Le secret bancaire suisse : un régime juridique à part
L'article 47 de la loi fédérale sur les banques (LB) protège le secret bancaire en Suisse depuis 1934. Ce n'est pas simplement une pratique commerciale — c'est une disposition pénale. La divulgation non autorisée d'informations sur les clients d'une banque constitue une infraction pénale passible d'une peine privative de liberté de trois ans ou d'une peine pécuniaire.
Dans ce contexte, l'introduction d'outils IA dans les workflows bancaires n'est pas une simple décision technologique. C'est une décision juridique.
Où le risque se matérialise
Considérons un scénario concret. Un gestionnaire de fortune à Genève utilise ChatGPT pour :
- Rédiger un rapport de performance pour un client
- Résumer les nouvelles d'un secteur pour une note de marché
- Préparer une présentation pour un rendez-vous client
Dans chacun de ces cas, s'il inclut le nom du client, ses actifs, ses positions ou même des détails permettant son identification indirecte, il envoie des informations couvertes par le secret bancaire à un serveur américain.
La banque pourrait techniquement argumenter que les données sont "pseudonymisées" si le nom est retiré. Mais l'article 47 LB protège "les informations sur les clients", une notion que les tribunaux suisses ont interprétée largement. La combinaison de données apparemment anodines peut suffire à constituer une violation.
Ce que dit la FINMA
La FINMA a publié plusieurs circulaires et prises de position sur l'externalisation et le cloud. Sa position centrale : les établissements soumis à sa surveillance doivent s'assurer que les données protégées restent sous contrôle suisse ou sous un régime de protection équivalent, et que les droits de surveillance de la FINMA ne sont pas compromis.
L'utilisation de services cloud ou IA étrangers n'est pas interdite en soi — mais elle est conditionnée à des garanties strictes : contrats d'externalisation conformes, clauses de surveillance, audits possibles, maintien d'un contrôle effectif.
Pour les données couvertes par le secret bancaire spécifiquement, le seuil de tolérance est extrêmement bas.
Comment des établissements suisses adoptent l'IA en conformité
Plusieurs approches sont compatibles avec le secret bancaire :
1. IA sur données anonymisées uniquement
Les systèmes IA ne reçoivent que des données dont tous les éléments identificateurs ont été supprimés ou remplacés. C'est techniquement possible mais restreint fortement les cas d'usage.
2. IA sur infrastructure contrôlée
L'IA s'exécute sur des serveurs que l'établissement contrôle directement, en Suisse. C'est la solution la plus robuste mais la plus coûteuse.
3. IA sur infrastructure suisse souveraine
L'établissement utilise un prestataire SaaS dont l'infrastructure est entièrement en Suisse, sans entité de contrôle étrangère dans la chaîne. C'est le positionnement de Nectos.
Ce que Nectos apporte au secteur financier
Nectos est conçu pour permettre aux professionnels financiers suisses d'utiliser l'IA sans compromettre leurs obligations légales :
- Traitement exclusif en Suisse : aucune donnée ne quitte jamais la juridiction suisse
- Anonymisation des prompts : option permettant de détecter et masquer automatiquement les informations client avant traitement
- Journal d'audit complet : chaque interaction est tracée, exportable pour vos contrôles internes et les inspections FINMA
- Aucun entraînement sur vos données : garantie contractuelle que les données client ne serviront jamais à améliorer un modèle IA
- DPA conforme : accord de traitement des données adapté aux exigences des établissements financiers réglementés
Le secret bancaire et l'IA ne sont pas incompatibles. Ils le deviennent uniquement quand l'IA n'est pas conçue pour opérer dans ce cadre.