Photo © Indigita
Par Désirée Cotture
Les banques suisses ont longtemps été connues pour leur confidentialité stricte en vertu du secret bancaire suisse, offrant à leurs clients le plus haut niveau de protection pour leurs données financières. Cependant, avec l’introduction de la nouvelle Loi fédérale sur la protection des données (nLPD) et le Règlement général sur la protection des données (RGPD) de l’Union européenne, les banques doivent désormais équilibrer une protection renforcée des données avec une transparence accrue.
La nLPD et le RGPD imposent des exigences strictes en matière de protection des données des clients. Les banques doivent veiller à ce que seuls les employés ayant une raison valable puissent accéder aux informations des clients, suivant le principe du « besoin de savoir ». Cela aide à prévenir les violations internes de données et garantit que les informations ne sont traitées qu’à des fins légitimes.
Ces réglementations exigent également plus de transparence de la part des banques. Les clients ont désormais le droit de savoir quelles données sont collectées, comment elles sont traitées et où elles sont stockées. C’est un changement significatif par rapport aux pratiques traditionnelles des banques suisses, où ces informations étaient jalousement gardées. Désormais, les banques doivent fournir ces données sur demande, créant ainsi de nouveaux systèmes pour assurer des réponses rapides et claires.
Les banques suisses sont confrontées au défi de se conformer à la fois à la nLPD et au RGPD, en fonction de la localisation de leurs clients. La nLPD s’applique aux résidents suisses, tandis que le RGPD couvre les citoyens et résidents de l’UE. Les banques doivent mettre en place des systèmes flexibles pour gérer les données selon la réglementation applicable, ce qui ajoute de la complexité à leurs opérations.
Pour les citoyens et résidents de l’UE, les banques doivent se conformer aux règles strictes du RGPD, même si les données sont traitées en Suisse. Cela nécessite une approche de conformité double, avec des équipes qui coordonnent étroitement leurs actions pour respecter les deux normes réglementaires. Les banques suisses peuvent également être confrontées à une double obligation de déclaration en cas de violation des données en raison des exigences croisées de la Loi fédérale sur la protection des données (nLPD) et du Règlement général sur la protection des données (RGPD). Les violations en vertu de la nLPD doivent être signalées au Préposé fédéral à la protection des données et à la transparence (PFPDT), tandis que celles du RGPD, affectant des citoyens de l’UE ou des données traitées au sein de l’UE, doivent être signalées à l’autorité nationale de protection des données compétente. De plus, les violations du RGPD peuvent entraîner des actions coercitives ou des sanctions imposées par l’autorité concernée, compliquant encore la conformité pour les banques suisses opérant dans plusieurs juridictions.
Les nouvelles réglementations obligent les banques à mettre à jour leurs processus de gestion des données et leur infrastructure technologique. Par exemple, les banques doivent rationaliser leurs systèmes pour fournir les données des clients rapidement, veillant à ce que les équipes de conformité soient équipées pour traiter efficacement les demandes d’accès, de correction ou de suppression des données. En outre, les banques doivent conserver les données pendant au moins 10 ans, comme l’exige la loi suisse, tout en équilibrant les priorités de la nLPD et du RGPD, qui mettent l’accent sur la minimisation de la rétention des données. Des systèmes automatisés sont essentiels pour gérer les calendriers de rétention et supprimer en toute sécurité les données lorsque cela est nécessaire.
À mesure que la surveillance augmente, les banques doivent s’assurer que leurs processus internes sont robustes pour répondre aux exigences à la fois de la nLPD et du RGPD. Par exemple, elles doivent veiller à ce que les données sensibles des clients ne soient partagées que lorsque cela est nécessaire et en conformité avec les réglementations. De plus, le fichier central de la banque doit être tenu à jour et organisé pour permettre un accès rapide aux données sur demande. Enfin, des audits réguliers et une tenue de dossiers rigoureuse sont essentiels pour prouver la conformité avec les règles de protection des données.
La nLPD et le RGPD ont introduit à la fois une protection plus stricte des données et une plus grande transparence pour les banques suisses. Alors qu’elles doivent continuer à protéger les données des clients, elles doivent également être flexibles et transparentes dans la fourniture d’un accès aux données. Naviguer entre ces exigences concurrentes exige des banques suisses qu’elles évoluent d’institutions de secret en gardiens de données, protégeant la vie privée tout en embrassant la transparence.
Retrouvez l’ensemble de nos articles Décryptage