Gouvernance IT et gestion des risques clients
Questions juridiques pratiques

novembre 14, 2021 0 Par Invité(e)s

Deborah Lechtman
Associée junior au sein de l’étude OA LEGAL
Avocate inscrite au barreau de Genève

L’essor de la technologie et des solutions digitales permet d’améliorer l’organisation et l’efficience des gérants de fortune indépendants (GFI). Toutefois, ces derniers ne peuvent ignorer les risques liés aux technologies de l’information (IT) et les cyberincidents (i.e. cyberrisques)¹ qui y sont étroitement liés. A titre d’exemple, selon l’Allianz Risk Barometer 2021², les cyberincidents sont classés au troisième rang des risques commerciaux les plus importants pour l’année 2021 à l’échelle mondiale.
Les GFI sont indéniablement exposés à ces risques dans la mesure où ils utilisent des infrastructures et des outils informatiques tels que serveurs, clouds, CRM³, onboarding digital, applications ou e-mails. Qu’il s’agisse de logiciels malveillants de type rançongiciel, de fraudes, de pannes informatiques ou d’une coupure d’électricité, ces cyberincidents impactent la continuité des affaires, engendrent des coûts importants et comportent des conséquences juridiques.
Il convient ainsi d’anticiper cette problématique pour assurer la conformité légale et la pérennité de l’entreprise. En tout état de cause, cette question doit être traitée suite à l’entrée en vigueur de la loi fédérale sur les établissements financiers (LEFin) et son ordonnance (OEFin), qui complètent dans cette mesure certaines obligations déjà prévues par la loi fédérale sur la protection des données (LPD) et/ou le Règlement général de l’Union européenne (UE) sur la protection des don- nées (RGPD)⁴. Désormais, les GFI sont soumis à l’obligation de fixer des règles adéquates en matière d’organisation interne et de gestion des risques.
Cet article vise à apporter des réponses à quelques questions sélectionnées en matière de gouvernance IT et de gestion des risques IT/cyberrisques pour les GFI d’un point de vue pratique.

Cadre légal général

La LEFin/OEFin impose aux GFI de fixer des règles adéquates de gestion d’entre- prise et de s’organiser de manière à pouvoir remplir leurs obligations légales. Dans ce cadre, en matière de délégation (sous-traitance), les GFI doivent sélectionner, instruire et surveiller leurs prestataires avec soin⁵. Les GFI doivent égale- ment identifier, évaluer, gérer et surveiller leurs risques principaux pour l’ensemble de leur activité (y compris juridiques et de réputation) et veiller à ce que des contrôles internes efficaces soient mis sur pied. à ce titre, la direction d’un GFI doit identifier les risques IT et cyberrisques, en fonction notamment de l’infrastructure informatique, des logiciels et applications utilisés ainsi que des méthodes de travail et de communication des employés. Une fois les risques identifiés, la direction doit documenter sous une forme appropriée la manière de gérer et de surveiller ces risques, notamment les cyberrisques.
Ces règles se superposent aux règles en matière de protection des données (LPD/ RGPD) selon lesquelles les GFI ont notamment une obligation générale de protéger la sécurité des données personnelles traitées par des mesures techniques et organisationnelles appropriées⁶. De plus, le responsable du traitement peut avoir une obligation de notification⁷.
Par ailleurs, des règles particulières en matière de sous-traitance du traitement des données et de transfert à l’étranger sont applicables.
Enfin, une fois autorisés par la FINMA, les GFI tombent automatiquement dans le champ d’application de la loi sur la surveillance des marchés (« LFinma») qui impose aux assujettis et leurs sociétés d’audit de renseigner sans délai la FINMA sur tout fait important d’un point de vue de la surveillance ⁸. Parmi ces événements figurent les cyberattaques « importantes » qui doivent être annoncées à la FINMA⁹

En pratique

Afin de les anticiper, les GFI doivent identifier au cas par cas les risques IT et les cyberrisques auxquels ils sont exposés (i.e. risque de survenance du cyberincident) et déterminer les mesures appropriées pour y parer. Dans ce processus, les GFI établissent leur tolérance au risque.

Cela fait, des mesures techniques et organisationnelles internes appropriées/ adéquates doivent être implémentées. Ces mesures varieront en fonction de la taille, de la complexité, de la structure, des méthodes de travail, du profil de risque et de la tolérance au risque de l’entreprise. Des solutions de réduction du risque, telles que les cyberassurances, peuvent être considérées dans ce cadre.

La gestion des risques et les mesures prises doivent être documentées sous une forme appropriée, par exemple avec une matrice des risques et une directive interne.
La gouvernance IT ainsi que la gestion des risques IT et des cyberrisques feront partie de l’audit prudentiel auquel les GFI sont (ou seront) sujets.

En général, les GFI devraient tenir compte de ce qui suit (à titre exemplatif et sans exhaustivité) :
− avoir une vue précise de leur infrastructure IT, des logiciels et applications utilisés et des interfaces avec des tiers ;
− installer un programme de cybersécurité adapté ;
− établir un système de contrôle interne approprié ;
− établir les critères d’examen (due diligence) et de sélection des prestataires IT (externalisation) ainsi que leur surveillance (i.e. audit, rapports annuels) ;
− définir les rôles, tâches et responsabilités des personnes concernées au sein de l’entreprise ;
− disposer d’un plan en cas d’incident (i.e. maintien des affaires, disaster recovery plan) ;
− former les employés sur une base annuelle, notamment sur les cyberrisques, et vérifier par exemple les changements réguliers de mots de passe et le mode de conservation des mots de passe.

Si elle ne s’applique pas directement aux GFI, la circulaire FINMA 2008/21 Risques opérationnels – banques peut être une source d’inspiration, de même que le standard de la famille des normes ISO 27000.

Conclusion

Les exigences susmentionnées sont déjà connues des banques et gérants de placements collectifs, mais encore peu connues des GFI. Or, dans le cadre des adaptations organisationnelles requises en vertu de la LEFin (notamment au niveau de la gestion des risques) et compte tenu également du nombre croissant de cas de cyberincidents en Suisse, une attention toute particulière doit être apportée à la Gouvernance IT et à la gestion des risques IT et des cyber- risques. Indépendamment des exigences réglementaires, la survenance d’un cyberrisque est susceptible de compro- mettre sérieusement la continuité des affaires d’un GFI et de causer l’éventuelle perte (partielle ou totale) de données, sans mentionner l’impact réputationnel.

Notes

¹Si l’on s’appuie sur les définitions données par le Conseil fédéral dans son Ordonnance sur la protection contre les cyberrisques dans l’administration fédérale (« OPCy»), art. 3 let. b et c, un cyberrisque représente le risque de survenance d’un cyberincident, son ampleur résultant de la probabilité de survenance et de l’étendue des dommages. Un cyberincident est défini comme tout évènement nuisant à la confidentialité,à l’intégrité, à la disponibilité ou à la traçabilité des données (y compris les données personnelles) ou pouvant occasionner des dysfonctionnements, qu’ils soient accidentels ou provoqués intentionnellement par un tiers non autorisé).

² Allianz Risk Barometer Global risks report 2021, « e.g. cyber crime, IT failure/outage, data breaches, fines and penalties», https://www.agcs.allianz.com/ news-and-insights/reports/allianz-risk-barometer.html.

³ « Customer relationship management » (gestion de la relation client).

⁴ Voir art. 9 et 21 LEFin et art. 12 et 26 OEFin. Les dispositions de la LEFin/OEFin sont applicables immédiatement aux GFI créés et actifs dès le 1^er janvier 2020 ; les GFI existants et actifs avant le 1^er janvier 2020 bénéficient d’un délai transitoire qui échoit le 31 décembre 2022.

⁵ Voir circulaire FINMA 2018/3 Outsourcing.

⁶Voir notamment art. 7 de la Loi fédérale sur la protection des données du 19 juin 1992 (LPD) et l’art. 32 du Règlement général EU sur la protection des données (RGPD). Pour rappel, la LPD révisée devrait entrer en vigueur courant 2022 et comporte des obligations supplémentaires.

⁷ Le responsable du traitement notifie la violation à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard ; dans certains cas, une communication à la personne concernée peut s’avérer nécessaire (art. 33-34 RGPD). La LPD révisée qui devrait entrer en vigueur courant 2022 prévoit également dans certains cas une obligation d’annonce au PFPDT et à la personne concernée (art. 24 nLPD).

⁸Art. 29 al. 2 LFINMA.

⁹ Voir Communication FINMA 05/2020 sur l’Obligation de signaler les cyberattaques selon l’art. 29 al. 2 LFINMA du 7 mai 2020.

Deborah Lechtman
Deborah Lechtman, associée junior au sein de l’étude OA LEGAL, est avocate inscrite au barreau de Genève, spécialisée dans le droit règlementaire, le droit des sociétés, le droit contractuel et la protection des données (y compris RGPD). Elle conseille dans ce cadre des banques et établissements financiers, y compris des FinTech et plateformes de crowdfunding, ainsi que des sociétés commerciales. Elle est certifiée CIPP/E et CIPM.