Comment la protection des données impacte l’organisation interne des GFI

233
0
Share:

Par Deborah Lechtman, Junior Partner, Étude OA LEGAL

Les gestionnaires de fortune indépendants traitent quotidiennement des données personnelles relatives à leurs clients, partenaires, employés ou aux ayants-droits économiques. De ce fait, les GFI ont des obligations en tant que « responsables du traitement », imposées par la Loi fédérale sur la protection des données (LPD) et, en cas d’application, par le Règlement Européen sur la Protection des Données (RGPD).
La LPD a été révisée (nLPD) compte tenu des évolutions technologiques et des développements du RGPD. L’entrée en vigueur de la nLPD est prévue au 1er septembre 2023.
Bon nombre d’établissements ne mesure probablement pas l’impact de la nLPD sur leur activité, d’autant plus face à la croissance du recourt aux nouvelles technologies qui mène souvent à une collecte supplémentaire de données personnelles par rapport à un mandat « traditionnel », par exemple adresses IP, préférences ou géolocalisations.

Devoir d’information 

Les GFI sont tenus d’informer les personnes concernées de toute collecte de données personnelles. Ils doivent ainsi adopter une politique de protection des données et la communiquer aux personnes concernées. Dans ce cadre, un GFI doit notamment communiquer son identité et ses coordonnées, les finalités du traitement ainsi que les éventuels destinataires. De plus, la nLPD exige de communiquer, en cas de transfert de données en-dehors de la Suisse, le nom de l’Etat destinataire et les éventuelles garanties prises pour assurer un niveau approprié de protection des données. Des exceptions à ce devoir existent notamment lorsque le traitement est prévu par la loi (e.g. LBA).

Transferts à l’étranger

Les données personnelles pourront être transférées à l’étranger si le Conseil fédéral a constaté que l’Etat tiers dispose d’une législation assurant un niveau de protection adéquat, si une protection adéquate est garantie d’une autre manière (selon la nLPD) ou en cas de dérogation prévue par la loi.
Il convient de rappeler dans ce contexte qu’en sus de l’activité de gestion, l’utilisation d’outils numériques peut mener à des transferts à l’étranger – CRM, cloud, onboarding digital, traceurs -, y compris dans des pays dont le niveau de protection est jugé inadéquat d’un point de vue suisse, tels que les Etats-Unis. Les GFI doivent ainsi, dans le cadre de leur processus de sélection de prestataires, inclure des vérifications à ce sujet.

Sécurité des données personnelles

La sécurité des données est violée si leur confidentialité, intégrité ou disponibilité est compromise, par exemple par un phishing, rançongiciel, erreur de système, envoi d’un email au mauvais destinataire. Les exigences minimales en matière de sécurité des données seront précisées par le Conseil fédéral dans le cadre de l’ordonnance d’application de la nLPD. Celles-ci doivent être intégrées plus globalement dans la stratégie de risques (et la matrice des risques) implémentée par le GFI pour l’ensemble de son activité en vertu de la LEFin/OEFin (voir ci-dessous). Par ailleurs, la nLPD introduit un devoir d’annonce au Préposé fédéral à la protection des données et à la transparence (PFPDT) lorsqu’une violation de la sécurité des données comporte un risque élevé de conséquences néfastes pour les personnes concernées et, dans certains cas, une annonce à la personne concernée.

Devoirs en matière de sous-traitance

En cas de sous-traitance du traitement des données personnelles – par exemple, externalisation des ressources humaines, infrastructure IT/cloud – les GFI doivent sélectionner leur prestataire, l’instruire et le contrôler avec attention. Dans ce cadre, le GFI est tenu de conclure un contrat et de s’assurer que le sous-traitant n’effectue que le traitement (conforme) défini, qu’il ne sous-traite pas lui-même sans autorisation préalable et qu’il soit en mesure de garantir la sécurité des données. Tel qu’indiqué ci-dessus, les questions de transferts à l’étranger doivent être élucidés.

Superposition aux exigences du droit réglementaire

Les GFI sont tenus dans le cadre de leur autorisation en tant que gestionnaire de fortune selon la Loi sur les établissements financiers et son ordonnance de fixer des règles adéquates de gestion d’entreprise et de s’organiser de manière à pouvoir remplir leurs obligations légales. Dans ce cadre, les GFI doivent notamment sélectionner, instruire et surveiller leurs prestataires avec soin, y compris leurs prestataires IT, ainsi qu’évaluer et gérer leurs risques (y compris les risques IT/cyber).
Par ailleurs, une fois autorisés par la FINMA, les GFI tombent dans le champ d’application de la LFINMA, qui impose aux assujettis et leurs sociétés d’audit de renseigner sans délai la FINMA sur tout fait important d’un point de vue de la surveillance. Parmi ces évènements figurent les cyberattaques « importantes ».

Conclusion

Si les GFI ont déjà entamé leur mise en conformité réglementaire dans le cadre de leur demande d’autorisation en tant que gestionnaire de fortune, les aspects liés à la nLPD ne doivent pas être sous-estimés. Si les aspects liés à la sécurité des données et la sous-traitance se recoupent avec les exigences du droit réglementaire, d’autres aspects tels que le devoir d’information, les transferts à l’étranger ou le devoir d’annonce en cas de violation de la sécurité des données doivent être intégrés en sus dans l’organisation interne du GFI.

Deborah Lechtman, avocate et associée junior au sein de l’étude OA LEGAL, est inscrite au barreau de Genève. Elle conseille notamment des établissements financiers, dont les asset managers, les GFI et les sociétés fintech, dans les domaines du droit réglementaire, du droit contractuel et de la protection des données, y compris le règlement général sur la protection des données -RGPD.
Deborah Lechtman est certifiée CIPP/E et CIPM – Certified Information Privacy Professional/Europe et Certified Information Privacy Manager.

Share: