FINMA : Plus de contrôles pour mieux protéger les données des clients des banques suisses

In Carnet de veille
Déroulez ici

La FINMA, l’autorité fédérale suisse de surveillance des marchés financiers, a récemment lancé une audition de son nouveau projet de circulaire relative au traitement des risques opérationnels.  Outre l’ajout de la notion d’exigences qualitatives, cette révision amène surtout un lot important  de mesures visant à  la protection des données des clients, également appelées CID pour Client Identification Data.

Regroupée au sein de la nouvelle Annexe 3 :  Traitement des données électroniques de clients (13 pages), les nouvelles futures exigences se structure autour de 9 principes de contrôles :

  • Principe 1 :  Principes de bonne gestion des risques en lien avec la confidentialité des données des clients. Il s’agit ici de définir les principes de gouvernance et d’organisation, y compris le cadre formel ainsi que les processus associés.
  • Principe 2 : données d’identification du client (client identifying data, CID). Ce chapitre clarifie ce qu’est une données d’identification et propose un tableau de synthèse. A noter également l’introduction de la notion de data owner  et de niveau de confidentialité qui ont toute leur importance dans le processus de gestion des accès.
clic pour agrandir -- CID - Données d'identification des clients - FINMA 2013
clic pour agrandir — CID – Données d’identification des clients – FINMA 2013
  • Principe 3 : lieu de stockage et accès aux données. La notion de base de données et d’identification des flux d’accès est au centre de ce chapitre. L’accès depuis l’étranger est également un thème, de même que la nécessité de tenir à  jour un registre d’accès qui clarifie exactement les personnes autorisées à  accéder aux CIDs.
  • Principe 4 : normes de sécurité liées à  l’infrastructure et à  la technologie. La couche technologique est mentionnée comme indissociable de l’objectif de protection des données clients. Elle fait référence également aux contrôles en cas d’extraction de données. Ce thème donnera certainement le sourire au fournisseur de solution DLP Data Loss Prevention.
  • Principe 5 : sélection, surveillance et formation des collaborateurs qui ont accès aux CID. Sélection, formation et surveillance des personnels sont au centre de ce chapitre avec également l’attente d’avoir une liste des collaborateurs clés.
  • Principe 6 : identification et contrôle des risques en relation avec la confidentialité des CID. La gestion des risques est également un thème avec la nécessité de fixer des scenarios de risques avec leurs contrôles.
  • Principe 7 : limitation des risques en relation avec la confidentialité des CID. La séparation des environnements de production, de tests et de développement est une mesure également attendue comme définie dans ce principe.
  • Principe 8 : incidents en rapport avec la confidentialité des CID, communication interne et externe. Outre le principe d’annonce d’incident dans le rapports internes, il est attendu dans ce chapitre que la banque dispose d’une stratégie de communication en lien avec un incident touchant ses CIDs.
  • Principe 9 : externalisation d'activités et prestations de services à  grande échelle traitant des CID. Dans le cas d’externalisation de services, il doit être également pris en compte les devoirs de diligence et de confidentialité tout en définissant les responsabilités et les contrôles associés nécessaires.

Ainsi, même si les banques ont déjà  en place de nombreuses mesures de protection en place, ces exigences amèneront un niveau de formalisation plus stricts et structurera encore davantage leur système de contrôle internes face à  la fuite des données. La mise en place de ces nouvelles exigences liée à  cette annexe 3 devra être effective dès le 1er janvier 2015.

FINMA front pageAvec cette révision partielle, la FINMA entend intégrer dans la règlementation suisse les principales normes internationales concernant le traitement des risques opérationnels, terme recouvrant toute une palette d’événements qui vont des cas juridiques ou des fraudes aux pannes informatiques. La circulaire regroupe en six principes thématiques les standards que le Comité de Bà¢le sur le contrôle bancaire a édictés en 2011 sous le nom de Principles for the Sound Management of Operational Risk. Au centre se trouvent des questions particulièrement importantes pour le traitement des risques opérationnels, lesquelles ne sont pas encore couvertes par d’autres réglementations suisses. Ont en effet été définis des principes concernant les responsabilités, le système de contrôle, l’établissement de rapports et l’infrastructure.

Des exigences spécifiques pour les données électroniques de clients

Outre des exigences qualitatives générales, la FINMA peut poser des exigences concrètes dans certains domaines. En particulier, en Suisse, les risques opérationnels relatifs aux données électroniques de clients ont gagné en importance au cours des dernières années. Le projet de circulaire contient donc également des prescriptions concernant le traitement de données électroniques confidentielles.

via  FINMA – Audition relative à  la révision partielle de la circulaire “Risques opérationnels – banques”

 

 

La newsletter