Retour aux analyses
Réglementation2026-03-15

LPD Art. 31 et vérification périodique : la base juridique expliquée

La loi fédérale révisée sur la protection des données (LPD), entrée en vigueur le 1er septembre 2023, a établi un cadre régissant directement la manière dont les établissements financiers peuvent procéder à la vérification périodique du personnel existant. La disposition pertinente est l'Art. 31 — et non l'Art. 19 plus souvent cité.

Art. 19 vs. Art. 31 — la distinction qui compte

La LPD Art. 19 régit l'obligation de transparence : avant de traiter des données personnelles, le responsable du traitement doit informer la personne concernée de l'objet, de la base juridique, des catégories de données, des destinataires et de la durée de conservation. Cela s'applique à la fois à la vérification initiale et à la vérification périodique.

La LPD Art. 31 régit la base juridique du traitement lorsqu'aucun mandat légal explicite n'existe. Pour la vérification périodique des personnes soumises au programme déjà en poste, la base applicable est généralement l'intérêt légitime — l'obligation réglementaire de l'établissement au titre de la LSFin Art. 3 de maintenir une documentation du statut fit-and-proper des titulaires de fonctions clés.

Ce que l'intérêt légitime requiert

Traiter des données sur la base de l'intérêt légitime n'est pas un passe-droit. En vertu de la LPD Art. 31, l'établissement doit :

  • Identifier l'intérêt légitime — ici, l'obligation imposée par la FINMA de maintenir un statut fit-and-proper continu pour les rôles concernés.
  • Apprécier que le traitement est nécessaire pour atteindre cet intérêt — la vérification périodique à partir de sources publiques est le moyen minimalement nécessaire.
  • S'assurer que le traitement ne prime pas sur les intérêts ou les droits fondamentaux de l'individu — ce qui est traité par l'avis de consentement et de transparence.

    • L'avis de transparence (LPD Art. 19) est ce qui transforme une simple invocation de l'intérêt légitime en une base juridique défendable. Sans lui, le traitement peut être techniquement licite mais non auditable.

    L'exigence de registre de consentements

    Un avis de transparence délivré verbalement ou noyé dans un contrat de travail ne satisfait pas au niveau de documentation attendu lors d'un examen de la FINMA. L'établissement a besoin d'un registre horodaté et exportable indiquant :

  • Quella personne soumise au programme a reçu quelle version de l'avis
  • Quand l'avis a été remis
  • Si l'intéressé en a accusé réception
  • Si le consentement a été donné, refusé ou ultérieurement retiré

    • C'est ce que fournit le registre de consentements auditable de Premtrace — un journal inaltérable de chaque événement de consentement dans le programme de vérification.

    Implications pratiques pour les équipes compliance

  • Documentation de la base juridique — votre registre de traitement des données doit spécifiquement référencer la LPD Art. 31 (intérêt légitime) comme base de la vérification périodique, avec l'obligation LSFin Art. 3 comme intérêt identifié.
  • Avis de transparence — maintenez une bibliothèque versionnée d'avis LPD Art. 19. Mettez-les à jour en cas de modification du périmètre ou de la méthodologie.
  • Minimisation des données — sources publiques uniquement. Requêtes construites à partir du nom complet, du rôle professionnel et de l'employeur. Aucune catégorie sensible recherchée.
  • Conservation — configurez les durées de conservation dans votre Convention de traitement des données. Cinq ans est le maximum par défaut ; la plupart des établissements utilisent trois ans.

    • Pourquoi cela compte lors d'un examen

    Un examen FINMA d'un programme fit-and-proper demandera à voir les registres de consentements, la méthodologie de vérification, les constatations et la validation du Compliance Officer. Les établissements qui ne peuvent pas produire ces éléments sous un format structuré et auditable sont exposés — indépendamment du fait que la vérification sous-jacent ait été effectué.

    Contactez-nous pour discuter de la façon dont le registre de consentements et le dossier d'attestation de Premtrace satisfont à ces exigences documentaires.

    Voir le programme en pratique

    Réservez une démo compliance de 30 minutes. Nous parcourrons un cycle en direct et présenterons le dossier d’attestation que votre Compliance Officer valide.

    Réserver une démo compliance