Au-delà des contradictions, DSP2 et RGPD sont des alliés réglementaires

Les lecteurs de Revue Banque le savent : l&rsquo;an prochain, deux nouvelles r&eacute;gulations vont intervenir sur la fa&ccedil;on dont les banques et leurs &eacute;cosyst&egrave;mes doivent g&eacute;rer leurs donn&eacute;es et celles de leurs clients. D&rsquo;un c&ocirc;t&eacute;, la DSP2 (directive sur les services de paiement), qui pr&ocirc;ne une ouverture des syst&egrave;mes d&rsquo;information bancaires aux agr&eacute;gateurs de comptes et aux initiateurs de paiements, et de l&rsquo;autre le RGPD (r&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es), qui impose un cadre plus strict aux entreprises traitant des donn&eacute;es personnelles de clients europ&eacute;ens, avec notamment une meilleure information sur la fa&ccedil;on dont celles-ci sont trait&eacute;es, prot&eacute;g&eacute;es et utilis&eacute;es. Si nous avons largement expos&eacute; dans nos dossiers pr&eacute;c&eacute;dents les cons&eacute;quences de chacune de ces r&eacute;glementations pour les banques et les services financiers, il est temps de voir comment, en pratique, ceux-ci peuvent respecter les deux en m&ecirc;me temps. Au-del&agrave; des contradictions apparentes, ces deux obligations se renforcent en fait l&rsquo;une et l&rsquo;autre et forcent les &eacute;quipes de la direction informatique et des diff&eacute;rents m&eacute;tiers &agrave; mieux repenser l&rsquo;usage qu&rsquo;ils font des donn&eacute;es. &Agrave; terme, elles pourraient m&ecirc;me pousser &agrave; proposer de nouveaux services. Se mettre en conformit&eacute; avant de penser aux nouveaux services Pour Sven Radulovic, responsable de la conformit&eacute; et des risques chez la n&eacute;o-banque Ditto by Travelex, &laquo; il faut penser au RGPD lors de la mise en place de tout projet, y compris les projets DSP2. Ces r&eacute;glementations ne sont pas contradictoires, car l&rsquo;objectif n&rsquo;est pas le m&ecirc;me. L'objectif du RGPD est la protection des donn&eacute;es personnelles, alors que la DSP2 cible les &eacute;volutions technologiques et les nouveaux services/comportements du march&eacute;. &raquo; Pour sa banque, particuli&egrave;rement tourn&eacute;e vers l&rsquo;international, la r&eacute;ponse se fera en deux temps. &laquo; Demain, les banques vont pouvoir apporter une meilleure visibilit&eacute; sur l&rsquo;en- semble des comptes et activit&eacute;s de leurs clients. La mise en conformit&eacute; implique l&rsquo;ouverture de ses donn&eacute;es vers d&rsquo;autres acteurs de la Place pour qu&rsquo;ils y acc&egrave;dent &eacute;galement. De mani&egrave;re natu- relle, dans un premier temps, nous allons nous diriger vers une mise en conformit&eacute;, puis vers des services additionnels &agrave; valeur ajout&eacute;e pour nos clients. Nous sommes en train de d&eacute;finir ces services. De mani&egrave;re g&eacute;n&eacute;rale, la conformit&eacute; au RGPD et &agrave; la DSP2 est un avantage comp&eacute;titif hors Union europ&eacute;enne, car cela correspond &agrave; la mise en place de bonnes pratiques qui prot&egrave;gent les utilisateurs de services bancaires. Ainsi, nos clients pr&eacute;sents dans d&rsquo;autres pays b&eacute;n&eacute;ficieront de cette structure et de cette s&eacute;curit&eacute;. &raquo; C&rsquo;est un point que reconna&icirc;t &eacute;galement Salim Hafid, responsable produit chez BitGlass, un service s&eacute;curisant l&rsquo;acc&egrave;s aux donn&eacute;es de l&rsquo;entreprise dans le cloud : &laquo; La tendance de ces deux r&eacute;glementations est d&rsquo;&ecirc;tre tr&egrave;s compl&eacute;mentaire sur la fa&ccedil;on dont on acc&egrave;de aux donn&eacute;es. Travaillant &agrave; l&rsquo;international, nous avons un objectif fort de protection des donn&eacute;es &agrave; travers plusieurs applications dans le cloud en maintenant une parfaite conformit&eacute; avec les r&eacute;glementations. Pour l&rsquo;instant, il n&rsquo;y a pas d&rsquo;&eacute;quivalent au RGPD aux &Eacute;tats-Unis, comme son champ d&rsquo;action, tr&egrave;s large, touche tous les points du syst&egrave;me d&rsquo;information. La protection des donn&eacute;es se traite encore aux niveaux des organisations, mais cela va forc&eacute;ment changer. &raquo; Encadrer les responsabilit&eacute;s de chacun Comment mettre en place ces changements ? Pour Gabriel Lepervier, responsable de l&rsquo;activit&eacute; Security Assurance chez Verizon, l&rsquo;exp&eacute;rience r&eacute;alis&eacute;e avec la norme de s&eacute;curit&eacute; de l&rsquo;industrie des cartes de paiement PCI DSS doit servir aux banques : &laquo; Le premier aspect est un aspect contractuel : il faut pouvoir faire peser la responsabilit&eacute; de prot&eacute;ger les donn&eacute;es de ses clients sur ses fournisseurs et ses prestataires de services de s&eacute;curit&eacute;. C&rsquo;est d&eacute;j&agrave; le cas dans PCI DSS, comme le pr&eacute;voit son chapitre 12 [1] . Il faudra leur pr&eacute;ciser ce qu&rsquo;ils devront faire en mati&egrave;re de s&eacute;curit&eacute;, avant d&rsquo;&eacute;tablir clairement une matrice de responsabilit&eacute;, pour &eacute;viter que chacun se renvoie la balle : qui doit faire les scans de vuln&eacute;rabilit&eacute;, qui fait les tests d&rsquo;intrusion, qui fait quoi en mati&egrave;re de s&eacute;curit&eacute;&hellip; PCI DSS est une bonne pr&eacute;paration au RGPD et &agrave; la DSP2, mais les soci&eacute;t&eacute;s doivent &eacute;tendre ces bonnes pratiques &agrave; l&rsquo;ensemble des syst&egrave;mes d&rsquo;information. L&rsquo;un des points o&ugrave; le secteur financier est en difficult&eacute; est le chiffrement des donn&eacute;es sur Internet ou le sans-fil. Pour chiffrer convenablement, il faut que les deux &eacute;quipements qui transmettent les donn&eacute;es soient au m&ecirc;me niveau. De mani&egrave;re g&eacute;n&eacute;rale, deux grandes cat&eacute;gories sont en pr&eacute;sence : les banques et les PSP (prestataires de services de paiement). Ces derniers ont un bon niveau de s&eacute;curit&eacute; ; pour les banques, c&rsquo;est plus compliqu&eacute;, parce que leurs environnements sont bien plus grands. &raquo; Quel outil technique pour marquer le consentement ? Un autre point important dans la mise en œuvre de ces deux nouvelles normes va &ecirc;tre la question du consentement. Pour Marie-Beno&icirc;te Chesnais, experte en s&eacute;curit&eacute; chez CA Technologie, &laquo; la notion de consentement est commune aux r&eacute;glementations DSP2 et RGPD. Son impl&eacute;mentation aura des impacts techniques sur les syst&egrave;mes d&rsquo;information et les applications &agrave; destination des clients. Elle est pr&eacute;vue dans le standard OAuth/OpenIDConnect [2] , qui sera tr&egrave;s s&ucirc;rement utilis&eacute; pour l&rsquo;impl&eacute;mentation des APIs (Application Program Interface). En effet, m&ecirc;me si cela n&rsquo;est pas pr&eacute;cis&eacute; dans les standards techniques r&eacute;glementaires (RTS), les APIs seront utilis&eacute;es dans le cadre de la DSP2 [3] pour l&rsquo;ouverture des syst&egrave;mes bancaires. Ces standards permettront donc de mettre en œuvre l&rsquo;&eacute;tape de consentement, pour un p&eacute;rim&egrave;tre pr&eacute;cis, au moment o&ugrave; le tiers demande l&rsquo;acc&egrave;s aux donn&eacute;es (avec droit de rectification pr&eacute;vu par le RGPD) &agrave; son propri&eacute;taire (le client de la banque). Cette phase de consentement devra &ecirc;tre mise en œuvre &agrave; la fois pour l&rsquo;acc&egrave;s aux donn&eacute;es bancaires et pour l&rsquo;initiation de paiement. Elle offre suffisamment de souplesse dans sa mise en œuvre pour s&rsquo;adapter aux n&eacute;cessit&eacute;s des deux r&eacute;glementations, notamment en d&eacute;couplant la notion d&rsquo;entit&eacute; d&eacute;tentrice des donn&eacute;es de l&rsquo;entit&eacute; qui d&eacute;livre les autorisations. &raquo; Si, pour CA Technologie, le point du consentement semble se r&eacute;gler par l&rsquo;utilisation de standards d&rsquo;authentification forte, en l&rsquo;absence d&rsquo;un RTS pr&eacute;cis &ndash; ce qui devrait toutefois intervenir dans les semaines &agrave; venir &ndash;, les consultants de Deloitte sont plus prudents et regrettent le manque de pr&eacute;cision. Pour Julien Maldonato de Deloitte, &laquo; les deux textes veulent vraiment prot&eacute;ger le consommateur dans la ma&icirc;trise de ses donn&eacute;es. La question de l&rsquo;acc&egrave;s du consommateur &agrave; ses donn&eacute;es sera tranch&eacute;e par la RTS, qui d&eacute;terminera si cela se fera via des APIs ou en webscrapping. La DSP2 ne pr&eacute;voit pas une largeur d&rsquo;acc&egrave;s aux donn&eacute;es, et il n&rsquo;y a pas non plus de d&eacute;finition exacte des donn&eacute;es de paiement sensibles. Du coup, quelles sont la nature des donn&eacute;es, la profondeur d&rsquo;historique et la &ldquo;fra&icirc;cheur&rdquo; impos&eacute;e ? En fonction des textes et des techniques associ&eacute;es, il y aura des diff&eacute;rences, en sachant qu&rsquo;il y a aussi un impact sur la s&eacute;curit&eacute; : si on continue la technologie de webscrapping, cela revient &agrave; donner son identifiant/mot de passe &agrave; un tiers, ce qui quelque part constitue un risque de s&eacute;curit&eacute; informatique. &raquo; A priori , pour Laurent Mar&eacute;chal, expert cybers&eacute;curit&eacute; chez McAfee, la DSP2 implique la mise en place d&rsquo;une authentification forte, et la mani&egrave;re dont elle sera g&eacute;r&eacute;e devra &ecirc;tre conforme au RGPD. &laquo; Quand on parle d&rsquo;authentification forte et notamment de biom&eacute;trie, il faut savoir o&ugrave; sont stock&eacute;es les donn&eacute;es et le RGPD arrive alors en continuit&eacute; de la DSP2. Il reste quand m&ecirc;me quelques interrogations : l&rsquo;une des volont&eacute;s affich&eacute;es est de faciliter l&rsquo;interconnexion avec l&rsquo;ensemble des organismes bancaires. Comment m&rsquo;assurer de la tra&ccedil;abilit&eacute; des actions effectu&eacute;es par mon organisme bancaire qui pourrait acc&eacute;der &agrave; des tiers &agrave; mon insu ? C&rsquo;est l&agrave; que le RGPD intervient : toute collecte ou stockage d&rsquo;information doit faire l&rsquo;objet d&rsquo;un consentement explicite par l&rsquo;utilisateur. &raquo; Quels services commerciaux en d&eacute;couleront ? Malgr&eacute; ces probl&egrave;mes techniques, tant le RGPD que la DSP2 sont pr&eacute;sent&eacute;s comme &eacute;tant l&rsquo;occasion de proposer de nouveaux services aux clients des banques et des FinTechs. Serait-ce vraiment le cas ? Pour Marie-Beno&icirc;te Chesnais, les b&eacute;n&eacute;fices pour les banques viendront d&rsquo;abord d&rsquo;une meilleure gestion de leurs donn&eacute;es et d&rsquo;une meilleure connaissance de leurs clients : &laquo; La construction par couches successives de nombreux syst&egrave;mes d&rsquo;information a cr&eacute;&eacute; un manque de coh&eacute;rence dans les donn&eacute;es des utilisateurs. La valeur m&eacute;tier port&eacute;e par les donn&eacute;es clients en est fortement d&eacute;grad&eacute;e. L&rsquo;obligation de transparence et d&rsquo;acc&egrave;s simplifi&eacute; faite par la RGPD entra&icirc;nera m&eacute;caniquement une meilleure qualit&eacute; et une connaissance du client beaucoup plus fiable. Des traitements d&rsquo;analyse plus pertinents pourront &ecirc;tre propos&eacute;s, afin d&rsquo;am&eacute;liorer les services aux clients et promouvoir des offres de mani&egrave;re plus cibl&eacute;e. Par ailleurs, l&rsquo;ouverture du syst&egrave;me d&rsquo;information bancaire pr&eacute;vu dans la DSP2 va n&eacute;cessairement accro&icirc;tre la concurrence ; c&rsquo;est l&rsquo;un des enjeux de cette r&eacute;glementation. &raquo; Julien Maldonato estime que &laquo; si l&rsquo;on parle beaucoup des nouveaux services comme d&rsquo;un futur relais de croissance des banques, les pistes ne concernent que le fait d&rsquo;accompagner le client en amont ou en aval d&rsquo;une transaction financi&egrave;re. Mais il serait difficile de faire des paris en cette p&eacute;riode sur une vraie &eacute;volution en 2018. Des services financiers ne pourront aller vers plus de conseil et plus d&rsquo;accompagnements sans avoir des lignes directrices ayant surmont&eacute; des probl&eacute;matiques op&eacute;rationnelles : recentraliser les donn&eacute;es, faire des corr&eacute;lations. Cela fait des ann&eacute;es que les projets sont lanc&eacute;s, mais cela prend du temps, car il existe une grande vari&eacute;t&eacute; des syst&egrave;mes d&rsquo;information, et cela s&rsquo;inscrit dans d&rsquo;autres projets multiannuels. &raquo; Il voit plus une opportunit&eacute; li&eacute;e plus sp&eacute;cifiquement au RGPD : &laquo; Il faut trouver un sens opportuniste au RGPD et faire de la p&eacute;dagogie. La plupart des donn&eacute;es fran&ccedil;aises partent vers des acteurs am&eacute;ricains et chinois. Pourquoi les banques ne garderaient pas leur r&ocirc;le de d&eacute;positaire de confiance en &eacute;tant d&eacute;positaire de vos donn&eacute;es personnelles ? Le RGPD pourrait leur permettre de jouer un r&ocirc;le dans la vie num&eacute;rique de leurs clients, l&agrave; o&ugrave; les tentatives de coffre-fort num&eacute;rique n&rsquo;ont pas fonctionn&eacute;, au-del&agrave; de la donn&eacute;e des flux financiers. Ce sont des choses sur lesquels les banques doivent co-cr&eacute;er de nouvelles offres d&rsquo;assistance &agrave; la gestion des donn&eacute;es avec les clients finaux. &raquo; Le calendrier sera-t-il respect&eacute; ? Des incertitudes techniques, des opportunit&eacute;s commerciales et techniques &agrave; venir encore bien floues&hellip; Et pourtant, les dates de mises en application s&rsquo;approchent tr&egrave;s vite. Et si les banques n&rsquo;&eacute;taient pas tout simplement pas pr&ecirc;tes ? Par le petit bout de sa lorgnette, &agrave; savoir l&rsquo;exp&eacute;rience client en ligne et sur mobile des banques, Nicolas Babel cofondateur de l&rsquo;agence de notation des risques num&eacute;riques D-Rating en doute : &laquo; La capacit&eacute; &agrave; mettre en œuvre les &eacute;l&eacute;ments impos&eacute;s sera une bonne fa&ccedil;on de voir le degr&eacute; d&rsquo;agilit&eacute; des grandes banques. Certaines banques sont en retard sur le num&eacute;rique, tels Cr&eacute;dit du Nord, ou Cr&eacute;dit Mutuel Ark&eacute;a et Cr&eacute;dit Mutuel tant au niveau du r&eacute;seau traditionnel et de l&rsquo;action vis-&agrave;-vis des clients. Au contraire, des banques comme le Cr&eacute;dit Agricole, BNP Paribas, Fortun&eacute;o et Boursorama sont en avance : elles ont int&eacute;gr&eacute; la digitalisation de l&rsquo;offre, l&rsquo;utilisation du Web et des r&eacute;seaux sociaux. La baisse de fid&eacute;lit&eacute; attendue avec DSP2 et RGPD va peut-&ecirc;tre permettre aux n&eacute;obanques de s&rsquo;imposer plus rapidement, parce qu&rsquo;elles proposent des nouvelles offres de valeur. Par exemple, l&rsquo;ouverture d&rsquo;un compte en moins de 20 minutes avec carte activ&eacute;e d&rsquo;un Compte Nickel et/ou d&rsquo;un C-Zam est une vraie r&eacute;volution. &raquo; Pour Jean-Christophe Vitu, directeur avant-vente de CyberArk, le retard s&rsquo;explique aussi par les exigences de s&eacute;curit&eacute; de Swift : &laquo; Des actions sont men&eacute;es dans les banques sur le RGPD, m&ecirc;me si certaines restent au stade organisationnel. On commence &agrave; mettre la d&eacute;clinaison en interne ; en revanche, aucun client ne sera pr&ecirc;t en mai prochain. Sur la DSP2, c&rsquo;est un peu diff&eacute;rent : par d&eacute;faut, nos grands comptes clients mettent d&eacute;j&agrave; en place des m&eacute;canismes de s&eacute;curisation avec les prestataires ext&eacute;rieurs. Entre-temps, l&rsquo;urgence concerne SWIFT. Suite &agrave; l&rsquo;historique de ses compromissions, SWIFT a publi&eacute; une directive de s&eacute;curit&eacute; aupr&egrave;s de tous ses clients en leur demandant de mettre en place des m&eacute;canismes de s&eacute;curit&eacute; et de leur pr&eacute;senter une roadmap concernant les points de contr&ocirc;les, faute de quoi SWIFT d&eacute;voilerait publiquement les banques qui ne sont pas s&eacute;curis&eacute;es. Du coup, cela a mis en pause tous les autres chantiers r&eacute;glementaires. &raquo; Comme le dit Nicolas Fleuret de Deloitte, &laquo; il reste du pain sur la planche ! Sur l&rsquo;aspect IT de la DSP2, les plus grands acteurs fran&ccedil;ais et internationaux ont lanc&eacute; des projets sur l&rsquo;ouverture des syst&egrave;mes sans attendre la directive. Dans la r&eacute;alit&eacute;, toutes les banques n&rsquo;avancent pas aussi vite sur ces chantiers, en raison du grand nombre de couches applicatives accumul&eacute;es dans les syst&egrave;mes d&rsquo;information. &raquo; Son coll&egrave;gue Julien Maldonato rel&egrave;ve quant &agrave; lui qu&rsquo;&laquo; il y a des r&egrave;glements techniques qu&rsquo;on ne conna&icirc;t pas encore sur l&rsquo;authentification et la communication s&eacute;curis&eacute;e, et donc les banques ne peuvent se mettre en conformit&eacute;. Or ces points font le nœud avec le RGPD. Sur cet aspect plus technique, l&rsquo;entr&eacute;e en vigueur serait plut&ocirc;t d&eacute;but 2019. Ce sont des chantiers complexes qui manquent encore de pr&eacute;cisions techniques. &raquo; En conclusion, il est fort probable que, avanc&eacute; ou non, personne ne soit pr&ecirc;t dans les temps. 1 &laquo; Condition 12 : Maintenir une politique qui adresse les informations de s&eacute;curit&eacute; pour l&rsquo;ensemble du personnel. Une politique de s&eacute;curit&eacute; robuste d&eacute;finit la s&eacute;curit&eacute; mise en œuvre &agrave; l&rsquo;&eacute;chelle de l&rsquo;entreprise et indique aux employ&eacute;s ce que l&rsquo;on attend d&rsquo;eux. Tout le personnel doit &ecirc;tre sensibilis&eacute; au caract&egrave;re confidentiel des donn&eacute;es et &agrave; ses responsabilit&eacute;s dans la protection de ces informations. Dans le cadre de cette condition 12, le terme &ldquo;personnel&rdquo; d&eacute;signe les employ&eacute;s &agrave; temps plein et &agrave; temps partiel, les int&eacute;rimaires ainsi que les sous-traitants et les consultants qui &ldquo;r&eacute;sident&rdquo; sur le site de l&rsquo;entit&eacute; ou ont acc&egrave;s d&rsquo;une mani&egrave;re ou d&rsquo;une autre &agrave; l&rsquo;environnement des donn&eacute;es du titulaire. &raquo; Source : PCI Security Standard Council, &laquo; Conditions et proc&eacute;dures d&rsquo;&eacute;valuation de s&eacute;curit&eacute; &raquo;, novembre 2013. 2 Protocole permettant d&rsquo;autoriser un site, un logiciel ou une application &agrave; utiliser l&rsquo;API s&eacute;curis&eacute;e d&rsquo;un autre. 3 http://www.revue-banque.fr/risques-reglementations/breve/guerre-tranchees-autour-acces-au-compte.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Réglementation européenne

Au-delà des contradictions, DSP2 et RGPD sont des alliés réglementaires

À retrouver dans la revue

Paiements

Chahuté, Worldline se bouge

Macro-économie

Dette et déficit publics : comment éviter le précipice

Paiements

DeluPay, une appli alternative aux cartes de paiement

Services financiers spécialisés

Le leasing, notre meilleur atout pour une mobilité décarbonée

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous