Dans le langage courant, on comprend par « outsourcing » (sous-traitance) l'externalisation des tâches et structures d'une entreprise à des prestataires externes ou internes.
Pour l'activité des banques suisses, l'autorité fédérale de surveillance des marchés financiers (FINMA) a précisé davantage le concept de l'outsourcing dans le cadre d'une circulaire. Il y a outsourcing (externalisation d'activités) au sens de la circulaire 2008/7 « Outsourcing banques » de la FINMA lorsqu'une banque charge une autre entreprise (le délégataire) d'assurer de manière durable une prestation de services essentielle à l'activité de la banque. Au sens de cette circulaire, sont « essentielles » les prestations de services qui peuvent en particulier avoir un effet sur la détermination, la limitation et le contrôle des risques centraux pour la banque. D'après la circulaire, en font partie les risques liés au marché, les risques de crédit, les risques liés au manque de liquidités, les risques susceptibles de ternir la réputation de la banque, ainsi que les risques opérationnels et juridiques.
L'autorité fédérale de surveillance des marchés financiers (FINMA) est une institution de droit public dotée de sa propre personnalité juridique. Elle est responsable de l'exécution de la Loi sur la surveillance des marchés financiers (LFINMA) et des différentes lois sur les marchés financiers en vigueur en Suisse. En tant qu'autorité de surveillance indépendante, la FINMA s'engage pour la protection des créanciers, des investisseurs et des assurés ainsi que pour celle du bon fonctionnement des marchés financiers.
En sa qualité d'autorité de surveillance, la FINMA surveille entre autres l'activité de tous les établissements financiers autorisés en tant que banques en Suisse. La FINMA est habilitée par la loi à émettre notamment par voie de circulaire des précisions sur l'activité des établissements qu'elle surveille. En ce qui concerne « l'outsourcing » et la « protection des données de clients en masse », la FINMA a émis deux circulaires que les banques soumises à surveillance sont tenues de respecter (voir aussi ci-dessus la réponse à la question 1 et ci-dessous la réponse à la question 5).
En règle générale, l'externalisation de certaines activités dans le cadre de solutions d'outsourcing est permise aux banques suisses telles que Cembra Money Bank sans autorisation de la FINMA. Pour qu'une telle solution d'outsourcing soit et reste permise, la banque qui pratique l'externalisation doit à tout moment respecter les dispositions légales et réglementaires applicables, c'est-à-dire, en ce qui concerne la protection des données des clients, notamment les dispositions de la loi sur la protection des données et les dispositions réglementaires spécifiques aux banques. En ce qui concerne les dispositions réglementaires, la banque qui pratique l'externalisation doit notamment définir précisément l'activité qu'elle entend externaliser. De plus, les délégataires doivent être sélectionnés, instruits et contrôlés soigneusement.
Non. Une banque suisse ne peut pas se soustraire à ses responsabilités en externalisant certaines activités à des délégataires, notamment en matière de traitement légal et sûr des données des clients.
La circulaire 2008/7 de la FINMA prévoit expressément que la banque qui pratique l'externalisation reste responsable vis-à-vis de la FINMA de l'activité externalisée. L'entreprise est responsable des activités externalisées vis-à-vis de la FINMA comme si elle les exerçait elle-même. À tout moment, la banque reste intégralement responsable vis-à-vis de ses clients du respect des dispositions contractuelles, légales et réglementaires correspondantes.
Dans le cadre des circulaires de la FINMA (voir ci-dessus la réponse à la question 2), les données des clients sont les données personnelles de personnes physiques (« clients privés ») dont les relations commerciales sont administrées ou gérées en Suisse ou depuis la Suisse. Les données personnelles sont toutes les données qui concernent une personne déterminée ou déterminable, telles que définies à l'article 3, lettre a) de la loi sur la protection des données. Pour les clientes ou clients de Cembra Money Bank, les informations suivantes font notamment partie des données personnelles protégées : nom, adresse(s), date de naissance, état civil, titre, signature, numéro(s) de téléphone, numéro de client, numéro de compte/dépôt, numéro(s) de carte de crédit.
En tant que banque suisse, Cembra Money Bank est soumise à la surveillance de la FINMA. Dans ce cadre, Cembra Money Bank met en œuvre toutes les prescriptions de la FINMA dans le cadre de l'organisation de ses activités commerciales. Les circulaires susmentionnées concernant « l'outsourcing » et la « protection des données de clients en masse » sont particulièrement importantes pour Cembra Money Bank.
Dans le domaine de l'outsourcing et de la protection des données de clients, Cembra Money Bank a émis de nombreuses directives internes qui précisent davantage les dispositions légales et réglementaires, notamment celles de la FINMA, pour la banque et son activité commerciale, tout comme pour les délégataires concernés. Cembra Money Bank a pris des mesures de grande envergure en matière de technologie, de personnel et d'organisation, selon l'état actuel de la technique, pour respecter les directives et les dispositions réglementaires. Le respect des directives est imposé de manière stricte au niveau interne.
De plus, dans ses contrats d'outsourcing, Cembra Money Bank oblige ses cocontractants à respecter également les normes et les mesures de protection applicables à la banque en Suisse en matière de protection des données, ce que la banque peut vérifier à tout moment sur place auprès des partenaires en question.
Par ailleurs, les réviseurs internes et externes examinent régulièrement les mesures adoptées par Cembra Money Bank. Le fait qu'il n'y a jamais eu de fuites de données par le passé dans le cadre des solutions d'outsourcing de Cembra Money Bank prouve que la banque dispose d'une gestion des risques et de la sécurité informatique efficace pour surveiller et contrôler ses délégataires et que les données des clients font l'objet d'une protection complète.