En mai 2018, la nouvelle réforme européenne sur la protection des données entrera en vigueur. Elle vise à augmenter et faciliter le contrôle des données personnelles des citoyens européens, données manipulées en permanence par les banques et assurances.

Le Parlement Européen vote la réforme sur la protection des données

Après plus de quatre ans de travaux, le Parlement Européen a finalement voté en avril 2016 une réforme majeure sur la protection des données des citoyens européens (Règlement général sur la protection des données ou RGPD). Cette réforme vient remplacer la directive établie en 1995,  date à laquelle internet en était encore à ses balbutiements. La directive sera applicable dans tous les pays de l’UE deux ans après sa publication au Journal officiel, soit en mai 2018. D’ici là, l’ensemble des états membres devront avoir traduit le règlement dans leur législation nationale.

La réforme répond à un objectif clair : « avoir un niveau élevé et uniforme de protection des données à travers l’UE ». Elle touche ainsi toutes les facettes de la protection des données :

  • Droit à l’oubli
  • Consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles
  • Droit d’être informé en cas de piratage des données
  • Garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible
  • Création d’un Comité européen de la protection des données
  • Protection des données dès la conception : dès la conception des produits, services et systèmes exploitant des données personnelles, les organisations doivent prendre des mesures visant à contrôler et limiter les données utilisées
  • Protection des données par défaut : toutes les organisations doivent disposer d’un système d’information sécurisé
  • Nomination d’un délégué à la protection des données pour tout organisme public ou privé dont « les activités de base […] consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle ». A noter qu’ « un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement »

Les sanctions en cas de non-respect du règlement ont également été renforcées, pouvant aller jusqu’à 20 millions d’euros d’amende ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.Enfin, il est important de noter que le règlement s’applique aux organisations de l’UE ainsi qu’aux entreprises non établies dans l’Union Européenne mais traitant des données à caractère personnel relatives à des personnes sur le territoire de l’UE.

Les banques et assurances impactées à tous les niveaux

A la lecture du règlement européen, il semble évident que les banques et assurances vont être particulièrement impactées. Tout d’abord, de par leurs activités, elles sont amenées à traiter en permanence des données personnelles, ces dernières étant définies par le Parlement Européen comme toute information « permettant d’identifier, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; » une personne  physique. En l’occurrence, les établissements financiers recensent les noms, adresses, ou numéro de sécurité sociale de leur client, mais également des données relatives à leur santé en cas de demande de prêt. Enfin, ils traitent bien évidemment toutes les données bancaires de leurs clients, de l’IBAN au numéro de carte bleue.

Les banques et assurances vont donc devoir réaliser un audit et mettre en place un plan d’actions visant à se mettre en conformité avec le nouveau règlement.

Si le règlement ne précise pas le niveau attendu, l’ensemble des systèmes d’information devra être sécurisé.

Elles vont devoir nommer un délégué à la protection des données et faire un effort de documentation. En effet, la réforme sur la protection des données oblige les organisations à prouver qu’elles respectent les principes du règlement, et à documenter et auditer les process mis en place (principe  d’ « Accountability »).

Les audits devront également concerner les sous-traitants des banques, au sein et hors de l’UE, dès lors qu’ils ont accès aux données personnelles des résidents européens. Alors que les projets d’offshoring et de nearshoring sont légion dans les banques, la tâche va être conséquente.

La réforme sur la protection des données va également amener le secteur financier à adapter sa communication vis-à-vis de sa clientèle. Viennent ainsi à l’esprit la modification de la documentation à destination de la clientèle afin de répondre aux exigences en matière de consentement, la traduction en langage clair de leur politique de protection des données (Crédit Agricole a par exemple communiqué en 2016 une Charte des données personnelles) ou la formalisation d’un plan de communication de crise en cas de piratage de données.

Enfin, le secteur financier va devoir adapter ses outils et méthodes de gestion de projet. D’une part, la notion de protection des données va devoir être prise en compte dès la conception des nouveaux outils (« privacy by design »). Ces derniers devront permettre de paramétrer et gérer un niveau de sécurité adéquat.

D’autre part, un aspect indirect de la réforme concerne les jeux de données et les environnements utilisés pour mener à bien les projets des banques et assurances. Lorsqu’un établissement modifie son système d’information ou met en place un nouvel outil, des données réelles sont utilisées pour tester les nouvelles applications. Ces données, pouvant comporter des noms, des IBAN ou toute autre donnée personnelle, sont alors accessibles aux diverses équipes projet et IT. Hors, le règlement dispose dans l’article sur la Protection des données dès la conception que « seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. ». Plus concrètement, cela signifie que les données utilisées pour les jeux de test devront faire l’objet d’une anonymisation (modification du contenu ou la structure de ces données afin de rendre très difficile ou impossible la « ré-identification » des personnes) ou d’une pseudonymisation (remplacement d’un nom par un pseudonyme).

Une attention particulière devra également être apportée aux environnements informatiques utilisés pour réaliser les tests. En effet, afin de ne pas perturber la production, les DSI utilisent des environnements informatiques alternatifs pour réaliser leurs tests. Hors ces environnements ne disposent pas toujours du même degré de sécurité que les environnements de production et devront donc, soit être mis à niveau, soit ne contenir aucun donnée personnelle non anonymisée.

Les départements RH avaient déjà commencé à se mettre en conformité avec les règlements précédents. Cependant, la démarche de protection des données doit dorénavant être étendue à l’ensemble de la banque et faire l’objet d’un suivi beaucoup plus systématique. Les banques et assurances étudient donc la réglementation afin de lister les exigences minimales requises. Déjà aux prises avec de nombreuses réglementations européennes, elles souhaitent investir a minima pour répondre aux exigences de la RGPD. Des rencontres avec des éditeurs de logiciel d’anonymisation sont également organisées (Optim d’IBM ou DOT-Anonymizer) et des phases de POC (proof of concept) sont lancées.

Par Mathilde Degremont, Senior Manager du cabinet VERTUO Conseil

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s