La mise en place récente du RGPD semble provoquer de nombreux changements et l’heure semble être aux nouveaux processus destinés à remplir les objectifs de la nouvelle réglementation européenne.
Quel est le but du RGPD et comment impactera-t-il les institutions bancaires ? Quels en seront les différents effets et les opportunités pour la suite ?
Qu’est-ce que le RGPD ?
Entrée en vigueur le 25 mai dernier, le RGPD ou Règlement Général sur la Protection des Données, est une nouvelle directive impactant directement toutes entreprises mondiales amenées à traiter des données relevant d’un caractère personnel, de citoyens de la zone UE. Celle-ci repose sur trois grands principes :
- Responsabiliser les institutions bancaires et financières en consolidant le contrôle des données.
- Coordonner de manière globale la réglementation portant sur les données personnelles des citoyens à l’échelle européenne.
- Accroître les droits personnels grâce à une information plus transparente de l’emploi des données collectées, ainsi qu’offrir la possibilité des droits à l’oubli, de portabilité ou encore d’accès.
Plus globalement, cette nouvelle mesure a pour but de faciliter l’organisation légale des entreprises tout en assurant la maîtrise de confidentialité des données personnelles des citoyens. Notons également que dès que des données de résidents européens sont traitées, cette nouvelle réglementation s’applique à l’ensemble des entreprises, y compris celles non localisées au sein de l’Union Européenne.
Du fait des usages des collectes de données, les différents acteurs bancaires et financiers sont parmi les plus impactés et ont dû faire preuve de beaucoup de vigilance. Avec l’arrivée des nouveaux services en ligne, ces nouveaux acteurs avaient alors tout intérêt d’exploiter les données de leur clientèle afin d’en tirer un nouvel avantage concurrentiel. Désormais, le consentement des clients sera nécessaire.
Le RGPD dans le secteur bancaire
Nombreuses sont les lois et directives qui régissent aujourd’hui le secteur bancaire, le RGPD en est un de plus aujourd’hui. La masse de données traitées étant telle dans cet environnement, que nombre de parties prenantes ont à leur disposition de nombreuses informations confidentielles allant du patrimoine immobilier à la situation financière ou encore l’état de santé d’un client. Autant de données jugées délicates poussant à renforcer la sécurité autour de celles-ci.
En prévision des possibles risques, les banques ont certainement dû se prémunir de nouvelles procédures ou outils de traitement afin d’éviter tout avertissement ou amende de la CNIL. Il y a fort à parier également que de nombreuses mises à jour seront à effectuer compte-tenue de l’automatisation des activités sur certaines tâches. A cette fin, les établissements bancaires ont notamment dû revoir de manière transversale l’ensemble des process de traitement de données afin d’estimer les possibles risques et corrections futures en termes de conformité.
Compte tenu du champ d’application du RGPD et des opportunités en découlant, il peut cependant paraître incohérent d’avertir du risque d’attaque sur le secteur bancaire. Pourtant, la mise en œuvre du RGPD pourrait être une solution à double tranchant, puisqu’obligerait l’augmentation des données ainsi que la durée de conservation. Autant de données personnelles pouvant accroitre le risque d’attaques.
Or malgré les dispositions dont se sont dotées de nombreuses entreprises, l’Information Security Forum alerte dans son dernier rapport de la charge que représentera le RGPD, sans oublier les frais engendrés. En effet, il est estimé qu’à moyen terme les cyber risques seront tels, qu’un investissement sera plus que nécessaire afin de passer outre l’obsolescence des systèmes IT actuellement en place.
RGPD : investissement coûteux ou avantage commercial ?
Du fait des relations commerciales entretenues avec les clients, les établissements bancaires ont donc un vrai devoir de confiance à remplir. Le respect de leurs données dans le traitement des activités quotidiennes, est aussi directement lié aux outils numériques récemment proposés comme le paiement mobile, les plateformes de gestion personnelle, etc.
Aussi, tout comme le Safe Harbor (visant les transactions effectuées vers les États-Unis), les banques françaises et/ou européennes auraient tout intérêt à mettre en place des BCR (Binding Corporate Rules) afin d’uniformiser la protection des données dans l’ensemble des pays d’opérations. En veillant à l’ensemble des réglementations respectives, une optimisation des outils de sécurité pourrait ainsi être envisagée répondant aux attentes de minimisation des risques et de transparence envers les consommateurs.
Rassurer le client et montrer patte blanche, pourrait être gage de transparence et vecteur de nouvelles opportunités. Le groupe Arkéa est d’ailleurs un bon exemple, avec la récente création d’un département spécialement dédié à la protection des données personnelles. La RGPD impactant de manière transversale l’ensemble des établissements financiers, Arkéa tentera alors de sécuriser et d’améliorer l’ensemble de la conformité du groupe grâce à cette équipe de supervision. Dans la continuité des chartes de transparence et confiance, ces créations de départements spécialisées pourraient bien devenir monnaie courante et donc un pari stratégique…
Roxane B.
