En Suisse, les données des clients de la Zürcher Kantonalbank (ci-après dénommée « la banque ») sont soumises au secret bancaire suisse ainsi qu'au droit de la protection des données et sont traitées de manière confidentielle par la banque.
Au sein de la banque, seuls les services qui ont besoin des données des clients pour ouvrir, conclure ou exécuter un contrat ou une relation commerciale ou en raison d'obligations légales et réglementaires, ont accès aux données des clients.
Afin de pouvoir proposer des produits et services propres ou externes au groupe, la banque peut faire appel à des prestataires. Ces derniers traitent les données des clients pour le compte et aux fins de la banque, par exemple pour le trafic des paiements, la souscription et le rachat de parts de fonds, l'impression et l'expédition de documents bancaires, la mise au point et l'exploitation de technologies de l'information et de communication (p. ex. infrastructures informatiques, plateformes ou applications), les services de marketing, de distribution ou de communication, l'encaissement, la lutte contre la fraude, les informations de crédit ou les conseils.
Si des données client sont communiquées à un tel prestataire, celui-ci ne peut traiter les données reçues que comme la banque le ferait. La banque sélectionne soigneusement ses prestataires de services et les oblige contractuellement à garantir la confidentialité par des mesures techniques et organisationnelles.
En raison du modèle d'exploitation de la banque et des technologies mises en œuvre, il est possible que les prestataires de services mandatés par la banque aient des intérêts à l'étranger. Il peut s'agir, par exemple, d'un prestataire de services appartenant à un groupe étranger, ou dont le siège se trouve à l'étranger ou qui traite des données à l'étranger.
Les prestataires de services étrangers peuvent notamment être sollicités pour la mise au point et l'exploitation d'infrastructures IT, de plateformes et d'applications, par exemple pour utiliser des services basés dans le cloud tels que les applications Microsoft Office, utiliser des filtres antivirus ou prévenir les attaques contre l'infrastructure IT (attaques DDos).
Dans de tels cas également, la banque convient de mesures techniques et organisationnelles visant à garantir la confidentialité des données des clients auprès des prestataires de services et à les protéger, par exemple, contre les cybercriminels. Il subsiste toutefois la possibilité que des autorités étrangères puissent ordonner la divulgation des données des clients en raison de l'affectation à l'étranger et du droit étranger qui s'y applique. Le secret bancaire suisse ne peut pas empêcher cette divulgation et les données peuvent être traitées par les autorités étrangères conformément à leur droit étranger applicable, par exemple pour leurs propres enquêtes ou procédures. Selon le droit étranger applicable, il se peut que le niveau de protection des données soit inférieur à celui de la Suisse et qu'il manque des droits comparables (p. ex. restrictions d'accès ou de transmission).