Senseway et la conformité FINMA : guide complet pour les institutions financières suisses
L'intelligence artificielle générative transforme le secteur financier suisse. Mais comment l'adopter sans compromettre les exigences réglementaires strictes de la FINMA, le secret bancaire (Art. 47 LB) et la nLPD ? Ce guide détaille, point par point, comment Senseway répond à chaque obligation.
Cadre réglementaire : ce que la FINMA exige
Circulaire 2023/1 — Risques opérationnels et résilience
La circulaire impose aux institutions financières suisses d'identifier et maîtriser les risques liés aux technologies émergentes, y compris l'IA générative. Trois obligations principales :
- Maîtrise du risque IA : Senseway utilise la tokenisation CRT — les données sensibles ne quittent JAMAIS le périmètre suisse. Le LLM reçoit uniquement des tokens (
[protected.N]) sans valeur exploitable. - Continuité opérationnelle : architecture multi-LLM avec 8 providers et failover automatique. Aucun point unique de défaillance.
- Documentation des flux : Proof Panel + Audit Trail complet (qui, quand, quoi, quel LLM, quelles données protégées).
Art. 321 CP — Secret professionnel
Le secret professionnel protège banquiers, avocats et médecins avec des sanctions pénales pouvant aller jusqu'à 3 ans d'emprisonnement. Avec Senseway, aucune donnée personnelle identifiable (PII) n'est envoyée au LLM — le secret professionnel ne peut pas être violé par un prompt. Le Proof Panel fournit une preuve opposable que les données n'ont pas été exposées.
Art. 47 LB — Secret bancaire
L'interdiction de révéler des informations sur les relations d'affaires est absolue. Senseway tokenise automatiquement les IBAN, numéros de compte et noms de clients avant tout traitement IA. Le vault suisse (PostgreSQL, Infomaniak Genève) garantit que les correspondances token↔valeur restent en Suisse.
nLPD — Protection des données
| Principe nLPD | Implémentation Senseway |
|---|---|
| Minimisation | Seuls les tokens transitent vers le LLM |
| Privacy by Design | Tokenisation automatique par défaut |
| Registre des traitements | Audit trail exportable CSV, compatible Art. 12 nLPD |
| Localisation | 100% Suisse (PostgreSQL Infomaniak GE) |
| Droit d'accès | Vault consultable, suppression sur demande |
Cas d'usage concrets
Cas 1 — L'analyste crédit
Un analyste crédit utilise l'IA pour évaluer un dossier de prêt. Le prompt contient le nom du client, son IBAN, le montant du crédit et des données financières confidentielles.
Sans Senseway : toutes ces données partent vers OpenAI ou Anthropic (serveurs US). Violation potentielle du secret bancaire.
Avec Senseway : le LLM reçoit Évalue le dossier de [protected.1], IBAN [protected.2], prêt de [protected.3]. L'analyse est identique en qualité, mais aucune donnée n'a quitté la Suisse.
Cas 2 — Le compliance officer
Un compliance officer analyse des contrats pour détecter des clauses à risque. Les documents contiennent les noms des parties, des montants et des références internes.
Avec Senseway : les documents sont tokenisés via le pipeline file-prepare. Le LLM analyse la structure juridique sans connaître les parties réelles. Le résumé est rehydraté avec les vrais noms dans la réponse.
Cas 3 — Le gestionnaire de fortune
Un gestionnaire souhaite résumer un portefeuille client pour une réunion. Les données incluent valorisations, positions et informations personnelles.
Avec Senseway : la tokenisation préserve la structure des données (montants → tokens, noms → tokens) tout en permettant au LLM de produire un résumé structuré et pertinent.
Checklist FINMA — Auto-évaluation
Pour les CISO et DPO évaluant Senseway :
- ✅ Données sensibles ne quittent jamais la Suisse
- ✅ Secret bancaire (Art. 47 LB) : impossible de violer via un prompt
- ✅ Secret professionnel (Art. 321 CP) : tokenisation préventive
- ✅ nLPD : Privacy by Design, minimisation, registre, purge
- ✅ FINMA 2023/1 : documentation des risques, audit trail, résilience
- ✅ Sous-traitants : aucun sous-traitant ne reçoit de données exploitables
- ✅ Continuité : multi-LLM avec failover, pas de single point of failure
Comparaison avec les alternatives
| Critère | Senseway | ChatGPT Enterprise | Azure OpenAI |
|---|---|---|---|
| Données en Suisse | ✓ 100% | ✗ US/EU | ~ EU possible |
| Zéro PII vers LLM | ✓ Tokenisé | ✗ Clair | ✗ Clair |
| Preuve opposable | ✓ Proof Panel | ✗ | ✗ |
| Multi-LLM | ✓ 8 providers | ✗ GPT only | ✗ Azure only |
| Conformité FINMA native | ✓ | ✗ | ~ |
Conclusion
L'adoption de l'IA générative dans la finance suisse n'est pas incompatible avec la conformité réglementaire. Senseway démontre qu'il est possible de bénéficier de la puissance de Claude, GPT-4o et Gemini tout en respectant intégralement les exigences FINMA, le secret bancaire et la nLPD. La clé : ne jamais envoyer de données réelles au LLM.
Demandez une démo personnalisée : sales@adlibo.com | POC gratuit : 2 semaines sur vos propres documents