Accéder au contenu principal
ASC
Demander une démo
Blog

Autorité fédérale de surveillance des marchés financiers (FINMA) : exigences, obligations d'enregistrement et gouvernance de l'IA pour les établissements financiers

Conformité, Services financiers

Comment les banques et les sociétés d'investissement en Suisse pourront se conformer aux exigences de la FINMA, de la nLPD et de la LSFin en 2025 et mettre en place un système d'enregistrement et d'archivage des communications financières pérenne.

Aperçu

Porträt von Stephan Bütler, Managing Director ASC Switzerland
Stefan A. Bütler
Managing Director ASC Schweiz AG

Depuis plusieurs années, Stephan A. Bütler est directeur général d'ASC Suisse SA, une filiale de la société internationale ASC Technologies AG. Il s'occupe depuis longtemps de solutions d'enregistrement de conformité pour les places financières en Suisse et dans la Principauté du Liechtenstein afin de garantir le respect des exigences légales en vigueur.

Autorité fédérale de surveillance des marchés financiers FINMA : cadre, missions et objectifs de la réglementation fédérale

Le secteur bancaire suisse jouit d'une excellente réputation et compte parmi les plus importants au monde. Mais en Suisse aussi, le secteur financier est l'un des domaines économiques les plus réglementés. La réglementation des marchés bancaires et financiers, et en particulier la sécurité de l'enregistrement et de l'archivage des communications financières, revêtent donc une grande importance. La réglementation constitue une base importante pour la gouvernance d'entreprise des institutions et renforce la confiance des créanciers et des investisseurs. 

La réglementation des banques, des assureurs ou encore des gestionnaires de fortune vise avant tout à protéger les clients et à garantir la sécurité et la stabilité du système financier. Si les principes fondamentaux sont inscrits dans la loi (p. ex. loi sur les banques, loi sur la surveillance des marchés financiers), leur contenu est précisé dans des ordonnances du Conseil fédéral (p. ex. ordonnance sur les banques). La loi sur les services financiers (LSFin) concrétise ces objectifs et réglemente la fourniture de services financiers. L'Autorité fédérale de surveillance des marchés financiers FINMA, dont le siège est à Berne, consigne sa pratique en matière de surveillance dans des circulaires, entre autres. L'autorégulation (directives, recommandations) du secteur financier lui-même vise également à protéger les investisseurs et les assurés. 

La surveillance des banques est assurée, pour leur compte, par des sociétés d'audit agissant en tant qu'organes de révision conformément à la loi sur les banques (système de surveillance dualiste). Afin de lutter contre le blanchiment d'argent, les accords d'initiés ou les fausses informations délibérées lors des entretiens de conseil, la preuve des ordres, des conseils et des décisions a été renforcée par la réglementation. Une solution centrale d'enregistrement de la conformité aide les établissements à mettre en œuvre ces exigences de manière efficace et conforme aux normes d'audit. 

Obligation d'enregistrement de la FINMA : communication, conservation et présentation des preuves

Cette réglementation de la FINMA comprend une obligation d'enregistrement électronique qui s'applique non seulement aux appels téléphoniques internes et externes sur réseau fixe, mais aussi aux appels mobiles, à la correspondance électronique, aux canaux de communication multimédia (SMS, chat) et aux informations de connexion associées. L'obligation d'enregistrement de la FINMA pour les communications fixes, mobiles et électroniques est inscrite dans la pratique de surveillance et les circulaires de la FINMA. 

Les enregistrements doivent être conservés sans modification pendant au moins deux ans pour les besoins de la FINMA. De nombreux établissements prolongent considérablement leurs délais afin de répondre aux exigences du droit civil ou du droit de la surveillance. L'utilisation de moyens de communication ne permettant pas d'assurer l'enregistrement n'est pas autorisée.  

Afin que ces enregistrements puissent servir de preuves en cas de litige, les exigences de l'ordonnance sur les livres de comptes (OLCo) doivent être prises en compte. Outre l'obligation d'enregistrement, il convient de respecter des exigences supplémentaires issues du système de contrôle interne (SCI), de la conformité interne, de la protection des données, de la protection des droits de la personnalité ainsi que des domaines de la formation et de l'entraînement. Une solution d'enregistrement conforme omnicanal (par exemple pour voix, vidéo, chat et e-mails) permet de mettre en œuvre de manière centralisée ces obligations d'enregistrement de la FINMA. 

Exigences de la FINMA concernant l'obligation d'enregistrement, de conservation et de protocole:

  • Respect des dispositions réglementaires et légales
  • Renforcement de la sécurité juridique et protection contre les réclamations injustifiées
  • Preuve d'une approche professionnelle et respect exhaustif de l'obligation d'information et d'explication
  • Traitement des commandes en deux étapes par confirmation du protocole ou accord explicite du client
  • Optimisation de la communication et des processus commerciaux
  • Preuve d'une gestion d'entreprise responsable

Protection des données : la nouvelle LPD et ses conséquences sur les enregistrements

La loi révisée sur la protection des données (nLPD) renforce les obligations d'information (transparence), consacre les principes de « Privacy by Design » et « Privacy by Default » et exige des analyses d'impact relatives à la protection des données (DPIA/DSFA) en cas de risque élevé. En pratique : les clients doivent être informés des enregistrements ; les systèmes doivent être conçus de manière à garantir la protection des données par défaut.  

  • Obligation d'information : informer de manière claire et compréhensible avant/après le début de l'enregistrement (également pour les appels à distance/mobiles).
  • Privacy by Design/Default : minimisation, concepts de suppression, rôles d'accès, journalisation. 
  • DPIA/DSFA : pour les configurations d'enregistrement/d'analyse présentant un risque potentiellement élevé (par exemple, analyse vocale/IA). 

Une plateforme d'analyse basée sur l'IA et un moteur de politique IA permettent de cartographier de manière structurée les exigences en matière de protection des données et de gouvernance. 

Gouvernance de l'IA dans le secteur financier : attentes de la FINMA et loi européenne sur l'IA

L'intelligence artificielle (IA) fait de plus en plus son entrée dans le monde financier. Par exemple dans la transcription d'entretiens de conseil, dans les analyses de conformité ou dans la gestion des risques. Dans sa communication 2024, la FINMA a pour la première fois formulé des attentes claires concernant l'utilisation de l'IA. À l'avenir, les établissements devront tenir un inventaire centralisé de tous les systèmes d'IA utilisés, les classer en fonction des risques et attribuer clairement les responsabilités. L'autorité de surveillance exige également des normes élevées en matière de qualité des données. L'exhaustivité, l'exactitude et la stabilité sont tout aussi importantes que la gestion des biais éventuels. À cela s'ajoutent une surveillance continue, des tests de dérive des modèles et des données, ainsi que des mécanismes de secours définis en cas de défaillance du système. L'explicabilité est également particulièrement soulignée : les modèles de type « boîte noire » sont considérés comme critiques, les résultats doivent être compréhensibles. Enfin, la FINMA attend un contrôle indépendant, par exemple par la « deuxième ligne de défense » dans la gestion des risques ou par des examens externes. 

Stephan A. Bütler:
«La question de l'IA en matière de réglementation est également très importante. L'utilisation de l'IA est en forte augmentation, mais elle ne peut se faire sans un strict respect des exigences légales. Toute personne qui utilise l'IA doit toujours avoir une longueur d'avance sur le plan réglementaire.» 

Ces exigences sont particulièrement pertinentes dans le domaine de l'enregistrement et de l'archivage : de nombreux établissements utilisent déjà des solutions basées sur l'IA pour la reconnaissance vocale et la reconnaissance de formes ou pour la transcription automatisée. À l'avenir, ces systèmes seront clairement soumis aux exigences de gouvernance de la FINMA : la transparence, la traçabilité et les contrôles documentés sont ici essentiels.  

Parallèlement à ces évolutions en Suisse, la réglementation progresse également en Europe. Avec l'EU AI Act, en vigueur depuis août 2024 et qui sera mis en œuvre progressivement jusqu'en 2027, l'UE crée pour la première fois un cadre juridique complet pour l'utilisation de l'IA. Les premières obligations sont déjà en vigueur depuis février 2025, et des exigences plus strictes pour les « systèmes à haut risque » suivront dans les années à venir. Les acteurs transfrontaliers doivent suivre de près ces évolutions. Vous trouverez un aperçu détaillé à ce sujet dans notre article de blog «L'IA Act de l'UE: Qu'est-ce que cela signifie pour la Suisse?».  

 «Grâce à notre expérience internationale et à notre savoir-faire approfondi, nous développons des solutions à la pointe de la technologie et de la réglementation. Nous savons ce qu'attendent les marchés et les autorités de surveillance.» 

FIDLEG 2025: la réponse suisse à MiFID II et MiFID III

L'enregistrement des communications vocales dans le secteur bancaire n'existe pas seulement en Suisse : en mai 2014, le Parlement européen a adopté un renforcement de la directive sur les marchés d'instruments financiers (MiFID II) afin de protéger les clients des banques. Avec cette réglementation très complexe, l'UE souhaite notamment mieux protéger les petits investisseurs et éliminer les conflits d'intérêts. Elle vise à rendre le système financier plus sûr, plus transparent et plus responsable. Depuis début 2017, les appels téléphoniques et les entretiens de conseil doivent être enregistrés dans tous les États membres de l'UE et de l'EEE, tant sur les réseaux fixes que mobiles.  

La réglementation européenne a également des répercussions en dehors de l'Union. Bien que la Suisse ne soit pas membre de l'UE, les établissements financiers locaux qui ont des clients dans l'UE ou qui y exercent des activités et ne souhaitent pas renoncer à leurs relations commerciales avec des clients européens n'ont d'autre choix que d'appliquer la directive.  

La loi sur les services financiers (LSFin) a mis en place une variante nationale de la directive MiFID II, qui doit être mise en œuvre sous la forme d'une réglementation allégée et reconnue comme équivalente par l'UE. Conformément à cette variante, les établissements financiers de pays tiers ne sont admis sur le marché de l'UE que si les règles de surveillance et de conduite dans leur pays sont équivalentes à celles de l'UE.  

Avec la loi sur les services financiers (LSFin) et l'ordonnance sur les services financiers (OSFin), la Suisse dispose depuis 2020 d'un ensemble de règles autonomes pour la protection des investisseurs, l'information, l'adéquation/l'aptitude, la documentation et les obligations de rendre compte. La FINMA a précisé cette pratique dans sa circulaire 2025/02 « Obligations de comportement selon la LSIF/OFID » au 1er janvier 2025 : comment garantir la transparence vis-à-vis des clients ? La circulaire apporte ici une sécurité juridique et un niveau de protection comparable entre les entités surveillées.  

Du côté de l'UE, la MiFID II reste la directive centrale, mais elle a été profondément réformée en 2024. C'est pourquoi beaucoup parlent déjà de « MiFID III ». Les principales nouveautés sont une plus grande transparence, des obligations de déclaration plus strictes et la création d'une base de données plus uniforme pour le commerce et la surveillance. Les nouvelles règles entreront progressivement en vigueur au cours des prochaines années. Pour les établissements suisses ayant des clients dans l'UE, cela signifie que ceux qui exercent des activités transfrontalières doivent adapter leurs normes de reporting et de protocole à un stade précoce afin de rester en conformité sans difficulté. 

Une différence fondamentale subsiste toutefois : la directive MiFID II exige expressément l'enregistrement des communications téléphoniques et électroniques qui conduisent ou peuvent conduire à des transactions, avec une durée de conservation minimale de cinq ans (jusqu'à sept ans sur ordre de l'autorité de surveillance). En outre, les établissements doivent empêcher leurs collaborateurs d'utiliser des appareils privés non enregistrables pour ce type de communications. En Suisse, cette obligation n'est pas inscrite telle quelle dans la LSFin, mais la pratique de surveillance de la FINMA réglemente très clairement les enregistrements depuis des années. C'est pourquoi de nombreux établissements s'alignent de facto sur le niveau de protection de l'UE afin de renforcer la preuve et la protection des clients et de rester conformes au niveau transfrontalier.  

Nos clients, tels que les établissements financiers suisses, doivent aujourd'hui se conformer non seulement aux exigences nationales, mais aussi aux réglementations européennes et mondiales telles que l'EU AI Act, MiFID II/III ou les normes internationales en matière de protection des données. La conformité est depuis longtemps devenue mondiale et nécessite des solutions à la hauteur de cette complexité. 

Remarque

Veuillez noter que nous ne fournissons pas de conseils juridiques et que ces informations ne peuvent remplacer un examen ou un conseil juridique.

Historische Gebäude und Kirchtürme in Zürich am Flussufer

Protection efficace du secret bancaire avec les solutions de Recording Insights

Les certifications ISO, base de la sécurité, de l'efficacité et de la conformité

L'IA Act de l'UE : Qu'est-ce que cela signifie pour la Suisse ?
Vers l'aperçu des articles du blog
Cookies et traitement des données

Ce site web utilise des cookies et des fonctions similaires pour traiter les informations relatives aux terminaux et les données personnelles. Ce traitement sert à l'intégration de contenus, de services externes et d'éléments de tiers, à l'évaluation statistique et à la publicité personnalisée. Selon le service, des données sont alors transmises à des tiers. Le regroupement avec d'autres données permet éventuellement de créer des profils d'utilisation.

Pour cela, nous avons besoin de votre accord. Votre consentement est volontaire, n'est pas nécessaire pour l'utilisation de notre site web et peut être refusé ou révoqué à tout moment sur la page "Protection des données".

Plus d'informations dans la déclaration de confidentialité des données