Inhalt

Comment protéger son entreprises et les données de ses clients : éclairage sur les dernières règles en vigueur

Une importante fuite de données a visé un gestionnaire de fortune en septembre dernier. Les données de centaines de clients ont été volées et publiées sur le darknet. Un employé mécontent ? Une faille de sécurité majeure ? Non, l’origine de la fuite proviendrait en fait de la base de données d’un ancien prestataire de services du gestionnaire de fortune. D’où l’importance de procéder à une due diligence accrue dans le choix de ses partenaires.

 

Laurent Pellet
Limited Partner, Global Head of EAM,                                         
Banque Lombard Odier & Cie SA 
En collaboration avec Philipp Fischer
Associé, Oberson Abels SA

 

Par ailleurs, de nouvelles règles de protection des données, entrées en vigueur depuis l’an dernier, sont venues renforcées les obligations des entreprises, y compris dans le secteur financier. Il s’agit en particulier de la version révisée de la Loi fédérale sur la protection des données (LPD) et le Règlement général sur la protection des données (RGPD).

Elles imposent aux gestionnaires de fortune externes (EAM) une approche plus rigoureuse et proactive en matière de gestion des données personnelles, de transparence et de sécurité dans le processus de traitement des données personnelles. Ces exigences ont un impact direct sur les EAM en Suisse, dont la relation avec les clients repose avant tout sur la confiance et la confidentialité.

Ainsi, la protection des données revêt une importance d’autant plus cruciale pour cette industrie, car elle représente un défi mais aussi une opportunité de renforcer la relation de confiance avec leur clientèle dans un cadre juridique plus protecteur.

 

Transparence et information accrue : que faire concrètement ?

Les EAM doivent informer leurs clients de façon détaillée sur la finalité et les modalités de collecte et de traitement de leurs données personnelles. Cela implique l'établissement d'une notice de confidentialité claire et accessible. Le devoir d'information s'applique dès la collecte des données, avec une attention particulière aux situations dans lesquelles des données personnelles sont transférées à des tiers, notamment en cas de recours à des prestataires cloud.

 

Sécurité des données et gestion des risques : des exigences strictes

Les nouvelles règles contiennent des exigences strictes en matière de sécurité de l'information : les EAM doivent ainsi mettre en place de procédures internes pour identifier et sécuriser les données traitées. De même, ils doivent mettre en œuvre des mesures de protection contre les fuites de données, avec une obligation d'alerter rapidement les autorités en cas de violation.

Au surplus, s'il est probable qu'un traitement de données entraîne des risques particulièrement importants pour les personnes concernées (par exemple les clients), les EAM doivent les évaluer de façon structurée et documentée, puis les réduire le cas échéant, par le biais d'une analyse d'impact relative à la protection des données personnelles (AIPD).

Ces exigences sont d'autant plus cruciales que le RGPD (et ses sanctions sévères) peut également, à certaines conditions, s'appliquer aux entreprises suisses offrant des services à des résidents de l'Union européenne.

 

Droit à l’oubli et rectification des données : des processus à mettre en place

Les clients, en tant que personnes concernées, ont désormais des droits plus étendus, comme, par exemple, celui d'accéder aux informations les concernant, de demander leur suppression (droit à l'oubli) ou encore de rectifier des données inexactes, ce qui nécessite la mise en place de processus internes pour répondre rapidement à ces demandes.

Pour les GFI, ces nouvelles règles représentent un double enjeu : d'une part, maintenir la confiance des clients en assurant une gestion rigoureuse et transparente des données ; d'autre part, garantir la conformité pour éviter des sanctions et un risque réputationnel.

Afin de se conformer aux nouvelles exigences, les EAM doivent adapter leurs systèmes de gestion des données, les règles et pratiques internes, ainsi que former leurs équipes, afin d'anticiper les risques et répondre aux attentes croissantes des clients en matière de protection des données.

Dans ce contexte, une première étape consiste à dresser un état des lieux des pratiques actuelles en les confrontant aux exigences des nouvelles règles, puis d'identifier et hiérarchiser les actions correctives nécessaires, en priorisant les points les moins conformes ou les plus susceptibles d’entraîner des risques juridiques ou réputationnels.

 

 

Biographie

Laurent Pellet a rejoint la Banque en 2017 et pris la responsabilité du département des gestionnaires de fortune externes pour le Groupe en 2018. Après ses débuts chez Ferrier Lullin & Cie SA, il a occupé diverses fonctions chez Banque Julius Baer durant plus de 20 ans. Il est titulaire d’un Diplôme en Gestion quantitative de fortune de HEC Genève, d’un Diplôme en Droit de la finance digitale de l’Université de Genève et de la CWMA.