Espace Banque & Droit

Chronique Nouveaux moyens de paiement, banque digitale et protection des données

Favoriser la libre circulation des datas (données non personnelles) : que vive le secret bancaire !

Créé le

13.02.2019

Un règlement du 14 novembre 2018 libéralise les flux des données non personnelles dans l’Union. S’il concerne les acteurs bancaires et financiers en tant qu’utilisateurs de services de cloud computing, d’intelligence artificielle et plus largement de Big Data, il pourrait aussi avoir des répercussions sur les traitements de données qu’ils opèrent en tant que fournisseur de services et interroge tant la pérennité du secret bancaire que la portée des obligations de portabilité.

Emmanuel Jouffin
  • Docteur en droit
  • Responsable veille réglementaire Cyber et PSSI
Myriam Roussille
  • Agrégée des facultés de droit, professeure Université du Mans, JS Sorbonne Affaires-Finance
  • Directrice Institut d’études judiciaires du Mans

Favoriser l’économie européenne de la donnée. Après les personnes, les biens, les services et les capitaux, les autorités européennes ont jugé opportun d’organiser une cinquième liberté au sein de l’UE [1] , celle relative à la circulation des données non personnelles. Tel est l’objet du règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union (ci-après le Règlement) [2] . La Commission poursuit en effet l’objectif de « créer une économie européenne fondée sur les données » [3] , considérant que celles-ci « sont devenues une ressource essentielle pour la croissance économique, la création d’emplois et le progrès sociétal » et que « l’analyse des données permet d’améliorer le processus décisionnel, jouffinl’innovation et la prévision des événements ». Autrement dit, il convient de favoriser les échanges en matière de data puisqu’elles sont devenues un carburant essentiel de la recherche et du développement en Europe.


« Contrôles aux frontières » numériques. Mais la Commission a constaté que certaines législations entravent les échanges en matière de data. Différentes mesures contraignent la localisation des données, introduisant ainsi des « contrôles aux frontières » numériques, pour reprendre son expression [4] : ces mesures vont des exigences des autorités de contrôle imposant aux prestataires de services financiers de stocker localement leurs données, à des réglementations draconiennes imposant le stockage local des informations archivées produites par le secteur public, quel qu’en soit le caractère sensible, en passant par l’application de règles relatives au secret professionnel qui impliquent de facto le stockage ou le traitement local des données. Ces mesures sont accusées de restreindre fortement la collaboration entre entreprises, mais aussi avec les universités et autres organismes de recherche.
Lors de la cartographie réglementaire qui a abouti à la proposition de texte, la Commission a ainsi recensé 70 restrictions dans l’Union, parmi lesquelles une bonne partie impliquait le secteur financier [5] . Même si le Sénat français a formulé les doutes quant à l’existence de règles restrictives dans notre droit [6] , on pense déjà au secret bancaire énoncé à l’article L. 511-33 du Code monétaire et financier [7] .
Quoi qu’il en soit, les autorités européennes entendent supprimer les freins à l’essor des opérations sur les données non personnelles dans l’Union (accès aux données ou transferts de données), en vue de d’accompagner le développement du Big Data.

 

Toutes les données « non personnelles » ? L’idée initiale était de favoriser la circulation des données, dès lors qu’il ne s’agit pas de données personnelles, celles-ci étant au contraire, selon les principes énoncés par la RGPD, supposées rester sous contrôle des personnes qu’elles concernent.
Ceci explique que la notion de données « non personnelles » soit définie, en creux et négativement, par référence à celle de données à caractère personnel formulée par l’article 4-1 du RGPD [8] . Sont ainsi théoriquement couvertes par le règlement 2018/1807, toutes les données qui ne sont pas « nativement » personnelles, c’est-à-dire qui ne permettent pas, directement ou indirectement d’identifier une personne physique. Avec le nouveau texte, le droit des données semble atteindre une certaine forme de complétude : les données selon qu’elles sont personnelles ou non, relèveraient soit du RGPD, soit du règlement 2018/1807.

 

Traitement de données : un champ large. Si ce ne sont bien que les données traitées au titre du Big Data [9] , stockées en cloud computing ou produites par l’intelligence artificielle qui étaient au départ visées par les autorités européennes, le texte semble en réalité couvrir un champ bien plus large de situations. Le règlement 2018/1807 concerne en effet tout « traitement de données électroniques autres que les données à caractère personnel » « fourni en tant que service aux utilisateurs résidant ou disposant d’un établissement dans l’Union, par un fournisseur de services établi ou non dans l’Union » ou « effectué par une personne physique ou morale résidant ou disposant d’un établissement dans l’Union pour ses propres besoins ».
Les nouvelles règles sont supposées s’appliquer dès lors que : (i) les données sont électroniques (mais ce terme n’étant pas défini, il ne semble pas pouvoir restreindre le champ du texte) ; (ii) qu’elles font l’objet d’un traitement, défini comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou à des ensembles de données sous forme électronique, telles que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction, ce qui vise à peu près tout type d’opérations informatiques ; (iii) par un fournisseur de services établi ou non dans l’Union (de l’extra-territorialité du droit européen…) ou effectué par une personne physique ou morale résidant ou disposant d’un établissement dans l’Union pour ses propres besoins. »
Bien malin celui qui pourra identifier quelles opérations informatiques s’en trouvent exclues, à l’exception de celles impliquant des données personnelles…

Potentiels impacts dans le secteur bancaire. On le comprend, les acteurs bancaires et financiers étant d’importants producteurs, mais aussi consommateurs de données, le sujet intéresse directement le secteur.
Si elles traitent massivement des données personnelles (ce qui explique la place prise par les chantiers RGPD ces dernières années), les banques ont aussi à faire avec de nombreuses données non personnelles, qu’ils s’agissent de données importantes pour leur activité économique ou pour l’évaluation quotidienne des risques auxquelles elles sont exposées (risques financiers, mais aussi risques climatiques…). Elles traitent aussi les données qui concernent leurs clients personnes morales (on pensera aux données bancaires des entreprises, mais aussi aux notations de crédit ou aux données comptables qu’elles détiennent sur ces dernières).
Les banques (comme d’ailleurs les autres acteurs du secteur) sont concernées par le texte tant comme fournisseur de services bancaires et financiers qu’en tant qu’opérateur de traitement pour leurs propres besoins, et enfin d’utilisatrices de services technologiques. On sait en effet qu’elles recourent massivement au cloud computing et sont aussi nombreuses à développer des projets exploitant l’intelligence artificielle [10] (quelle banque ne travaille pas à un projet de chatbot reposant sur des technologies de traitement du langage naturel (NLP) [11] ? ). Plus globalement, nul n’ignore à quel point l’intérêt pour le Big Data est fort dans le secteur bancaire, ainsi qu’en attestent tous les travaux en ce domaine.
Dès lors, les nouveaux principes résultant du règlement 2018/1807 pourraient être source d’obligations pour les banques en leur qualité de fournisseur de services, mais aussi de droits à l’égard de leurs prestataires en leur qualité d’utilisatrices de services.
À cet égard, les règles prévues dans le nouveau règlement soulèvent de nombreuses questions, la première venant à l’esprit concernant leur articulation avec le secret bancaire. Mais ces règles pourraient aussi ouvrir des possibilités pour les banques en tant qu’utilisateurs de services, et même présenter des opportunités pour la fourniture de services technologiques. Certaines des règles prévues par le règlement 2018/1807 sont proches de dispositifs développés en matière bancaire (on songera par exemple à la portabilité des données de comptes ou encore aux échanges de données sécurisés par API qui ont été rendus obligatoires par la DSP2), pour lesquelles les banques ont acquis de l’expérience, des savoir-faire et un certain recul technique.
Pour tenter d’appréhender la portée que pourrait avoir le nouveau règlement 2018/1807 pour les banques, il convient de s’arrêter sur la notion de données non personnelles (1.) et de rapprocher les principes énoncés des règles et pratiques en place dans le domaine bancaire (2.).


1. Données concernées : incertitude sur l’articulation avec le RGPD

Variétés des données non personnelles. Le Règlement 2018/1807 détermine son périmètre d’application négativement, par référence aux données personnelles : toutes les données qui ne sont pas des données personnelles – c’est-à-dire permettant d’identifier une personne physique – sont des données non personnelles et ainsi soumises aux règles énoncées par le texte.

 

Données non nominatives : les questions. À côté des données « nativement » non personnelles, les données anonymisées tombent a priori sous le coup de la nouvelle réglementation puisqu’elles échappent au RGPD. Le considérant 26 énonce en effet qu’« il n’y a dès lors pas lieu d’appliquer les principes relatifs à la protection des données aux informations anonymes, à savoir les informations ne concernant pas une personne physique identifiée ou identifiable, ni aux données à caractère personnel rendues anonymes de telle manière que la personne concernée ne soit pas ou plus identifiable ». Ce même considérant ajoute qu’afin de « déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne ». Dès lors, l’anonymisation s’entend donc de données ne permettant plus l’identification d’une personne et ce, de manière irréversible ; elle conduit alors celui qui traite les données anonymisées à devoir respecter les règles du nouveau règlement 2018/1807.
Toutefois, le développement du Big Data et les rapprochements de données réalisées par les banques soulèvent la question de savoir dans quelle mesure l’anonymisation peut être considérée comme pérenne. Si certaines données prises individuellement semblent être non identifiantes, elles peuvent le devenir de manière indirecte, une fois qu’elles ont été correctement agencées. Par exemple, l’examen pendant 3 mois de données enregistrées sur les cartes bancaires de 1,1 million de personnes utilisées dans 10 000 magasins, avec les noms et localisation du magasin où des achats ont lieu, le jour et les valeurs des transactions permet l’identification des porteurs dans 90 % des cas [12] .


Données pseudonymisées : exclusion du domaine du règlement 2018/1807. Quid ensuite des données pseudonymisées ? Le RGPD, dans son article 4-5, définit la pseudonymisation [13] comme la technique permettant de rétablir une identification par le biais « d’informations supplémentaires », lesquelles ne sont pas supprimées mais « conservées séparément et soumises à des mesures techniques et organisationnelles ». L’avis 05/2014 du G29 sur les techniques d’anonymisation est clair sur ses conséquences : « La pseudonymisation n’est pas une méthode d’anonymisation. Elle réduit simplement la corrélation d’un ensemble de données avec l’identité originale d’une personne concernée et constitue par conséquent une mesure de sécurité utile ». Le considérant n° 26 du RGPD en tire la conclusion suivante : « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ». Si le RGPD s’applique à ces données personnelles pseudonymisées, elles se trouvent donc mécaniquement exclues du règlement 2018/1807.

 

2. Principes applicables aux données non personnelles : quel impact pour les banques ?

Trilogie. Le règlement repose sur trois principes qui sont, la localisation, la disponibilité et le « portage » des données. Il convient d’envisager que les banques puissent à la fois profiter de ces principes, en tant que clientes de fournisseurs de services technologiques, mais aussi les subir en tant que fournisseur de services et peut-être même qu’elles pourront en tirer des opportunités de diversification compte tenu de l’expérience qu’elles ont accumulée dans différents domaines.


Libre circulation des données non personnelles. Le nouveau règlement tend à ériger en principe la libre circulation des données non personnelles dans l’Union européenne. Il pose ainsi une règle essentielle [14] : la localisation des données ne peut être limitée au territoire d’un seul État membre, que ce soit à des fins de stockage ou de traitement. On comprend que les États et les autorités dotées d’un pouvoir réglementaire se voient interdire dorénavant toute possibilité d’adopter des règles qui pourraient entraver la libre circulation des données, mais on pourra aussi se demander quel sera le sort des aménagements contractuels prévus par des opérateurs relevant de l’Union, qui peuvent aussi restreindre la circulation des données.
D’une manière générale, la libre circulation des données non personnelles est supposée permettre la commercialisation de nouveaux services et développer l’Internet des objets, l’intelligence artificielle ou bien encore la recherche scientifique dans le cadre de l’open data, mais aussi d’éviter que certains acteurs importants (les GAFA) soient les seuls à disposer de grands volumes de données (Big Data) et d’inciter la mise en commun de données pouvant être utiles pour des projets européens. Pour autant, dans le secteur bancaire, comment la libre circulation des données s’articulera-elle avec le secret bancaire ? Le sujet appellera des éclaircissements de la part des autorités.
À côté de ce principe de libre circulation des données non personnelles, le Règlement réserve la possibilité de restrictions « justifiées par des motifs de sécurité publique dans le respect du principe de proportionnalité » [15] . Ce tempérament n’est pas sans rappeler les limites traditionnelles aux libertés et droits fondamentaux. Mais il ne résout pas la question du sort du secret bancaire et l’aiguise même. Si le législateur n’est plus autorisé qu’à restreindre l’accès aux données ou les transferts de données pour des motifs de sécurité publique, le secret bancaire relève-t-il d’une telle sécurité ? De quoi rester pour le moins dubitatif

 

Disponibilité des données non personnelles par les autorités compétentes. Le Règlement affirme aussi la libre disponibilité des données non personnelles par les autorités compétentes, c’est-à-dire en clair les administrations (l’administration fiscale, la justice, la police, les autorités de surveillance…). Il ne porte pas atteinte à leurs pouvoirs, de « demander ou d’obtenir l’accès à des données pour l’accomplissement de leurs fonctions officielles » [16] . De même, l’accès aux données par les autorités compétentes ne peut être refusé au motif que les données sont traitées dans un autre État membre. Afin de favoriser la circulation des données, la Commission encourage fortement les fournisseurs de service à terminer le développement de code de conduite « au plus tard le 29 novembre 2019 » avec une mise en œuvre effective « au plus tard le 29 mai 2020 » [17] .

Portabilité des données. Le règlement aborde en dernier lieu le sujet du « portage des données » [18] , l’idée étant de favoriser l’interopérabilité et donc la possibilité de changer aisément de fournisseur de services. Pour ce faire, il envisage la rédaction de codes de conduite fondés sur des principes de transparence et d’interopérabilité, ces derniers devant « englober au minimum les aspects qui s’avèrent essentiels au cours du processus de portage des données, tels que les processus et la localisation des sauvegardes de données, les formats et supports de données disponibles, la configuration informatique requise et la bande passante minimale du réseau, le délai à prévoir avant le lancement de la procédure de portage et la durée pendant laquelle les données resteront accessibles en vue de leur portage, ainsi que les garanties d’accès aux données en cas de faillite du fournisseur de services » [19] . La préoccupation du maintien de l’accès aux données, y compris dans le cadre d’une procédure collective, n’est pas sans faire écho à la continuité des fonctions critiques en vertu de la Directive 2014/59/UE (dite « BRRD ») [20] , pour autant que le contrat concerné représente une dimension critique.
Or la portabilité des données est devenue une opération désormais bien rodée dans le secteur bancaire, les banques étant tenues d’assurer toutes les tâches permettant la mobilité bancaire. Peut-être pourront-elles exploiter l’expérience qu’elles ont accumulée dans ce domaine pour proposer de nouveaux services technologiques. Mais elles pourraient aussi, à terme, être amenées à devoir organiser le portage des données non personnelles de leurs clients personnes morales comme elles sont tenues de le faire pour les personnes physiques. Le nouveau texte aurait alors de lourdes conséquences en pratique.

Entrée en vigueur. Le Règlement entrera en vigueur le 20° jour suivant celui de sa publication au Journal officiel de l’Union européenne (JOUE du 28 novembre 2018) soit le 28 mai 2019 avec une date limite à partir de laquelle il est interdit d’exiger une localisation des données non personnelles fixée au 30 mai 2021 [21] . Entre-temps, le texte aura sans doute donné à méditer et espérons qu’il aura suscité assez de réflexions de la part des autorités bancaires et financières pour que les obligations des acteurs soient clarifiées, notamment au regard du secret bancaire, mais aussi de la portabilité.

DONNÉES – DONNÉES NON PERSONNELLES – BIG DATA – CLOUD COMPUTING – INTELLIGENCE ARTIFICIELLE – CLIENTS ENTREPRISES – SECRET BANCAIRE – PORTABILITÉ.

  1. 1 Selon la rapporteure suédoise Anna Maria Corazza Bildt ; Règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union.
  2. 2 Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne : JOUE L 303, 28.11.2018, pp. 59-68. Cf. la documentation relative à ce texte : http://europa.eu/rapid/press-release_IP-18-4227_fr.htm. Pour une première présentation du texte : A. Bank, « Règlement sur les données à caractère non personnel : l’autre réglementation sur les données ! », Revue Banque n° 825, nov. 2018, p. 46.
  3. 3 Doc COM (2017) 9 final, 10 janv. 2017.
  4. 4 Voir la communication précitée de la Commission « créer une économie européenne fondée sur les données ».
  5. 5 http://ec.europa.eu/smart-regulation/roadmaps/docs/2016_cnect_001_free_flow_data_en.pdf
  6. 6 Le Sénat, à l’occasion d’une proposition de résolution européenne portant avis motivé a émis de nombreuses réserves au sujet de ce texte, dénonçant pêle-mêle la faiblesse de l’étude d’impact qui n’identifie qu’un faible nombre d’obligations nationales de localisation et, de fait, qu’un petit nombre de données concernées, la modestie du gain espéré pour l’économie européenne « de l’ordre de 0,06 % de PIB », ainsi qu’un intérêt limité pour le sujet, la consultation publique lancée au titre de la communication « Créer une économie européenne fondée sur les données » n’ayant suscité que 289 réponses : https://www.senat.fr/fileadmin/Fichiers/Images/commission/affaires_europeennes/avis_motives/Avis_motive_libre_circulation_des_donnees_non_personnelles.pdf.
  7. 7 Même si le Code impose dans le même temps des transferts au sein des groupes financiers : C. monét. fin., art. L. 511-34.
  8. 8 « […] toute information se rapportant à une personne physique identifiée ou identifiable (ciaprès dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
  9. 9 X. Lemarteleur et E. Jouffin, « Du Psautier de Mayence aux zettaoctets Quel environnement juridique pour le Big Data ? », Banque et Droit n° 166, p. 12.
  10. 10 A. Augey, « Analytique : l’intelligence artificielle : une mécanique à apprivoiser », Banque et Stratégie n° 376, janvier 2019, p. 8, et plus largement voir le dossier « De la maîtrise à l’utilisation des données » dont cet article a été extrait.
  11. 11 Y. Moysan et P. Inn, « Relation client : Agence bancaire de demain : quelle place pour l’humain ? », Revue Banque n° 827, janvier 2019, p. 90.
  12. 12 MIT Boston « Unique in the Shopping Mall: On the Reidentifiability of Credit Card Metadata », Science, 30 janvier 2015 : http://science.sciencemag.org/content/347/6221/536.
  13. 13 « […] le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable » (nous soulignons).
  14. 14 Règlement 2018/1807, art. 4
  15. 15 Règlement 2018/1807, art. 4-1.
  16. 16 Règlement 2018/1807, art. 5-1.
  17. 17 Règlement 2018/1807, art. 6.
  18. 18 Ibid.
  19. 19 Considérant 31 du règlement 2018/1807.
  20. 20 Directive 2014/59/UE du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d’investissement.
  21. 21 Règlement 2018/1807, art. 4.

Documents à télécharger:
Link
À retrouver dans la revue
Banque et Droit Nº183
Notes :
11 Y. Moysan et P. Inn, « Relation client : Agence bancaire de demain : quelle place pour l’humain ? », Revue Banque n° 827, janvier 2019, p. 90.
12 MIT Boston « Unique in the Shopping Mall: On the Reidentifiability of Credit Card Metadata », Science, 30 janvier 2015 : http://science.sciencemag.org/content/347/6221/536.
13 « […] le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable » (nous soulignons).
14 Règlement 2018/1807, art. 4
15 Règlement 2018/1807, art. 4-1.
16 Règlement 2018/1807, art. 5-1.
17 Règlement 2018/1807, art. 6.
18 Ibid.
19 Considérant 31 du règlement 2018/1807.
1 Selon la rapporteure suédoise Anna Maria Corazza Bildt ; Règlement 2018/1807 du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union.
2 Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne : JOUE L 303, 28.11.2018, pp. 59-68. Cf. la documentation relative à ce texte : http://europa.eu/rapid/press-release_IP-18-4227_fr.htm. Pour une première présentation du texte : A. Bank, « Règlement sur les données à caractère non personnel : l’autre réglementation sur les données ! », Revue Banque n° 825, nov. 2018, p. 46.
3 Doc COM (2017) 9 final, 10 janv. 2017.
4 Voir la communication précitée de la Commission « créer une économie européenne fondée sur les données ».
5 http://ec.europa.eu/smart-regulation/roadmaps/docs/2016_cnect_001_free_flow_data_en.pdf
6 Le Sénat, à l’occasion d’une proposition de résolution européenne portant avis motivé a émis de nombreuses réserves au sujet de ce texte, dénonçant pêle-mêle la faiblesse de l’étude d’impact qui n’identifie qu’un faible nombre d’obligations nationales de localisation et, de fait, qu’un petit nombre de données concernées, la modestie du gain espéré pour l’économie européenne « de l’ordre de 0,06 % de PIB », ainsi qu’un intérêt limité pour le sujet, la consultation publique lancée au titre de la communication « Créer une économie européenne fondée sur les données » n’ayant suscité que 289 réponses : https://www.senat.fr/fileadmin/Fichiers/Images/commission/affaires_europeennes/avis_motives/Avis_motive_libre_circulation_des_donnees_non_personnelles.pdf.
7 Même si le Code impose dans le même temps des transferts au sein des groupes financiers : C. monét. fin., art. L. 511-34.
8 « […] toute information se rapportant à une personne physique identifiée ou identifiable (ciaprès dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
9 X. Lemarteleur et E. Jouffin, « Du Psautier de Mayence aux zettaoctets Quel environnement juridique pour le Big Data ? », Banque et Droit n° 166, p. 12.
20 Directive 2014/59/UE du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d’investissement.
10 A. Augey, « Analytique : l’intelligence artificielle : une mécanique à apprivoiser », Banque et Stratégie n° 376, janvier 2019, p. 8, et plus largement voir le dossier « De la maîtrise à l’utilisation des données » dont cet article a été extrait.
21 Règlement 2018/1807, art. 4.