Une mise en conformité complète avec le Règlement général sur la protection des données (RGPD), à l’horizon du mois de mai, est illusoire pour beaucoup d’établissements. Mais la France bénéficie déjà d’un cadre réglementaire exigeant en matière de protection des données personnelles.
Par Thomas Hirtzig, Manager au sein d’Alpha FMC
Ce n’est pas l’actualité récente alimentée par le scandale Facebook qui viendra démentir l’importance stratégique revêtue par la politique de gestion des données personnelles des entreprises. Mais au-delà de l’attention nouvelle dont bénéficie désormais ces questions, nombre d’établissements bancaires peinent à structurer leur mise en conformité avec le RGPD qui constituera à compter du 25 mai le socle commun de la protection des données personnelles en Europe.
La faute au caractère généralisé et diffus de l'utilisation des données personnelles dans les entreprises. Généralisé, puisque rares sont les processus à ne pas les employer. Diffus, car ces processus comme les outils utilisés pour les conduire, assemblés de façon disparate au fil des années, ne font qu’exceptionnellement l’objet d’une cartographie complète. D'où l'inquiétude des directions, qui ont souvent privilégié d'autres urgences réglementaires et se trouvent désormais face à un projet tentaculaire dont elles peinent à percevoir les ramifications et les impacts.
Ce diagnostic étant posé, que faire face à l’ampleur de la tâche ? Au vu de l’échéance de mai, il serait illusoire de viser une conformité complète au RGPD dans un délai si court. Certaines dispositions peuvent toutefois être prises rapidement et permettre d’entamer efficacement un véritable programme de transformation. Car la France bénéficie depuis de nombreuses années d’un régime de protection des données personnelles exigeant. L’écart qui le sépare des obligations introduites par le RGPD n’est donc pas abyssal.
La première clé de réussite est de s'appuyer rigoureusement sur les grands principes fondamentaux de la protection des données personnelles portés par la CNIL :
- Une connaissance poussée des traitements impliquant des données personnelles conduits par l’entreprise par le biais de la tenue d’un registre des traitements précis et exhaustif.
- Une revue systématique des données afin de confirmer que leur collecte est justifiée et/ou proportionnée aux buts poursuivis.
- Un encadrement vigilant des échanges de données avec des prestataires tiers, en particulier si ceux-ci sont localisés en dehors de l'Union Européenne.
Cet effort doit porter à la fois sur les données des clients directs et indirects, des personnes travaillant dans l’entreprise ainsi que des prospects que celle-ci peut être amenée à démarcher.
Les banques ne sont pas toutes soumises aux mêmes risques
Le second volet de la mise en conformité s’articule autour d’une approche par les risques. Elle vise à renforcer la maitrise des principes fondamentaux de la protection des données et à focaliser les efforts sur les zones de faiblesse de l'entreprise. Toutes les institutions financières ne font pas face aux mêmes risques, ce qui implique des efforts d'adaptation différenciés. Pour les banques friandes de digitalisation et de big data, des études d'impact sur la protection des données devront être menées dès lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Pour d’autres acteurs, des moyens additionnels en matière de cybersécurité devront être déployés.
Le dernier axe de progression concerne la conformité aux exigences cœurs de la réglementation. Plusieurs chantiers doivent être impérativement terminés d'ici mai :
- Garantir les droits de la personne concernée, en particulier les droits d’accès, de portabilité, de rectification et d’oubli.
- Mettre en place une véritable gouvernance de la donnée personnelle centrée autour du Délégué à la protection donnée, permettant à la fois de gérer les risques propres à l’entreprise et d’infuser une culture de transparence et de minimisation de la collecte de données personnelles.
- Communiquer sur la politique de gestion des données personnelles avec les personnes concernées.
Cette triple approche ne forme néanmoins que la base de la conformité au RGPD. En effet, certains éléments centraux du Règlement s’adaptent mal au monde bancaire tel qu’il existe aujourd’hui : impossibilité d’effacer les données des systèmes ou encore diffusion incontrôlée des données rendent la supervision des données personnelles d'autant plus complexe.
Il faudra donc que les banques passent rapidement la vitesse supérieure, d'autant plus que le paysage réglementaire et normatif ne cesse de s'étoffer : projet de loi CNIL 3, le Règlement européen e-Privacy et délibérations des autorités de contrôle… Autant dire que les Délégués à la protection des données ont encore du pain sur la planche.