Éthique et conformité

La BCF reconnaît les normes internationales en matière de droits humains et adhère pleinement aux valeurs et aspirations qu’elles véhiculent. Elle place la protection de l’intégrité de ses collaboratrices et collaborateurs au cœur de ses préoccupations. Les directives du personnel interdisent toute forme de discrimination, qu’elle soit directe ou indirecte. Les responsables hiérarchiques doivent veiller, dans le cadre de leur domaine de compétences, à une ambiance saine et propice au travail, libre de toute forme de harcèlement.

Un canal de communication confidentiel et sûr (plateforme dédiée au whistleblowing) est mis à la disposition des collaboratrices et collaborateurs depuis plusieurs années pour signaler toute atteinte à la personnalité ou toute irrégularité, telles que des infractions aux lois, aux règlements ou aux directives. Les personnes utilisant ce canal de communication sont protégées.

Le Règlement du personnel et les directives du personnel font partie intégrante des contrats de travail. Ils incluent des règles de conduite à suivre en matière de lutte contre la corruption et le blanchiment d’argent. Chaque collaboratrice et chaque collaborateur atteste par écrit avoir pris connaissance de ces directives et s’engage à les respecter. Ces thématiques sont également abordées lors de la journée d’introduction des nouvelles collaboratrices et des nouveaux collaborateurs, ainsi que dans le cadre de formations continues.

De manière plus générale, la BCF investit des moyens importants pour mener de manière efficace la lutte contre le blanchiment d’argent et le financement du terrorisme. Elle se conforme également aux exigences relatives à la fiscalité. Les clientes et les clients sont responsables du respect des dispositions légales et réglementaires qui leur sont applicables, notamment celles relatives à l’obligation de déclaration fiscale et du paiement de l’impôt. Les clientes et les clients relèvent la Banque de toute responsabilité en la matière.

La conformité et le respect des règles déontologiques sont des valeurs fondamentales de la BCF. En tant qu’institution bancaire responsable, la BCF place la loyauté, l’intégrité et l’éthique professionnelle au cœur de ses relations avec ses parties prenantes. Agir en conformité signifie inscrire l’ensemble des actions de la Banque dans le respect rigoureux des dispositions applicables aux activités bancaires et financières. Cela inclut les lois et règlements en vigueur, les normes professionnelles et déontologiques, ainsi que les directives internes. L’application stricte de ces principes est à la fois un devoir envers la clientèle et un fondement essentiel de la réputation et de la fiabilité de la BCF.

Toutes les réclamations émanant de la clientèle sont centralisées au sein de la division Juridique, risques et compliance. Celle-ci en assure le traitement et les rapporte, en fonction de leur nature et leur gravité, aux instances compétentes : la Direction générale, le Conseil d’administration.

En cas de questions ou de réclamations spécifiques concernant des opérations bancaires et financières effectuées par la Banque, les clientes et les clients ont la possibilité de s’adresser à un médiateur neutre : l’Ombudsman des banques suisses. Ce dernier agit en tant qu’instance d’information et de médiation, sans pouvoir juridictionnel, pour les clientes et clients des instituts membres de l’ASB. Plus d’informations sont disponibles sous : www.bankingombudsman.ch

Afin de lutter contre la fraude fiscale, la BCF applique les différentes réglementations liées à l’échange automatique de renseignements fiscaux. Cela inclut notamment la norme de l’OCDE sur l’Échange automatique de renseignements (EAR) et l’Accord FATCA (Foreign Account Tax Compliance Act) conclu entre la Suisse et les États-Unis.

Ces dispositifs permettent aux autorités fiscales des États partenaires d’obtenir des informations financières concernant les comptes et avoirs détenus à l’étranger par leurs contribuables. En Suisse, leur mise en œuvre repose sur deux bases légales principales : la Loi fédérale sur l’échange international automatique de renseignements en matière fiscale (LEAR) et la loi FATCA.

Ces obligations s’appliquent aussi bien aux personnes physiques qu’aux personnes morales. Les données des clientes et des clients – y compris les informations sur leur patrimoine – ne sont transmises que si la Suisse a conclu un accord bilatéral avec l’État concerné.

La liste actualisée des États partenaires avec lesquels la Suisse applique l’EAR est consultable sur le site de la BCF sous www.bcf.ch/fr/la-bcf/propos-de-nous/informations-juridiques/fiscalite, ainsi que sur celui du Secrétariat d’État aux questions financières internationales (SFI), qui fournit également des informations détaillées sur les modalités de l’échange automatique de renseignements.

La BCF a mis en place des mesures strictes pour prévenir toute forme de corruption au sein de l’établissement. A ce titre, sa réglementation interne interdit formellement l’acceptation d’argent, de cadeaux ou de tout autre avantage, que ce soit de manière directe ou indirecte, en lien avec l’activité professionnelle. Seuls les présents d’usage, dont la valeur commerciale est jugée modeste et définie dans la réglementation interne, sont tolérés.

La BCF est assujettie à l’Autorité fédérale de surveillance des marchés financiers (FINMA) et répond ainsi à toutes les exigences du secteur financier. Elle dispose d’une division Juridique, risques et compliance, dont les missions s’inscrivent dans le cadre de la Circulaire FINMA 2017/1 « Gouvernance d’entreprise – banques », en particulier les responsabilités relevant de la deuxième ligne de défense. Ce dispositif garantit la séparation des fonctions de contrôle ainsi qu’une indépendance dans la prise de décisions. La division est composée de cinq unités structurelles dont l’unité Compliance, chargée de veiller à la conformité aux prescriptions légales, réglementaires et internes, ainsi qu’au respect des normes et règles déontologiques en vigueur sur le marché concerné.

La fonction Compliance est également responsable de l’évaluation annuelle des risques de compliance, notamment en matière de lutte contre le blanchiment d’argent et le financement du terrorisme. Sur cette base, elle élabore un plan d’action axé sur le risque. Elle met en place les directives qui ont pour but de définir les règles de comportement et d’organisation nécessaires pour assurer une prévention efficace.

Une directive dédiée applicable à toutes les collaboratrices et tous les collaborateurs concrétise les bonnes pratiques et les règles destinées à prévenir les risques liés au blanchiment de capitaux au sein de la Banque. Dès leur entrée en fonction, toutes les collaboratrices et tous les collaborateurs reçoivent une formation obligatoire sur les prescriptions en vigueur relatives à la prévention et la lutte contre le blanchiment d’argent ainsi qu’au financement du terrorisme. Des formations en ligne sont régulièrement organisées pour maintenir les connaissances à jour. En cas de soupçon de blanchiment d’argent, la Banque procède, conformément à la règlementation en vigueur, à une communication MROS. Le MROS (Money Laundering Reporting Office Switzerland) est la cellule de renseignement financier centrale en Suisse, rattachée à fedpol. Il reçoit, analyse les signalements de blanchiment d’argent et de financement du terrorisme, puis transmet les cas pertinents aux autorités pénales, agissant comme filtre essentiel.

Le CA, la DIGE ainsi que l’ensemble des collaboratrices et collaborateurs de la Banque sont informés des directives internes anti-corruption et anti-blanchiment. Aucun incident de corruption avérée ou de blanchiment avéré n’a eu lieu, aucun-e employé-e n’a été sanctionné ou licencié à ce sujet.

La Banque est également auditée chaque année pour garantir l’adéquation de ses processus avec le cadre légal et réglementaire.

www.bcf.ch/fr/la-bcf/propos-de-nous/informations-juridiques

En tant qu’institut de droit public engagé dans une gouvernance responsable, la BCF reconnaît que ses pratiques de soutien au fonctionnement démocratique peuvent influencer la perception d’indépendance et la transparence de ses relations avec les acteurs politiques du canton. La Banque apporte une contribution destinée au processus électoral cantonal, répartie entre les partis proportionnellement à leur représentativité au Grand Conseil. Ce soutien n’est accordé qu’en cas d’élections cantonales ou fédérales. En 2025, aucune élection de ce type n’ayant eu lieu, aucun soutien n’a été accordé.

Par cette approche, la BCF promeut l’équité démocratique et soutient de manière uniforme le bon déroulement des élections, en appliquant un critère objectif et vérifiable qui évite toute préférence politique ou intervention de la Direction générale. Aucun parti ne bénéficie ainsi d’un soutien fondé sur des affinités partisanes. Des règles internes strictes de neutralité et de transparence encadrent cette pratique afin de prévenir tout risque de conflit d’intérêts et de garantir une démarche cohérente avec les principes de gouvernance responsable de la Banque.

La BCF travaille avec des sociétés spécialisées en matière de sécurité physique, en particulier Certas pour la gestion et le traitement des alarmes et Securitas pour le service d’intervention sur les sites, en appui de la police cantonale. Ces sociétés sont formées conformément aux exigences élevées applicables en Suisse en matière de respect des droits fondamentaux et de gestion proportionnée des situations de sécurité. Tous les agents intervenant sur les sites de la Banque bénéficient de formations portant sur les politiques et procédures liées aux droits de l’homme et sur leur application concrète dans le cadre de leurs missions. Les exigences de formation s’appliquent pleinement au personnel mis à disposition par ce prestataire externe. Cette approche garantit que les interventions de sécurité réalisées dans l’environnement de la BCF respectent systématiquement les principes de diligence, de prévention des risques et de protection des personnes, en cohérence avec les engagements de la Banque en matière de gouvernance responsable et de droits de l’homme.

Les clientes et les clients de la BCF peuvent consulter en ligne les Conditions générales et règlements de la Banque, ainsi que divers documents et informations utiles, notamment :

• la brochure de l’Association suisse des banquiers (ASB) « Risques inhérents au commerce d’instruments financiers » destinée à fournir des informations générales sur les principaux services financiers ainsi que sur les risques inhérents au commerce d’instruments financiers ;
• la description des services financiers offerts par la BCF ainsi que les dispositions mises en place dans le cadre de la protection des investisseurs ;
• une notice informative sur la politique de gestion des conflits d’intérêts à la BCF ;
• une notice informative concernant les commissions et les rétrocessions, précisant la portée de l’article 31 des Conditions générales de la Banque Cantonale de Fribourg.

La protection des données personnelles est primordiale pour la BCF. La Banque s’engage à appliquer avec rigueur la Loi fédérale sur la protection des données (LPD) qui, conjointement avec le secret bancaire, protège la clientèle contre tout accès non autorisé à leurs données personnelles. Elle a mis en place des principes de gouvernance ainsi que des mesures techniques, organisationnelles et infrastructurelles destinées à assurer un haut niveau de sécurité des données.

Protéger les données personnelles

La Banque procède au traitement des données de ses clientes et de ses clients et partenaires d’affaires notamment pour remplir ses obligations contractuelles, légales et règlementaires, ainsi que dans le cadre de la poursuite de ses intérêts légitimes, comme le développement et la consolidation des relations d’affaires.

Afin de satisfaire aux obligations mentionnées ci-avant, la BCF peut externaliser certaines prestations de services à des tiers, notamment dans le domaine de l’informatique ou de l’administration. Ces tiers sont contractuellement tenus de protéger la confidentialité et la sécurité des données. En outre, la Banque met en place les mesures raisonnablement nécessaires afin de sécuriser les transferts de données à des tiers. Ces tiers ne peuvent eux-mêmes recourir à des sous-traitants, qu’à condition que la Banque ait donné son accord.

Le/la client-e dispose notamment des droits suivants, sous réserve des restrictions légales applicables :

• Droit d’accès à ses données personnelles, ainsi qu’aux informations relatives aux modalités de leur traitement par la Banque ;
• Droit de rectification de ses données lorsqu’elles sont inexactes ou incomplètes ;
• Droit de révocation de son consentement à tout moment ;
• Droit à la portabilité, c’est-à-dire de demander, dans les limites prévues par la loi, la restitution des données fournies à la Banque ou leur transfert à un tiers ;
• Droit à la limitation du traitement de ses données, notamment en s’opposant à leur utilisation à des fins de marketing ;
• Droit à l’effacement, lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, sous réserve des durées de conservation applicables.

La BCF conserve les données personnelles aussi longtemps que cela est nécessaire pour remplir ses obligations légales et contractuelles. Aussi, en règle générale, les documents sont détruits dix ans après la cessation de la relation d’affaires ou après la fin de la transaction.

Les informations détaillées relatives au traitement des données personnelles et aux droits des clientes et des clients figurent dans la « Déclaration relative à la protection des données personnelles » disponible sur le site internet de la Banque. La clientèle est également informée des dispositions en matière de protection des données dans les Conditions générales et règlements de la BCF, les conditions d’utilisation du site internet, les conditions d’utilisation de Mobile Banking, les conditions d’utilisation de One, les conditions d’utilisation de l’assistant financier ainsi que les conditions d’utilisation de Twint.

En interne, l’obligation de confidentialité, notamment le respect du secret bancaire, est formellement inscrite dans les contrats de travail, le Règlement du personnel ainsi que dans diverses directives internes. Les collaboratrices et collaborateurs de la Banque sont régulièrement sensibilisés à l’importance du respect de ces règles, notamment au travers de formations internes.

Toutes les données personnelles et données sensibles sont protégées par un système de sécurité de plusieurs niveaux. Ainsi, tous les espaces non publics de la Banque sont protégés par un système de contrôle d’accès et seules les personnes dûment autorisées y ont accès.

L’accès aux systèmes informatiques de la BCF ne peut se faire qu’à l’aide d’un identifiant et d’un mot de passe personnels propres à chaque collaboratrice et collaborateur. Chaque ordinateur individuel est protégé par un mot de passe personnel.

L’accès aux données n’est autorisé que pour les collaboratrices et collaborateurs de la Banque ou des personnes dûment mandatées et respecte le principe « Need to know » de n’avoir l’information que si elle est nécessaire.

La sensibilisation des collaboratrices et des collaborateurs est un élément clé de la garantie de sécurité des données. Des formations ont été organisées depuis plusieurs années à ce sujet. En 2025, une nouvelle formation a été donnée par le responsable de l’équipe de sécurité de la Banque. Dans un environnement bancaire où la confiance repose sur la sécurité et la confidentialité, la protection des données critiques est une priorité absolue. Cette formation a renforcé la culture de sécurité au sein de la Banque en sensibilisant aux risques liés au traitement des données sensibles, avec comme double objectif de :

• Former aux bons réflexes pour prévenir les fuites, les pertes ou les accès non autorisés ;
• Responsabiliser chaque collaboratrice et chaque collaborateur en tant qu’acteur de la sécurité de l’information.

À travers des cas concrets, des mises en situation et des conseils pratiques, cette formation a permis de :

• Identifier les données critiques dans les activités quotidiennes ;
• Reconnaître les menaces (phishing, erreurs humaines, accès non sécurisés) ;
• Adopter des comportements simples mais efficaces.

Avec ces outils de sensibilisation, la Banque se donne pour mission de :

• Agir en amont pour limiter les risques de fraude en diffusant des messages clairs, accessibles et ciblés ;
• Renforcer la vigilance collective face à la fraude en développant les compétences des collaboratrices et des collaborateurs, en partageant les retours d’expérience concrets, et en favorisant une culture de la collaboration ;
• Renforcer la capacité d’intervention rapide et coordonnée en cas de tentative de fraude, grâce à des outils performants et des processus agiles.

Aucune plainte fondée concernant des violations de la confidentialité des données clients ou des pertes de données clients n’a été déposée, et aucun cas de fuite de données, vol ou pertes de données clients n’est à déplorer.

Concernant plus spécifiquement la cybersécurité, la robustesse du dispositif est régulièrement évaluée, et des tests sont menés afin d’en vérifier la résistance face aux cybermenaces. La BCF dispose d’un plan détaillé de continuité des activités (Business Continuity Plan), destiné à assurer que, lors de la survenance d’un événement conduisant à une interruption d’activité ou ayant un impact significatif sur la Banque, tous les interlocuteurs requis sont alertés et que les mesures adéquates ont été identifiées et seront mises en œuvre. Une panne informatique ou une cyberattaque font partie des scénarios pris en compte dans ce plan.

À cet effet, la BCF mène régulièrement des exercices :

• Une fois par an, un test de continuité et de reprise des activités est réalisé ;
• Une fois par année, un scénario de gestion de crise est simulé pour entraîner les équipes sélectionnées à ce type d’exercice et améliorer ainsi les procédures opérationnelles. Un test de la cellule de crise effectué en 2025 a démontré la maturité des dispositifs de gestion de crise au sein de la BCF, ainsi que la capacité des équipes à agir de manière rapide, structurée et collaborative. Il a également mis en évidence des pratiques avancées en matière d’anticipation, de communication proactive et de coordination entre les différents acteurs.

L’infrastructure informatique de la BCF est principalement externalisée auprès de Swisscom (Suisse) SA, qui applique sa propre norme de sécurité, l’ITSLB (IT Security Level Basic). Cette norme repose sur les meilleures pratiques reconnues dans les domaines techniques, organisationnels et infrastructurels. L’approche de sécurité de Swisscom couvre l’ensemble des couches informatiques utilisées par la BCF, à savoir : les applications, les bases de données, les services, le stockage, les postes de travail, les réseaux et les serveurs. À chaque niveau, Swisscom garantit une sécurité optimale en assurant une gestion rigoureuse des configurations, des systèmes de protection, des identités et des accès, ainsi que des processus de contrôle et de reporting.

Dans les cas où l’hébergement n’est pas effectué auprès de Swisscom, les équipes informatiques et de sécurité de la Banque appliquent des règles strictes de choix de fournisseurs. Ces derniers doivent toujours respecter un cahier des charges précis. La Banque tient compte de certifications de sécurité reconnues (p. ex. ISO 27’001) ou toute autre attestation de tiers jugée fiable (par exemple SOC 2). La Banque applique les recommandations de l’ASB (Association suisse des banquiers, Swiss Banking) dans ce domaine, notamment les recommandations décrites dans le « Guide Cloud » et ses annexes.

La préparation passe également par la sensibilisation. Ainsi, des communications et des rappels réguliers sur la prévention de fuite de données sont adressés aux collaboratrices et aux collaborateurs pour s’assurer de leur vigilance face aux cyberrisques. En outre, comme l’un des vecteurs d’attaque privilégiés des cybercriminels est l’envoi d’e-mails malveillants, la BCF renforce continuellement ses campagnes de prévention auprès de son personnel, en :

• testant de manière continue l’attention des destinataires de messages, à l’aide de technique de social engineering (envoi de vrais-faux messages tests) ;
• organisant des séances de formation complémentaires pour celles et ceux qui se seraient laissé duper.

Le but de la Banque est de pouvoir agir en amont pour limiter les risques, en diffusant des messages clairs, accessibles et ciblés.