Cet article appartient au dossier : RGPD : quelques mois pour se mettre en conformité !.

RGPD : l’opportunité d’une gouvernance transverse des données

Les nouvelles exigences induites par le règlement européen sur la protection des données posent de nombreuses interrogations au secteur bancaire. Les banques feront-elles le choix de traiter ce sujet de manière isolée ? Saisiront-elles l’opportunité de déployer une gouvernance des données transverses à l’ensemble des réglementations auxquelles elles doivent faire face ? Transformeront-elles cette gouvernance en un levier de conquête commerciale au-delà des seuls enjeux réglementaires ?

L'auteur

Revue de l'article

La révolution digitale en cours est une tendance de fond qui rend indispensable la mise en place d’un cadre protecteur de nos données privées. À cet effet, le 25 mai 2018 marquera l'entrée en vigueur du règlement européen relatif à la protection des données personnelles, le règlement général de protection des données personnelles (RGPD, en anglais GDPR). Les avancées sont importantes pour les individus sur le territoire européen. Le RGPD renforce la protection des données personnelles. Ces « données personnelles » sont toutes les informations permettant d’identifier un individu directement ou indirectement : nom et prénom, numéro de sécurité sociale, et autres informations communes viennent tout de suite à l’esprit. Mais les données personnelles sont aussi les caractéristiques physiques, culturelles, sociales, jusqu’à des éléments comportementaux digitaux comme les adresses IP, les identifiants et mots de passe ou encore les habitudes de navigation Internet. Pour toutes ces données, le règlement vise à conférer aux individus une plus grande maîtrise concernant leurs données et l’usage que les entreprises en font. Cela passe par :

  • la garantie de disposer de politiques de la part des entreprises relatives à la vie privée expliquées dans un langage compréhensible ;
  • un droit d’accès renforcé aux données personnelles détenues par l’entreprise ;
  • le droit de portabilité de ses données vers un autre fournisseur de service ;
  • enfin, le droit à l’oubli permettant au client de rectifier ou d’effacer leurs données.

Des travaux de conformité d’ampleur pour toutes les entreprises

Toutes les organisations manipulant les données d'une personne présente sur le territoire de l’Union européenne devront respecter ces droits. Les organisations traitant à grande échelle des données sensibles auront à nommer ou recruter un Data Protection Officer (DPO). Les développements de produits et services devront intégrer, dès les premières étapes de conception, la protection des données (privacy by design). L’usage que feront les entreprises des données personnelles sera communiqué aux personnes concernées et leur consentement devra être recueilli. Les entreprises seront tenues d’être en capacité de démontrer leur conformité au travers de leurs processus, de leur organisation, des systèmes d’information et des compétences de leurs équipes. Les mesures de sécurité IT mises en œuvre devront permettre la préservation de la confidentialité, de l’intégrité et de la disponibilité des données personnelles. Les organisations auront l’obligation d’informer l’autorité de supervision et les personnes concernées en cas de violation des données personnelles.

La liste n'est pas ici exhaustive mais elle donne déjà un aperçu de l'ampleur des travaux à mener pour atteindre le bon niveau de maîtrise de ces données personnelles. Dans des organisations parfois complexes, avec des systèmes d’information multiples, utilisant de nombreux canaux de collecte des informations personnelles, cette obligation se transforme en challenge aux enjeux majeurs. D’autant que les organisations se trouvent en coresponsabilité avec leurs sous-traitants et cela, partout dans le monde.

En France, la Commission nationale informatique et libertés (CNIL) veillera à la mise en application du règlement par les entreprises. Elle pourra appliquer des sanctions. D’un point de vue opérationnel, les sanctions pourront consister en la suspension, voire la suppression de l’autorisation de traitement des données. Sur le plan financier, les amendes administratives pourront atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. À ceci s’ajoute l’impact sur l’image de marque et la réputation, à une époque où la confidentialité et la protection de leurs données personnelles deviennent l’une des préoccupations croissantes des citoyens européens.

Maîtriser les données, le sujet est-il si nouveau pour les banques ?

Les données personnelles sont un domaine pour les banques qui évoquent d’autres textes réglementaires applicables : par exemple, la loi Eckert [1] qui vise à protéger les épargnants et à améliorer la recherche des ayants droit. L'identification des comptes inactifs implique, elle aussi, sur l'attente d'un régulateur, ici l'ACPR, un bon niveau de maîtrise et de qualité des données concernées. Tout comme son pendant chez les assureurs, pour qui la gestion des contrats vie non réglés a occasionné de nombreux travaux sur les données.

On le sait, la liste des réglementations auxquelles sont soumises les banques est longue. De nombreuses d’entre elles nécessitent de manière explicite ou implicite un bon niveau de qualité et de gouvernance des données. Nous pourrions citer BCBS 239 [2], dont les 11 principes visent à renforcer les capacités des banques dites « systémiques » (selon la définition de la Banque Centrale Européenne) et à agréger leurs données relatives aux risques, et imposent une très haute maîtrise des définitions, de la collecte, des traitements et de la qualité des données. Dans un autre registre, ANACREDIT (Analytical Credit and Credit RiskDataset) [3], le projet de la BCE d’une base européenne de données statistiques sur les crédits, imposera aux banques de mettre à disposition de nombreuses données. Pour chaque ligne de crédit accordée, une centaine d’informations seront à fournir. Les banques devront traiter d’importants volumes de données tout en s’assurant de leur pertinence et du bon niveau de qualité.

On le voit, les réglementations bancaires les plus récentes font de la qualité et de la gouvernance des données des sujets majeurs pour les banques. Les exigences portent, en général, sur des données de plus en plus détaillées à traiter dans des délais de plus en plus courts.

L'un des facteurs clés de succès sera la capacité des banques à développer leur agilité à manipuler les données en se dotant d'une gouvernance des données appropriée. Les adhérences entre tous ces sujets réglementaires doivent inciter chacun des acteurs du secteur à penser sa gouvernance à l’échelle d’un groupe et non plus en silo comme nous le voyons encore chez nombre d’entreprises. L’objectif est de concilier tout à la fois l’intégralité des sujets réglementaires en lien avec les données mais également les opportunités business. Mieux maîtriser les données permet d’améliorer la connaissance de ses clients et des marchés. De nombreux établissements bancaires réfléchissent actuellement à la définition d’indicateurs. Il permettrait de mesurer, à terme, le retour sur investissement d’un point de vue business, la gouvernance mise en place pour répondre à ces enjeux réglementaires.

Vers une gouvernance des données transverse qui réponde à la fois aux enjeux business et réglementaires

Dans cette optique, la mise en place d’une gouvernance des données semble évidente. Mais quels sont les objectifs de cette gouvernance et en quoi consiste-t-elle ?

Pour commencer, cette politique de gouvernance permet de définir l’organisation nécessaire pour atteindre les objectifs de maîtrise et de qualité des données. Les rôles et responsabilités relatives à la propriété, au contrôle et au traitement des données sont établis. Les livrables et les comités à créer ou à modifier sont définis.

Parmi les livrables, le dictionnaire des données ou le glossaire d’entreprise est une clef de voûte. Il permet de définir le langage métier commun, de façon de s’assurer que chacun utilise le même terme pour désigner la donnée identique et éviter les confusions autour de données supposées similaires en tout point, mais ayant des valeurs différentes en fonction de la provenance. On parle bien ici d’un dictionnaire des termes métier, construit par les métiers. Ce dictionnaire servira de référence pour exprimer un besoin nouveau ou sera complété si de nouvelles données émergent. Par exemple, l’agrégation de données « risques » au niveau d’un groupe bancaire nécessite une transmission de données par toutes les entités et les lignes métiers à travers le monde. Une démarche d’une si grande envergure rend indispensable un tel outil. Bien que paraissant plus simple a priori, l’exercice est tout aussi nécessaire pour identifier les données personnelles détenues dans une telle organisation.

De même, il est nécessaire de connaître le cheminement des données au travers des systèmes d’information pour maîtriser les traitements appliqués aux données. Sur ce point, il faut intégrer les éléments hors-SI, ces fameux tableurs ou bases de données locales développés par les utilisateurs et appliquant parfois des traitements majeurs aux données. Dans ce cheminement des données, il convient d’identifier les contrôles et de les décrire dans un registre. La vision de bout en bout des contrôles appliqués aux données ainsi obtenue permettra de porter un regard critique sur la pertinence et la complétude de leur couverture du risque de non-qualité des données. Les résultats de ces contrôles et l’atteinte des seuils de qualité attendus constitueront les éléments de base aux calculs d’indicateurs de qualité des données.

Sur la base de toutes ces informations, les comités évoqués précédemment disposeront d’éléments factuels et maîtrisés pour piloter la gouvernance des données. Ces comités portés de préférence par les métiers représenteront les différents niveaux d’implication des acteurs de la donnée. Autour des métiers, ces comités peuvent, entre autres, réunir le Chief Data Officer pour la gouvernance des données, le Data Protection Officer pour les aspects juridiques et spécifiques au GDPR, le Chief Information Security Officer pour la sécurité des données. Dans cette organisation, la réflexion à mener sur le rôle et le positionnement du Chief Data Officer nous semble essentielle en tant que garant et véritable incarnation de la gouvernance des données.

L’objectif n’est pas ici la quête de l’absolu qui prendrait la forme d’une qualité à 100 % de toutes les données dont le moindre traitement serait connu. L’objectif premier est d’être en capacité de maîtriser les données, de cibler les efforts de contrôle et de qualité en fonction de la criticité des données et de leurs usages, de pouvoir mesurer objectivement cette qualité et son évolution, pouvoir ainsi arbitrer les actions prioritaires en toute connaissance de cause et mesurer par la suite leurs impacts au travers de l’évolution des indicateurs ; s’assurer que l’effort de contrôle des données ne consiste pas juste à reproduire à chaque étape les mêmes deux ou trois contrôles de qualité de données, mais à remettre le métier au centre du sujet, puisqu’il connaît le sens des données, sait définir les règles métier permettant de s’assurer de leur qualité, connaît la criticité des données pour chacun des usages.

Chacun à son poste, connaissant son rôle au sein d’une organisation transverse et lisible, agissant sur la maîtrise d’un capital commun à toute l’entreprise, est le gage d’une gouvernance efficace donnant de l’agilité pour être en capacité de répondre à moindre coût aux évolutions des réglementations et aux demandes ponctuelles des régulateurs.

Capitaliser sur l’existant pour construire une gouvernance transverse.

Au travers des travaux de conformité précédemment menés, les banques ont acquis une expérience de la gouvernance et de la qualité des données. A minima, ces expériences leur permettent de mesurer les difficultés rencontrées et les coûts générés pour répondre à une demande dans des délais contraints lorsque le patrimoine de données n’est pas sous contrôle. Bien souvent des éléments sont déjà en place pour couvrir certains usages, mais n’ont pas été mis à contribution pour les besoins nouveaux. Voilà autant de points d’appuis pour déployer une gouvernance des données transverse.

Cette gouvernance, étendue à d’autres usages, servira la conformité réglementaire, mais sera aussi un socle pour dégager de nouveaux avantages concurrentiels. Comment imaginer tirer parti aujourd'hui des possibilités offertes par le Big Data et la data science si le sens « métier » des données, leur qualité, leur provenance et leur traitement ne sont pas maîtrisés ? Comment imaginer consacrer des moyens au déploiement d’une gouvernance des données sans couvrir les enjeux commerciaux du digital et de l’amélioration de la connaissance client ?

Les volumes de données, leur variété, la vélocité des traitements, l'intelligence des algorithmes prennent toute leur valeur en s'appuyant sur une gouvernance des données à la hauteur de ces enjeux réglementaires et business.

 

[1] Loi n° 2014-617 du 13 juin 2014 relative aux comptes bancaires inactifs et aux contrats d'assurance vie en déshérence.

[2] Recommandations relatives au risque de crédit et à la comptabilisation des pertes de crédit attendues, Comité de Bâle, décembre 2015 : http://www.bis.org/bcbs/publ/d350_fr.pdf.

[3] Règlement 2016/867 de la Banque Centrale Européenne du 18 mai 2016 relatif à la collecte de données granulaires sur le crédit et le risque de crédit (BCE/2016/13) : https://www.ecb.europa.eu/ecb/legal/pdf/celex_32016r0867_fr_txt.pdf.

 

Sommaire du dossier

RGPD : quelques mois pour se mettre en conformité !

Sur le même sujet