Le 11 mai 2021, l'Association suisse des banquiers (ASB) a publié un guide relatif à la gestion des données dans les activités bancaires courantes. Cette publication fait suite à diverses autres initiatives de l'ASB, dont les «Recommandations pour sécuriser le cloud banking» en juin 2020, ou encore l'«Etat des lieux pour la place financière suisse en matière d'Open Banking» en juillet 2020. Ces différentes initiatives, qui certes visent des objets différents, mettent toutefois en lumière l'importance croissante de la protection des données dans le secteur bancaire et plus largement financier. 

Si cette importance n'est pas nouvelle pour le secteur, il suffit pour s'en convaincre de rappeler non seulement le RGPD, mais également la pratique de la Finma, notamment la circulaire sur les risques opérationnels avec sa notion de client identifying data, ces communications de l'ASB devraient agir comme une piqure de rappel pour tous les acteurs de la place financière et non pas uniquement pour les banques ou les maisons de titres. Ce guide de l'ASB est également une bonne occasion de rappeler l'entrée en vigueur prochaine de la LPD nouvelle mouture.

Il est important de souligner que la question de la protection des données n'est ni réservée à des problématiques de droit d'accès propre, le cas échéant encadrées en matière judiciaire par la doctrine de l'abus de droit, ni à un pré-carré d'entreprises qui ont fait de la commercialisation des données leur core business. Cette question et les réponses que les entreprises financières se doivent d'apporter entrent également dans la sphère de la surveillance prudentielle exercée au premier chef par la Finma, comme le rappelle sa pratique en matière de risques opérationnels. 

Les requêtes en autorisation pour les gestionnaires de fortune individuelle et collective comprennent ainsi désormais une question relative à la manière dont la protection des données des clients est assurée. En outre, lorsqu'une externalisation est prévue, non seulement en matière de conservation des données, mais également d'exécution des ordres par exemple, la Finma s'intéresse en pratique aux données concernées et à la manière dont leur traitement et leur sécurité sont assurés, et ce quand bien même la circulaire Finma sur l'outsourcing ne contient plus de référence expresse à la protection des données.

Dans ce contexte, le dernier guide de l'ASB a le mérite de proposer des exemples concrets d'approches et de cas, mais également de montrer que la problématique du traitement des données concerne un large éventail d'activités et de départements/fonctions, allant de la compliance jusqu'à l'offre de produits et les conseils personnalisés y afférents. Dans le même ordre d'idée, l'automatisation croissante de certains traitements, l'utilisation de technologies de profilage, notamment à des fins marketing, et les incertitudes liées à certains termes juridiques, tels que «profilage à risque élevé», qui requiert le consentement exprès de la personne concernée, impliquent que les acteurs doivent garder un œil attentif sur les évolutions et pratiques du marché. 

Le guide souligne également en creux un autre pan technologique qui se trouve à la confluence de la protection des données et du droit réglementaire, à savoir l'intelligence artificielle. Cette dernière sera sans nul doute amenée à occuper une place plus importante dans les années à venir dans le cadre de la fourniture de services financiers, comme par exemple les services de robo-advising.

Sans tomber dans l'excès et faire de la question de la protection des données l'unique priorité des acteurs financiers, il convient cependant de ne pas la négliger. La bonne nouvelle est ici que le droit suisse reste relativement flexible et plus adapté à la réalité des PME que le droit européen, plus rigide dans sa conception. Reste à voir si cette bonne nouvelle pour le marché local le sera également en termes d'équivalence sur le plan européen. Quoiqu'il en soit, tout assujetti Finma et, plus largement, tout prestataire de services financiers, devrait intégrer dans ses processus et ses analyses de risques la question du traitement des données des clients et, par la même, anticiper l'entrée en vigueur de la nouvelle LPD au second semestre 2022.