20.03.2025, Enrico Giacoletto

Ce billet a pour but de présenter succinctement les principaux changements et nouvelles réglementaires suisses impactant les banques et établissements financiers en ce début d’année 2025.

Pour information, l’ISFB organise un séminaire de mise à jour réglementaire réparti en 6 modules en mai et juin 2025 (lien d’inscription). Durant le premier module, je proposerai une vue d’ensemble des changements réglementaires clés récents.

1. Quelques rappels sur les échéances marquantes de janvier 2025

En préambule de ce billet, il est utile de rappeler certains changements importants qui sont entrés en vigueur au 1er janvier 2025 : les six nouvelles ordonnances de mise en application de Bâle III Final, l’Ordonnance sur les Fonds Propres (OFR) mise à jour et la nouvelle circulaire FINMA 25/02 « Règles de comportements selon la LSFin et l’OSFin ». Pour plus de détails sur ces thèmes déjà traités, nous vous invitons à vous référer aux billets publiés avec l’ISFB en fin d’année 2024 (lien pour Bâle III final et lien pour la circulaire FINMA 25/02).

2. Résilience opérationnelle

Un sujet d’importance pour les banques en ce début d’année concerne le chantier réglementaire de la circulaire FINMA 23/01 qui vise à accroitre la résilience opérationnelle des banques en Suisse. Les premières exigences sont entrées en force en janvier 2024 et ces prescriptions s’appliqueront pleinement dès le 1er janvier 2026 : la fin des dispositions transitoires s’approche.

2.1 Définition

En quoi consiste la résilience opérationnelle ? que désigne-t-elle ? qu’implique-t-elle ? La FINMA donne la définition suivante (circ. FINMA 23/01, chiffre marginal, cm, 18) :

• « La résilience opérationnelle désigne la capacité de l’établissement à pouvoir rétablir ses fonctions critiques en cas d’interruptions dans les limites de la tolérance aux interruptions, c.-à-d. la capacité de l’établissement à identifier les menaces et les défaillances éventuelles, à s’en protéger et à y réagir, à rétablir la marche ordinaire des affaires en cas d’interruptions et à en tirer des enseignements pour minimiser les conséquences sur l’exécution des fonctions critiques […] »

2.2 Objectifs clés

C’est de cette définition réglementaire du concept de résilience opérationnelle que découlent les attentes spécifiées par la FINMA. On retiendra notamment les objectifs et responsabilités clés qui incombent directement à la haute direction des établissements financiers suisses en matière de résilience :

• « L’établissement identifie ses fonctions critiques et leurs tolérances aux interruptions. Celles-ci sont approuvées par l’organe responsable de la haute direction. En outre, l’organe responsable de la haute direction approuve et surveille régulièrement la procédure visant à garantir la résilience opérationnelle. » (circ. FINMA 23/01 cm 101, entrée en vigueur le 1er janvier 2024).
• « L’établissement prend des mesures pour garantir la résilience opérationnelle en tenant compte de scénarios graves, mais plausibles. » (circ. FINMA 23/01 cm 102, sera en vigueur le 1er janvier 2026).

On comprend à la lecture de ces objectifs qu’il s’agit de prendre en considération une nouvelle typologie d’évènements et de situations dont la nature et la durée sont susceptibles de mettre à risque des fonctions critiques de la banque.

2.3 Dispositions et calendrier de mise en œuvre

Entrée en vigueur le 1er janvier 2024 le chantier réglementaire de la résilience opérationnelle se poursuit avec des échéances en janvier 2025 et 2026. On notera que la circulaire FINMA 23/01 « Risques et résilience opérationnels – banques » prévoit des simplifications et allégements pour les petits établissements (cm 20).

Pour ce qui a trait aux dispositions déjà entrées en vigueur dès le 1er janvier 2024, on rappelle les dispositions des cm 101, 103 et 105 de la circulaire. Ainsi chaque année, la haute direction de la banque devra revoir et valider la procédure visant à garantir la résilience opérationnelle (cm 101), mais aussi les rapports relatifs à la résilience opérationnelle de l’établissement avec notamment :

• La liste à jour des fonctions critiques qui ont été identifiées (cm 101),
• Les seuils de tolérances face aux interruptions pertinents de suivre (cm 103, exigence soumise à la proportionnalité),
• Les rapports annuels sur la résilience opérationnelle reprennent (cm 105) :
  o les faiblesses de contrôle importantes, ou encore
  o les incidents de nature à compromettre la résilience opérationnelle.

Pour ce qui a trait aux dispositions qui sont entrées en vigueur cette année au 1er janvier 2025, on aborde ici les dispositions des cm 106 à 109 de la circulaire. Ces dispositions visent les modalités d’identification et d’évaluation des fonctions critiques, elles disposaient d’un délai transitoire d’une année, et sont pleinement en force depuis le 1er janvier 2025.

Suivant le cm 106, les établissements concernés doivent procéder à l’évaluation des risques propres aux fonctions critiques identifiées, en déterminant notamment pour chacune de ces fonctions :

• les menaces internes, externes et vulnérabilités exploitables correspondantes,
• les risques opérationnels qui en résultent, leur évaluation, les limites et le cadre de surveillance établi.

À cet égard, le cm 107 nécessite que l’établissement constitue, tient à jour et revoit annuellement un inventaire de ses fonctions critiques avec notamment :

• la liste revue et à jour des fonctions critiques,
• la tolérance aux interruptions pour chacune de ces fonctions critiques,
• les connexions et dépendances entre les processus critiques et les ressources (composantes internes et externes) nécessaires pour exécuter chacune des fonctions critiques.

Le cm. 108 souligne également que l’établissement doit documenter les risques opérationnels clés ainsi que les contrôles qui s’y rattachent.

Le cm 109 clarifie les attentes en matière de continuité des fonctions et processus critiques : ces derniers, ainsi que les ressources critiques (composantes IT, humaines internes et/ou externes) qui les soutiennent doivent faire l’objet de Business Continuity Plans (BCPs). Selon la taille de l’établissement, des tests doivent être organisés régulièrement en ce qui concerne la capacité à exécuter des fonctions critiques dans les limites des tolérances aux interruptions définies en cas de scénarios graves, mais plausibles.

Dispositions qui rentreront en vigueur l’année prochaine en janvier 2026

Le cm 102 précise que l’établissement doit prendre en compte des scénarios graves, mais plausibles dans l’établissement de mesures garantissant la résilience opérationnelle. Cette exigence s’applique à tous les établissements contrairement aux suivantes qui sont soumises à la proportionnalité.

Le cm 104 requiert des établissements concernés qu’ils « coordonnent » bien et de manière globale toutes les composantes pertinentes pour une gestion globale de la résilience. Ceci inclut : la gestion des risques TIC, des cyberrisques, du business continuity management, des externalisations, et du plan d’urgence.

Les cm 111 et 112 concernent les banques d’importance systémique et abordent l’organisation coordonnée du plan d’urgence en cas de crise (cm. 111), et le maintien des prestations critique en cas de liquidation et d’assainissement (cm. 112).

3. Autres annonces importantes intervenues en ce début d’année 2025

Ci-dessous d’autres annonces importantes de ce début d’année 2025. Parmi ces annonces certains développements feront l’objet d’une analyse détaillée dans un prochain billet. Ce sera notamment le cas des évolutions réglementaires en matière d’Intelligence Artificielle et de l’entrée en vigueur de la circulaire FINMA 25/04 sur la « Surveillance consolidée des groupes financiers selon la LB et la LEFin ».

• La FINMA fait entrer en force au 1er juillet 2025 sa nouvelle circulaire 25/04. L’Autorité expose ainsi sa pratique en matière de surveillance consolidée dont le contenu était jusqu’à présent adressé uniquement aux établissements ciblés par des décisions individuelles. La circulaire sur la « Surveillance consolidée des groupes financiers selon la LB et la LEFin » apporte des précisions et clarifications utiles pour les assujettis qui souhaitent connaitre les conditions suivant lesquelles les sociétés d’un groupe doivent être incluses dans la surveillance consolidée. La FINMA entend avec cette circulaire formaliser sa pratique déjà établie en matière de surveillance consolidée des groupes financiers selon la LB et la LEFin.
• La mise en consultation par le Conseil fédéral des projets de loi et d’ordonnance FATCA modèle 1 visant à transposer les accords conclus avec les États unis en juin 2024 pour que la Suisse passe du modèle de reporting FATCA 2 à 1.
• De manière concomitante en parallèle au changement FATCA, le Conseil procède à une révision de la loi sur l’échange automatique d’information (pLEAR).
• La communication du Conseil fédéral en matière d’Intelligence Artificielle (IA).

Ce billet est le fruit d’un choix éditorial et il se base sur le travail de recherche et de veille réglementaire de la solution e-Reg.

Enrico Giacoletto, CFA, FRM

easyReg Sàrl