La protection des données personnelles est multidisciplinaire, au cœur de la relation des banques avec leurs clients. En effet, ces dernières recueillent et traitent une quantité importante de données personnelles pour exercer leurs activités, que ce soit au titre du respect de nombreuses réglementations ou pour répondre aux attentes de leurs clients et améliorer sans cesse la relation avec eux.
La protection des données constitue un avantage compétitif qui peut renforcer la réputation de chaque banque. C’est en effet une composante essentielle de la confiance des clients. Mais c’est aussi un facteur déterminant de la transformation digitale et une opportunité pour développer l’innovation.
Le règlement général pour la protection des données (RGPD) entré en application en Europe le 25 mai 2018, a mis – ou plutôt remis – la protection des données sur le devant de la scène. Cela a-t-il pour autant engendré une révolution dans l’organisation des banques ?
Le droit de la protection des données personnelles n’est pas nouveau. En France, la loi « Informatique et Libertés » du 6 janvier 1978 a fêté ses 41 ans. Par ailleurs, le secteur bancaire a toujours été fortement réglementé. La confidentialité des données fait historiquement partie de la culture des banques qui ont développé un savoir-faire en matière de sécurité et de protection de celle-ci.
Le RGPD ne constitue donc pas pour BNP Paribas une révolution, mais il a généré une réelle évolution de son organisation concernant la protection des données personnelles.
RGPD : quels défis ?
Le défi majeur pour les banques est probablement la mise en place d’une gouvernance de la donnée qu’elle soit personnelle ou non.
La nécessité pour les banques de respecter les standards BCBS 239 du Comité de Bâle[1] en matière de qualité des données de reporting risque, a déjà poussé celles-ci à mieux structurer leur organisation afin d’appréhender les données dans leur ensemble.
Ainsi, au sein de BNP Paribas, a été mis en place un réseau de Chief Data Officers (CDO) chargé d’assurer dans chaque métier ou entité le respect des mesures concernant la qualité et l’intégrité des données. Pour coordonner ce réseau, une équipe centrale partage l’information tout en établissant les normes, principes, méthodologie, guidelines, déclinés ensuite par les CDO en fonction du contexte local.
L’implémentation du RGPD s’est inscrite dans la continuité. La décision a été prise de profiter des structures et comités déjà en place et l’équipe centrale s’est fortement étoffée pour réunir des acteurs des fonctions Juridique, Conformité, Risque, Informatique, mais aussi des métiers.
Un autre défi pour les banques est de transformer l’organisation sans totalement bouleverser les structures en place pour installer durablement une culture de la donnée personnelle.
Avec le RGPD, tous les établissements doivent pouvoir démontrer à tout moment leur conformité aux principes de protection des données. Cela implique entre autres :
– de cartographier/documenter les traitements existants ;
– d’analyser les processus opérationnels pour déterminer si des données personnelles sont manipulées ;
– de vérifier que ne sont traitées que les données personnelles nécessaires au regard de chaque finalité ;
– de prendre en compte les principes de protection des données dès la conception d’un nouveau produit ou service mais aussi pendant toute la durée des traitements ;
– de gérer les violations de données (procédure de gestion de crise) ;
– d’aménager les contrats avec les prestataires/sous-traitants.
BNP Paribas a souhaité pour cela accroître l’implication de tous dans la mise en place des initiatives assurant la protection des données personnelles en favorisant une coopération active des acteurs de différents horizons : opérationnels, juridiques, finance, risque, IT, conformité.
L’objectif, essentiel, est de casser les silos pour aller vers une collaboration transversale effective entre les pays, les entités, les métiers et les fonctions, et ainsi pouvoir assurer la cohérence des interprétations communes et faciliter leur implémentation opérationnelle en proposant des solutions pragmatiques adaptées aux structures existantes.
La mise en place d’un réseau de délégués à la protection des données (en anglais, Data Protection Officer – DPO) accompagnés de correspondants données personnelles, réseau coordonné par un DPO Groupe, permet de faciliter cette transversalité.
Par ailleurs, les rôles et responsabilités de chacun des acteurs de BNP Paribas en matière de protection des données ont été définis, ainsi que les processus de contrôle pour veiller au respect des règles internes établies.
Enfin, la sensibilisation des collaborateurs à tous les niveaux a été développée, à travers des eLearning obligatoires pour tous les collaborateurs en Europe sur les fondamentaux de la protection des données, des formations spécifiques et une forte montée en compétence des juristes spécialisés sur les questions digitales.
RGPD : quels avantages ?
BNP Paribas a toujours placé ses clients au cœur de sa stratégie en se positionnant vis-à-vis d’eux comme un tiers de confiance dans le cadre de la construction et du maintien d’une relation client forte.
La protection des données est un facteur clé dans cette relation de confiance et BNP Paribas veille au quotidien à la sécurité de ses systèmes pour garantir l’intégrité, la qualité et la confidentialité des données personnelles qui lui ont été confiées.
Le RGPD permet de renforcer cette démarche qualité en mettant l’accent sur les personnes et leurs données.
BNP Paribas a développé la transparence auprès de ses clients en leur communiquant, dans l’ensemble de son Groupe en Europe, une Notice protection des données et une Charte de confidentialité des données personnelles[2].
Elle a aussi amélioré le processus de réponse aux requêtes des clients.
Mais c’est probablement la mise en place d’une gouvernance sur la Protection des données personnelles avec responsabilisation de l’ensemble des acteurs de la Banque qui constitue l’apport essentiel de la mise en œuvre du RGPD au sein de BNP Paribas.
Les piliers de cette gouvernance sont le réseau de DPO, la transversalité des positions et interprétations liées à cette réglementation, ainsi que la standardisation des procédures, processus et documentation, notamment en ce qui concerne l’information des personnes, le développement du principe de Privacy by Design, ou la création d’une méthodologie pour réaliser l’analyse d’impact sur les données personnelles des personnes physiques ou clients de la Banque.
RGPD : quels enjeux ?
L’enjeu principal est constitué par la nécessité d’inscrire dans la durée les efforts actuels pour mettre en place une telle gouvernance de la donnée personnelle dans le Groupe en Europe, voire au-delà.
Notamment, dans un Groupe international, la multiplicité des entités et le multiculturalisme doivent être pris en compte.
Un autre enjeu est lié à l’articulation du RGPD avec d’autres textes, comme notamment le futur règlement ePrivacy, la DSP 2, la directive NIS, le Cloud Act, etc., qui créent de nombreuses interactions et impliquent d’assurer le respect et la coexistence de règles parfois antinomiques.
Enfin, ne doit pas être oubliée la hausse des demandes de communication de données par les régulateurs, autorités ou institutions juridictionnelles de tous pays – dans le cadre de leurs activités de supervision, d’investigation, ou de discovery –, qui nécessite d’analyser le fondement de cette communication et son contenu.
Le RGPD n’a donc pas totalement fini de faire parler de lui !
[1] Le BCBS 239 (Basel Committee on Banking Supervision’s standard n° 239), publié le 9 janvier 2013 par le Comité de Bâle, pose des principes visant à améliorer les capacités des banques en matière d’agrégation de données de risques financiers, afin de les aider à produire des reportings réglementaires plus fiables en améliorant la qualité de ces données risques.
[2] Ces documents sont aussi accessibles sur ses sites internet ou sur les espaces privés des banques en ligne.
