RGPD et secteur bancaire

Lundi 30 Septembre 2019

Les articles de presse exposant la non-conformité des banques au RGPD sont nombreux. Il est difficilement compréhensible qu'autant de banques ne soient pas en conformité avec le RGPD 2 ans après sa mise en application.

Surtout que le secteur bancaire est rompu aux réglementations : lois, réformes, ordonnances, normes ; dispositifs TRACFIN, IFRS 9, MIFID II, DSP 2, KYC, loi Sapin 2, loi Eckert, décret du 18 avril 2018... le RGPD en est un de plus.

Le domaine bancaire est un des environnements où le volume de données sensibles est vraiment conséquent, ce qui devrait mécaniquement pousser les institutions financières à se conformer au règlement, celui-ci leur permettant de protéger leur plus précieux actif : leur clientèle.

Comme chacun sait, il est plus facile de fidéliser ses clients que d'en acquérir. La fidélisation nécessite la confiance. Sur ces dernières années, cette confiance à régulièrement été mise à mal.

D'aucuns exposeront le taux de confiance des Français dans leur établissement bancaire, mais avons-nous le choix ?

Non. On ne peut faire sans banque. Ce rapport de force déséquilibré devrait être pris en compte par ces institutions, de telle sorte que la difficulté qu’elles rencontrent à être en conformité RGPD, ne puisse être perçue comme une attitude hautaine.

Pourquoi une telle difficulté ?

Il semblerait que beaucoup d'entre elles ont considéré, dès la sortie du RPGD, que celui-ci n'était qu'un exercice de mise en conformité supplémentaire. Cette perception est, en fait, erronée. Autant un certain nombre de réglementations bancaires adressent des sujets très précis et ainsi permettent de délimiter leur impact quant à leur déploiement, autant le RGPD touche de très nombreux sujets quant à son application, rendant cette dernière difficile à circonscrire. L'enjeu d'une mise en conformité RGPD est conséquent, chronophage, coûteux et donc ambitieux. C'est un projet d'entreprise à lui seul, qui doit être traité comme tel.

De plus, à travers les données exploitées par une banque, la vie privée des citoyens est totalement mise à nue. Si les établissements financiers estiment être en contrôle de leur sécurité, ils sont loin d'être dans les clous du règlement quant à la durée de conservation des données de leur client, par exemple, leur mise à jour et leur exploitation.

Ainsi, l'article 5.1.d du RGPD illustre bien les enjeux d’une banque : "Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude)".

Par exemple, dans un cas d'interdit bancaire rectifié, le délai des banques à mettre à jour la correction, devrait être en temps réel. On en est loin, impactant ainsi considérablement la vie de la personne concernée. Les banques, seraient-elles convaincues qu'elles savent porter ce type de projets seuls, tellement rompues aux exercices de mise en conformité réglementaire ?

Auraient-elles besoin d'aide?

Ont-elles compris que pour être conforme le déploiement d’une « technologie RGPD as code est nécessaire ?