L'usage du cloud pour les gestionnaires de fortune - Principaux points d'attention en matière réglementaire et de gestion des risques

Alors que l'industrie suisse de la gestion de fortune adopte de plus en plus le cloud computing, l'interaction entre l'évolution des lois sur la protection des données, les réglementations sur l'externalisation et les flux de données transfrontaliers exige des stratégies de conformité rigoureuses. Cet article met en lumière certains aspects clés à prendre en compte lors de l'utilisation de solutions basées sur le cloud.

Fedor Poskriakov Deputy Managing Partner, Head of Fintech, Lenz & Staehelin

L'industrie suisse de la gestion de fortune est à la croisée des chemins, entre la pression sur les coûts, la nécessité d'améliorer sans cesse l'efficacité et la quantité croissante de données à traiter et d'exigences réglementaires à implémenter – il y a tant de défis à relever, mais également des opportunités de croissance et de gains d'efficience. Dans ce contexte, la réalité pratique est que de nombreux outils et solutions logicielles de pointe à la disposition de l'industrie ne sont disponibles que dans des déploiements basés sur le cloud, dont la mise en œuvre nécessite une approche prudente et informée. Les exigences réglementaires et de protection des données s'appliquent non seulement aux scénarios d'externalisation complète, mais aussi à l'utilisation de solutions quotidiennes telles que Microsoft 365.

1. Comprendre le cadre réglementaire

Les gestionnaires de fortune suisses doivent naviguer dans un environnement réglementaire complexe lorsqu'ils adoptent des solutions basées sur le cloud. Les principales réglementations comprennent la loi fédérale sur la protection des données (LPD), ainsi que les exigences réglementaires relatives à l'externalisation et à la gestion des risques. Dans ce contexte, même si la Circulaire FINMA 2018/3 - Externalisation ou la Circulaire FINMA 2023/1 - Risques et résilience opérationnelle - banques ne s'appliquent pas directement à tous les gestionnaires de fortune, les principes sous-jacents devraient être pris en compte pour adopter les stratégies, politiques et procédures pertinentes dans le cadre d'une approche robuste basée sur les risques.

1.1 Protection des données et secret professionnel

L'une des principales préoccupations des gestionnaires d'actifs est d'assurer la protection des données de leurs clients. La LPD stipule que les données personnelles doivent être traitées de manière licite, transparente et dans un but précis. En outre, toutes les données relatives aux clients sont soumises au secret professionnel en vertu de la loi suisse sur les établissements financiers ("LEFin")[1], ce qui équivaut au secret bancaire suisse. À cet égard, les gestionnaires de fortune doivent mettre en œuvre des mesures robustes de protection des données, y compris, le cas échéant, le cryptage, la pseudonymisation et/ou l'anonymisation, afin de protéger les données de leurs clients.

Dans la pratique, les gestionnaires de fortune suisses peuvent choisir et utiliser des solutions cloud matures, qu'elles soient suisses ou étrangères, à condition que le gestionnaire de fortune, en tant qu'utilisateur, sélectionne soigneusement le prestataire de service et prenne des mesures efficaces pour s'assurer que les données utilisées dans le cadre d'un déploiement basé sur le cloud sont toujours protégées. Pour s'en assurer en permanence, le gestionnaire de fortune doit comprendre comment le périmètre des données, tel qu'il est étendu par la solution cloud, est protégé.

1.2 Considérations contractuelles

Lorsqu'ils concluent des accords avec des fournisseurs de services cloud, les gestionnaires de fortune doivent s'assurer que les contrats répondent aux principales exigences réglementaires. En particulier, les contrats doivent inclure des dispositions relatives à la sécurité des données, aux droits d'audit et à la capacité de contrôler et de surveiller le respect des normes de protection des données par le fournisseur de service cloud. En outre, le contrat doit préciser les lieux où les données seront stockées et traitées, afin de garantir le respect des exigences suisses en matière de protection des données.​​​​​​​

1.3 Évaluation des risques et continuité des activités

Il est essentiel de procéder à une évaluation approfondie des risques avant d'adopter des solutions basées sur le cloud (y compris des éléments évidents tels que Microsoft 365, Teams ou d'autres solutions de vidéoconférence basées sur le cloud, et tout autre logiciel qui traite des données personnelles ou des données de clients et qui n'est pas hébergé dans un environnement de cloud privé ou sur site). Les gestionnaires de fortune doivent évaluer les risques potentiels associés aux fuites ou vols de données, aux cyber-attaques et aux perturbations opérationnelles. La diligence raisonnable doit comprendre une évaluation des mesures de sécurité du fournisseur de services ou du prestataire cloud, des certifications telles que ISO/IEC 27001, et de ses antécédents en matière de traitement des incidents liés à la protection des données.

En tout état de cause, il convient d'établir et de tester des plans détaillés de continuité des activités, y compris des plans d'urgence pour les interruptions de service, et de s'assurer que des sauvegardes de données sont régulièrement effectuées et stockées dans des lieux sûrs et géographiquement diversifiés, et qu'il existe des procédures claires pour la récupération des données en cas de sinistre. Les gestionnaires de fortune doivent être conscients qu'au moins une copie de certains documents (par exemple, la documentation établie conformément à la législation en matière de lutte contre le blanchiment d'argent) doit être conservée en Suisse ou être accessible en tout temps depuis la Suisse.

2. Considérations pratiques et recommandations

Sans être exhaustif, voici quelques recommandations pratiques à prendre en compte lors de la mise en œuvre d'une solution basée sur le cloud, étant entendu que chaque projet a ses spécificités et doit être examiné et évalué au cas par cas :

• dresser un inventaire des activités de traitement des données et identifier celles pour lesquelles les données (au sens général) sont traitées par un tiers (y compris dans un environnement hébergé dans le cloud), et déterminer s'il s'agit d'une externalisation matérielle ;
• s'assurer que des accords écrits ont été conclus avec les fournisseurs de services, couvrant toutes les dispositions nécessaires en matière de sécurité des données, de droits d'audit, de capacité à contrôler et à surveiller le respect des normes de protection des données par le fournisseur de services cloud, ainsi que les exigences en matière de localisation des données ;
• élaborer une évaluation des risques et les mesures d'atténuation correspondantes, ainsi que des plans et des procédures de continuité et de reprise des activités ;
• veiller à ce que les clients soient correctement informés et, le cas échéant, consentent à ce que des données à caractère personnel soient traitées dans le cadre d'une solution cloud (par exemple, les conditions générales, les clauses contractuelles spécifiques, la politique de protection des données et les brochures d'information correspondantes).

Il ne s'agit que d'une vue d'ensemble et des exigences et recommandations supplémentaires doivent être prises en compte, notamment celles énoncées dans les directives sur le cloud de l'Association suisse des banques (ASB)[2] ou dans la liste de contrôle de conformité de Microsoft pour les institutions financières suisses[3].

Il est à noter que les recommandations ci-dessus ne s'appliquent pas seulement aux grands projets d'externalisation ou de migration complète vers le cloud, mais à toute utilisation de solutions basées sur le cloud. A titre d'exemple pratique, un gestionnaire de fortune suisse utilisant Microsoft 365 devrait s'assurer que le cadre contractuel approprié est en place, y compris le Microsoft Customer Agreement (MCA), le Data Protection Addendum (DPA), l'amendement pour la Suisse concernant l'Addendum sur la protection des données, ainsi que le Financial Services Addendum, y compris une confirmation écrite conclue avec le partenaire Microsoft concerné qui fournit la solution dans le nuage (appelé Cloud Solution Provider (CSP)).

Conclusion

Les gestionnaires de fortune suisses qui utilisent des solutions cloud devraient considérer la conformité comme un cadre dynamique, et non comme un exercice ponctuel consistant à cocher une case. En intégrant les évaluations de la protection des données, l'approche des risques opérationnels basée sur les risques de la FINMA et les directives sur le cloud de l'ASB - même lorsqu'elles ne sont pas directement applicables - les gestionnaires de fortune peuvent implémenter leurs stratégies dans le cloud tout en gardant les pieds sur terre.

[1] Voir l'article 69 LEFin.

[2] Swissbanking

[3] Service Trust Portal

Biographie

Fedor Poskriakov is a deputy managing partner in Banking and Finance practice and he is based at the Geneva office of Lenz & Staehelin. His area of expertise lies in banking, securities, and finance law, with a particular focus on fintech. Fedor regularly provides advice on complex and novel regulatory, contractual, and corporate matters. His comprehensive experience, coupled with his skillful approach, enables him to provide valuable insights and strategic advice to clients. Fedor has also developed a specialized skill set in advising on new technologies, such as distributed ledger (blockchain), as well as novel fintech business models. Fedor is the co-head of FinTech practice at Lenz & Staehelin and serves as the Secretary-General of the Capital Markets and Technology Association (CMTA). Furthermore, Fedor is a frequent speaker on Swiss financial market regulation at both domestic and international events.