Aller au contenu principal

Nouvelle loi fédérale sur la protection des données (nFADP) - Quels changements pour les intermédiaires financiers ?

A partir du 1er septembre 2023, les banques et autres intermédiaires financiers devront se conformer aux exigences du nouveau PAFD et de ses ordonnances. Quel est l'impact spécifique sur les institutions financières et comment cela peut-il être coordonné avec les exigences légales applicables au secteur financier ?

La nouvelle loi fédérale sur la protection des données (nFADP) améliore le traitement des données personnelles et accorde de nouveaux droits aux citoyens suisses. Cet important changement législatif s'accompagne d'un certain nombre de nouvelles obligations pour les entreprises et d'un renforcement des exigences existantes.

La loi sur la protection des données entièrement révisée et les dispositions d'exécution de la nouvelle ordonnance sur la protection des données (OPD) et des ordonnances de certification de la protection des données (OCPD) entreront en vigueur le 1er septembre 2023.

Quel est l'impact sur le secteur financier ?

 

Depuis la première loi fédérale sur la protection des données en 1992, des changements sociétaux fondamentaux en termes de numérisation et de gestion des données personnelles ont eu lieu avec l'utilisation quotidienne d'Internet, des smartphones, des réseaux sociaux et du Cloud.

Les banques et le secteur financier ont largement adopté ces nouvelles technologies dans leur offre de services, la personnalisation et l'accessibilité étant une valeur ajoutée essentielle. En outre, tout comme le secret bancaire, la protection des données fait partie de l'ADN du secteur depuis de nombreuses années. Ce secteur se trouve donc dans une position unique : d'une part, il a une longueur d'avance sur les autres entreprises en termes de protection des données ; d'autre part, il doit également faire face aux attentes plus élevées du public et des régulateurs.

Certaines institutions ont déjà anticipé une grande partie des nouvelles exigences du PFDA en mettant volontairement en place un système de conformité avec le règlement européen sur la protection des données (GDPR). D'autres institutions, au contraire, ont choisi d'attendre les exigences suisses. Quoi qu'il en soit, et dans les deux cas, c'est à partir du 1er septembre 2023 que la robustesse des systèmes de contrôle interne sera véritablement testée dans la pratique.

Quels sont les principaux changements pour le secteur financier ?

 

La nouvelle loi sur la protection des données introduit plusieurs changements majeurs. Les changements suivants auront un impact particulier sur les entreprises du secteur financier :

  1. Introduction des principes "Privacy by Design" et "Privacy by Default". Le principe "Privacy by Design" implique l'intégration de la protection des données et de la vie privée des utilisateurs dans la conception même du produit ou du service financier qui collecte des données personnelles. Le principe "Privacy by Default" exige que les mesures nécessaires pour protéger les données et limiter leur utilisation soient activées par défaut, sans intervention de l'utilisateur, dès la mise à disposition du produit ou du service. Une attention particulière doit être accordée à ces exigences lors de la proposition de nouveaux services financiers, surtout s'ils sont basés sur des solutions numériques.
  2. Desanalyses d'impact doivent être réalisées lorsqu'il existe un risque élevé pour la personnalité ou les droits fondamentaux des personnes concernées. La question se posera notamment lors de la mise en place d'un nouveau service ou d'un changement organisationnel ayant un impact significatif sur le traitement des données des clients, en particulier en cas de migration informatique vers un cloud.
  3. Latenue d'un registre des activités de traitement est demandée par principe et sera en pratique souvent inévitable pour les banques, ainsi que pour de nombreuses entreprises du secteur financier. En effet, seules les PME dont le traitement des données présente un risque limité d'atteinte à la personnalité sont exemptées. Par ailleurs, l'établissement des activités de traitement est généralement une étape nécessaire dans tout projet de mise en œuvre du PNAVD puisqu'il permet de définir clairement la portée des traitements générant des données personnelles et d'en effectuer l'analyse de manière ordonnée. Enfin, cette approche devrait idéalement être coordonnée avec les systèmes de gouvernance des données prévus par la nouvelle circulaire de la FINMA sur les risques opérationnels et la résilience.
  4. Lamise en place de processus d'annonce rapide au Préposé fédéral à la protection des données et à la transparence (PFPDT)en cas de violation de données est une exigence. Pour les banques, ces annonces devront naturellement être coordonnées avec celles à faire à la FINMA.
  5. La notion de profilage, c'est-à-dire le traitement automatisé de données à caractère personnel, est désormais définie dans la loi. Les institutions du secteur financier pourraient être concernées en raison de leur utilisation de procédés automatisés sophistiqués, notamment dans le cadre du suivi des transactions des clients au regard de leur profil LBA.

Comment Deloitte peut-il vous aider ?

 

Deloitte dispose d'une équipe d'avocats et de juristes spécialisés dans la protection des données. Grâce à sa pratique du conseil et de l'audit dans le secteur financier, Deloitte a une connaissance approfondie du contexte commercial et réglementaire dans lequel les banques et les intermédiaires financiers opèrent. Cela nous permet d'aborder les nouvelles exigences de la nouvelle loi fédérale sur la protection des données (nFADP) en coordination avec le contexte réglementaire, tout en intégrant des solutions sectorielles éprouvées. Deloitte est également un leader mondial dans la digitalisation et l'intégration de solutions Cloud, qui ont un impact de plus en plus décisif sur la gestion des données personnelles. Nous vous proposons les approches suivantes qui peuvent naturellement être personnalisées :

  • Heathcheck nFADP - Ensemble, nous examinons votre plan et l'état d'avancement des mesures prises pour mettre en œuvre le nFADP. Deloitte identifie les déviations possibles et propose des mesures pratiques pour être prêt pour le 1er septembre 2023.
  • Paquet de soutien nFADP - Nous vous offrons un soutien complet pour mettre en œuvre le nFADP dans votre institution, avec un plan d'action, des lignes directrices et des documents types pour accélérer le processus.
  • Swiss finish nFADP - Pour les établissements qui ont déjà mis en œuvre le GDPR européen, nous proposons une révision limitée et une adaptation pragmatique de certains points clés.
  • Conseil et réglementation du PFDA - Nos experts en protection des données sont bien sûr également disponibles pour examiner des documents ou résoudre des problèmes spécifiques du point de vue du PFDA et assurer leur cohérence avec le cadre réglementaire bancaire et financier.

Did you find this useful?

Thanks for your feedback

Si vous souhaitez contribuer à l'amélioration de Deloitte.com, veuillez remplir un formulaire de demande d'information. Enquête de 3 minutes