Article

Nouvelle loi sur la protection des données (nLPD) – Quels changements pour les intermédiaires financiers ?

A partir du 1er septembre 2023, les banques et les autres intermédiaires financiers devront se conformer aux exigences de la nouvelle LPD et de ses ordonnances. Quel est l’impact spécifique sur les établissements financiers et comment coordonner cela avec les nombreuses exigences légales applicables au secteur financier ?

La nouvelle loi fédérale sur la protection des données (nLPD) améliore le traitement des données personnelles et accorde de nouveaux droits aux citoyens suisses. Ce changement législatif important s’accompagne d’un certain nombre de nouvelles obligations pour les entreprises et d’un renforcement des exigences existantes.

La loi sur la protection des données, totalement révisée, et les dispositions d'exécution inscrites dans les nouvelles ordonnances sur la protection des données (OPDo) et sur les certifications en matière de protection des données (OCPD) entreront en vigueur le 1er septembre 2023.

Quel impact pour le secteur financier ?

Depuis la première loi fédérale sur la protection des données de 1992, des changements sociétaux fondamentaux en termes de digitalisation et de gestion des données personnelles sont intervenus avec l’usage quotidien d’Internet, des smartphones, des réseaux sociaux et du Cloud.
Les banques et le secteur financier ont largement adopté ces nouvelles technologies dans leur offre de services, dont la personnalisation et l’accessibilité constitue une plus-value essentielle.

Par ailleurs, avec le secret bancaire, la protection des données fait partie de l’ADN du secteur depuis de longues années. Dès lors, ce secteur dispose d’une position unique : d’une part, il a une avance certaine sur d’autres entreprises en matière de protection des données ; d’autre part, il subit également des attentes plus élevées du public et des régulateurs à son égard.

Certains établissements ont ainsi déjà anticipé bon nombre des nouvelles exigences de la nLPD par la mise en place volontaire d’un système de compliance avec le Règlement européen sur la protection des données (RGPD) ; d’autres établissements ont choisi, au contraire, d’attendre les exigences suisses. Néanmoins, et dans les deux cas, ce sera à partir du 1er septembre 2023 que la robustesse des systèmes de contrôle interne seront véritablement mis à l’épreuve de la pratique.  

Quels sont les principaux changements pour le secteur financier ?

La nouvelle loi sur la protection de données introduit plusieurs changements majeurs. Ceux qui impacteront particulièrement les entreprises du secteur financier sont les suivants :

  1. Introduction des principes de "Privacy by Design" et de "Privacy by Default". Le principe de "Privacy by Design" implique d’intégrer la protection des données et la protection de la vie privée des utilisateurs dans la conception même du produit ou du service financier amené à collecter des données personnelles. Le principe de "Privacy by Default" exige que les mesures nécessaires à la protection des données et à la limitation de leur utilisation soient activées par défaut, sans intervention de l’utilisateur, dès la mise à disposition du produit ou du service. Il conviendra de prêter une attention particulière à ces exigences lors de la proposition de nouveaux services financiers, en particulier s’ils sont basés sur des solutions digitales.
  2. Des analyses d’impacts doivent être menées en cas de risque élevé pour la personnalité ou pour les droits fondamentaux des personnes concernées. La question se posera particulièrement lors de la mise en place d’un nouveau service ou d’un changement organisationnel impactant de manière importante le traitement de données clients, en particulier en cas de migration informatique dans un Cloud.
  3. La tenue d’un registre des activités de traitement est prévue par principe et sera en pratique souvent incontournable pour les banques, ainsi que pour de nombreuses entreprises du secteur financier. En effet, seules les PME dont le traitement des données présente un risque limité d’atteinte à la personnalité sont exemptées. De plus, l’établissement des activités de traitement est une étape généralement nécessaire dans tout projet d’implémentation de la nLPD puisqu’il permet de définir clairement le périmètre des processus générant des données personnelles et de procéder à leur analyse de manière ordonnée. Enfin, cette approche devra idéalement être coordonnée avec les systèmes de gouvernance des données prévues par la nouvelle Circulaire FINMA sur les risques et la résilience opérationnels.
  4. La mise en place de processus permettant une annonce rapide de « data breach » au Préposé fédéral à la protection des données et à la transparence (PFPDT) est requise en cas de violation de la sécurité des données. Pour les établissement bancaires ces annonces seront naturellement à coordonner avec celles à effectuer auprès de la FINMA.
  5. La notion de profilage, à savoir le traitement automatisé de données personnelles, est désormais prévue dans la loi. Les établissements du secteur financier pourraient être concernés en raison de leur recours à des processus automatisés sophistiqués notamment dans le cadre de la surveillance des transactions des clients au regard de leur profil LBA.

Comment Deloitte peut vous aider ?

Deloitte dispose d’une équipe d’avocats et de juristes spécialisés en matière de protection des données. Par sa pratique du conseil et de l’audit dans le secteur financier, Deloitte dispose d’une parfaite connaissance du métier et du contexte réglementaire dans lequel opèrent les banques et les intermédiaires financiers. Nous sommes ainsi à même de traiter des nouvelles exigences de la loi sur la protection de données (nLPD) en coordination avec le contexte règlementaire, tout en y intégrant les solutions éprouvées du secteur. Deloitte occupe également une position de leader mondial pour la digitalisation et l’intégration de solutions Cloud qui, de plus en plus souvent, impacte de manière déterminante la gestion des données personnelles. Nous vous proposons les approches suivantes qui peuvent naturellement être personnalisées :

  • Heathcheck nLPD – Nous revoyons avec vous votre plan et l’état d’avancement des mesures prises pour implémenter la nLPD. Nous identifions les éventuels écarts et vous proposons des mesures pratiques pour être prêt au 1er septembre 2023.
  • Package de support nLPD – Nous vous proposons un support complet pour implémenter la nLPD dans votre établissement avec un plan d’action, des directives et documents modèles pour accélérer le processus.
  • Swiss finish nLPD – Pour les établissements ayant déjà mis en place le RGPD européen, nous vous proposons une revue limitée et une adaptation pragmatique de certains points clés.
  • Conseil nLPD et réglementaire – Nos experts LPD se tiennent naturellement également à disposition pour revoir des documents ou résoudre des questions spécifiques sous l’angle de la LPD et en assurer la cohérence avec le cadre réglementaire bancaire et financier.
Cela vous a-t-il été utile ?