Gouvernance des données dans un family office : guide pratique

Pourquoi la gouvernance des données n'est pas facultative pour les family offices

Les family offices occupent une position singulière dans l'écosystème financier : ils détiennent certaines des données personnelles et financières les plus sensibles qui soient — structures de bénéficiaires effectifs, informations médicales utilisées dans la planification successorale, affiliations politiques pertinentes pour les évaluations de risque, données patrimoniales multigénérationnelles — tout en échappant fréquemment aux contrôles réglementaires imposés aux sociétés de gestion et aux établissements bancaires. Une enquête menée en 2023 par une association européenne de family offices révélait que moins de 40 % des single-family offices gérant des actifs inférieurs à 500 millions d'euros disposaient d'une politique de classification des données formalisée. Cette lacune n'est pas une simple négligence administrative. C'est un risque de gouvernance substantiel qui touche simultanément au devoir fiduciaire, à la conformité réglementaire et à l'exposition réputationnelle.

Le cadre réglementaire s'est considérablement durci. Le Règlement général sur la protection des données (RGPD) de l'UE, en vigueur depuis mai 2018, s'applique à toute organisation traitant des données personnelles de résidents de l'UE, indépendamment du lieu d'établissement de l'entité traitante. La loi fédérale suisse sur la protection des données (LPD) révisée, entrée en vigueur le 1er septembre 2023, s'aligne globalement sur les principes du RGPD tout en introduisant des divergences notables, notamment une définition plus étroite des catégories de données sensibles et des règles différentes en matière de droits des personnes concernées. Les family offices domiciliés aux îles Caïmans, à Singapour ou dans un État américain, mais employant des membres de la famille résidant dans l'UE ou traitant des données de bénéficiaires de nationalité européenne, relèvent pleinement du champ territorial du RGPD en vertu de son article 3, paragraphe 2.

Un family office incapable de produire un registre des données, un calendrier de rétention et des contrôles d'accès documentés n'est pas seulement défaillant sur le plan administratif — il est potentiellement en infraction avec le RGPD, la LPD suisse, et tout dispositif de lutte contre le blanchiment exigeant des pistes d'audit.

Construire un modèle de classification à trois niveaux

La classification des données est la couche fondatrice de la gouvernance. Sans elle, les calendriers de rétention sont arbitraires, les décisions d'accès sont réactives et la gestion des incidents est improvisée. Le modèle le plus pragmatique pour un family office repose sur trois niveaux : public, confidentiel et restreint.

Données publiques

Les données publiques sont des informations dont la divulgation externe ne causerait aucun préjudice. Dans le contexte d'un family office, ce niveau est généralement mince : commentaires de marché généraux, documents corporatifs déposés publiquement, supports de communication liés à une fondation associée. La charge de gouvernance y est faible, mais la classification elle-même importe : elle confirme explicitement que ces données ont été examinées et jugées non sensibles, limitant ainsi le risque de sur-protection générateur de friction opérationnelle.

Données confidentielles

Les données confidentielles constituent le cœur opérationnel de la plupart des family offices. Elles comprennent les états financiers, les portefeuilles d'investissement, les conventions avec les contreparties, la correspondance avec les conseils, et les dossiers RH du personnel. La divulgation de données confidentielles causerait un préjudice significatif — réputationnel, financier ou concurrentiel — sans nécessairement constituer, en soi, une infraction réglementaire. Ce niveau doit être assorti de contrôles d'accès obligatoires, d'un chiffrement des données au repos et en transit, et de protocoles de partage restrictifs. Toute transmission externe de données confidentielles — à un administrateur, un auditeur ou un conseil juridique — doit être encadrée par un accord de traitement des données au sens de l'article 28 du RGPD, ou de son équivalent sous la LPD à l'article 9.

Données restreintes

Les données restreintes forment le niveau de sensibilité le plus élevé. Elles englobent les registres des bénéficiaires effectifs, les actes de trust, les données de santé et médicales utilisées dans la planification successorale, les évaluations d'exposition politique, et toute donnée relevant des catégories particulières de l'article 9 du RGPD — données génétiques, biométriques, convictions religieuses. L'exposition de données restreintes peut entraîner des sanctions réglementaires, une responsabilité civile et, dans certaines juridictions, une exposition pénale. L'accès doit être limité à des personnes nommément désignées, avec un besoin opérationnel documenté, et soumis à une authentification multifacteur. Un journal de chaque événement d'accès doit être conservé pendant trois ans au minimum.

Calendriers de rétention : concilier des obligations contradictoires

La politique de rétention d'un family office doit naviguer entre trois corpus réglementaires qui se chevauchent : les exigences de conservation au titre de la lutte contre le blanchiment (LCB) et de la fiscalité, les règles applicables aux valeurs mobilières et à l'administration de fonds, et le principe de limitation de la conservation du RGPD à l'article 5, paragraphe 1, point e), qui impose que les données personnelles ne soient conservées que le temps nécessaire aux finalités pour lesquelles elles ont été collectées.

La tension pratique est réelle. Les quatrième et cinquième directives européennes anti-blanchiment imposent la conservation des dossiers de due diligence clients et des pièces justificatives de transactions pendant cinq ans à compter de la fin de la relation d'affaires, certains États membres portant ce délai à dix ans pour les relations à risque élevé. FATCA et le dispositif d'Échange automatique de renseignements (EAR) de l'OCDE — communément désigné par son acronyme anglais CRS — exigent des établissements financiers, catégorie qui englobe de nombreux family offices selon leur structure, la conservation des informations relatives aux titulaires de comptes et des pièces de due diligence pendant au moins cinq ans, voire sept en pratique pour s'aligner sur les délais de prescription fiscale nationaux. Dans le même temps, le principe de limitation de la conservation du RGPD impose une justification active pour tout maintien de données personnelles au-delà de la finalité initiale de traitement.

La résolution passe par un calendrier de rétention stratifié : la durée obligatoire la plus longue s'applique là où une obligation légale l'impose, et la durée la plus courte défendable s'applique là où elle n'existe pas. Un cadre pratique : documentation LCB-FT et EAR, dix ans à compter de la fin de la relation ; conventions de conseil en investissement signées, dix ans à compter de la résiliation ; dossiers RH incluant la paie, sept ans à compter de la fin du contrat de travail (en cohérence avec la plupart des délais de prescription fiscale européens) ; correspondance générale avec les conseils, cinq ans ; documents de prospection commerciale et de communication, deux ans sauf renouvellement du consentement. Chaque durée de rétention doit être rattachée à une base légale spécifique dans le registre des données, de sorte que l'obligation de suppression ou d'anonymisation soit déclenchée automatiquement à l'expiration du délai, via un processus de revue programmé plutôt que par un jugement ponctuel.

Les calendriers de rétention ne valent que par la rigueur de suppression qui les sous-tend. Un family office qui fixe une durée de sept ans pour les dossiers RH mais ne supprime jamais effectivement les données à l'échéance dispose d'un document de gouvernance, non d'un programme de gouvernance.

Applicabilité du RGPD et de la LPD : ce que les family offices comprennent souvent mal

Une idée reçue courante chez les dirigeants de family offices — notamment ceux opérant depuis des juridictions hors UE — est que le RGPD est une question de conformité européenne, pertinente uniquement pour les entreprises européennes. La portée territoriale du règlement est substantiellement plus large. L'article 3, paragraphe 2, soumet au RGPD tout responsable du traitement ou sous-traitant établi hors de l'UE qui traite des données personnelles de résidents de l'UE dans le cadre d'une offre de biens ou de services, ou d'un suivi de leur comportement au sein de l'UE. Un family office domicilié aux îles Caïmans gérant des actifs pour une famille dont des enfants adultes résident dans l'UE, ou produisant des reportings de performance pour des bénéficiaires en Allemagne ou en France, traite des données personnelles de résidents de l'UE dans le cadre d'un service. Le RGPD s'applique.

La LPD suisse révisée s'applique à tout traitement de données personnelles ayant des effets en Suisse, indépendamment du lieu de traitement. Par rapport au RGPD, la LPD révisée restreint la définition des données sensibles en excluant, par exemple, l'appartenance syndicale — une catégorie que le RGPD traite comme particulière. La LPD impose également une notification au Préposé fédéral à la protection des données et à la transparence (PFPDT) uniquement pour les activités de traitement présentant un risque élevé pour les droits et libertés des personnes physiques, tandis que le RGPD rend obligatoire un registre des activités de traitement plus étendu pour les organisations de plus de 250 employés, avec des exceptions pour les traitements à risque élevé ou systématiques qui couvrent la quasi-totalité des activités d'un family office.

Pour les transferts transfrontaliers de données, les deux cadres exigent des mécanismes de transfert adéquats. Lorsqu'un family office transfère des données de bénéficiaires depuis la Suisse vers un pays tiers non adéquat — les États-Unis, par exemple, en l'absence d'un mécanisme de transfert spécifique —, des clauses contractuelles types au sens de l'article 16 de la LPD ou du chapitre V du RGPD doivent être en place. Le Data Privacy Framework UE-États-Unis, adopté en juillet 2023, ouvre une voie pour les transferts conformes au RGPD vers des entités américaines certifiées, mais les family offices devraient obtenir une confirmation juridique indépendante que leurs arrangements de transfert spécifiques remplissent bien les conditions requises.

Contrôles d'accès et rotation du personnel : un risque structurellement sous-estimé

La rotation du personnel est le risque de sécurité des données le plus structurellement sous-estimé dans les family offices. Contrairement aux sociétés de gestion institutionnelles dotées d'une intégration automatisée entre les RH et l'informatique, la plupart des family offices s'appuient sur des procédures manuelles de départ. Une analyse réalisée en 2022 sur des incidents de données survenus dans des structures de gestion de patrimoine privé par un cabinet de conseil en cybersécurité britannique révélait que 34 % des accès non autorisés à des données étaient imputables à d'anciens collaborateurs ayant conservé des identifiants actifs en moyenne 47 jours après leur départ. Dans le contexte d'un family office, où un chargé de planification successorale sortant peut avoir disposé d'un accès de niveau restreint aux structures de trust et aux données de santé, cette exposition n'est pas seulement un problème informatique — c'est un manquement potentiel à l'article 32 du RGPD et un risque fiduciaire.

La réponse structurelle est un contrôle d'accès basé sur les rôles (RBAC) directement lié au statut RH, avec une révocation des droits déclenchée automatiquement dès la notification de départ. Les accès doivent être attribués par rôle plutôt qu'à titre individuel, en appliquant systématiquement le principe du moindre privilège : chaque rôle ne reçoit que les permissions nécessaires à l'accomplissement de ses fonctions définies. Un rôle de conseil juridique, par exemple, devrait disposer d'un accès en lecture aux documents de trust et de succession de niveau restreint, mais sans accès en écriture et sans accès aux données de portefeuille d'investissement, sauf si cette fonction relève explicitement de son périmètre.

Les revues périodiques des accès comme discipline de gouvernance

Au-delà des procédures de départ, les family offices devraient conduire des revues semestrielles des accès lors desquelles les responsables des données — généralement le directeur des opérations ou un responsable désigné de la protection des données — certifient que le niveau d'accès de chaque utilisateur reste approprié à son rôle actuel. Cela est particulièrement important dans les family offices où l'élargissement informel des rôles est courant : un assistant de confiance qui accumule progressivement des accès aux systèmes financiers et juridiques sans changement de rôle formalisé est une défaillance de gouvernance en attente de devenir un incident de gouvernance. Des revues semestrielles constituent un dossier documenté qui satisfait à la fois aux standards de gouvernance interne et aux exigences de responsabilité de l'article 5, paragraphe 2, du RGPD.

L'accès des membres de la famille : une couche de gouvernance distincte

Les membres de la famille qui ne sont pas employés par le family office mais ont un intérêt légitime dans certaines données — des enfants adultes bénéficiaires de trusts, par exemple — nécessitent une couche de gouvernance distincte des protocoles d'accès du personnel. Leurs droits d'accès découlent de leur position juridique en tant que bénéficiaires, et non d'une relation de travail, et doivent être documentés en conséquence avec des limitations de périmètre explicites. La base légale du traitement de leurs données personnelles au titre du RGPD est généralement l'article 6, paragraphe 1, point c) (obligation légale) ou l'article 6, paragraphe 1, point b) (exécution d'un contrat), mais dans certains cas l'article 6, paragraphe 1, point f) (intérêts légitimes) peut s'appliquer, impliquant alors un test de mise en balance des intérêts.

Le registre des données comme colonne vertébrale opérationnelle

Chaque composante d'un programme de gouvernance des données — classification, rétention, contrôles d'accès, mécanismes de transfert — converge dans un document opérationnel unique : le registre des données, désigné dans le RGPD comme Registre des activités de traitement (article 30). Pour un family office, ce registre doit consigner a minima : le type d'actif de données et son niveau de classification, la finalité du traitement et sa base légale, le responsable des données (la personne nommément désignée responsable de cette catégorie d'actifs), la durée de rétention et le déclencheur de suppression, les destinataires ou catégories de destinataires (y compris les sous-traitants tiers), et tout mécanisme de transfert transfrontalier en vigueur.

Le RGPD exempte les organisations de moins de 250 employés de l'obligation prévue à l'article 30, sauf si elles effectuent des traitements à risque élevé, systématiques ou non occasionnels — une exemption qui ne s'applique en pratique à quasi aucun family office, dès lors que le traitement de données financières et de santé de bénéficiaires est par nature systématique et continu. La LPD impose une obligation comparable via son principe de responsabilité à l'article 8. La tenue d'un registre des données à jour et précis est, en pratique, un socle réglementaire et non une bonne pratique discrétionnaire.

Le registre des données doit être revu et mis à jour au minimum annuellement, et à chaque changement matériel : collecte d'une nouvelle catégorie de données, recours à un nouveau sous-traitant tiers, ou évolution de la relation avec un bénéficiaire ou un membre de la famille. Confier la responsabilité du registre à une personne nommément désignée — plutôt que de la laisser comme responsabilité partagée — est la décision de gouvernance la plus déterminante pour que le registre reste vivant plutôt que de devenir un artefact.

La mesure d'un programme de gouvernance des données n'est pas sa sophistication au moment de sa conception, mais la rigueur de sa maintenance dans le temps. Un registre bien conçu qui n'est pas mis à jour est pire qu'aucun registre, car il génère une fausse confiance tout en donnant une représentation erronée du périmètre réel de traitement.

Séquençage pratique pour les family offices qui partent de zéro

Pour les family offices ne disposant d'aucun cadre formel de gouvernance, l'ordre de mise en œuvre est déterminant. Commencer par un audit des données : identifier toutes les catégories de données actuellement détenues, leur lieu de stockage, les personnes y ayant accès, et l'existence d'obligations de rétention contractuelles ou réglementaires. Cet audit prend généralement de quatre à huit semaines pour un single-family office comptant dix à vingt collaborateurs, et doit être piloté par le directeur des opérations avec le concours du conseil juridique. Deuxièmement, rédiger la politique de classification et affecter chaque catégorie de données identifiée à un niveau. Troisièmement, construire le registre des données à partir des résultats de la classification, en y ajoutant la base légale, le responsable, la durée de rétention et les mécanismes de transfert. Quatrièmement, revoir et restructurer les contrôles d'accès selon le principe du moindre privilège, en mettant en place une révocation automatisée des droits lors des départs. Cinquièmement, instaurer le cycle de revue semestrielle et en attribuer la responsabilité explicite.

Le cadre BEPS Pilier Deux, désormais en vigueur dans la plupart des juridictions de l'OCDE pour les grands groupes multinationaux, ajoute une dimension documentaire supplémentaire pour les family offices opérant via des structures multi-entités : les règles d'imposition minimale mondiale imposent la conservation de données financières et d'entités suffisantes pour étayer les déclarations GloBE, avec des standards de documentation qui recoupent substantiellement les bonnes pratiques de gouvernance des données. Les family offices soumis au Pilier Deux — ceux intégrés dans un groupe dont le chiffre d'affaires consolidé dépasse 750 millions d'euros — doivent s'assurer que leur programme de gouvernance des données aborde explicitement la rétention documentaire GloBE au même titre que les obligations RGPD et LCB-FT.

La gouvernance des données n'est pas un projet de conformité assorti d'une date d'achèvement. C'est une discipline opérationnelle qui traduit le même sérieux fiduciaire que celui qui préside aux décisions d'investissement et à la planification successorale. Les family offices qui la traitent comme telle — en attribuant des responsabilités, en tenant des registres à jour, en appliquant des contrôles d'accès et en révisant les calendriers de rétention au regard des évolutions réglementaires — sont les mieux positionnés pour protéger à la fois la vie privée de la famille et la crédibilité institutionnelle du family office.