Accueil / Le Long Format / Financial
FinancialLong Format

the-importance-of-third-party-risk-management-in-switzerlands-strict-regulatory-framework

Discover how Swiss regulations impact third-party risks. Learn to protect your business, ensure compliance, and thrive in a complex regulatory landscape.

Publié Mis à jour Temps de lecture 12 minMots 2,597
Sommaire
  1. Switzerland's regulatory framework
  2. Data protection and cybersecurity
  3. Technology procurement or outsourcing
  4. Switzerland’s anti-money laundering framework
  5. Supply chain due diligence
  6. Importance of TPRM for Swiss companies
  7. The high cost of neglecting TPRM
  8. The benefits of adopting TPRM 
  9. Leveraging technology for effective TPRM
  10. Takeaway: Protecting your business through effective third-party risk management
the-importance-of-third-party-risk-management-in-switzerlands-strict-regulatory-framework
TL;DR

Discover how Swiss regulations impact third-party risks. Learn to protect your business, ensure compliance, and thrive in a complex regulatory landscape.

Note de traductionCet article n'est pas encore traduit. Version anglaise affichée.

À mesure que vous vous associez à davantage de fournisseurs et de prestataires pour renforcer vos capacités et gagner un avantage concurrentiel, vos risques réputationnels et réglementaires augmentent également. 

Forrester prévoyait qu'en 2022, 60 % de tous les incidents de sécurité proviendraient de problèmes liés aux tiers, ce qui souligne l'importance de la gestion des relations avec les tiers. 

Dans un environnement fortement réglementé comme la Suisse, il est primordial de s'assurer que les nouveaux fournisseurs et partenaires, ainsi que les existants, ne menacent pas de manière significative vos opérations et votre réputation. 

Dans cet article, nous explorons l'importance de la gestion des risques tiers (TPRM) au regard du paysage réglementaire suisse. Nous examinerons certaines réglementations clés en Suisse, telles que la Loi fédérale sur la protection des données (LPD), la Circulaire 2018/3 et la Loi sur le blanchiment d'argent (LBA), et analyserons leurs implications pour la gestion des relations avec les tiers.

Le cadre réglementaire suisse

L'approche de la Suisse en matière de cadre réglementaire met l'accent sur l'autorégulation (notamment dans le secteur bancaire) dans certains domaines, ainsi que sur la flexibilité et la coopération entre les agences gouvernementales et les entreprises privées. 

Cette approche garantit que les réglementations sont adaptées aux risques spécifiques de chaque secteur, offrant de la flexibilité tout en maintenant des normes réglementaires élevées sans freiner l'innovation. 

Les principales réglementations affectant les relations avec les tiers incluent la Loi fédérale sur la protection des données (LPD), qui impose des exigences strictes en matière de traitement et de partage des données, en particulier lors de l'engagement avec des prestataires de services externes. 

La Circulaire 2018/3 émise par l'Autorité fédérale de surveillance des marchés financiers (FINMA) définit des lignes directrices spécifiques pour l'externalisation de fonctions commerciales dans le secteur financier suisse.

Les récentes mises à jour de la Loi sur le blanchiment d'argent (LBA) reflètent l'engagement du pays dans la lutte contre la criminalité financière, comme le blanchiment d'argent et le financement du terrorisme. 

De plus, l'Ordonnance sur le devoir de diligence et la transparence en matière de minerais et de métaux provenant de zones touchées par un conflit armé et en matière de travail des enfants souligne l'engagement du pays en faveur de chaînes d'approvisionnement éthiques et du respect des droits humains.   

Ci-dessous, nous examinons ces réglementations et mettons en évidence les exigences essentielles axées sur les relations avec les tiers. 

Protection des données et cybersécurité

Protection des données et cybersécurité

La Loi fédérale sur la protection des données (LPD) est la principale réglementation encadrant le traitement et le transfert des données personnelles en Suisse afin de protéger la vie privée des personnes morales. 

En complément de la loi mentionnée ci-dessus, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié des ordonnances, notamment l'Ordonnance sur la protection des données (OPDo) et l'Ordonnance sur la certification en matière de protection des données, pour clarifier et concrétiser certaines dispositions de la LPD. 

La LPD s'applique aux traitements de données qui « ont un effet en Suisse, même s'ils ont été initiés à l'étranger ». La loi couvre la collecte, le stockage, la modification, la divulgation à des tiers, l'archivage ou toute autre utilisation de données personnelles.

Voici les principales caractéristiques de la LPD et des ordonnances, principalement en ce qui concerne les relations avec les tiers :

  • Les entreprises n'ont pas besoin de base légale pour collecter et traiter des données personnelles. Cependant, la LPD prévoit des conditions dans lesquelles les entreprises peuvent exiger le consentement des utilisateurs. 
  • Le consentement doit être donné librement et être spécifique aux activités de traitement exactes que l'entreprise entend réaliser avec les données. 
  • Les entreprises suisses doivent également s'assurer que les données personnelles qu'elles reçoivent d'autres sociétés correspondent aux finalités communiquées aux propriétaires des données lors de la collecte. 
  • Les entreprises ont besoin du consentement des utilisateurs pour divulguer des « données personnelles sensibles » à des tiers. 
  • Les organisations doivent informer les utilisateurs des tiers qui recevront leurs données personnelles. Cela inclut les destinataires basés en Suisse et ceux situés en dehors de la Suisse.
  • La divulgation ci-dessus doit également inclure les garanties visant à protéger les données personnelles de l'utilisateur. 
  • La LPD oblige les entreprises et les tiers à garantir la sécurité des données des utilisateurs en protégeant l'intégrité, la confidentialité et la disponibilité des données collectées. 
  • Conformément à cette exigence, les deux parties doivent évaluer les risques potentiels pour les utilisateurs et s'assurer qu'elles disposent de l'infrastructure informatique et des mesures de sécurité appropriées. 
  • La LPD autorise le transfert de données à l'étranger vers des juridictions disposant de protections adéquates et vers celles qui n'en disposent pas. Le Conseil fédéral fournit une liste des juridictions disposant de protections adéquates dans l'annexe 1 de l'Ordonnance. 
  • Le transfert de données vers des pays sans protections adéquates exige que les entreprises mettent en place des garanties appropriées telles que les clauses contractuelles types (CCT), les règles d'entreprise contraignantes (BCR) et les clauses contractuelles dans les accords entre entreprises et tiers. 
  • Les entreprises suisses et les tiers doivent tenir un registre de toutes les activités de traitement. Cette stipulation ne s'applique pas aux entreprises de plus de 250 employés, à condition que le risque que les droits des utilisateurs soient enfreints soit négligeable. 
  • Les entreprises doivent réaliser une analyse d'impact relative à la protection des données (AIPD), en particulier lorsque le traitement de données implique des données personnelles sensibles à grande échelle. 
  • Les organisations sont tenues d'informer le PFPDT des violations de données qui présentent des risques élevés pour les utilisateurs. Bien qu'aucun délai précis ne soit indiqué dans la LPD, les entreprises sont invitées à le faire « le plus rapidement possible ».  
  • Le rapport doit inclure des détails tels que la nature de la violation, sa chronologie, les catégories et le nombre de données personnelles et d'utilisateurs affectés, l'impact de la violation et les risques potentiels pour les personnes concernées, ainsi que les mesures prises pour atténuer les effets possibles sur les personnes concernées.
  • En vertu de la LPD, les entreprises suisses doivent effacer ou anonymiser de manière adéquate les données personnelles lorsqu'elles n'en ont plus besoin aux fins pour lesquelles elles les ont collectées. 
  • Les entreprises et les tiers doivent conclure un accord établissant deux objectifs de contrôle pour les organisations suisses.
  •  Premièrement, l'accord doit lier le tiers aux fonctions de traitement que l'entreprise peut effectuer. Deuxièmement, l'accord doit garantir que le sous-traitant fournit une sécurité des données conforme à l'état de l'art. 

Exploitez la suite d'outils de cybersécurité et de protection des données de Supplier Shield pour protéger les données personnelles des utilisateurs conformément aux réglementations suisses. 

Approvisionnement technologique ou externalisation

Approvisionnement technologique ou externalisation

Bien que la Suisse ne dispose pas d'une loi générale relative à l'approvisionnement en produits et services technologiques pour les entreprises privées, des réglementations sectorielles encadrent l'externalisation de fonctions commerciales essentielles vers des prestataires de services tiers. 

La Circulaire 2018/3 de l'Autorité fédérale de surveillance des marchés financiers (FINMA) définit les exigences réglementaires que doivent respecter les acteurs des marchés financiers, y compris les banques, les compagnies d'assurance et les négociants en valeurs mobilières, tandis que des obligations de secret lient des secteurs comme les télécommunications et la santé. 

Voici quelques points saillants de la Circulaire 2018/3 :

  • Certaines fonctions ne peuvent pas être externalisées, notamment celles liées aux décisions stratégiques, à la gestion des risques et aux tâches de conformité réglementaire, « à l'exception de celles de nature opérationnelle ». 
  • Conformément à la circulaire, les entreprises souhaitant externaliser des fonctions doivent tenir un inventaire de toutes les fonctions externalisées, en indiquant clairement le ou les départements responsables. Un tel inventaire doit également mentionner le prestataire de services. 
  • L'inventaire ci-dessus doit également indiquer si la fonction externalisée impliquera le transfert de données massives permettant d'identifier les clients vers un prestataire de services étranger. 
  • Les entreprises du secteur financier doivent effectuer une analyse des risques sur le plan économique et opérationnel avant de conclure un accord avec un tiers.
  • En particulier, l'institution financière doit évaluer les risques de concentration potentiels si plusieurs fonctions sont externalisées auprès du même prestataire. 
  • De plus, l'entreprise doit évaluer les capacités professionnelles du tiers ainsi que ses ressources financières et humaines pour déterminer si le prestataire peut fournir ces services de manière permanente. 
  • Les entreprises qui externalisent doivent définir contractuellement les exigences de sécurité de l'accord et établir un plan de contingence pour assurer la continuité de l'exécution de la fonction externalisée en cas d'urgence. 
  • L'externalisation vers des tiers étrangers est autorisée tant que les auditeurs et la FINMA peuvent exercer leur fonction de surveillance à tout moment.  

Le cadre suisse de lutte contre le blanchiment d'argent

Le cadre suisse de lutte contre le blanchiment d'argent

La Loi sur le blanchiment d'argent (LBA) et l'Ordonnance sur le blanchiment d'argent (OBA) constituent le socle du paysage de lutte contre le blanchiment d'argent (AML) pour les intermédiaires financiers en Suisse. 

La LBA a été adoptée en 1997 et a subi de multiples modifications au fil des ans. L'une de ses mises à jour les plus récentes remonte à 2021, avec des changements spécifiques aux relations avec les tiers. 

Cette nouvelle mise à jour exigeait des banques suisses et d'entreprises comme les casinos de vérifier la propriété effective ultime (UBO) de toutes les organisations avec lesquelles elles travaillent. 

L'UBO désigne « la ou les personnes physiques qui possèdent ou contrôlent en dernier ressort un client et/ou la personne physique pour le compte de laquelle une transaction est effectuée ». 

Les institutions financières suisses doivent également respecter d'autres exigences, telles que la mise en œuvre de mesures organisationnelles nécessaires pour lutter contre le blanchiment d'argent. 

Le secteur bancaire fait l'objet d'un contrôle accru, la Banque nationale suisse et la FINMA collaborant pour renforcer les lois sur les marchés financiers à la suite de la crise du Credit Suisse. 

Due diligence de la chaîne d'approvisionnement

Les entreprises exposées à un risque potentiel de travail des enfants et de minerais de conflit doivent divulguer ces risques. 

Les entreprises qui importent ou transforment de l'étain, du tantale, du tungstène ou de l'or provenant de zones de conflit sont soumises à « l'Ordonnance sur le devoir de diligence et la transparence en matière de minerais et de métaux provenant de zones touchées par un conflit armé et en matière de travail des enfants » si les importations totales atteignent un seuil spécifié. 

Plus important encore, les entreprises suisses dont les opérations de chaîne d'approvisionnement ou les partenaires se trouvent dans des juridictions présentant un risque élevé de travail des enfants sont également soumises à des obligations de due diligence et de reporting. Selon l'ordonnance, les pays à haut risque ont une classification Enhanced ou Heightened dans le rapport Children's Rights in the Workplace Index. 

De nouvelles réglementations visant les obligations actuelles de reporting non financier sont également envisagées, calquées sur la Corporate Sustainability Reporting Directive (CSRD) de l'Union européenne. 

L'importance du TPRM pour les entreprises suisses

L'importance du TPRM pour les entreprises suisses

Selon une enquête de Gartner, 84 % des répondants ont signalé des perturbations opérationnelles dues aux actions, activités et incidents d'un prestataire tiers. 

De plus, 64 % et 60 % ont signalé un impact financier négatif et un contrôle réglementaire accru en raison d'incidents impliquant des tiers échappant à leur contrôle. 

Ces réponses soulignent les risques inhérents croissants associés aux fournisseurs, prestataires et sous-traitants tiers. Si ces partenariats apportent indéniablement une valeur opérationnelle et un avantage concurrentiel, ils exacerbent également les risques existants et en introduisent de nouveaux, significatifs.

Une gestion efficace des risques tiers (TPRM) est essentielle pour atténuer ces risques et libérer les avantages des relations avec les tiers.

Le coût élevé de la négligence du TPRM

Les conséquences de l'absence ou de l'insuffisance d'un TPRM peuvent être catastrophiques. 

Les violations de données, les cyberattaques et les défaillances opérationnelles au sein d'un tiers peuvent entraîner des pertes financières directes dues aux coûts de remédiation, aux frais juridiques et à la perte de revenus. 

La récente panne due au dysfonctionnement logiciel de CrowdStrike en est un exemple frappant, cette interruption ayant coûté aux entreprises du Fortune 500 plus de 5 milliards de dollars de pertes directes à elles seules. Le PDG de Delta affirme que la compagnie a perdu plus de 500 millions de dollars en raison de la panne informatique. La même interruption a provoqué des perturbations dans de nombreux aéroports suisses. 

Bien qu'il soit difficile d'éliminer totalement les pannes ou les interruptions comme celle-ci, un cadre TPRM solide garantit que vous avez réalisé une évaluation complète des risques et préparé un plan de contingence pour atténuer les risques identifiés. 

Outre la perte de revenus, d'autres problèmes potentiels découlant d'un TPRM insuffisant incluent :

Atteinte à la réputation 

Un incident impliquant un tiers peut gravement endommager la marque d'une organisation et la confiance de ses clients. Cela peut entraîner une attrition des clients, une diminution des parts de marché et des difficultés à attirer de nouvelles affaires.   

Glencore a récemment été condamnée à une amende de 2 millions de CHF pour ne pas avoir « pris les mesures organisationnelles requises et raisonnables concernant la corruption d'agents publics étrangers par un partenaire commercial ».

En raison de sa réputation ternie, le Département fédéral des affaires étrangères a mis fin à son accord de parrainage avec Glencore. 

Réduisez votre exposition aux fournisseurs et prestataires susceptibles d'endommager la réputation que vous avez patiemment construite avec Supplier Shield, la solution TPRM de référence conçue pour la rapidité et la précision. 

Sanctions réglementaires 

Le non-respect des réglementations en matière de protection des données, de sécurité ou sectorielles en raison de défaillances de tiers peut entraîner des amendes lourdes, des conséquences juridiques et l'impossibilité d'opérer dans certaines juridictions.

En Suisse, les entreprises et les sous-traitants tiers peuvent encourir des amendes allant jusqu'à 250 000 CHF (280 000 $) s'ils sont reconnus coupables d'avoir intentionnellement enfreint les lois sur la protection des données.

Perturbation de l'activité 

Les perturbations opérationnelles causées par des problèmes impliquant des tiers peuvent affecter les chaînes d'approvisionnement, le service client et la continuité globale de l'activité. 

Très récemment, en août 2024, l'entreprise suisse Schlatter Group n'a pas pu accéder à certaines parties de son réseau informatique après une attaque par ransomware. 

Les avantages de l'adoption du TPRM 

Les avantages de l'adoption du TPRM

Un TPRM bien conçu peut atténuer les risques ci-dessus et apporter des avantages substantiels tels que : 

Efficacité accrue

En centralisant et en automatisant de nombreux aspects du processus TPRM, vous pouvez rationaliser l'évaluation, l'intégration et la surveillance des fournisseurs, libérer des ressources et adopter une approche plus proactive.

De plus, la surveillance des tiers est à la fois fastidieuse et continue, et la possibilité d'automatiser un tel processus augmente votre efficacité. 

Conformité réglementaire renforcée

Face à de nombreuses réglementations et lois complexes et entrelacées, tant au niveau national qu'international, il est assez facile que des éléments passent entre les mailles du filet. 

Un programme TPRM robuste vous aide à anticiper les exigences réglementaires actuelles et évolutives en veillant à ce que les tiers respectent les normes nécessaires.

Lorsqu'on a demandé aux répondants d'une enquête d'EY dans quelle mesure le TPRM avait amélioré leur capacité à respecter les exigences réglementaires, 44 % ont choisi « un peu », 29 % « modérément » et 8 % « beaucoup ». Seulement 2 % ont choisi « pas du tout », ce qui souligne l'apport du TPRM à la conformité réglementaire.  

Résilience et adaptabilité face à un environnement réglementaire en constante évolution

Une approche proactive du TPRM vous permet d'identifier précocement les perturbations potentielles et d'élaborer des plans de contingence, renforçant votre capacité à résister aux menaces posées par ces risques.  

L'élaboration de plans de contingence pour les processus métier critiques garantit que vous subissez peu ou pas de perturbations, même lorsque vos tiers en subissent. 

De plus, de nouvelles lois et réglementations émergent régulièrement. Si vous opérez dans plusieurs juridictions, suivre ces changements ajoute une couche supplémentaire de complexité à un défi déjà difficile. 

La gestion des risques tiers fournit les outils et les processus nécessaires pour naviguer efficacement dans cet environnement complexe. Interrogés sur l'amélioration de leur résilience grâce au TPRM, 41 % des répondants ont répondu « modérément » ou « très élevé ». 

Capacité à faire des affaires avec des entités d'autres pays

Un programme TPRM efficace peut faciliter l'expansion commerciale en vous permettant de vous associer en toute confiance à de nouveaux fournisseurs, y compris ceux opérant sur des marchés réglementés comme l'UE. 

Le Digital Operational Resilience Act (DORA), par exemple, met l'accent sur l'importance de la gestion des risques tiers pour les institutions financières opérant dans l'UE.

Veiller à ce que vous et vos partenaires respectiez des réglementations comme DORA, GDPR et NIS2 vous permet d'interagir avec des entités européennes, générant un retour sur vos investissements TPRM.

Environ 77 % des répondants ont signalé un retour sur investissement TPRM d'au moins « modéré ». 

Supplier Shield garantit que vos fournisseurs ou prestataires respectent les réglementations DORA, GDPR et NIS2. 

Économies de coûts

La mise en œuvre d'un cadre et d'une technologie TPRM peut réduire les coûts associés aux incidents impliquant des tiers, aux amendes réglementaires et à l'atteinte à la réputation.

Au-delà d'éviter les pertes financières directes liées aux amendes et aux perturbations d'activité, un TPRM efficace peut également réduire les coûts opérationnels en rationalisant les processus de gestion des fournisseurs et en veillant à ce que les relations avec les tiers soient gérées plus efficacement.

De plus, protéger la réputation de votre entreprise grâce à une gestion continue des risques peut vous aider à éviter les conséquences financières à long terme d'une perte d'activité et d'une confiance client diminuée. 

Tirer parti de la technologie pour un TPRM efficace

Tirer parti de la technologie pour un TPRM efficace avec Supplier Shield

La technologie joue un rôle essentiel dans la facilitation d'un TPRM efficace. Des plateformes et outils avancés comme Supplier Shield peuvent automatiser les tâches chronophages, améliorer la précision des données et fournir des informations en temps réel sur les risques liés aux tiers.

Les principaux avantages de la technologie TPRM incluent :

  • Informations centralisées sur les fournisseurs : une source unique de vérité pour les données et la documentation des fournisseurs, facilitant la gestion des prestataires et des tiers.
  • Évaluations automatisées des risques : les solutions TPRM rationalisent le processus d'évaluation des risques, vous permettant d'évaluer rapidement et efficacement les fournisseurs selon des critères prédéfinis et des signaux d'alerte potentiels.
  • Surveillance continue : des tableaux de bord de surveillance en temps réel de la performance des fournisseurs et des menaces externes vous permettent de traiter proactivement les risques émergents.
  • Reporting et analyses : des capacités complètes de reporting et d'analyse fournissent des informations précieuses sur votre exposition aux risques tiers et les tendances associées.

À retenir : protéger votre entreprise grâce à une gestion efficace des risques tiers

Le paysage réglementaire complexe de la Suisse et la dépendance croissante des entreprises envers les tiers soulignent l'importance cruciale de disposer d'un TPRM robuste pour votre activité.

Une stratégie et un cadre TPRM bien structurés, associés à une technologie avancée, sont essentiels pour relever les défis posés par les relations avec les tiers. 

En investissant dans une approche globale et une technologie adaptée, vous pouvez renforcer votre résilience, améliorer l'efficacité opérationnelle, protéger jalousement votre réputation et rationaliser le processus d'évaluation et d'intégration des fournisseurs.

Reprenez le contrôle de vos relations avec les fournisseurs dès aujourd'hui. Commencez votre parcours avec Supplier Shield et assurez-vous que votre entreprise reste conforme, sécurisée et en avance sur les risques. Inscrivez-vous dès maintenant pour un essai gratuit et découvrez une gestion simplifiée des risques tiers.

?

?

Quelle est la prochaine étape ?

Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.