Le RGPD est arrivé en Europe. Ce règlement sur la protection des données personnelles est venu renforcer une volonté de protéger les consommateurs d’un marché où leurs données sont utilisées de façon irresponsable par les entreprises. Le dernier scandale en date concernant Facebook démontre l’ampleur du mal et l’urgence de responsabiliser les entreprises et de renforcer les droits des personnes. Le règlement est entré en vigueur le 25 mai 2018 pour tous les établissements utilisant des données personnelles dans le cadre de leur activité. C’est ainsi que les établissements financiers et leurs sous-traitants se sont mobilisés pour mettre en place ce règlement qui, en plus d’énoncer des principes engageants pour l’entreprise, s’avère être stratégique d’une part et riche en nouveaux défis d’autre part.
Les origines du RGDP
Tout commence avec la directive 95/46/CE sur la protection des données qui vise globalement à protéger le droit à la vie privée. Quatre ans après sa mise en application en 1998, de nouvelles réflexions sur la protection des données visent non seulement à renforcer cette protection mais également à responsabiliser des acteurs du traitement de la donnée. Le règlement EU 2016/679 du parlement européen et du conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données « dit RGPD » voit le jour et vient ainsi abroger la directive 95/46/CE.
Les principes du RGDP sur les données personnelles
Le règlement sur la protection des données personnelles (données sur la santé, l’identité, les finances, le patrimoine, les données biométrique, d’identification numériques, de localisation etc…) est guidé par 7 principes déclinés à l’article 5 de ce règlement européen :
- Licéité, loyauté et transparence : les données doivent être traitées de manière licite (conformément au consentement donné et pour les finalités définies), loyale et en toute transparence.
- Intégrité et confidentialité : les données doivent être traitées de façon à garantir une sécurité appropriée y compris la protection contre le traitement non autorisé ou illicite, contre la perte et ceci à l’aide de mesures techniques ou organisationnelles appropriées.
- Limitation des finalités : les données doivent être collectées pour des finalités déterminées, explicites et légitimes. Elles ne doivent pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
- Limitation de la conservation : les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
- Exactitude des données : les données doivent être exactes et tenues à jour, toutes les mesures doivent être prises pour que celles qui sont inexactes soient effacées ou rectifiées sans tarder. Minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire.
Un principe majeur pour les établissements financiers s’ajoute aux principes ci-dessus : la responsabilité. En effet il incombe au responsable des traitements de faire respecter ces principes et de démontrer qu’ils sont effectivement respectés.
RGPD ou opportunité stratégique pour les établissements financiers
La mise en place du RGPD dans les établissements financiers pourrait conduire à mettre en exergue plusieurs leviers positifs :
- Une revue des processus internes notamment au niveau du système d’information et de la relation client, ce qui permettra d’assurer une gouvernance des données plus performante et d’abandonner des règles de gestion obsolètes qui ne répondent plus aux besoins actuels.
- L’établissement d’une cartographie des données et des traitement : cet exercice sera l’occasion d’évaluer la pertinence de ces données au regard des objectifs stratégiques des établissements. Une nouvelle appréciation des risques pourra être conduite.
- Une formation et une sensibilisation des collaborateurs : cette démarche ayant pour but une meilleure connaissance des procédures et des impacts sur la vie privée des traitements des données, elle aura pour intérêt de collecter des informations réellement utiles. C’est l’opportunité d’éviter d’accroitre un volume de données redondantes, obsolètes et à faible valeur commerciale.
- Une opportunité de mettre en place un nettoyage de données régulier, ce qui permettrait de ne garder que les informations utiles. C’est une mesure qui conduirait certainement à diminuer des coûts de stockage de plus en plus importants.
- Une amélioration de l’image de marque auprès des clients et des partenaires : un gage de transparence de la part des établissements financiers que ce soit par la mise en place d’un processus de recueil de consentement motivé, soit par une communication en interne comme en externe sur sa conformité, participera indéniablement au renforcement de leur image.
De nouveaux défis pour les acteurs financiers
Les acteurs financiers devront faire face à de nouveaux défis pour la mise en place du RGPD. Ils devront ainsi user de moyens humains, financiers et matériels pour mener à bien ce projet. Ci-dessous sont développés 3 défis majeurs :
1/ La capacité technique des établissements à valoriser les données collectées
La valorisation des données passe par la capacité à rattacher à une personne physique, toutes les données qui lui sont relatives. Au vu des organisations et des systèmes d’informations dans les établissements financiers, ce n’est clairement pas ce qui était visé lors de leur mise en place. De plus ces données doivent être qualifiées et correctement documentées pour éviter de gérer des données qui ne sont ni pertinentes, ni fiables, ni pérennes. Il s’agira donc de mettre en place de nouvelles technologies informatiques capables d’allier et de favoriser l’implication des métiers en étroite collaboration avec les directions informatiques,
le but étant de garantir la qualité des données.
2/ Le défi de la conformité
L’environnement dans lequel les établissements financiers évoluent les contraint à maitriser un nombre croissant de techniques et de règlementations. Cette obligation n’est pas aléatoire compte tenu d’une part des impacts structurants sur leurs orientations stratégiques et d’autre part des sanctions de plus en plus lourdes en cas de manquement. Le RGPD vient renforcer ces contraintes par la mise en exergue des responsabilités partagées et précisées des différents acteurs face à l’utilisation des données à caractère personnel. De nouveaux outils de la conformité seront admis : tenue d’un registre des traitements mis en œuvre, certification des traitements, nomination d’un DPO (délégué à la protection des données) entre autres. C’est à cet effet que la Société Générale a nommé un DPO depuis octobre 2017, véritable chef d’orchestre de la conformité. Par ailleurs, les sanctions encourues sont à la hauteur des exigences : avertissement, mise en demeure, limitation temporaire ou définitive d’un traitement, suspension des flux de données, ordonnance de satisfaire aux demandes d’exercice des droits des personnes, ordonnance de rectification, de limitation ou d’effacement des données. C’est sans compter les amendes financières pouvant aller de 2% jusqu’à 4% du chiffre d’affaires annuel mondial selon la catégorie de l’infraction.
3/ La sécurité des données
C’est un risque qui s’est accru du fait de l’interconnexion croissante des systèmes d’informations, compte tenu notamment des évolutions qui résulteront des récents textes européens. Ainsi, la seconde directive sur les services de paiement prévoit que les nouveaux prestataires de services de paiement non teneurs de comptes, les agrégateurs d’informations sur les comptes et les initiateurs de paiement pourront accéder aux comptes de
paiement logés dans les banques, via des interfaces informatiques sécurisées mises à disposition par celles-ci. Ce mouvement d’ouverture des données détenues par les entreprises financières laisse entrevoir des opportunités, mais aussi des risques assez significatifs, notamment en ce qui concerne la cybersécurité. Il est donc urgent de définir des mesures qui permettent de traiter chaque risque tels que les contrôles d’accès, les sauvegardes, la traçabilité ou encore la sécurité des locaux.
Relever ces défis ne sera possible qu’avec l’étroite collaboration de partenaires devenus stratégiques pour toutes entreprises : les sous-traitants de données numériques. En effet, aujourd’hui les établissements bancaires et les compagnies d’assurance ont transféré tout ou partie de leurs activités à des prestataires extérieurs : que ce soit des activités informatiques, de centres d’appels ou d’autres activités de type back-office, moyens de paiement, comptabilité, reporting, etc. Cette démarche augmente considérablement les risques intrinsèques à ces activités notamment la confidentialité des données, la sécurité des systèmes d’informations ou le respect des obligations règlementaires. Il s’agira de faire adhérer ces acteurs à l’orientation stratégique définie et de redéfinir clairement d’une part les rôles, d’autre part les responsabilités de chacune des parties… Une occasion en or pour ces sous-traitants de renégocier leur contrat.
Marcelle E.
