En droit: guide «cloud» Swissbanking, quelles avancées?

lundi, 29.04.2019

Stéphanie Chuffart-Finsterwald, Thomas Goossens*

Stéphanie Chuffart-Finsterwald, Thomas Goossens, avocats, Bianchischwald.

Si l’informatique en nuage – dite «cloud computing» – offre des perspectives intéressantes pour le secteur bancaire suisse, celui-ci avait jusqu’à présent réservé un accueil mitigé à ces technologies, craignant les conséquences légales et réglementaires des incertitudes qui planent sur la pratique. C’est en particulier le cas en ce qui concerne le respect du secret bancaire, l’exercice du droit de contrôle de la FINMA et les obligations relatives à la protection des données personnelles.

En mars dernier, l’Association suisse des banquiers (ASB) a publié son Guide pour les banques et négociants en valeurs mobilières qui recourent ou souhaitent recourir au cloud computing. Le Guide se concentre sur quatre domaines à savoir (i) le choix du prestataire et de ses sous-traitants, (ii) le traitement des données et le secret bancaire, (iii) la transparence et la coopération entre les établissements et les prestataires en ce qui concerne les mesures administratives et judiciaires et (iv) le contrôle des prestations et de l’infrastructure (audit). Le Guide établit des bonnes pratiques non contraignantes en la matière. Bien que ces recommandations ne répondent pas à toutes les questions pratiques – elles n’ont d’ailleurs pas vocation à le faire, elles offrent des éclaircissements bienvenus sur quelques aspects clés.

En premier lieu, le Guide souligne l’utilité et les avantages du cloud computing pour le secteur bancaire, vantant les économies de coûts que ces prestations de services permettent, ainsi que les possibilités d’offre de produits innovants et d’amélioration de la sécurité de l’infrastructure bancaire, cela en particulier pour les établissements de petite taille. Le recours au cloud computing par le secteur bancaire suisse est ainsi non seulement validé mais également encouragé par l’ASB.

Ensuite, le Guide formule des recommandations intéressantes en ce qui concerne le traitement des données et le secret bancaire. En particulier, il établit que dès lors que l’établissement a prévu des mesures de sécurité appropriées pour protéger les Client Identifying Data (CID) traitées, il n’a pas besoin d’être délié du secret bancaire par le client. L’établissement doit à ce titre avoir pris des mesures techniques (anonymisation, pseudonymisation ou cryptage), organisationnelles (surveillance et audit obligatoire) et contractuelles limitant le risque que le prestataire et les sous-traitants accèdent aux CID. Les mesures à mettre en œuvre résultent de l’annexe 3 de la Circulaire FINMA sur les risques opérationnels (08/21). Le Guide rappelle toutefois que selon le modèle de service dans lequel s’inscrit le cloud computing, il peut être nécessaire que des collaborateurs du prestataire et de ses sous-traitants aient accès aux CID sans cryptage ni pseudonymisation. Selon le Guide, les prestataires et sous-traitants peuvent alors être qualifiés de mandataires au sens de l’art. 47 al. 1 LB et peuvent ainsi être inclus dans le cercle des personnes tenues au secret, même s’ils sont domiciliés à l’étranger.

A ce titre, il sied de rappeler qu’en tout état, la loi sur la protection des données conditionne le transfert de données personnelles (par exemple des CID) à une partie sise dans un Etat ne garantissant pas un niveau de protection adéquat à certains prérequis comme le consentement éclairé (voire exprès) de la personne concernée. Il convient aussi de souligner, même si le Guide n’en fait pratiquement pas état, que les exigences de la Circulaire FINMA Outsourcing (18/3) demeurent applicables à toute externalisation d’une fonction essentielle par une banque. Sur ce point, on se souviendra que la FINMA elle-même considérait l’activité de «stockage de données» comme étant soumise aux exigences en matière d’outsourcing bancaire, du moins sous l’égide de l’ancienne Circulaire 08/7.

En ce qui concerne l’audit des prestataires, le Guide prescrit des contrôles réguliers. Il rappelle que des contrôles doivent pouvoir être réalisés par les établissements, leurs sociétés d’audit ainsi que par la FINMA et indique que des audits groupés peuvent être organisés, ce qui peut encourager une coordination du secteur bancaire sur ce point.

Le Guide formule finalement des recommandations en ce qui concerne la collaboration des prestataires avec des autorités en cas de demande ayant pour objet la transmission d’informations protégées par le secret bancaire et indique en particulier que pour ces cas les établissements doivent convenir d’une marche à suivre qui assurera le respect des prescriptions légales en la matière. Comme pour la majorité de ses recommandations, le Guide fait fi de l’inégalité existante entre les différents établissements bancaires quant à leur faculté de négocier des clauses contractuelles spécifiques face aux poids lourds de l’industrie du cloud computing. Affaire à suivre donc...

* Avocats, Bianchischwald





 
 
 

Apple mise toujours sur l'iPhone

Dimanche, 8 septembre 2019

Cette année, experts et observateurs parient sur trois nouveaux modèles d'iPhone qui sera encore la vedette de la présentation Apple de mardi.

L'iPhone sera la star de la présentation Apple de mardi mais le géant californien des technologies en profitera aussi sans doute pour faire valoir son offre de services et de contenus, en pleine...

Un conseiller clients important quitte Pictet

Vendredi, 6 septembre 2019

La banque privée genevoise va devoir gérer le départ de l'un des principaux responsables pour la gestion de fortune en Europe.

Chez Pictet, l'un des principaux responsables pour la gestion de fortune en Europe serait sur le départ. Patrick Prinz aurait démissionné après plus de 17 ans passés au sein du groupe bancaire genevois, rapporte vendredi le...

Géraldine Juge: «Une entreprise c’est comme un enfant auquel on pense toute la journée»

Jeudi, 5 septembre 2019 // Marine Humbert

A la tête de Separate Ways, Géraldine Juge est la neuvième invitée de notre chronique. Les entrepreneurs s'y racontent sans filet: recette du succès, routines du dimanche, ambitions et inquiétudes. Plongée dans les coulisses de l'entrepreneuriat.

A la tête de Separate Ways depuis 2016, Géraldine Juge propose un service d’accompagnement dans...

Abionic dispose désormais d’une référence précieuse avec Genentech

Jeudi, 5 septembre 2019 // Christian Affolter

Le test rapide qualité laboratoire permettant de diagnostiquer l’asthme allergique sera développé en collaboration avec la biotech américaine membre de Roche.

La plateforme d’Abionic pour des solutions de diagnostic rapides d’une précision proche de celle obtenue en laboratoire après plusieurs heures a un nouveau partenaire de référence. Pour...

UBS bifferait plusieurs centaines de postes dans la banque d'affaires

Jeudi, 5 septembre 2019

La première banque de Suisse UBS va se restructurer. Plusieurs centaines de postes pourraient être supprimés.

Une restructuration serait dans l'air pour les activités de banque d'affaires d'UBS. Le numéro un bancaire helvétique plancherait sur un programme qui pourrait déboucher sur la suppression de plusieurs centaines d'emplois, a rapporté mercredi...

Brexit: Johnson abandonne l'obstruction au texte anti-"no deal"

Jeudi, 5 septembre 2019

Boris Johnson, le Premier ministre britannique, ne fera pas obstruction au texte législatif demandant un nouveau report du Brexit.

Après avoir perdu sa majorité à la Chambre des Communes et échoué à convoquer des élections anticipées mercredi, le Premier ministre britannique Boris Johnson a accepté jeudi matin de ne pas faire d'obstruction au texte...

Les start-up vaudoises élues meilleures de Suisse

Mercredi, 4 septembre 2019 // Matteo Ianni

Flyability et Lunaphore terminent respectivement à la première et deuxième place du classement des 100 meilleures start-up nationales. Le dernier succès romand au Swiss Start-up Award remontait à 2016. Parmi les dix premiers, Vaud est représenté quatre fois.

Chaque année depuis neuf ans, le classement des 100 start-up les plus prometteuses de Suisse...

AGEFI

Rafraîchir cache: Ctrl+F5 ou Wiki



...