Protection des données
La BCBE est consciente de sa responsabilité en matière de gestion des données. Elle protège la sphère privée des personnes dont elle traite les données et révèle de quelle manière et dans quel but elle les traite.
Pertinence du thème
Les violations des dispositions relatives à la protection des données, en particulier la divulgation de données personnelles à des personnes non autorisées, peuvent causer des préjudices importants aux personnes concernées. C’est pourquoi les banques accordent une grande importance à la protection des données et à la sécurité des informations. Des normes élevées quant aux mesures de sécurité techniques et organisationnelles doivent être appliquées tant au sein de l’infrastructure de l’entreprise que chez les prestataires de services afin de réduire les risques notamment de cyberattaques, d’erreurs humaines ou d’actes malveillants.
Le non-respect des exigences légales en matière de protection des données peut exposer les banques à des risques de compliance et de réputation. En revanche, une banque peut renforcer la confiance de la clientèle en respectant les exigences en matière de protection des données et en faisant preuve de transparence lorsqu’elle traite des données et en cas de violation de la protection des données. De plus, elle a la possibilité de mettre en place des mesures afin d’empêcher ce genre d’incidents, d’y remédier et de faire en sorte qu’ils ne se reproduisent pas.
Concepts, mesures et activités
La BCBE tient à gérer les données et les informations de manière soigneuse. Le code de conduite de la BCBE contient dès lors un certain nombre de principes en la matière. La banque accorde la plus haute importance à ce que toutes les informations à caractère personnel soient traitées conformément aux règles en vigueur en matière de protection des données. Cela englobe non seulement le respect des prescriptions légales, mais aussi la mise en œuvre de mesures de sécurité de pointe dans le but de réduire au minimum les risques.
Le secret bancaire sert à protéger la clientèle contre tout accès non autorisé aux informations sur sa relation bancaire. La directive de la BCBE relative à la protection des données règle par ailleurs le respect des dispositions en matière de protection des données et définit la gestion des données à caractère personnel et des données client ainsi que les principes régissant le traitement des données. Elle établit aussi la gouvernance des données en matière de protection des données au sein de la structure organisationnelle de la BCBE et définit des structures d’escalade claires en cas de violation du secret bancaire, de la protection des données ou de l’obligation de garder le secret au regard de la loi fédérale sur la prévoyance professionnelle vieillesse, survivants et invalidité (LPP).
Des formations internes, dont la formation en ligne « Formation à la protection des données », présentent les bases de la loi sur la protection des données à l’ensemble du personnel. De plus, le conseiller à la protection des données dispense à divers services spécialisés des formations spécifiques à leurs activités en relation avec le traitement de données. La formation « Sécurité de l’information » est axée sur la gestion sûre des données physiques et électroniques de la clientèle. En outre, le personnel est régulièrement sensibilisé à l’utilisation sécurisée des moyens de communication électroniques.
Le conseiller à la protection des données, qui est rattaché au Service juridique de la BCBE, est l’interlocuteur privilégié pour toute demande interne ou externe en lien avec la protection des données. Les signalements de cas de violation de la protection des données lui sont aussi adressés. Les clientes et clients et les instances externes peuvent trouver ses coordonnées dans la déclaration de protection des données. Pour les entités internes, les coordonnées figurent également sur intranet et dans la directive sur la protection des données.
Sécurité de l’information
La gestion de la sécurité de l’information (ISMS) de la BCBE se fonde sur des normes établies (série de normes ISO/IEC 2700x). La banque veille au respect des directives ISMS relatives à la protection des données client en prenant des mesures de sécurité techniques et organisationnelles (cryptage des données, contrôles d’accès, journalisation des incidents de sécurité, campagnes de sensibilisation, etc.). En outre, la BCBE réalise régulièrement des audits de sécurité et des tests de pénétration afin de garantir la sécurité technique de ses infrastructures et systèmes informatiques. Ceux-ci font l’objet de vérifications régulières et automatiques afin d’en identifier les points faibles.
Par ailleurs, le secteur Gestion des risques consigne dans ses rapports les principaux résultats concernant le respect de la tolérance au risque et des indicateurs de risque en matière de sécurité de l’information et, notamment, de confidentialité des données client.
La BCBE s’assure, au travers d’audits internes et externes, que les lois et les exigences des autorités de surveillance sont appliquées. Dans le cadre d’un examen prudentiel annuel, la société d’audit examine périodiquement la « gestion des risques liés aux technologies de l’information et de la communication (TIC) », la « gestion des cyberrisques », la « gestion des risques des données critiques », la « business continuity management (BCM) » et la « résilience opérationnelle » notamment. Aucun incident impliquant des données client n’a été constaté lors de ces audits. Tout élément identifié comme pouvant être amélioré l’est sans délai en fonction des risques.
Objectifs et chiffres-clés
La BCBE entend prévenir toute violation de la protection des données à caractère personnel et des données client ou la perte de telles données.
Au cours de l’exercice sous revue (tout comme durant l’exercice précédent), aucune plainte fondée des autorités de surveillance n’a été reçue en relation avec une violation de la protection de données à caractère personnel ou de données client ou la perte de telles données.