Digitalisation et RGPD : les enjeux pour le secteur financier

Le Règlement général sur la protection des données personnelles (RGPD) entre en application en mai 2018. Il renforce les droits des personnes physiques, pose de nouvelles obligations pour les entreprises et oblige à repenser les dispositifs de conformité. À la logique de contrôle et d’autorisation préalable aux traitements qui prévalait sous l’empire des précédents textes, le RGPD promeut une approche fondée sur les risques, et une responsabilisation accrue des organisations qui va de pair avec un alourdissement des sanctions. Les entreprises devront notamment s’assurer que les traitements de données personnelles puissent garantir dès leur conception (privacy by design), puis à chaque utilisation, le plus haut niveau possible de protection (privacy by default).

Un enjeu de civilisation et de compétitivité

Le RGPD ordonnance les relations entre deux libertés qui peuvent sembler antinomiques au premier abord. Cet ordonnancement – fruit des discussions en procédure de conciliation entre le Parlement, la Commission et le Conseil – est un enjeu de civilisation et de compétitivité, car certains pays n’ont pas les mêmes pudeurs que les États membres de l’Union. D'un côté, il s'agit d'offrir un cadre à la libre circulation des données personnelles et de permettre le développement de l’économie numérique. En effet, les données ne sont pas seulement des actifs que l'accroissement des capacités de calcul, de stockage et de nouveaux types d’algorithmes permettent de mieux exploiter : ce sont aussi des actifs qui s'inscrivent dans un cycle de marchandisation. De l'autre, il s'agit de préserver les libertés individuelles et publiques. Et sur ce sujet, le législateur a été remarquablement constant. Dès 1978, la Loi informatique et libertés disposait que l’informatique ne devait pas porter atteinte à l'identité humaine ni aux droits de l'homme. Cette idée fut reprise dans les lignes directrices de l’OCDE (1981), inspira le Conseil de l’Europe (Convention de 1982) puis la Commission européenne (directive de 1995). La protection des données personnelles a été sanctuarisée par son inscription dans les droits fondamentaux de l’Union européenne (conseil européen de Nice en 2000, Traité de Lisbonne en 2007). Alignées sur cette tendance, les jurisprudences de la CJUE et du Conseil d’État aujourd’hui se rejoignent dans des approches qui demeurent très favorables au droit des individus (cf. arrêts Digital Rights Ireland, sur la conservation des données, et Decaux, sur leur anonymisation).

Quoi qu’il en soit, avec la digitalisation, la protection des données personnelles est devenue un paramètre plus important qu’il ne l’était pour le développement des entreprises. Et ceci est particulièrement vrai dans le secteur de la banque-assurance.

Le déploiement du RGPD appelle à une logique de transversalité

Les banques-assureurs sont naturellement collecteurs et utilisateurs de données personnelles. Ils font partie des entreprises qui étaient déjà les plus impactées par la directive de 1995 et figurent aujourd’hui parmi celles qui sont le plus concernées par le RGPD.

Les entreprises du secteur financier disposent d'atouts pour se mettre en conformité avec le RGPD. Conséquence du tsunami réglementaire, elles ont dû développer un savoir-faire en matière d'implémentation de grands projets réglementaires. Elles sont également en capacité de mobiliser des moyens parfois significatifs. Par ailleurs, le RGPD recycle un certain nombre de dispositions issues des précédents textes sur la protection des données personnelles et vis-à-vis desquelles les établissements étaient déjà conformes.

Le RGPD entretient des liens étroits avec d’autres grands chantiers sur lesquels les établissements ont déjà dû se pencher, comme la gouvernance de la donnée, la cybercriminalité et le déploiement de dispositifs de contrôle interne efficients sur les prestataires essentiels. Ainsi, l'un des enjeux d’un projet de déploiement du RGPD est de ne pas se cantonner aux domaines d’intervention des fonctions Conformité et de s’inscrire dans une logique de transversalité :

• le RGPD est un paramètre de plus à coordonner avec la nécessité de s’adapter à l’augmentation tendancielle du volume des données et de permettre leurs traitements tout en maîtrisant les coûts (Big Data). Il faut aussi répondre à l’inflation des demandes et exigences de fiabilité en matière de reportings réglementaires. La mise en conformité avec les exigences du RGPD en matière de recensement et de documentation peut être facilitée par les travaux menés par les DSI sur la gouvernance de la donnée ;
• le RGPD impose un contrôle sur les sous-traitants. Cette contrainte s’inscrit dans la continuité de dispositions déjà présentes dans la CRD 4 et les recommandations du Comité de Bâle. À ce titre, il paraît peu opportun de dupliquer ou fractionner les processus de contrôle existants ou en développement sur les PSEE [1] , déjà sous pilotage des fonctions de contrôle interne ;
• l’obligation de notification des violations (qui était préfigurée dans la directive de 1995) est à considérer avec les dispositifs anti-cybercriminalité, notamment pilotés par les RSSI/ITSO [2] , d’autant que sur un plan IT, il n’y a pas de différence entre une donnée personnelle ou une donnée de risque ;
• pour les directions de la stratégie, les DSI et les directions des opérations, le caractère extraterritorial du RGPD (respect des décisions d’adéquation, binding corporate rules [3] ) ne peut être ignoré des décisions de relocalisation et d’offshoring ;
• pour les directions juridiques, le RGPD doit être considéré en lien avec le droit des pays non membres de l'Union, sans compter qu'en France même, plusieurs textes connexes sont à prendre en compte (loi pour une République numérique de 2016, ordonnances transposant la directive de 2009 sur la vie privée et les communications téléphoniques).

Au final, la mise en application du RGPD appelle une implication effective en mode projet comme en production de la presque totalité des fonctions de l’entreprise, avec une gouvernance qui aide à dépasser les logiques de territoires et ne se limite pas à la simple nomination d'un Data Protection Officer (DPO).

Les stratégies de digitalisation à l’épreuve des contraintes du RGDP

La digitalisation permet d’accompagner l’évolution des modes de consommation, notamment dans l’usage des téléphones mobiles. Outre l’amélioration de l’efficience opérationnelle, pour la banque-assurance, c’est aussi un moyen de se différencier par les services. Alors que le big data est un sujet d’attention (cf. consultation de l’EBA [4] ), le RGPD et des textes connexes imposent déjà des garde-fous en matière de recours à la technologie :

• en France, les décisions automatisées ne doivent pas emporter à elles seules des conséquences juridiques sur les individus. Il pèse aussi une obligation de transparence sur les algorithmes. Cette obligation peut être difficile à respecter, notamment en cas de recours à l’intelligence artificielle. Par exemple, on ne sait pas encore expliciter causalement les « choix » opérés par les réseaux neuronaux. Au-delà des études d’impact à mener dans le cadre du RGPD, le recours à l’intelligence artificielle pose d'importantes questions en matière d’autonomie, de délégation et de responsabilité de l’individu. Ces questions font l’objet de débats et devraient déboucher sur de nouvelles propositions d’encadrement par les pouvoirs publics ;
• la tendance actuelle est au développement de l’open banking, avec des modèles de services ouverts et modulables permettant de séparer les activités de production et de distribution. La DSP2 pousse à ce mouvement sur les services de paiements. Toutefois, des solutions doivent être trouvées pour concilier l’utilisation des API avec les obligations de recensement des traitements et de gestion du consentement ;
• les contraintes du RGPD ne s’appliquent pas aux données anonymes. Mais l’anonymisation (distincte de la pseudonymation) doit être irréversible, ce qui nécessite une bonne maîtrise des algorithmes et un bon verrouillage des risques opérationnels. Le RGPD demande aussi d’informer la personne concernée qu’elle n’est plus identifiable, ce qui est paradoxal.

Être conforme au RGPD sans s’aliéner la relation client

Le RGPD n'oppose pas digitalisation et mise en conformité. Le texte présente notamment deux exemptions à l’opt-in [5] , qui sont le recours à l’intérêt légitime du traitement et le traitement nécessaire à l’exécution du contrat. Ces exemptions permettent par exemple de ne pas alourdir l’expérience utilisateur. Mais au regard de l’incertitude juridique qui entourent leur mise en application (cf. groupe de travail G29 et décisions CNIL Google et Facebook prises sous l’empire de l’ancienne législation [6] ), la décision d’y recourir devrait tenir compte de l'appétit aux risques des dirigeants effectifs.

Des acteurs des télécommunications entrent sur le marché de la banque assurance. À l’inverse, sans supporter de charge en capital ni obtenir d’agrément, des GAFA mettent à profit la dissociation entre production et distribution, collectent de manière expansionniste des données, les traitent pour leur conférer du sens, c’est-à-dire de la valeur, puis les monétisent. Sur ce sujet, la menace ne vient pas forcément de ceux qui vous copient : en périphérie du RGPD, ce qui se joue autour de la donnée personnelle, c’est un déplacement possible du centre de gravité de la relation client.

Au final, le commerce de l’argent repose sur la confiance et une garantie de sécurité. Les banques opèrent dans le respect du secret bancaire, notion à géométrie variable, aujourd’hui amoindrie mais néanmoins toujours existante. Un établissement peut protéger les données personnelles comme elle sécuriserait les avoirs des clients ou, à l’autre extrémité, promouvoir la création de valeur via la vente de ces données. À ceci correspondent des modèles différents, avec des finalités sur lesquelles le RGPD incite les dirigeants à clairement se positionner.