Vous avez été nommé délégué à la protection des données (en anglais, Data Protection Officer – DPO) du groupe Société Générale. Pourquoi cette nouvelle fonction a-t-elle été créée ?
J’ai pris mes fonctions début septembre 2017, en avance de phase du Règlement général sur la protection des données (RGPD) qui impose aux entreprises d’une certaine taille qui traitent de données personnelles d’avoir un DPO à l’entrée en vigueur du règlement le 25 mai 2018. Société Générale a été l’un des premiers groupes bancaires et grands groupes à avoir nommé un DPO.
Celui-ci est le gardien du temple de la préservation des données et doit s’assurer que l’entreprise met en place les mesures qui permettent de protéger les données personnelles des clients, des collaborateurs, et plus généralement de toutes les personnes physiques avec lesquelles elle est en relation.
Le DPO doit notamment veiller à faire respecter ce que la banque a le droit de faire ou pas avec les données confiées par ses clients. Il y a des responsabilités nouvelles à la charge de la banque, qui doit par exemple demander le consentement éclairé, explicite et libre du client dans certains cas assez rares qui ne relèvent pas de l’activité habituelle de la banque, comme par exemple pour proposer un service innovant basé sur les données de géolocalisation. Le DPO doit s’assurer que l’entreprise met en place les mesures pour assurer, d’une part, la protection et la sécurité des données personnelles et, d’autre part, leur bon usage.
Il y a une grande proximité entre le texte du RGPD et les attentes des clients. RGPD est un sujet réglementaire mais aussi de stratégie de relation clients, qui fait écho aux craintes et interrogations des clients concernant leurs données personnelles. En tant que tiers de confiance, la banque travaille depuis toujours sur la question de la sécurité. Traiter des données personnelles et ne pas les divulguer fait partie de la culture d’une banque.
Quelles sont les missions concrètes du DPO ?
Le DPO a trois grandes missions. Une mission de conformité classique : il doit s’assurer que l’entreprise est conforme au RGPD. Une mission de conseil aux métiers : il doit accompagner les métiers dans le cadre de leurs actions IT, les aider à décliner la politique de la donnée de la banque.
Et il est le point de contact avec le régulateur, la Commission informatique et libertés (CNIL) et ses homologues dans les différents pays. Cela était une des missions de l’ancienne fonction de correspondant informatique et liberté (CIL) qui n’existe plus. GDPR prolonge la loi informatique et libertés, et le DPO prolonge le CIL.
Quelles missions concernent la protection et la sécurité des données personnelles en particulier ?
Pour une banque, le sujet de la protection des données personnelles est un sujet de préoccupation historique. Par construction, nous avons cette culture de la protection des données sur les aspects sécurité et, depuis quelques années, cybersécurité. Nous avons chez Société Générale une filière très forte de sécurité des systèmes d’information (SSI), sur laquelle je compte m’appuyer pour le volet sécurité du RGPD.
Le DPO doit vérifier que le niveau et le protocole de sécurité de toute application prennent bien en compte les aspects de protection et de données personnelles et, dans certains cas, ajuster ce niveau de sécurité. Nous avons commencé à vérifier le niveau de sécurité en face de chaque application dès 2016.
La banque figure parmi les industries les plus concernées par les cybermenaces. La cybersécurité concerne toute la chaîne et c’est par le maillon faible que peut survenir une attaque. Il faut donc bien protéger le système central et les applications. Le facteur humain constitue souvent le maillon faible et nous développons auprès de nos collaborateurs des actions de formation et de sensibilisation continues.
Le RGPD introduit de nouvelles notions en termes de sécurité des données…
Il y a trois éléments : la notion de privacy by design (l’intégration de la protection dès la conception), la notion de privacy by default (intégration de la protection par défaut) et le devoir d’alerte en cas de fuite d’informations.
Le privacy by design est le volet le plus important. Dès l’origine d’un nouveau produit ou d’une nouvelle application, nous devons nous poser la question des données personnelles et nous assurer que la dimension protection des données est assurée. Nous plaçons très en amont dans l’organisation les capteurs qui vont permettre de détecter le niveau de sécurité de tout projet.
Le privacy by default consiste à s’assurer que, par défaut, on est au niveau de sécurité le plus fort apporté.
Enfin, à partir du 25 mai prochain, il va devenir obligatoire de déclarer les fuites de données importantes au régulateur dans les 72 heures, ce qui est un délai très contraignant mais pertinent, voire dans certains cas d’avertir les personnes concernées si l’impact est important et si une mesure est nécessaire de leur côté, comme le changement de mot de passe.
Comment s’organise l’équipe du DPO au sein de Société Générale ?
Société Générale a décidé de placer son DPO à la direction de la Conformité du groupe. Il y aura un réseau de DPO correspondants qui seront logés dans la filière Conformité, et un DPO dans chacun des pays où la banque est présente, en contact avec les autorités locales.
La philosophie dans laquelle je m’inscris est de m’appuyer sur les actifs de la banque. Nous renforçons nos équipes, mais nous nous appuyons sur des équipes existantes. Je vais prendre appui sur des expertises pour mener ma mission, sur trois sujets en particulier : les équipes RSSI, les équipes juridiques et les métiers de data office, notamment les équipes data qui gèrent les data
Vous étiez auparavant responsable du digital dans la banque de détail en France. Avec des systèmes de plus en plus ouverts, y a-t-il plus de risques pour les données personnelles ?
Le développement du digital a certes considérablement augmenté le volume des données échangées sur le Net, engendrant davantage de risques. Cependant, en tant que banque, nous sommes depuis toujours dans une culture de protection de la donnée de nos clients et ne sommes pas prêts à faire de concession en la matière.
La DSP2 va favoriser l’ouverture et l’interaction des systèmes. Est-ce un sujet pour la protection des données ?
C’est un sujet. Il faut que tous les acteurs de la chaîne soient au même niveau d’exigence sur ces questions de sécurité, de confidentialité et de protection de l’usage de la donnée, que les règles s’appliquent à tous.
Il y a aussi la question de la responsabilité indirecte du client. On ne peut empêcher un client de donner ses codes de banque à distance à un agrégateur par exemple. Mais les clients évoluent, il y a une sensibilisation pour la sécurité qui est très forte. En l’occurrence, dans le cadre de DSP2, des solutions sécurisées seront mises en œuvre par les banques en suivant les recommandations européennes.
Tous les acteurs sont-ils au même niveau de protection ?
Ce n’est pas toujours le cas, mais je crois à l’intelligence collective et au fait que le juge de paix, au final, sera le client. Un éventuel fauteur de trouble sera sanctionné par le marché et les clients.
Propos recueillis par L. B.
