La CCT Banques prévoit-elle des formations obligatoires liées à la cybersécurité ?
Réponse courte
La CCT Banques 2024-2026 ne prévoit pas explicitement de formations obligatoires spécifiquement dédiées à la cybersécurité. En revanche, le budget de formation augmenté de 10% et l'allocation individuelle de 16 heures par an par salarié permettent d'inclure des formations en cybersécurité dans les plans de développement. Les formations obligatoires liées à la cybersécurité relèvent principalement des obligations réglementaires sectorielles (CSSF, BCE, DORA) et non de la convention collective elle-même. La CCT distingue l'allocation individuelle de formation des formations obligatoires imposées par la réglementation.
Définition
La cybersécurité dans le secteur bancaire désigne l'ensemble des mesures visant à protéger les systèmes d'information, les données clients et les infrastructures financières contre les menaces numériques. Les obligations de formation en cybersécurité pour les banques luxembourgeoises découlent principalement du règlement DORA (Digital Operational Resilience Act) et des circulaires de la CSSF (Commission de Surveillance du Secteur Financier), et non de la CCT elle-même.
Conditions d’exercice
L'articulation entre CCT et formations réglementaires en cybersécurité est la suivante.
| Source | Nature | Détail |
|---|---|---|
| CCT Banques | Allocation individuelle | 16h/an, hors formations obligatoires |
| CCT Banques | Budget global | Augmenté de 10% pour 2024-2026 |
| CSSF | Obligation réglementaire | Formations cybersécurité pour le personnel concerné |
| DORA | Obligation européenne | Sensibilisation à la résilience opérationnelle numérique |
| Employeur | Obligation de sécurité | Formation aux risques cyber dans le cadre de la sécurité au travail |
Modalités pratiques
La formation en cybersécurité dans le secteur bancaire s'organise comme suit.
| Type | Détail |
|---|---|
| Formations réglementaires | Imposées par la CSSF/DORA, financées par l'employeur, hors allocation CCT |
| Allocation individuelle | 16h/an utilisables pour des formations cyber complémentaires |
| Sensibilisation | Programmes internes de sensibilisation aux risques (phishing, fraude) |
| Certifications | Possibilité de financer des certifications cyber via le budget formation |
| E-learning | Modules en ligne comptabilisés dans le plan de formation |
Pratiques et recommandations
Distinguer clairement les formations obligatoires réglementaires (CSSF, DORA) des formations relevant de l'allocation individuelle CCT. Les premières ne doivent pas être imputées sur les 16 heures annuelles du salarié.
Inclure la cybersécurité dans le plan de formation digitale de l'entreprise comme axe prioritaire, compte tenu de l'exposition croissante du secteur bancaire aux risques numériques. Les formations en cybersécurité constituent un investissement dans la conformité et la protection de l'établissement.
Évaluer régulièrement le niveau de sensibilisation des salariés aux risques cyber par des tests de simulation (phishing, social engineering) et adapter les formations en conséquence.
Cadre juridique
Les textes suivants encadrent la formation en cybersécurité dans le secteur bancaire.
| Référence | Objet |
|---|---|
| CCT Banques 2024-2026 | Allocation individuelle de formation et budget global |
| Art. L.162-12, par. 4, 2° Code du travail | Politique de formation dans la convention collective |
| Règlement DORA (UE) 2022/2554 | Résilience opérationnelle numérique du secteur financier |
Note
L'allocation de 16 heures par an prévue par la CCT Banques exclut expressément les formations obligatoires et les formations de réorientation. Les formations en cybersécurité imposées par la réglementation (CSSF, DORA) sont donc financées séparément par l'employeur et ne réduisent pas le droit du salarié à son allocation de formation individuelle. Cette distinction est importante pour garantir que les salariés conservent un budget de formation pour leur développement personnel et professionnel.