|
Accueil / Home | |||
| Chercher / Search |
| Mensuel : | Edition de mars 2008 |
| Rubrique : | Fonds d'investissement/Finance |
| Titre : | Secret Bancaire : de nouveaux défis ? |
| Article : | Depuis ces dernières années, la concurrence, les évolutions technologiques ainsi que les nouveautés législatives et réglementaires luxembourgeoises imposent aux banques de s’adapter rapidement à cet enjeu déterminant de conservation du secret bancaire.
Alors que cette problématique demeure la même qu’autrefois, des mutations successives des environnements de contrôle bancaires (internes et externes) pourraient laisser la porte ouverte à certaines faiblesses ou failles dans les systèmes de contrôle qui pourraient le cas échéant être exploitées, et par la même occasion ainsi compromettre l’image et la réputation jusqu’ici rassurantes de la place financière luxembourgeoise en la matière. Il est donc déterminant que les banques au Luxembourg s’interrogent sur les mesures prises en matière de protection du secret bancaire actuellement mises en place et évaluent régulièrement si celles-ci sont (et restent) adéquates face aux nouveaux enjeux et à l’évolution des moyens mis en œuvre pour y répondre. Le secret bancaire: une lourde responsabilité pour les banques et leurs employés A côté de certains autres pays, le Luxembourg jouit d’un statut particulier en Europe en ce qui concerne le secret bancaire. Celui-ci fait partie d’une législation associée plus généralement au secret professionnel. L’article 458 du code pénal luxembourgeois punit la violation de tout secret professionnel et définit le régime du témoignage en justice. Pour rappel, une punition maximale d’un emprisonnement de six mois et d’une amende de 5.000 Eur est encourue par le contrevenant. Plus particulièrement, l’article 41 de la loi du 5 avril 1993 sur le secteur financier oblige les banques au respect du secret bancaire. Les banques ont donc une obligation de discrétion envers toute information confiée par leurs clients. Toute défaillance est soumise à une sanction pénale: le secret bancaire interdit à toute personne employée par une banque de divulguer des informations relatives aux clients de cette dernière, quel que soit le support informationnel utilisé. Concrètement, cette définition s’applique à l’ensemble des professionnels du secteur financier (PSF) et touche à l’ensemble des activités d’une banque, y compris celles se rapportant aux Organismes de Placement Collectif (OPC). Selon une étude française de la Commission Nationale de l’Informatique et des Libertés (CNIL), les données détenues par les banques sur leurs clients sont assez nombreuses et variées, notamment celles-ci: - Identité, - Historique des opérations effectuées sur le compte, - Données relatives aux risques enregistrés pour évaluer des demandes de crédit, - Données en provenance de fichiers tiers (le fichier central de la Banque de France), et - Entretiens avec le conseiller clientèle pour certaines banques. Très clairement, les activités bancaires les plus concernées à Luxembourg par le secret bancaire sont les suivantes: - La gestion de fortune (ou Private Banking): les banques gèrent les actifs de clients internationaux. Le Luxembourg est devenu un centre international d’excellence en matière de gestion patrimoniale. - La gestion de placements collectifs par les OPC: le secret bancaire intervient principalement au niveau de l’agent de transfert (tenue du registre des souscriptions/rachats). Le secret bancaire impose donc aux banques des responsabilités importantes, pour lesquelles des solutions locales doivent être déployées, le cas échéant sans le support de la maison mère, très souvent peu familière avec cette particularité. D’autant plus que le secret bancaire est régulièrement source de tensions entre entité luxembourgeoise et maison mère, puisque la tendance depuis plusieurs années est de centraliser les activités informatiques au sein d’un centre de compétence, pas forcément localisé au Luxembourg, ce qui pose quelques difficultés par rapport au secret bancaire et la possibilité d’accès et de maintenance d’informations sensibles en dehors du territoire national. Or, il est entendu qu’en cas de divulgation d’informations sensibles, la banque s’expose au risque de perte importante de notoriété et de réputation sur la place financière luxembourgeoise, voire même l’interdiction temporaire ou définitive d’exercer son activité, sans parler des inculpations judiciaires à charge des contrevenants qui résulteraient de tels faits. Protéger le secret bancaire: une tâche ardue La définition du secret bancaire est relativement simple et synthétique en soi. Pourtant, élaborer des mesures de protection appropriées, les mettre en œuvre et contrôler leurs applications correctes et régulières s’avèrent compliqués, et ceci pour plusieurs raisons. L’emploi massif de la fonction informatique La banque bénéficie de manière régulière des nouvelles technologies sur le plan opérationnel, ce qui garantit des gains de productivité (volume de transactions) et une facilité dans l’automatisation des contrôles. En contrepartie, la maîtrise sur la duplicité des informations sous gestion et la redondance de ces données dans divers environnements (notamment la duplication des systèmes informatiques pour garantir la continuité des activités, multiples sauvegardes informatiques, numérisation des documents papier) peuvent apparaître comme un réel soucis. Par ailleurs, l’accès à distance offert aux clients quant à la possibilité de consulter leurs comptes et de passer des ordres grâce aux services d’e-Banking est susceptible de générer une recrudescence du "cyber-crime" avec le passage d’attaques isolées vers le crime organisé, bien plus difficile à contrer. Quelques banques en partenariat avec l’Association des Banques et Banquiers du Luxembourg (ABBL) ont décidé de réagir en créant des groupes de travail, et en se mettant en liaison avec les communautés bancaires internationales. La complexité de l’environnement informatique La diversité des activités (salles des marchés, gestion discrétionnaire, crédits, activités OPC, etc.) associée à des besoins spécifiques engendre une multiplicité des systèmes informatiques et des moyens d’interfaçage. La communication de l’information entre les systèmes informatiques nécessite une attention particulière. Les fusions entre banques accentuent parfois cette complexité par la cohabitation d’applications utilisées pour les mêmes activités. De plus, les applications bancaires sont elles-mêmes devenues plus complexes, notamment pour répondre aux nouvelles contraintes réglementaires (reporting IFRS, directive Mifid, accords de Bâle II, reporting "finrep/corep" par exemple). Ainsi, la qualité de la sécurité informatique, de la gestion des accès physiques et logiques, du paramétrage des systèmes, de la gestion des changements, de la protection des données transitées au moyen d’interfaces, de l’accès aux supports de sauvegardes, des accès privilégiés par le personnel du département informatique sont autant de domaines à risque susceptibles d’être exploités à des fins non approuvées. L’ouverture des banques A l’image du monde informatique qui a vu le passage de l’ordinateur individuel ("Personal Computer" ou PC) vers la sphère Internet (International Network), la banque a ouvert ses frontières et par conséquent n’évolue plus dans un environnement clos. Progressivement, la place financière luxembourgeoise s’est hissée au deuxième rang des centres internationaux de fonds d’investissement, après les Etats-Unis. Elle est de loin le numéro un en Europe. Les banques ont donc développé de nombreux services pour les activités liées aux fonds d’investissement, ce qui nécessite de nombreuses interactions avec le monde des OPC (promoteurs, distributeurs, banques dépositaires, banques correspondantes, agents de transfert, réviseurs, intermédiaires, etc.). Force est de constater que les banques maintiennent généralement une relation privilégiée avec leur maison mère, et communiquent des données financières dans le cadre du reporting consolidé et de la mesure de la performance. On observe d’autre part le regroupement d’activités au sein du groupe bancaire par centres de compétences internationaux, et parfois la mise en place d’infrastructures informatiques communes dans un but d’économie, (par exemple pour la récupération des prix dans le contexte de la valorisation des titres). L’émergence de SWIFT comme principal réseau international de messagerie utilisé dans le domaine bancaire (notamment pour les transferts effectués entre les établissements financiers) n’a fait qu’accroître ce constat. Les messages SWIFT requièrent des données confidentielles telles que le nom et l’adresse du destinataire et du donneur d’ordre ainsi que le montant. Or, la presse américaine a révélé le 23 juin 2006 l’existence d’un programme de surveillance des transactions bancaires internationales, mis en place par la CIA peu après les attentats du 11 septembre 2001. La CIA et le département du Trésor américain bénéficieraient d’un accès, depuis des années, à des millions de données transitant par le réseau Swift. Par ailleurs, les banques ont depuis le 2 août 2003 la possibilité d’externaliser des activités informatiques auprès de prestataires IT disposant du statut de Professionnel du Secteur Financier (PSF), diffusant ainsi certaines informations éventuellement confidentielles. Le législateur a créé un statut particulier pour les sous-traitants informatiques: les Prestataires de Services Financiers de Support. Ces prestataires, plus communément appelés PSF/S, IT PSF ou PSF connexes, peuvent être classés selon la typologie suivante: - Les opérateurs de systèmes informatiques et de réseaux de communication: les services offerts comprennent la gestion des infrastructures informatiques, l’exploitation et la maintenance des applications, ainsi que les services d’assistance technique et de maintenance - des services de préservation de la continuité de l’exploitation sont également généralement proposés ; - Les agents de communication à la clientèle proposent une offre de gestion et de traitement des données financières - les prestations proposées sont diverses et variées: de la solution d’impression en passant par des systèmes d’archivage ou l’envoi de courriels et de télécopies à des fins de traitement des transactions ; et - Les agents administratifs et professionnels exerçant des services de création et de gestion des sociétés peuvent fournir des services d’immatriculation et d’administration pour les entités réglementées. Enfin, les clients disposent d’un large éventail de moyens de communication avec leur banquier: présence physique aux guichets, conversations téléphoniques, communications par fax, envois de courriels, e-banking. Un certain nombre d’informations propres à chacun de ces canaux est stocké au sein de la banque (caméras vidéo, enregistrement des conversations téléphoniques, stockage des fax, photocopies enregistrées dans les disques durs des photocopieurs, documentation papier, documents numérisés, etc.). Cette ouverture a pour conséquence une multiplication des risques de divulgation potentielle d’informations confidentielles. Les risques inhérents aux ressources humaines Plusieurs motifs peuvent pousser un employé à la faute: volonté de nuire ou de gagner de l’argent, simple erreur, etc. De nombreux employés des banques franchissent les frontières chaque jour et les possibilités de télétravail conduisent à une délocalisation de certaines tâches, parfois à l’étranger. Il est particulièrement difficile de maîtriser l’humain: la confiance envers les employés a ses limites et développer des mesures de contrôle efficaces n’est pas chose aisée. De nouveaux défis Le nouvel environnement pose de nouveaux défis aux banques en matière de protection du secret bancaire: Définir ou clarifier les responsabilités afin d’assurer une approche structurée Alors que les noms des personnes exerçant certaines fonctions au sein de la banque doivent être indiqués à la Commission de Surveillance du Secteur Financier (CSSF), il n’existe pas aujourd’hui de fonction officielle pour la gestion du secret bancaire. Le comité de direction et le management de la banque sont responsables de la gestion des risques, et devraient par conséquent considérer ceux relatifs au secret bancaire dans les démarches de gestion des risques ("risk management"). L’enjeu est de disposer d’une fonction située à un niveau organisationnel intermédiaire, chargée de coordonner les différentes composantes du contrôle interne qui vont permettre in fine d’assurer la protection du secret bancaire. Comprendre les flux d’informations, et assurer un niveau de protection égal à chaque maillon de la chaîne Les informations confidentielles sont véhiculées au travers des processus de la banque, ce qui signifie qu’un nombre conséquent d’activités sont concernées. Il convient dès lors de sensibiliser les employés de l’ensemble des départements impliqués et d’assurer la mise en place de contrôles à différents niveaux. Exiger des garanties de la part des partenaires Les relations avec les partenaires doivent être de confiance. Par exemple, pour les prestataires IT, il ne s’agit pas uniquement de disposer de contrats de services répondant aux exigences de la Commission de Surveillance du Secteur Financier. Ceux-ci se doivent de démontrer leur maîtrise en matière de protection des informations. Dans ce contexte, une évaluation des contrôles en place par une société externe et/ou une certification en sécurité informatique sont des critères à considérer, au-delà même des exigences de qualité des prestations. Intégrer la dimension humaine dans la démarche de contrôle Il ne suffit pas de sensibiliser les employés de la banque au secret bancaire, même si cette étape est évidemment nécessaire. La banque doit mettre en place des mesures appropriées visant à limiter les risques de pertes de données, qu’elles soient informatisées ou sous forme de document papier. La dimension humaine doit être gérée avec précaution: responsabiliser le personnel en ménageant les susceptibilités, créer un climat de confiance en gérant efficacement les conflits, définir des règles internes en ligne avec les exigences mais avec suffisamment de souplesse. S’adapter rapidement aux contraintes externes en évitant les brèches Les nouvelles réglementations apportent parfois de nouvelles contraintes en matière de secret bancaire. La loi luxembourgeoise du 2 août 2002, qui transpose la directive européenne 95/46 du 24 octobre 1995 sur la protection des données, vise à protéger la vie privée des personnes physiques et les intérêts des personnes morales, à l’égard du traitement de leurs données personnelles par des tiers. Cette loi a des implications directes sur la protection des données. Les nouvelles technologies contribuent au maintien de la compétitivité mais apportent des risques supplémentaires, qu’il convient de traiter lors de la mise en place de toute nouvelle solution informatisée (gestion des changements). Les changements organisationnels sont source de cumul des accès informatiques, pouvant conduire à l’échec du principe de séparation des fonctions. Les procédures de gestion des accès doivent être strictes en la matière. La bonne gestion du secret bancaire: un atout essentiel Il est essentiel que les banques se posent au plus tôt les bonnes questions, en considérant les facteurs de complexité et les défis à relever, et s’assurent que les mesures préventives de contrôle répondent aux enjeux. La bonne image de la place financière luxembourgeoise en dépend. En outre, le secret bancaire demeure un facteur de croissance pour divers secteurs et pas uniquement financiers. Les maisons mères devraient être tentées de localiser des centres de compétences au Luxembourg, afin de bénéficier de l’environnement de contrôle mis en place dans le contexte du secret bancaire. Plus particulièrement, les banques implantées au Luxembourg disposent d’un argumentaire pour l’hébergement de systèmes informatiques utilisés par d’autres entités du groupe. Les prestataires IT de support ont également beaucoup à gagner, s’ils parviennent à démontrer un haut niveau de sécurité informatique. La protection des données confidentielles n’est pas uniquement liée au secret bancaire mais devrait être un critère de sélection par les clients des banques, de manière générale. Pierre Weimerskirch (cf. photo), Associé, Financial Services, Ernst & Young Luxembourg Olivier Leonard, Manager, Technology & Security Risk Services, Ernst & Young Luxembourg |
Retour début de page