Les enjeux liés à l’exploitation responsable des données par les établissements financiers

Les superviseurs financiers, dont l’Autorité de contrôle prudentiel et de résolution (ACPR), examinent actuellement les enjeux liés au Big Data et aux usages innovants des données des clients par les institutions financières, en particulier dans le cadre de l’analyse des réponses reçues à la suite de deux consultations publiques [1] . De manière classique s’agissant de sujets innovants, les superviseurs examinent tout d’abord les usages dont ils ont connaissance, les risques et les bénéfices potentiels qui en résultent pour les consommateurs, les institutions financières et pour l’intégrité du secteur. Ils interrogent ensuite le marché, dans le cadre d’un Discussion Paper, avant de proposer d’éventuelles actions de régulation, si nécessaire, ou de poursuivre une surveillance des phénomènes sans pour autant suggérer de type d’actions. S’agissant d’un sujet qui touche aux données personnelles, ces travaux donnent lieu à des échanges avec les autorités en charge de leur protection [2] .

Les données constituent un actif de valeur pour les établissements financiers

Du fait de leur activité, les établissements financiers recueillent des données nombreuses et détaillées sur leurs clients, que ce soit au cours des différents actes commerciaux, pour satisfaire aux exigences réglementaires – par exemple dans le cadre de la lutte contre le blanchiment des capitaux et le financement du terrorisme – ou encore, de manière peut-être un peu plus passive, lors des paiements effectués par les clients. Les acteurs financiers sont aussi en capacité de recueillir des données liées aux consultations et autres interactions nourries avec les clients sur les plates-formes Internet ou les applications mobiles. Dans un mouvement qui ne fait certainement que commencer, ils peuvent souhaiter enrichir leurs propres données par le recours à des données externes, issues par exemple des réseaux sociaux, de sources en Open Data ou encore via des objets connectés.

L’utilisation optimale de ces données devrait en principe permettre de concevoir une offre de services financiers plus personnalisée et de mieux tarifer les produits en fonction des risques du consommateur. Ainsi, les données issues des objets connectés (maison connectée, auto connectée, ou même santé connectée…), pourraient ainsi améliorer la prévention, voire affiner la tarification des contrats d’assurance. Les risques liés aux données peuvent aussi donner lieu à la conception de nouveaux produits financiers, tels que des contrats d’assurance permettant d’en assurer le vol ou l’utilisation malveillante.

Enfin, les données et leur exploitation adéquate devraient permettre aux établissements d’être plus efficaces et plus réactifs dans la gestion des risques, par exemple en utilisant des solutions d’identification avancées de fraudes aux paiements ou aux assurances basées sur le Big Data et l’intelligence artificielle.

Trois défis pour les acteurs financiers

Le premier de ces défis est lié à la capacité technique des établissements à valoriser les données ainsi recueillies ou collectées. Pour valoriser ces données, il faut être capable de rattacher à un client des données granulaires et parfois éparses. Et cela n’est pas toujours le cas aujourd’hui, du fait des organisations et systèmes d’information en place qui n’ont pas été conçus dans cette optique. Le caractère non optimal des systèmes d’information peut expliquer que certaines données – comme par exemple celles liées aux comptes et aux moyens de paiement – soient encore assez peu valorisées par les établissements de crédit.

En outre, l’utilisation efficace de données nécessite qu’elles soient qualifiées et correctement documentées afin d’éviter l’utilisation de sources non pertinentes, non fiables, non pérennes, voire interdites. Cela requiert la mise en place d’entrepôts de données intégrant la maintenance de métadonnées et une structuration adaptée aux outils d’analyse qui seront déployés. Ces investissements portent à la fois sur les systèmes d’information au sens technologique, hardware, mais requièrent aussi une implication étroite des métiers pour assurer une documentation permanente des données présentes. Les interactions entre les métiers et directions informatiques seront aussi impératives pour la mise en place de tous les systèmes visant à garantir la qualité des données ; ces derniers systèmes doivent être conçus de telle sorte que les responsabilités entre ces différents acteurs pour ce qui concerne cette qualité soient clairement établies.

Enfin, la course à la donnée additionnelle peut s’avérer parfois assez décevante. En effet, quand bien même une donnée nouvelle de bonne qualité et légalement utilisable est trouvée, il est tout à fait possible qu’elle soit en réalité tellement corrélée à l’ensemble de l’information déjà présente que son apport effectif soit minime, voire inexistant.

Le second défi est celui de défi de la conformité. Le cadre réglementaire lié aux données personnelles évolue et se renforce avec l’entrée en application du règlement européen relatif à la protection des données personnelles (RGPD) [3] . Ce texte n’interdit pas aux entreprises de valoriser les données, mais il impose des règles renforcées aux acteurs, qui sont véritablement mis en situation de responsabilité face aux usages des données.

Enfin, le troisième défi à relever porte sur la sécurité des données, risque singulièrement accru du fait de l’interconnection croissante des systèmes d’information, compte tenu notamment des évolutions qui résulteront des récents textes européens. Ainsi, la seconde directive sur les services de paiement prévoit que les nouveaux prestataires de services de paiement non teneurs de comptes, les agrégateurs d’informations sur les comptes et les initiateurs de paiement pourront accéder aux comptes de paiement logés dans les banques, via des interfaces informatiques sécurisées mises à disposition par celles-ci. Ce mouvement d’ouverture des données détenuespar les entreprises financières laisse entrevoir des opportunités, mais aussi des risques assez significatifs, notamment en ce qui concerne la cybersécurité.

De nouveaux risques en matière de sécurité des données

En outre, la loi pour une république numérique et le règlement GDPR introduisent le droit à la portabilité des données personnelles. Ainsi, les personnes concernées ont le droit de recevoir les données à caractère personnel qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement ou de demander que ces données soient transmises directement à ce dernier lorsque cela est techniquement possible. Cette disposition, qui vise à accroître la concurrence entre responsables de traitement et, de là, permettre le développement de nouveaux services dans le cadre du marché digital unique (prévenir le « lock in » des clients), peut avoir d’importants impacts sur les acteurs financiers. Ainsi, les modalités techniques de transfert de ces données peuvent générer des risques de sécurité nouveaux.

Les risques portant sur la sécurité des données, qu’elles soient personnelles ou non, sont aussi accrus par les possibilités de recours aux solutions de cloud, en particulier non privées, pour y loger ces données. En effet, pour répondre au besoin de systèmes d’information plus souples et plus agiles, les établissements financiers étudient avec un intérêt croissant le cloud computing public. Les nouveaux acteurs financiers comme les FinTechs privilégient aussi de telles solutions pour disposer rapidement d’un système d’information qui s’adapte facilement à leur croissance. Si l’intérêt pour le cloud computing est légitime, l’ACPR appelle les établissements à prendre aussi en considération les risques spécifiques qui s’y attachent, afin de déterminer le dispositif de contrôle interne adapté. Au regard des défis liés à la sécurité des systèmes d’information, à la continuité des activités et à la confidentialité des données, l’ACPR avait publié en 2013 un document identifiant les risques associés au cloud computing et précisant ses recommandations en la matière [4] . Il est notamment affirmé que le cloud computing public doit être considéré comme une prestation de service essentielle externalisée. Cela implique, parmi d’autres exigences, l’affirmation et l’exercice d’un droit d’audit effectif du prestataire par l’établissement financier. Les établissements doivent aussi évaluer le degré de sensibilité des données ou applications qui sont candidates au transfert et, le cas échéant, s’assurer que les conditions de sécurité soient réunies. La question de la localisation géographique des lieux de stockage des données personnelles et plus largement de l’ensemble des données qui font la richesse des acteurs financiers français est extrêmement sensible et une approche protectrice est requise en la matière.

En 2016, l’ACPR a réaffirmé ces principes lors de ses contrôles et discussions avec les établissements financiers. En 2017, l’EBA a lancé une consultation publique [5] s’en inspirant assez largement, afin de commencer à bâtir un cadre européen harmonisé sur ce sujet essentiel.

Trouver un équilibre entre l’exploitation des données et la conformité aux exigences réglementaires

Au cours des années à venir, les établissements financiers devront donc trouver le juste équilibre entre la personnalisation de l’offre et les attentes effectives des clients qui ne sont ni homogènes ni constantes, entre les opportunités réelles et certainement légitimes liées à l’exploitation des données, et le respect des exigences réglementaires et – au-delà de celles-ci – des attentes sociétales, en matière de protection des données personnelles et de la vie privée qui pèsent particulièrement sur les tiers de confiance que sont les acteurs financiers.

Si les réponses à ces défis ne sont pas évidentes, elles devraient reposer sur les trois principes essentiels que sont la sécurité, la gouvernance et la transparence :

• la mise en œuvre de dispositifs adéquats pour assurer la sécurité des données malgré l’interconnection croissante des systèmes d’information ;
• la définition d’une organisation interne de gouvernance de la donnée permettant d’assurer leur exploitation dans un cadre contrôlé (politiques et procédures écrites, instances de décision dédiées, voire direction idoine et désignation d’un Chief Data Officer, etc.) ;
• la définition d’une politique de transparence vis-à-vis des clients, portant sur les usages et les modalités de stockage de leurs données (au-delà des prescriptions réglementaires, charte ou engagement public, etc.)

Enfin, il apparaît fondamental que les plates-formes de type Gaafa soient soumises de manière effective aux mêmes règles que les acteurs européens, lorsqu’elles traitent des données de citoyens européens, même si ces traitements sont techniquement effectués en dehors d’Europe, afin d’assurer tant un level playing field qu’une protection efficace des droits individuels, en particulier dans le domaine des services financiers.