• Print
  • Decrease text size
  • Reset text size
  • Larger text size
20/02/2018

GDPR : Quels impacts sur les activités CIB ?

Le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) a été adopté par le parlement européen en Mai 2016 pour une mise en application prévue le 25 Mai 2018. Cette nouvelle mesure va impacter les procédures de toutes les organisations collectant des données personnelles, notamment celles des établissements bancaires. Si l’impact est clair sur les activités des banques de détail de par les données renseignées par les clients, la portée de GDPR est moins évidente lorsqu’il s’agit de clients corporate.

GDPR s’appuyant sur des exigences plus strictes en termes de protection des données et sur des sanctions allant jusqu’à 4% du revenu en cas de non-conformité, identifier l’impact des nouvelles exigences sur les activités de marché et de financement peut s’avérer crucial pour les banques de financement et d’investissement (BFI).

Rappel de l’évolution des lois de traitement des données

Rappel de l’évolution des lois de traitement des donnéesAnalyse des principaux impacts au sein du secteur de la BFI

Analyse des principaux impacts au sein du secteur de la BFI

Source: Etude Sia Partners

Les exigences de GDPR ne s’appliquent qu’aux personnes physiquement identifiables. Le périmètre d’applicabilité de la nouvelle règlementation est donc restreint en ce qui concerne les activités d’une BFI : il se limite aux fournisseurs des établissements, aux représentants des clients au statut de personne morale, et aux employés. Ceci réduit considérablement les aspects de consentement et de gestion des droits du « Data Subject »[1], qui sont des sujets impactant principalement les activités de banque de détail.

Comme mentionné dans le tableau ci-dessus, les sujets d’intérêt pour les activités de marché sont donc orientés autour du concept de « Privacy-By-Design »[2] et des aspects sécuritaires du SI, de procédures d’alerte en cas de faille et de l’inter-territorialité des transferts de données.

Transfert de données

Pour les banques européennes, la problématique de transfert de données à l’international se fait selon trois axes principaux, qui s’articulent autour de l’appartenance à l’Espace Economique Européen (EEE) :

Transfert d’un pays membre de l’EEE vers un pays non-membre de l’EEE

Transfert entre deux entités légales membres de l’EEE

Transfert entre deux filiales du groupe implantées dans l’EEE

GDPR s’applique à toutes les entités implantées dans des pays membres et non-membres de l’UE offrant une prestation de service à des « Data Subject », et effectuant des contrôles et traitement des données personnelles de ses clients résidants de l’UE. Les transferts de données personnelles sont rigoureusement réglementés, et ne sont autorisés en dehors de l’Espace Economique Européen que sous certaines conditions. Dans le cas d’un transfert entre plusieurs filiales d’un groupe par exemple, les conditions doivent être fixées dans les « Binding Corporate Rules »[3] de l’établissement.

Les BFI doivent donc concentrer leurs efforts sur l’alignement des contrats fournisseurs de l’UE vers les pays non membres de l’EEE, notamment à travers la priorisation et l’adaptation des contrats avec les clauses de GDPR, afin d’être conformes aux exigences de transfert de données vers leurs filiales à l’international.

Privacy-By-Design

L’impact au niveau des procédures et processus cible est également non négligeable compte tenu du concept de Privacy-By-Design. Le principe de « responsabilité complète » de GDPR suppose que les banques doivent être en mesure de prouver la conformité de tous leurs processus de collecte de données avec les exigences de GDPR, à la demande du régulateur. Cette exigence suppose donc l’intégration du concept de données privées dès les premières étapes de développement d’un projet, et le maintien de cette intégration tout au long du cycle de vie du projet.

Ainsi, afin d’intégrer les notions du Privacy-By-Design dans ses nouveaux projets, l’établissement se doit d’accorder un budget pour définir une gouvernance permettant la mise à jour des processus de collecte, ainsi qu’une cartographie des données validant les catégories de données à caractère personnel. Des archives documentant toutes les activités de traitement de données personnelles seront également à produire régulièrement, qu’il s’agisse de traitement de données de tiers ou interne au Groupe bancaire.

Sécurité du SI et procédure d'alerte

Les exigences en termes de reporting au régulateur et de notification impliquent également une mise en conformité du système d’informations de l’établissement, notamment en ce qui concerne les applications de traitement de données. En effet, l’exigence de sécurité des données personnelles implique que les acteurs se préviennent d’éventuelles attaques ciblant les services web qui traitent les données ou par lesquels ces données transitent pour éviter les fuites ou l’usurpation d’identité.  En ce qui concerne les utilisateurs internes à l’établissement de ces applications, il convient de renforcer le processus d’identification et l’intégrité des périphériques utilisés pour s’y connecter. Ces mesures permettront de remédier aux vulnérabilités des processus de traitement de données au niveau IT et ainsi garantir l’intégrité des données traitées. Si les exigences de sécurité du SI sont accrues, celui-ci doit également répondre à des normes de gestion des failles de sécurité via l’optimisation de sa procédure d’alerte du régulateur et des Data Subject. En effet, le règlement prévoit une obligation de notification de la violation de données à caractère personnel à l’autorité de contrôle 72h au plus tard, après que l’organisation ait pris connaissance de la faille de sécurité. Les délais de notification et les exigences de reporting en termes de contenu (nature de la violation, catégorie et nombre de personnes impactées, catégorie et nombre d’enregistrements de données concernées..) nécessitent donc une automatisation du process de reporting en cas de faille et une mise à disposition des informations nécessaires dans la base de données de l’établissement pour une communication à tout moment.

En conclusion, bien qu’elles soient moins conséquentes que pour les activités de banque de détail, les exigences de GDPR ont un impact non négligeable sur les activités d’une BFI.

Les problématiques de transfert des données à l’étranger, les exigences du concept de Privacy-By-Design et la nécessité de mise à niveau de la sécurité du SI sont autant de sujets à adresser par le Data Protection Officer de l’établissement. Toutefois, la mise en conformité ne se fera pas en un jour et les délais serrés de GDPR en font un sujet majeur pour ce secteur. Ce constat est particulièrement vrai pour les aspects sécuritaires des processus de traitement : les équipes de développement opérationnel devront rapidement acquérir des compétences en sécurité applicative afin de garantir l’intégrité des données de leurs clients.

Sia Partners

Notes & Références

[1] Un data subject est une personne physiquement identifiable dont les données personnelles sont utilisées dans un processus de traitement

[2] Le concept de Privacy-By-Design permet d’entamer un nouveau projet en y intégrant les notions du RGDP dès sa création

[3] Les « Binding Corporate Rules » sont un ensemble de règles internes s’appliquant aux entités d’un groupe, et qui contiennent des principes clés encadrant les transferts de données personnelles

0 commentaire
Poster un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
Image CAPTCHA
Saisissez les caractères affichés dans l'image.
Back to Top