Généralités

Protection des données

La BCBE est consciente de sa responsabilité en matière de gestion des données. Elle protège la sphère privée des personnes dont elle traite les données et révèle de quelle manière et dans quel but elle les traite.

Pertinence du thème

La protection des données revêt une grande importance pour les banques, car les dommages résultant de sa violation touchent en premier lieu les personnes concernées. C’est pourquoi il incombe aux banques de veiller à la sécurité des données de la clientèle, ainsi qu’aux données conservées ou traitées par les prestataires de la banque. En leur sein, les banques peuvent faire en sorte d’améliorer la cybersécurité en mettant en place des processus efficaces qui réduisent au minimum les risques de piratages, d’erreurs humaines ou d’actes de malveillance.

La protection des données présentant une importance cruciale sur le plan réglementaire mais aussi pour la clientèle, les banques s’exposent à des risques de compliance et de réputation en cas de violation de la protection des données. En revanche, une banque peut renforcer la confiance que sa clientèle place en elle en adoptant une gestion transparente des questions de protection des données.

Concepts, mesures et activités

La BCBE tient à pratiquer une gestion soigneuse des données et des informations. Le code de conduite de la BCBE contient un certain nombre de principes en la matière. La banque accorde la plus haute importance à ce que toutes les informations à caractère personnel soient traitées conformément aux règles en vigueur en matière de protection des données. Cela n’englobe pas seulement le respect des prescriptions légales, mais aussi la mise en œuvre de mesures de sécurité de pointe dans le but de réduire au minimum les risques potentiels.

Le secret bancaire sert à protéger la clientèle contre tout accès non autorisé aux informations sur sa relation bancaire. La directive de la BCBE relative à la protection des données prévoit des dispositions relevant du droit de la protection des données et définit la gestion des données à caractère personnel et des données client ainsi que les principes régissant le traitement des données. Elle établit aussi la gouvernance des données en matière de protection des données au sein de la structure organisationnelle de la BCBE et définit des structures d’escalade claires en cas de violation du secret bancaire, de la protection des données ou de l’obligation de garder le secret.

Des formations internes, dont la formation en ligne « Formation à la protection des données », présentent les bases de la nouvelle loi sur la protection des données à l’ensemble du personnel. Parallèlement, divers services spécialisés suivent des formations spécifiques à leurs activités en relation avec le traitement de données. La formation « Sécurité de l’information » est axée sur la gestion sûre des données électroniques de la clientèle. En outre, le personnel est régulièrement sensibilisé à l’utilisation des moyens de communication électroniques en toute sécurité.

Le conseiller à la protection des données, qui dépend du Service juridique de la BCBE, est l’interlocuteur privilégié pour toute demande interne ou externe en lien avec la protection des données. Les signalements de violations de la protection des données lui sont aussi adressés. Les clientes et clients et les instances externes peuvent trouver ses coordonnées dans la déclaration de protection des données, les membres du personnel, sur intranet et dans la directive sur la protection des données.

La gestion de la sécurité de l’information de la BCBE se fonde sur des normes établies (série de normes ISO/IEC 27000). La banque veille au respect des directives relatives à la protection des données client par des mesures de sécurité techniques et organisationnelles (cryptage des données, contrôles d’accès, journalisation des incidents de sécurité ou campagnes de sensibilisation, par exemple). En outre, la BCBE réalise régulièrement des audits de sécurité et des tests de pénétration afin de garantir la sécurité technique de ses systèmes informatiques. Ceux-ci font l’objet de vérifications périodiques et automatiques afin d'en identifier les points faibles.

Par ailleurs, le secteur Gestion des risques consigne dans ses rapports les principaux résultats concernant le respect de la tolérance au risque et des indicateurs de risque en matière de sécurité de l’information et de confidentialité des données client.

Enfin, la BCBE s’assure, au travers d’audits internes et externes, que les lois et les exigences de l’autorité de surveillance sont appliquées. Dans le cadre d’un examen prudentiel annuel, la société d’audit examine au moyen d’une couverture graduelle sur six ans, entre autres, le domaine de l’informatique, y compris le traitement des données électroniques de la clientèle. Aucun incident impliquant des données client n’a été constaté lors de ces audits. Tout élément identifié comme pouvant être amélioré l’est sans délai.

Objectifs et chiffres-clés

La BCBE entend prévenir toute violation de la protection des données à caractère personnel et des données client ou la perte de telles données.

Au cours de l’exercice sous revue (tout comme durant l’exercice précédent), aucune plainte fondée n’a été reçue en relation avec une violation de la protection des données à caractère personnel ou des données clients ou la perte de telles données.