Risque opérationnel

La protection des données personnelles : un enjeu critique pour les banques

Le renforcement du contexte réglementaire en matière de protection des données personnelles, combiné à l’explosion de données induite par la révolution digitale, soulève des questions d’impacts opérationnels pour les banques, en particulier dans trois domaines d’activité : le Know Your Customer, les processus de circulation de données dans des back-offices mutualisés ou avec des partenaires extérieurs, enfin les modèles d’exploitation commerciale des données.

La protection des données personnelles

L'auteur

Revue de l'article

Cet article est extrait de
Revue Banque n°803

Numéro double 803-804 : Prospective 2017 - Rétrospective 2016

En mai 2016, l’adoption de la nouvelle réglementation sur la protection des données personnelles par l’Union européenne (UE) est venue renforcer le cadre réglementaire qui fixe les exigences en la matière à l’égard des entreprises. L’objectif est de garantir à chaque personne le contrôle de ses données personnelles. Le renforcement de la réglementation européenne en matière de Protection des données personnelles (PDP) soulève des questions d’impacts opérationnels pour les banques : celles-ci se voient dans l’obligation de renforcer la gouvernance sur le sujet PDP pour mettre en place un dispositif dédié, capable d’orchestrer efficacement les actions de l’ensemble des acteurs concernés par le traitement de données personnelles (données clients mais aussi données de collaborateurs, prestataires, actionnaires…).

Un enjeu plus prégnant dans un contexte de révolution digitale

Une des conséquences directes de la révolution digitale réside dans l’explosion du volume de données produites dans le monde qui devrait être multiplié par plus de 40 d’ici à 2020. Par ailleurs, les données personnelles pouvant être collectées sont de plus en plus nombreuses (réseaux sociaux) et plus complexes à structurer.

Parallèlement à cette révolution digitale, la conscience des risques pesant sur la protection de la vie privée et des droits fondamentaux en cas de mauvaise utilisation des données personnelles n’a jamais été aussi forte : 90 % des Européens souhaitent la mise en place d’un cadre commun de protection des données personnelles à travers toute l’Europe. On peut citer le cas du piratage fin 2015 des adresses et numéros de sécurité sociale de 15 millions d’abonnés de la filiale américaine de l’allemand Deutsche Telekom au cours d’une cyberattaque chez un de ses sous-traitants, qui démontre l’importance de sécuriser efficacement les systèmes traitant les données personnelles.

Deux petites années pour s’y préparer

La réglementation actuelle en matière de PDP s’inscrit dans un contexte réglementaire national et européen. La Directive européenne 95/46/CE de 1995 stipule qu’un transfert de données ne peut avoir lieu que si le pays de transfert assure une protection équivalente à la protection européenne ou si des garanties spécifiques sont mises en place comme la signature de clauses contractuelles. Le G29, qui réunit toutes les autorités de PDP européennes, a créé un nouvel outil juridique : les Binding Corporate Rules (BCR). Ces BCR reposent sur des principes de légitimité de la finalité, de transparence, de sécurité des données et d’adéquation de la durée de conservation avec la finalité. Ils permettent aux groupes qui les signent de créer une sphère de protection pour les transferts de données personnelles entre filiales à l’international.

Le nouveau règlement européen adopté le 4 mai 2016 et qui entrera en vigueur le 25 mai 2018 s’appliquera aux entreprises européennes, et à celles qui conservent des données de personnes localisées en Europe ou lorsque le traitement de données s’opère au sein de l’Union européenne. Ce nouveau texte introduit de nouveaux concepts : des concepts de responsabilité sur les traitements de données comme le privacy by design et la portabilité des données, une augmentation significative du montant des amendes à un niveau dissuasif (4 % du CA global), l’évolution de la logique de contrôle des autorités qui imposent dorénavant aux entreprises de pouvoir justifier à tout moment de la conformité de leurs traitements avec la réglementation, ainsi qu’une ambition d’harmonisation au sein l’UE.

Les banques fortement impactées

Le renforcement du contexte réglementaire en matière de protection des données personnelles, combiné à l’explosion de données qu’induit la révolution digitale, accroît le degré d’exposition des banques et démultiplie leurs enjeux opérationnels, financiers et d’image.

L’état actuel des évolutions attendues laisse apparaître trois domaines bancaires qui seront particulièrement exposés à la nouvelle réglementation :

  • le premier domaine est celui du Know Your Customer (KYC), obligation réglementaire des banques pour renforcer la collecte, l’analyse et le stockage des données clients dans le cadre de la lutte contre le blanchiment d’argent et contre le financement du terrorisme. Cela va fortement impacter la façon dont les établissements bancaires font piloter la communication préalable du client, le droit d’accès de leurs clients à leurs données et les délais de conservation desdites données ;
  • le deuxième domaine concerne le traitement et la gestion des données au sein de modèles industriels multi-pays s’appuyant sur des back-offices mutualisés entre plusieurs pays, de l’offshoring, de l’externalisation de type BPO (Business Process Outsourcing) ou des partenariats avec des acteurs financiers non bancaires de type FinTech, qui induisent une circulation importante de données ;
  • enfin, le troisième domaine porte sur le développement des modèles d’exploitation des données clients à des fins de développement commercial, sur la base de données agrégées et anonymisées sous réserve que l’on ne puisse pas remonter à des données individuelles, ou avec l’accord des clients sur la base de données plus personnelles.

Organiser la gouvernance de la donnée

Plusieurs directions sont déjà fortement mobilisées sur la question de la sécurité de la donnée notamment les directions juridiques, informatiques et RH. Mais les banques doivent élargir leur réflexion pour ancrer plus profondément le sujet de la PDP au cœur des métiers et des opérations.

Une intégration réussie de la PDP dans les banques nécessite la mise en place d’une gouvernance renforcée sur le sujet. Plusieurs options s’offrent aux banques : le sponsorship de la direction générale pour inciter au foisonnement de divers projets PDP, la création d’une fonction centrale de type DPO (Data Protection Officer), l’intégration dans le périmètre de la fonction Conformité avec la création d’un domaine dédié PDP, ou encore le renforcement des liens avec le Chief Data Officer. Quelle que soit l’option choisie, les banques devront choisir une des deux alternatives suivantes pour accélérer le déploiement du dispositif : soit une approche « top-down » dont l’objectif est de définir une méthodologie PDP globale outillée, soit une approche « bottom-up » qui traite de la mise en conformité PDP à un niveau très opérationnel. Cela doit être fait sans tarder.

 

Sur le même sujet