la doctrine, la jurisprudence et le législateur, de nature privée (c’est-à-dire une peine conventionnelle au sens de l’art. 160, al. 1, CO ou une mesure relevant du droit des associations). Toutefois, même dans le cadre de ce raisonnement, il convient de tenir compte du fait que la relation entre les OAR et les intermédiaires financiers qui leur sont affiliés tend à être qualifiée de de droit public – notamment en raison de l’introduction de l’organisation de surveillance conformément à l’art. 43a LFINMA. Malgré la qualification expresse du mécanisme de sanction de l’OAR PolyReg comme relevant du droit privé dans l’arrêt 2C_887/2017 du 23 mars 2021, le Tribunal fédéral a également souligné l’évolution croissante de l’autorégulation purement de droit privé vers une mission publique. Selon le Tribunal fédéral, cela laisse ouverte la possibilité de qualifier les amendes relevant du droit en matière de blanchiment d’argent de sanctions de droit public. Dans le même temps, le Tribunal fédéral a jugé discutable la qualification des sanctions comme relevant du droit public, dans la mesure où une base légale formelle pourrait ne pas être suffisante à cet effet.
7 Du point de vue du droit de la protection des données, la nature juridique de la relation entre l’organisme traitant les données et la personne concernée joue un rôle déterminant : s’il s’agit d’une relation de droit public, le responsable du traitement doit être classé comme organe public. Le respect des dispositions de la LBA constitue une tâche publique de la Confédération, raison pour laquelle sa qualification en tant qu’organe fédéral (art. 5, let. i, LPD) et l’application de dispositions plus strictes en matière de protection des données (art. 33 ss LPD) seraient tout à fait envisageables. D’autres courants de doctrine laissent cette question en suspens. Les autres activités de l’OAR relèveraient toutefois des règles applicables au traitement de données par des personnes privées. De plus, la mission première d’un OAR ne consiste pas à traiter des données pour le compte de la Confédération. Il nous semble donc correct de soumettre la relation juridique entre l’OAR et les personnes dont les données sont traitées par les intermédiaires financiers affiliés aux dispositions de la protection des données applicables aux personnes privées. Si une personne concernée souhaite faire valoir un droit à l’encontre d’un OAR, elle doit par conséquent engager une procédure civile (art. 32 LPD).
8 L’avis défendu ici rejoint celui du message relatif à la LBA. Il existe certes des chevauchements évidents entre le droit privé et le droit public. Il convient toutefois de retenir que le droit privé continue de constituer le noyau de la qualification juridique des OAR. Cela vaut également à la lumière de l’évolution décrite précédemment et des discussions qui en découlent concernant une éventuelle qualification de droit public de certains aspects. Une qualification divergente, de droit public, ne serait justifiée que si elle était ancrée dans la loi. Cela est corroboré par le message relatif à la LBA, qui précise que les OAR et les organismes de surveillance ne sont pas des autorités proprement dites de la Confédération, des cantons ou des communes au sens de l’art. 29, al. 2, LBA. Les OAR reconnus au sens de l’art. 24 LBA sont des organisations auxquelles le législateur a confié une mission de régulation et de surveillance des intermédiaires financiers affiliés. Ces organisations sont chargées d’une mission de puissance publique. Un argumentaire contraire saperait inutilement le système suisse d’autorégulation, qui satisfait par ailleurs aux normes internationales.
9 Afin de clarifier définitivement leur nature juridique, le législateur a qualifié les organismes d'autorégulation d'associations de droit privé auxquelles une mission de droit public a été confiée. Par conséquent, un OAR exerce une surveillance sur les personnes qui lui sont affiliées et peut également prononcer des sanctions en cas de violation des obligations de diligence. Le 26 septembre 2025, l’Assemblée fédérale a décidé de soumettre expressément, à l’art. 24b de la nouvelle LFP, les relations juridiques entre les OAR et les personnes qui leur sont affiliées aux dispositions du droit privé, la responsabilité des OAR, de leurs organes et de leur personnel s’y référant en particulier.
B. Organes fédéraux
10 Les organes fédéraux au sens de l’art. 5, let. i, LPD sont soumis tant aux dispositions générales en matière de protection des données des art. 1 à 29 LPD qu’aux dispositions particulières des art. 33 à 42 LPD. La distinction entre les personnes privées et les organes fédéraux est importante dans la mesure où les principes consacrés à l’art. 6 LPD sont interprétés et appliqués différemment. Alors qu’une personne privée respecte le principe de licéité au sens de l’art. 6, al. 1, LPD dès lors que son traitement de données ne viole aucune norme juridique en vigueur, l’action d’un organe fédéral présuppose impérativement une base légale formelle (art. 34, al. 1, LPD). Le principe de légalité illustre de manière exemplaire que l’action des organes fédéraux doit toujours reposer sur une base légale.
11 Conformément à l’art. 5, let. i, LPD, les autorités et services de la Confédération ainsi que les personnes, dans la mesure où elles sont chargées de tâches publiques de la Confédération, relèvent de la définition des organes fédéraux ; en font partie la FINMA, le Ministère public de la Confédération, la Commission fédérale des maisons de jeu (CFMJ) et le MROS. Cette dernière est rattachée, conformément à l’art. 23, al. 1, LBA, à l’Office fédéral de la police (fedpol), qui est lui-même un service central administratif chargé de la lutte contre la criminalité organisée et internationale au sens de la loi fédérale sur les services centraux de police criminelle de la Confédération et les centres communs de coopération policière et douanière avec d’autres États (LSC).
12 Les autorités cantonales de poursuite pénale ne sont pas soumises à la LPD, car il s’agit d’organes cantonaux et non fédéraux. Dès l’ouverture de la procédure pénale et jusqu’à sa clôture, les dispositions du Code de procédure pénale suisse (art. 95 ss CPP) s’appliquent conformément à l’art. 2, al. 3, LPD. Cela concerne tant le traitement des données par le tribunal dans le cadre de la procédure que celui des autres parties à la procédure, à savoir les parties. Une fois la procédure close, le code de procédure pénale déclare à nouveau la LPD applicable (art. 99 CPP). À partir de ce moment, le traitement des données personnelles est donc à nouveau régi par les dispositions de la LPD.
III. Types de données concernées
13 Le respect des obligations de diligence par les intermédiaires financiers implique nécessairement un traitement de données personnelles. Il s’agit de « toutes les informations qui se rapportent à une personne physique identifiée ou identifiable » (art. 5, let. a, LPD). La notion est délibérément très large et englobe toute information contenant un contenu informatif se rapportant à une ou plusieurs personnes physiques ou permettant d’établir un tel lien. Les données personnelles sensibles constituent une sous-catégorie des données personnelles. Il convient également de mentionner, dans le contexte des obligations de diligence des intermédiaires financiers, le profilage avec et sans risque élevé.
14 Pour ces types de données, il faut toujours partir du principe qu’il existe différents niveaux de protection : ceux-ci vont des données rendues accessibles au public, en passant par différentes catégories de données personnelles ordinaires, jusqu’aux données personnelles sensibles. Ces gradations influencent l’évaluation des risques et déterminent tant le niveau requis de sécurité des données que l’étendue de l’obligation d’informer. Alors que le traitement de données personnelles ordinaires ne pose généralement pas de difficultés, des conditions plus strictes s’appliquent aux données personnelles sensibles, comme cela sera exposé plus en détail ci-après. Des règles particulières s’appliquent en outre au profilage, qui sera également abordé ci-après.
A. Données personnelles
15 Pour être qualifiées de données personnelles, la personne concernée doit être déterminée ou au moins déterminable. Peu importe à cet égard que la personne soit clairement identifiée ou simplement identifiable.
16 Parmi les obligations de diligence fondamentales d’un intermédiaire financier figurent l’identification de la partie contractante (art. 3 LBA), la détermination de l’ayant droit économique (art. 4 LBA) ainsi que le respect d’autres obligations de diligence particulières (art. 6 LBA). Les informations recueillies dans ce contexte (telles que le nom, l’adresse ainsi que des informations contractuelles ou financières) constituent des données personnelles au sens de l’art. 5, let. a, LPD. Elles sont soumises à l’obligation de documentation prévue à l’art. 7 LBA.
B. Données personnelles sensibles
17 Les données personnelles sensibles constituent une sous-catégorie des données personnelles. Cette liste exhaustive prévue par la loi comprend notamment les données relatives à la santé, les données biométriques ou les données relatives à des poursuites ou sanctions administratives et pénales (art. 5, let. c, LPD). Sont considérées comme données personnelles sensibles les données dont le traitement est soumis, par rapport aux données personnelles ordinaires, à des exigences légales parfois plus strictes. Cette classification repose sur le fait que, selon la volonté du législateur, ces catégories de données « touchent si fortement » la personnalité des personnes concernées que leur traitement est considéré dans tous les cas comme une atteinte à la personnalité.
18 Les données personnelles qui ont été collectées dans le cadre de l’exécution de l’obligation ou du droit de communication de l’intermédiaire financier peuvent être considérées comme particulièrement sensibles. Des dispositions particulières en matière de protection des données ont été édictées tant pour les intermédiaires financiers (art. 34 LBA) que pour le MROS (art. 35 LBA) concernant les données personnelles sensibles au sens de l’art. 5, let. c, LPD.
19 En fonction du risque, une transaction ou une relation d’affaires doit faire l’objet d’une vérification plus approfondie ou plus détaillée (art. 6 LBA). À titre d’exemple, d’éventuelles procédures pénales à l’encontre d’un client, ses opinions politiques ou la fonction d’une personne politiquement exposée (PPE) comptent parmi les données particulièrement sensibles qui sont collectées dans le cadre des vérifications spéciales.
20 Il convient ici de s’interroger avant tout sur la proportionnalité du traitement des données au regard de la protection des données, par exemple lorsque les vérifications spéciales ont permis de réfuter un soupçon initial. Les données personnelles collectées auraient ainsi rempli leur finalité et devraient être effacées conformément à l’art. 6, al. 4, LPD, le motif de l’effacement devant être consigné dans une note au dossier. Le traitement, y compris la conservation, de ces données semble toutefois proportionné et approprié. Et ce, pour la raison suivante : dans la pratique quotidienne, les services spécialisés dans la lutte contre le blanchiment d’argent traitent, tant pour les nouvelles demandes que pour les clients existants, les résultats générés de manière systématique par leurs logiciels de surveillance (par exemple Compliance Suite). Bien que ces résultats soient majoritairement des « faux positifs » (pas de correspondance réelle), une comparaison doit tout de même être effectuée entre le résultat généré et le client sur la base des données personnelles déjà collectées à son sujet (art. 5, let. a, LPD). Les recherches menées sur le client ainsi que sur le résultat – qui ne doit pas nécessairement être un client existant de l’intermédiaire financier concerné – donnent également lieu à la collecte de données personnelles. Celles-ci servent à leur tour de preuve qu’une vérification a eu lieu et indiquent sur la base de quelles caractéristiques le résultat correspond ou non au client concerné. La finalité de ces données personnelles semble dans ce cas nettement plus générale, à savoir le respect des obligations de diligence par l’intermédiaire financier et non pas (uniquement) la levée d’un soupçon initial ou la transmission d’une communication de soupçons au MROS. Les obligations de diligence de l'intermédiaire financier en matière de lutte contre le blanchiment d'argent comprennent également la documentation des vérifications effectuées (art. 7 LBA). Les données personnelles collectées dans ce cadre servent donc également à démontrer de manière compréhensible que les obligations de diligence légales ont été respectées. Selon l’avis défendu ici, la documentation des vérifications effectuées peut être considérée comme une finalité de traitement autonome au sens de l’art. 6 LPD. Cela vaut en particulier pour les activités de contrôle de l’audit interne et externe ainsi que pour d’éventuelles procédures administratives ou pénales, dans lesquelles l’intermédiaire financier doit pouvoir démontrer de manière compréhensible pourquoi aucun fait soumis à l’obligation de communiquer n’a été présumé et pourquoi les obligations de diligence ont été respectées. Il semble donc proportionné et approprié de ne pas supprimer immédiatement ces données à des fins de preuve, mais de continuer à les conserver.
C. Profilage / Profilage à haut risque
21 Le profilage est un type particulier de traitement des données personnelles. Il désigne le processus automatisé consistant à analyser et à évaluer les caractéristiques personnelles d’une personne. Il y a évaluation dès lors que les données disponibles sont interprétées et qu’il en résulte une appréciation subjective. En revanche, la simple constatation de faits, c’est-à-dire la saisie objective de circonstances réelles, ne constitue pas un profilage. Le terme « automatisé » décrit un processus de traitement à l’aide de moyens techniques. Le processus d’évaluation s’effectue de manière entièrement automatique. Ce que l’on appelle le profilage à haut risque est une forme qualifiée de profilage. Il se caractérise par le fait qu’il y a mise en relation de données et que, de ce fait, des aspects essentiels de la personnalité d’une personne physique sont traités. Cela comporte un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée.
22 Le respect des obligations de diligence prévues à l’art. 6 LBA peut, au regard du droit de la protection des données, présupposer ou entraîner ce que l’on appelle un « profilage ». Le profilage est défini comme l’évaluation de certains aspects personnels d’une personne sur la base de données personnelles traitées de manière automatisée. Celles-ci sont donc évaluées de manière automatisée afin d’en tirer – également de manière automatisée – des conclusions sur les caractéristiques d’une personne. Il y a profilage à haut risque lorsque la mise en relation automatisée de données permet d’évaluer des aspects essentiels de la personnalité d’une personne physique, de sorte qu’il en résulte finalement un profil de personnalité. La simple collecte de données personnelles dans le cadre du KYC ne constitue pas encore un profilage.
23 Il y a profilage, par exemple, lorsqu’une relation d’affaires est classée comme présentant un risque de blanchiment d’argent. Pour satisfaire à la deuxième obligation partielle de l’art. 6 LBA, dite «filtrage», l’intermédiaire financier définit des critères permettant de distinguer les transactions qui sont soit habituelles, soit exceptionnelles pour la relation d’affaires concernée, c’est-à-dire qui nécessitent un examen approfondi. Pour les particuliers, il n’y a en principe aucune conséquence juridique supplémentaire spécifique comme dans le domaine des autorités, sous réserve de l’obligation de transparence et d’information correspondante (art. 6, al. 3, en relation avec l’art. 19 LPD). Il convient de tenir compte du fait que la détection de structures ou de schémas criminels liés au blanchiment d’argent et au financement du terrorisme constitue un élément central du dispositif global de lutte contre le blanchiment d’argent.
24 Le «profilage à haut risque» (art. 5, let. g, LPD) en est une forme plus sensible. Le risque élevé ne se réfère pas au risque de blanchiment d’argent lié à une relation d’affaires, mais au risque que les données collectées soient utilisées pour analyser, voire prédire, certains aspects personnels d’un client (profil de personnalité). Un tel profilage n’est avéré que si deux conditions supplémentaires sont remplies : d'une part, différentes données doivent être mises en relation entre elles ; d'autre part, les conclusions qui en sont tirées doivent se rapporter à des aspects essentiels de la personnalité ou, à tout le moins, être orientées vers ceux-ci. Si ces deux éléments sont réunis, le risque élevé est considéré comme avéré sur le plan conceptuel.
25 Dans le contexte des obligations de diligence prévues par la législation sur le blanchiment d’argent, on suppose parfois que la surveillance des transactions, en particulier, pourrait remplir cette condition. Certes, on ne peut exclure que l’analyse des données transactionnelles constitue un profilage au sens de l’art. 5, let. f, LPD. Toutefois, pour qu’il y ait profilage à haut risque, l’art. 5, let. g, LPD exige en outre une mise en relation des données qui permette d’évaluer des aspects essentiels de la personnalité et qui puisse aboutir à une image complète du client. Les obligations de diligence prévues à l’art. 6 LBA poursuivent en revanche un objectif fonctionnellement limité, à savoir l’identification de la nature et de l’objet de la relation d’affaires ainsi que l’examen des transactions inhabituelles ou à risque. Même si diverses informations relatives à la relation d’affaires sont prises en compte dans ce cadre, l’analyse porte principalement sur la plausibilité des transactions et l’identification de schémas transactionnels atypiques dans le trafic des paiements. Les ensembles de données ainsi générés peuvent certes être volumineux ; toutefois, ce n’est pas la quantité de données traitées qui est déterminante, mais le fait de savoir si celles-ci permettent de dresser un profil de la personnalité de la personne concernée. Cela n’implique donc généralement pas une mise en relation de données couvrant différents domaines de la vie dans le but d’établir un profil complet de la personnalité de la personne concernée. À titre de comparaison, on parle de profilage à haut risque lorsque des données issues de différents domaines de la vie, telles que des données de consommation, de localisation, en ligne ou de santé, sont reliées entre elles et permettent d’obtenir une image complète de la personnalité de la personne concernée. La question de savoir si une telle image de la personnalité existe devra en fin de compte être appréciée au cas par cas.
26 Enfin, il convient de noter que, dans le cas d’un profilage à haut risque, il peut exister une obligation de réaliser une analyse d’impact relative à la protection des données (AIPD) (art. 22 LPD). Une AIPD sert à l’auto-évaluation des traitements qui semblent délicats du point de vue de la protection des données. Dans ce cadre, le projet envisagé est d’abord présenté sous l’angle du traitement des données. On décrit ensuite les conséquences négatives que ce traitement pourrait avoir, avec une certaine probabilité, pour les personnes concernées. Sur la base de ces conclusions, on présente ensuite les mesures techniques et organisationnelles déjà mises en œuvre ainsi que celles encore prévues, qui visent à prévenir ou, à tout le moins, à réduire ces effets négatifs.
27 Pour les intermédiaires financiers, une AEPD est particulièrement pertinente lorsqu’ils utilisent des procédures automatisées liées au respect des obligations de diligence en matière de lutte contre le blanchiment d’argent – y compris des systèmes basés sur l’IA – qui analysent ou prédisent des aspects personnels sur la base des données des clients. Dans de tels cas, il peut en résulter un risque accru pour la personnalité des personnes concernées, ce qui peut rendre nécessaire la réalisation d’une AEPD au sens de l’art. 22 LPD. Il convient toutefois de noter que le non-respect de l’obligation de réaliser une AEPD n’entraîne aucune sanction immédiate et ne constitue pas une atteinte à la personnalité.
IV. Principes de traitement des données au regard de la protection des données
28 Les principes du traitement des données selon la LPD s’appliquent de manière impérative, que le traitement soit effectué par un responsable privé ou par un organe fédéral. Parmi les principes énumérés aux art. 6 à 8 LPD figurent :
la licéité
la bonne foi
la proportionnalité
la finalité (transparence)
Destruction et anonymisation
Exactitude
Consentement (y compris le consentement explicite)
Sécurité des données
29 Le droit d’accès revêt une importance décisive ; il s’agit du droit d’une personne concernée à consulter les données personnelles la concernant (art. 25 LPD). La LBA contient à cet égard des dispositions particulières au sens d’une lex specialis : pour les données conservées dans les fichiers distincts visés à l’art. 34, al. 3, LBA, le droit d’accès ne peut être exercé que vis-à-vis du MROS. Enfin, il convient de souligner que le droit d’accès prévu par la législation sur la protection des données ne fonde pas un droit à la remise des documents originaux : selon l’art. 25, al. 2, let. b, LPD, seules les données personnelles qu’ils contiennent doivent être fournies en tant que telles, et non des documents complets tels que des courriels, des contrats ou des rapports.
30 Pour plus de détails sur les principes mentionnés, il convient de se reporter à la littérature spécialisée en matière de protection des données. Outre les principes de traitement, il existe d’autres obligations de gouvernance dont la violation ne constitue généralement pas une atteinte à la personnalité. Il s’agit notamment de l’obligation de tenir un registre des traitements (art. 12 LPD), du recours à des sous-traitants (art. 9 LPD) et, le cas échéant, d’une analyse d’impact relative à la protection des données (art. 22 LPD). À titre complémentaire, il convient de mentionner les pouvoirs d'enquête du PFPDT (art. 49 ss LPD) ainsi que les sanctions prévues aux art. 60 ss LPD.
Bibliographie
Alberini Adrien, Kommentierung zu Art. 33 GwG, in: Ursula Cassani, Christian Bovet, Katia Villard (Hrsg.), Commentaire romand, Loi sur le blanchiment d'argent, Basel, 2022.
Caroline Kindler, Kommentierung zu Art. 25 GwG in: Damian K. Graf/Doris Hutzler (Hrsg.), Onlinekommentar zum Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung – Version: 16.01.2025: https://onlinekommentar.ch/de/kommentare/gwg25 (besucht am 8.10.2025), DOI: 10.17176/20250319-201115-0.
Christen Marquard/Kuert Matthias, Kommentierung zu Art. 25 GwG, in: Peter Ch. Hsu/Daniel Flühmann (Hrsg.), Basler Kommentar, Geldwäschereigesetz, Basel 2021.
De Capitani Werner, Kommentierung zu Art. 33 GwG, in: Schmidt Niklaus (Hrsg.), Kommentar Einziehung – Organisiertes Verbrechen – Geldwäscherei, Bd. I, 2. Aufl., Zürich et al. 2007.
Derungs Corsin/Gmünder Eliane, Kommentierung zu Art. 33 GwG, in: Kunz Peter V./Jutzi Thomas/ Schären Simon (Hrsg.), Stämpflis Handkommentar, Geldwäschereigesetz (GwG), Bern 2017.
Fiechter Eric/Maiko Günther, Sphère privée et diligence bancaire – des droits bafoués et des limites ignorées ? – Relation entre la loi sur le blanchiment d’argent et la loi sur la protection des données, in: SJZ 2010, S. 338-343.
Gaul Caroline/Isler Michael/Vasella David, Kommentierung zu Art. 33 GwG, in: Hsu Peter Ch./Flühmann Daniel (Hrsg.), Basler Kommentar, Geldwäschereigesetz, Basel 2021.
Glatthaar Matthias/Schröder Annika, Kommentierung zu Art. 5 lit. f und g DSG, in: Thomas Steiner/Anne-Sophie Morand/Daniel Hürlimann (Hrsg.), Onlinekommentar zum Bundesgesetz über den Datenschutz – Version: 21.08.2023: https://onlinekommentar.ch/de/kommentare/dsg5fundg (besucht am 12.3.2026), DOI: 10.17176/20230819-101936-0.
Graber Christoph K./Oberholzer Dominik, Das neue GwG, 3. Aufl., Zürich 2009.
Häfelin Ulrich/Müller Georg/Uhlmann Felix, Allgemeines Verwaltungsrecht, 8. Aufl., Zürich et al. 2020.
Heierli Christian Marcus, Das Konzept der Selbstregulierung im GwG, in: GesKR 2010, S. 38 ff.
Kilgus Sabine, Datenschutz und Geldwäschereibekämpfung – Wer schützt wen wovon wofür?, in: Persönlichkeitsschutz zwischen Mensch und Maschine, 25 Jahre Datenschutz-Forum Schweiz, 2024, S. 135-153.
Kuster Matthias, Zur Rechtsnatur der Sanktionsentscheide von Selbstregulierungsorganisationen und der Schweizer Börse, in: AJP 2005, S. 1502 ff.
Maurer-Lambrou Urs/ Kunz Simon, Kommentierung zu Art. 2 DSG, in: Maurer-Lambrou Urs/Blechta Gabor-Paul (Hrsg.), Datenschutzgesetz / Öffentlichkeitsgesetz, Basler Kommentar, 3. Aufl., Basel 2014.
Rosenthal David, Das neue Datenschutzgesetz, in: Jusletter 16. November 2020.
Rudin Beat, Kommentierung zu Art. 2 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Derselbe, Kommentierung zu Art. 5 DSG, in: Baeriswyl Bruno/Pärli Kurt/Blonski Dominika (Hrsg.), Datenschutzgesetz, Stämpflis Handkommentar, 2. Aufl., Bern 2023.
Taube Tamara, Entstehung, Bedeutung und Umfang der Sorgfaltspflichten der Schweizer Banken bei der Geldwäschereiprävention im Bankenalltag, in: SGFM – St. Galler Schriften zum Finanzmarktrecht Band/Nr. 9, Zürich et al. 2013.
Thelesklaf Daniel, Kommentierung zu Art. 33 GwG, in: Thelesklaf Daniel/Wyss Ralph/van Thiel Mark/Ordolli Stiliano (Hrsg.), Orell Füssli Navigator Kommentar, GwG Kommentar/AMLA Commentary, 3. Aufl., Zürich 2019.
Vasella David, Überlegungen zum Profiling mit hohem Risiko, datenrecht.ch, 23.11.2020, abrufbar unter https://datenrecht.ch/ueberlegungen-zum-profiling-mit-hohem-risiko/, besucht am 12.3.2026 (zit. Vasella, Profiling).
Wyss David, FINMA-Bussenkompetenz – ein wirksames Mittel zur Abschreckung?, in: GesKR 2024, S. 129 ff.
Zysset Pascal, Kommentierung zu Art. 25 GwG, in: Peter V. Kunz/Thomas Jutzi/Simon Schären (Hrsg.), Stämpflis Handkommentar zum Geldwäschereigesetz (GwG), Bern et al. 2017.
Matériaux
Beschluss des Parlaments vom 26.9.2025 (Referendumsvorlage), BBl 2025 2899, abrufbar unter https://www.fedlex.admin.ch/eli/fga/2025/2899/de, besucht am 22.1.2026.
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 23.3.1988, BBl 1988 II 413 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1988/2_413_421_353/de, besucht am 9.8.2025.
Botschaft zum Bundesgesetz zur Bekämpfung der Geldwäscherei im Finanzsektor vom 17.6.1996, BBl 1996 III 1154 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/1996/3_1101_1057_993/de, besucht am 21.8.2025.
Botschaft zum Bundesgesetz über den Datenschutz (DSG) vom 15.9.2017, BBl 2017 6941 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2017/2057/de, besucht am 15.12.2025.
Botschaft zur Änderung des Geldwäschereigesetzes (GwG) vom 26.6.2019, BBl 2019 5451 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2019/1932/de, besucht am 9.10.2025.
Botschaft zum Bundesgesetz über die Transparenz juristischer Personen und die Identifikation der wirtschaftlich berechtigten Personen (TJPG) vom 22.5.2024, BBl 2024 1607 ff., abrufbar unter https://www.fedlex.admin.ch/eli/fga/2024/1607/de, besucht am 22.1.2026.
Geschäftsbericht 2021 des Bundesgerichts vom 17.2.2022, abrufbar unter https://www.eidgenoessischegerichte.ch/de/files/geschaeftsberichte/GB_2021_d.pdf, besucht am 23.8.2024.