Smart data, Anne-Tania Desmettre,
Les articles de presse exposant la non-conformité des banques au RGPD sont nombreux. Il est difficilement compréhensible qu’autant d’établissements bancaires ne soient pas en conformité avec le RGPD trois ans après sa mise en application. D’autant que ce secteur est rompu aux réglementations : lois, réformes, ordonnances, normes ; dispositifs TRACFIN, IFRS 9, MIFID II, DSP 2, KYC, loi Sapin 2, loi Eckert, décret du 18 avril 2018… Le RGPD en est un de plus. L’enjeu est pourtant considérable. Le domaine bancaire est en effet un des environnements où le volume de données sensibles est vraiment conséquent, ce qui devrait mécaniquement pousser les institutions financières à se conformer au règlement, celui-ci leur permettant de protéger leur plus précieux actif : leur clientèle.
La confiance des clients en question
Comme chacun sait, il est plus facile de fidéliser ses clients que d’en acquérir. La fidélisation nécessite la confiance. Au cours de ces dernières années, cette confiance a régulièrement été mise à mal. D’aucuns exposeront le taux de confiance des Français dans leur établissement bancaire, mais avons-nous le choix ? Non. Il n’est pas possible de faire sans banque. Ce rapport de force déséquilibré devrait être pris en compte par ces institutions bancaires, de telle sorte que la difficulté qu’elles rencontrent à être en conformité RGPD, ne puisse être perçue comme une attitude hautaine.
Une perception erronée
Pourquoi une telle difficulté ? Il semblerait que beaucoup d’entre elles ont considéré, dès la sortie du RGPD, que ce règlement n’était qu’un exercice de mise en conformité supplémentaire. Cette perception est, en fait, erronée. Autant un certain nombre de réglementations bancaires couvrent des sujets très précis et ainsi permettent de délimiter leur impact quant à leur déploiement. Autant le RGPD touche de très nombreux sujets quant à son application, rendant cette dernière difficile à circonscrire. L’enjeu d’une mise en conformité RGPD est conséquent, chronophage, coûteux et donc ambitieux. C’est un projet d’entreprise à lui seul, qui doit être traité comme tel.
“L’enjeu d’une mise en conformité RGPD est conséquent, chronophage, coûteux et donc ambitieux. C’est un projet d’entreprise à lui seul, qui doit être traité comme tel.”
La conservation des données
De plus, à travers les données exploitées par une banque, la vie privée des citoyens est totalement mise à nue. Si les établissements financiers estiment être en contrôle de leur sécurité, ils sont loin d’être dans les clous du règlement quant à la durée de conservation des données de leur client : par exemple leur mise à jour et leur exploitation. L’article 5.1.d du RGPD illustre bien les enjeux d’une banque : « les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ». Par exemple, dans un cas d’interdit bancaire rectifié, le délai des banques à mettre à jour la correction devrait être en temps réel. On en est loin, ce qui impacte considérablement la vie de la personne concernée.
“Par exemple, dans un cas d’interdit bancaire rectifié, le délai des banques à mettre à jour la correction devrait être en temps réel. On en est loin, ce qui impacte considérablement la vie de la personne concernée”
Les banques, seraient-elles convaincues qu’elles savent porter ce type de projets seules, tellement rompues aux exercices de mise en conformité réglementaire ? Auraient-elles besoin d’aide ? Ont-elles compris que pour être conforme, le déploiement d’une « technologie RGPD as code » est nécessaire ?
