L’utilisation de solutions digitales par les GFIQuestions juridiques pratiques

L’utilisation de solutions digitales par les GFI
Questions juridiques pratiques

mai 16, 2021 Non Par Invité(e)s

Deborah Lechtman
Associée junior au sein de l’étude OA LEGAL
Avocate inscrite au barreau de Genève

Le modèle traditionnel de la gestion de fortune est bouleversé par l’essor de la technologie et l’arrivée notamment de solutions technologiques en lien avec l’onboarding et la conformité règlementaire (« RegTech »). Les solutions digitales proposées par des RegTech ou autres prestataires, telles que les solutions d’onboarding digital de clients (établissement de relations avec les clients via des canaux numériques1) ou leur suivi, attirent les GFI (Gérants de fortune indépendants) dans la mesure où elles sont de plus en plus abordables, automatisent certains processus et aspirent à améliorer leur organisation.
L’utilisation de telles solutions intervient dans un cadre règlementaire applicable aux GFI. Cet article vise à apporter des réponses à certaines questions pratiques sélectionnées en matière d’utilisation de solutions digitales par les GFI et d’externalisation de tâches (outsourcing), en particulier liés à la Loi sur les établissements financiers (« LEFin ») et son Ordonnance (« OEFin »)2.

Délégation d’une tâche essentielle

La LEFin et l’OEFin imposent certaines obligations aux GFI en cas de délégation de l’exécution d’une tâche dite « essentielle » à un tiers (outsourcing)3.
Une tâche est essentielle pour un GFI si elle concerne la gestion de portefeuilles individuels, le conseil en placement, l’analyse de portefeuille ou l’offre d’instruments financiers. L’on peut aussi citer la délégation de la fonction compliance / gestion des risques ou l’externalisation de systèmes de traitement des données contenant des données relatives aux clients. Cette notion ne couvre en principe pas l’externalisation de la comptabilité, l’hébergement de sites internet ne contenant pas de données relatives aux clients et la maintenance (y compris à distance) des systèmes internes de traitement des données4.
Comprendre l’étendue des obligations imposées aux GFI en matière de délégation doit être analysé au cas par cas, avec une attention accrue lorsque la solution traite des données de clients car les GFI demeurent responsables du respect de leurs obligations prudentielles et doivent veiller à préserver les intérêts de leurs clients.
Il convient de souligner que les GFI doivent fixer les tâches essentielles déléguées ainsi que les possibilités de sous-délégation dans leurs principes organisations (i.e. règlement d’organisation).

Sélectionner, instruire et surveiller

Les GFI doivent sélectionner leurs délégataires de tâches essentielles avec soin dans la mesure où ces derniers doivent disposer en particulier des capacités, des connaissances et de l’expérience requises par leur activité et des autorisations nécessaires à celle-ci. Ceci implique d’établir une liste d’exigences et de conduire une due diligence sur le prestataire concerné. En matière de solutions digitales, cette vérification doit inclure la sécurité des données. A cette fin, les GFI peuvent par exemple s’appuyer sur l’utilisation de normes reconnues telles que la famille des normes ISO/IEC 27000.
Parmi les autres obligations des GFI figurent celles d’instruire et de surveiller leurs délégataires avec soin et de s’assurer que la délégation ne porte pas atteinte à l’adéquation de leur organisation, par exemple si le GFI ne dispose pas du droit de donner des instructions au tiers et de le contrôler.

Contrat de délégation

La conclusion d’un contrat de délégation conforme à l’art. 17 OEFin, soit en la forme écrite ou sous toute autre forme permettant d’établir la preuve par un texte des tâches (essentielles) déléguées, est un élément essentiel de la délégation. Le contrat doit notamment régler les compétences et responsabilités des parties, les éventuelles possibilités de sous-délégation et l’obligation de rendre compte. La délégation doit être conçue de sorte à ce que le GFI, l’organe de révision interne, la société d’audit et la FINMA puissent suivre et contrôler l’exécution de la tâche déléguée.
Suite à l’entrée en vigueur de la LEFin/OEFin et l’assujettissement des GFI à autorisation de l’Autorité fédérale de surveillance des marchés (FINMA), ceux-ci tombent (ou tomberont dès la fin du délai transitoire) dans le champ d’application de la Loi sur la surveillance des marchés (« LFINMA ») qui impose aux assujettis et leurs sociétés d’audit de renseigner sans délai la FINMA sur tout fait important d’un point de vue de la surveillance5. Parmi ces évènements figurent les cyberattaques6 qui doivent (ou devront) en principe être annoncés à la FINMA. Dès lors, il est recommandé de régler les points liés à ces communications par le délégataire directement dans le contrat de délégation.
Enfin, si des données personnelles, tels que les noms de clients, leurs adresses et comptes bancaires sont transférées et traitées par le prestataire, les GFI doivent prêter attention aux dispositions applicables à la sous-traitance du traitement de données personnelles et intégrer les clauses nécessaires dans le cadre du contrat de délégation.

Conclusion

Les exigences susmentionnées sont déjà connues des gérants de placements collectifs, mais encore peu connues des GFI. En outre, il est parfois compliqué d’imposer des exigences contractuelles lorsque les prestataires fournissant des solutions « IT » disposent de leurs propres contrats et/ou conditions générales. Cela étant, il est important de respecter le nouveau cadre réglementaire avant l’expiration du délai transitoire et dès le moment de la requête en autorisation.

1 Définition donnée par le Conseil fédéral dans son rapport sur l’utilisation de technologies innovantes dans le domaine de la surveillance et de la réglementation des marchés financiers du 27 juin 2018 (le « Rapport ») (p. 20).
2 Voir art. 14 et 19 LEFin et art. 15 à 17 OEFin. Les dispositions de la LEFin/OEFin sont applicables immédiatement aux GFI créés et actifs dès le 1er janvier 2020 ; les GFI existants et actifs avant le 1er janvier 2020 bénéficient d’un délai transitoire qui échoit le 31 décembre 2022.
3 Il est précisé qu’il est interdit de déléguer les tâches dont l’exécution incombe à l’organe responsable de la gestion ou à la haute direction, la surveillance et le contrôle (art. 16 al. 1 LEFin).
4 Commentaire de l’Ordonnance sur les établissements financiers (OEFin) du 6 novembre 2019 ad art. 15, p. 88.
Art. 29 al. 2 LFINMA.
5 Communication de la FINMA sur la surveillance 05/2020 – Obligation de signaler les cyberattaques selon l’art. 29 al. 2 LFINMA.
6 Voir 10a LPD (voir nouveau art. 9 de la LPD révisée) et Art. 28-29 RGPD si ce règlement est applicable.

Deborah Lechtman
Deborah Lechtman, associée junior au sein de l’étude OA LEGAL, est avocate inscrite au barreau de Genève, spécialisée dans le droit règlementaire, le droit des sociétés, le droit contractuel et la protection des données (y compris RGPD). Elle conseille dans ce cadre des banques et établissements financiers, y compris des FinTech et plateformes de crowdfunding, ainsi que des sociétés commerciales. Elle est certifiée CIPP/E et CIPM.