RGPD : une mise en conformité à parfaire pour le secteur bancaire

La protection des données personnelles concerne toutes les entreprises…et en particulier les banques.

RGPD : cet acronyme, désormais dans le langage courant, matérialisait la volonté de la Commission et du Parlement Européen de renforcer la protection des informations permettant d’identifier des personnes physiques (données personnelles) et d’encadrer leur usage par les entreprises au sein de l’Union.

Pour rappel, ce règlement renforce les exigences en matière de gestion des données personnelles : collecte, enregistrement, conservation, adaptation, modification, extraction, consultation, utilisation, communication.... Il vise également à « garantir que les individus ont un meilleur contrôle sur leurs données personnelles et que ces données sont traitées dans un but légitime, dans un cadre légal, équitable et de façon transparente ».

Dans le cadre de leurs activités, les banques traitent de nombreuses données à caractère personnel (nom, photo, numéro de téléphone, adresse postale, identifiants de connexion, …), ainsi que des données sensibles telles que le montant des revenus, le patrimoine, l’état civil,…Ces acteurs sont donc particulièrement exposés en matière de protection de ces données.

Des projets de mise en conformité RGPD commencés dans les temps mais qui peinent à aboutir…

Afin de se mettre en conformité, les banques françaises ont engagé des projets au budget conséquent, des « dizaines de millions d'euros » annoncés par la Société Générale, depuis l’entrée en vigueur du RGPD en mai 2018.

Le « socle des principes RGPD » est déjà en place dans la plupart des établissements :

• nomination d’un Délégué à la Protection des Données (DPO),
• élaboration d’une gouvernance des données dans le but d’encadrer leur collecte et leur utilisation,
• mise en place des processus pour permettre l’exercice des droits des personnes concernées (droit d’accès, de portabilité, de rectification et d’oubli) et garantir le respect des conditions de notification en cas de violation de données à caractère personnel (notification à la Commission Nationale de l’Informatique et des Libertés – CNIL – dans un délai maximal de 72 h, notification aux personnes concernées dans les meilleurs délais en cas de risque élevé),
• sensibilisation des salariés (formation, mise à disposition de documents sur l’Intranet, …),
• mise à jour des mentions légales et politiques de confidentialité.

Toutefois, des progrès doivent encore être réalisés sur différents sujets :

• le recensement des traitements n’est pas exhaustif : les registres ont été créés mais de façon parcellaire, certaines activités ne sont pas couvertes et le niveau de précision est à géométrie variable. De plus, le registre est tenu sous forme de tableur de type Excel, pour plus de 2/3 des acteurs banque / assurance,
• la mise à jour des contrats ou la formalisation des avenants, pour y inclure des clauses RGPD, avec les clients et prestataires est loin d’être finalisée,
• la mise à jour des données clients au fil de l’eau, la purge des données électroniques ainsi que la destruction des dossiers papiers restent très difficile à réaliser.

3 ans après son entrée en vigueur, le bilan du RGPD au sein des établissements financiers est donc en demi-teinte. Ce retard dans la mise en conformité pourrait s’expliquer par différentes raisons :

• le fort volume des données utilisées,
• le caractère diffus de l’utilisation des données personnelles : présence des données dans de nombreux outils ainsi que sur des supports papiers,
• l’empilement des exigences RGPD avec d’autres réglementations, notamment en matière d’archivage et de conservation,
• le caractère global des impacts du RGPD, qui nécessite de mener plusieurs chantiers connexes. A titre d’illustration : sécurité des données, communication client, conditions d’usage des données collectées par un canal / département et utilisées par d’autres (notamment pour la prospection commerciale, la conception de nouveaux produits, …).

…alors que de nouvelles exigences s’ajoutent aux contraintes RGPD…

En plus du RGPD, la protection des données à caractère personnel et le consentement des utilisateurs français des sites Internet est également régie par la Loi Informatique et Libertés (loi n.78-17 du 6 janvier 1978). Cette loi, mise à jour en juin 2018 pour assurer la cohérence avec le RGPD, transpose en droit français la directive ePrivacy qui traite principalement des cookies, de la conservation des données numériques et des e-mails non sollicités.

Le 17 septembre 2020, la CNIL a adopté de nouvelles lignes directrices et une recommandation qui précisent les règles applicables pour le traitement des données des internautes français (gestion des cookies et autres types de traceurs).

Ainsi, « le dépôt automatique de cookies marketing sans le recueil préalable du consentement de la personne n’est plus acceptable », ou encore « le consentement de la personne ne peut être valable que s’il est accompagné d’une information présentée de manière efficace et succincte, afin d’éviter de noyer l’information à délivrer parmi d’autres contenus informatifs de plusieurs dizaines de pages ». Le délai de clémence accordé par la CNIL pour se mettre en conformité a pris fin le 31mars 2021.

…et que les sanctions peuvent être sévères.

Les sanctions encourues pour non-conformité au RGPD peuvent s’élever à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros d’amendes. En fin 2020, la CNIL a sanctionné une banque à hauteur de 800 000€ pour plusieurs manquements : non consentement des clients, conservation excessive des données client dans le cadre du programme de fidélité, non réponse à des sollicitations de clients pour obtenir leurs données personnelles, SMS non désirés en prospection,…

*

Finaliser la mise en conformité RGPD et mettre en place un dispositif pérenne sont encore des enjeux pour les banques. Dans ce contexte, Akeance Consulting est un partenaire privilégié par son savoir-faire en diagnostic de conformité, redressement de projet et/ou direction de projet délégué.