« Repenser les processus de conformité pour la protection des données personnelles »

Une photo de vacances sur Instagram, un « like » Facebook, un virement PayPal pour régler son AirBnB ou plus simplement un paiement en carte bancaire ou un retrait à un distributeur : tous les jours, nous alimentons de nos données des algorithmes de plus gourmands et friands d’informations personnelles. Face à cette frénésie irraisonnée, une nouvelle réglementation européenne du nom de GDPR (General Data Protection Regulation) s’imposera en mai 2018. Elle vise à faire évoluer les principes relatifs à l’utilisation, au traitement, à la diffusion et à la conservation des données personnelles des citoyens de l’Union européenne.

L’objectif se veut simple : transparence. Rien ne peut être fait sans que les personnes aient explicitement donné leur accord ou ne soient informées des traitements appliqués. De façon très résumée, cela se traduit par :

-
le droit de savoir de quelles données personnelles dispose l’entreprise et quel est l’usage qu’elle en fait ;

-
le droit d’être informé des traitements appliqués à leurs données, le droit de déplacer, et non pas de simplement dupliquer, ses données personnelles d’une organisation à une autre (portabilité des données) ;

-
le droit d’effacer à sa demande les données en possession d’une entreprise qui n’en n’aurait plus l’usage ou le besoin (droit à l’oubli) ;

-
l’obligation explicite pour l’entreprise utilisatrice de données personnelles de limiter la collecte et l’utilisation des données aux seuls besoins des traitements qu’elle aura définis et sur lesquels elle aura informé les personnes physiques. Ces obligations étant naturellement reportées sur tous les sous-traitants avec lesquelles l’entreprise travaille ;

-
l’obligation implicite d’assurer la sécurité et la confidentialité de ces données.

Les règles françaises qui préexistaient, à travers la Cnil (Commission nationale de l’informatique et des libertés), diffèrent de l’approche actuelle : la démarche ne repose plus sur une approche déclarative, mais sur une obligation de conformité du dispositif. En cas de non-respect des règles, des pénalités pourront être infligées aux contrevenants : 20 millions d’euros ou 4 % du chiffre d’affaires mondial (le chiffre le plus élevé sera retenu).

Les banques sont parmi les plus importants collecteurs de données dans le monde. En permanence, elles récoltent de l’information sur leurs clients lors de l’ouverture de comptes à vue et de l’utilisation des moyens de paiement. Elles traitent les données pour mesurer, analyser et suivre leurs risques ; octroyer, tarifer les crédits ; autoriser les découverts ; lutter contre le financement du terrorisme et le blanchiment ; prévenir le risque d’utilisation frauduleuse des moyens de paiement ; etc. Cette nouvelle réglementation va pleinement les toucher et ajouter une nouvelle exigence réglementaire en matière d’information des clients, d’administration et d’utilisation des données.

L’information digitalisée existe dans les banques depuis les années 70, mais jusqu’à récemment, il s’agissait de systèmes fermés permettant d’assurer un haut niveau de sécurité et confidentialité, l’information ne circulant pas vers l’extérieur et parfois très difficilement d’une filiale, d’un département à un autre. Pour pallier ces problèmes, des couches successives de développements informatiques sont venus s’empiler, créant une stratification et des traitements complexes, rendant l’accès à l’information originelle difficile. Cependant, depuis quelques années, des travaux ont été engagés pour mettre en qualité, traiter et utiliser les données de façon plus ordonnée, plus efficace et assurer une sécurité accrue dans des systèmes ouverts. Engagés sous contraintes réglementaires, ils ont pour but de répondre aux demandes du Comité de Bâle (BCBS 239 – principes relatifs à l’amélioration de la qualité des reportings réglementaires), de l’Autorité bancaire européenne (directive sur les services de paiement 2) ou de la Commission européenne (lutte antiblanchiment).

Ces chantiers, lancés préalablement à GDPR, n’avaient pas toujours pris en compte les droits et obligations d’information des personnes. Ils vont devoir être repensés pour construire un parcours de données fluide intégrant à chaque étape de la collecte et du traitement des objectifs de conformité à cette réglementation, des capacités de reportings, de transportabilité et de suppression. Il s’agit d’un défi commercial majeur car les Français considèrent la gestion des données comme un élément clé de sélection de leurs fournisseurs de services (voir le graphique). Le chief data officer, poste récent dans les banques, a de beaux jours devant lui.

Emmanuel Dooseman, associé, global head of banking chez Mazars {"image":"143946»,"legend":"","credit":""}