Les données concernant les clients bancaires en Suisse doivent être protégées contre les accès non autorisés provenant aussi bien de l'extérieur que de l'intérieur des établissements bancaires. La responsabilité en incombe au conseil d'administration ainsi qu'à la direction de chaque banque.

La complexité croissante des environnements technologiques rend de plus en plus difficile la mise en place de mesures de protection des données cohérentes dans le but de préserver le secret bancaire.

Ainsi les données bancaires des clients sont stockées et traitées sur des systèmes et applications répartis sur des sites géographiquement distants (applications bancaires, systèmes périphériques de communication et d'archivage, bases de données locales, appareils mobiles etc.).

En même temps, on constate aujourd'hui une forte pression des pays étrangers sur la Suisse et son secret bancaire. Le cas survenu au Liechtenstein, où un ancien collaborateur d'un établissement bancaire a vendu des données volées concernant des clients étrangers, en est un bel exemple.

Les risques pour les banques suisses sont multiples. La perte et la divulgation de données de clients bancaires peuvent entraîner un dommage considérable à la réputation de l'établissement concerné. Les clients lésés sont également en droit de réclamer des dommages-intérêts (risque juridique).

Les sources du problème sont elles aussi multiples. Il y a bien entendu les risques opérationnels, inhérents à l'exploitation des technologies de l'information et de la communication. Le facteur humain constitue, lui aussi, un risque toujours présent dans les processus de communication d'informations sensibles.

Les résultats de la dixième «Enquête globale sur la sécurité de l'information» réalisée par Ernst & Young en 2007, montrent que 58% des participants qualifient comme prioritaire le besoin de confidentialité et de protection des données.

Il est fort heureusement possible de prendre des mesures propres à réduire les risques. D'abord, il est important pour l'établissement, lors de l'élaboration de sa politique commerciale, de déterminer si elle souhaite proposer des produits spécialement adaptés aux besoins d'une clientèle étrangère et devant faire l'objet d'une prospection active à hors du territoire suisse.

La banque doit alors connaître les risques juridiques et de réputation y relatifs et disposer d'une classification des données clients appropriée.

Afin de garantir la confidentialité des données des clients bancaires, un dispositif de sécurité étendu et cohérent est nécessaire. Des mesures de protection adéquates sont essentielles dans les domaines de la technologie de l'information et de la communication, de la gestion des risques et informations juridiques, de la gestion des ressources humaines ainsi qu'au niveau de la gestion des accès aux locaux (sécurité physique).

Le processus de recrutement des collaborateurs devrait également être guidé par des considérations de sécurité. Des programmes de sensibilisation à cette question et à la protection des données sensibles, ainsi que des contrôles adéquats constituent des facteurs importants de réduction des risques.

Une attention toute particulière est requise au niveau du personnel qui dispose d'un accès à distance sur les données bancaires pour des activités de maintenance ou de support (piquet technologique).

Concernant la coopération avec des tiers externes, la banque doit dans ce cas sélectionner et contrôler avec soin ses partenaires ou gérants de fortune externes.