• Print
  • Decrease text size
  • Reset text size
  • Larger text size
17/03/2018

GDPR en banque privée : revue des principaux enjeux

90 millions d’euros en moyenne. C’est le coût estimé par Sia Partners de la mise en conformité GDPR d’un groupe bancaire du CAC40[1]. Alors que certaines activités en B2B sont relativement épargnées, n’ayant pas de personnes physiques comme clients directs, d’autres doivent se remettre en question en profondeur pour se mettre en conformité. Parmi elles, la banque de détail naturellement, mais aussi la banque privée.

En effet, au-delà des problématiques GDPR communes à toutes les organisations, le secteur de la banque privée est l’activité bancaire manipulant de la donnée personnelle par excellence. Dans l’optique d’un service sur-mesure, fondé sur une connaissance approfondie du client, de sa situation personnelle et de ses besoins, la banque privée est amenée à collecter et traiter une quantité de données particulièrement importante, dont certaines pouvant être particulièrement sensibles. Si le règlement est pris très au sérieux par les banques privées, dont les budgets de mise en conformité vont de 3 à 15 millions d’euros selon les typologies d’établissements, rares sont les acteurs qui seront prêts en mai 2018, avec des plans d’actions courant dans bien des cas jusqu’en 2019, voire au-delà. Revue des principaux enjeux.

Un enjeu réputationnel vital : quelle sécurisation des données ?

Objectifs d’investissement, projets pour l’avenir, problèmes de santé ou situations de handicap, événements familiaux (mariage, naissance ou même double vie), tout peut être pertinent pour l’apport d’un service parfaitement personnalisé. Certaines de ces typologies de données sont hautement sensibles, et doivent donc faire l’objet d’une protection adaptée.

Typologie de données collectées et traitées par les banques privées

Pour ce faire, les dispositifs de cybersécurité et bonnes pratiques en termes de confidentialité doivent être mis à niveau afin de limiter au maximum la possibilité de fuite de données. Si les fuites de données depuis l’extérieur par le biais de cyber-attaques sont très remarquées et médiatisées, il ne faut pas sous-estimer les risques associés aux fuites de données en interne, qu’elles soient intentionnelles ou le fruit de la négligence[2]. Données non-structurées disséminées dans des fichiers, répertoires partagés aux droits d’accès mal configurés, utilisation excessive des e-mails pour transmettre des données, ou encore durées de rétention des données non connues ou respectées, ce sont autant de failles organisationnelles ou techniques qui mettent en danger l’intégrité et la confidentialité des données personnelles détenues par la banque privée.

Si ces risques ne sont pas nouveaux, l’entrée en application de GDPR les rend d’autant plus pressants. En effet, le règlement introduit l’obligation de notifier les autorités compétentes d’une fuite de données au plus tard 72 heures après en avoir pris connaissance, et les clients affectés doivent également être informés. De plus, toutes ces manipulations de données constituent des traitements qui doivent être documentés dans un registre tenu à disposition des autorités. Sans parler des pénalités financières rédhibitoires (jusqu’à 4% du chiffre d’affaires mondial consolidé), les dégâts d’images encourus en cas de non-conformité sont considérables. Pour un métier dont l’un des maîtres-mots est celui de la confidentialité, les risques réputationnels sont énormes.

Un enjeu marketing et commercial : la fin de la vente croisée comme levier de développement ?

GDPR pose également un enjeu commercial et marketing de taille[3]. En effet, dans bien des cas, l'acquisition de nouveaux clients se fait par le biais d'autres métiers de la banque. La banque de détail identifie des profils prometteurs (avoirs significatifs, professions à hauts revenus, mouvements créditeurs importants) à recommander à la banque privée, souvent par le biais d’outils CRM partagés. De même pour les chefs d'entreprises sur la clientèle professionnelle. La banque de financement et d'investissement peut, elle, être amenée à référer les clients ayant utilisé leurs services pour acquérir ou céder une entreprise. Ces partages impliquent des flux de données, et donc des traitements. Or le règlement encadre strictement ce type d’activités, en renforçant notamment le consentement à obtenir de la personne concernée avant toute activité de traitement de ses données personnelles. Ce consentement se doit d’être spécifique, libre, univoque et informé : pas question donc de dissimuler une clause obscure dans un contrat ou dans les conditions générales d’utilisation.

La difficulté pour les banques privées est donc de définir précisément leurs traitements de données et d’en identifier la base légale. Quand le consentement du client ou prospect est requis, il s’agit de mettre au point une stratégie de collecte qui assure une adhésion optimale. Sans cela, c’est un axe majeur de développement commercial qui se trouve bridé, en particulier dans les banques privées appartenant à des groupes bancaires universels pour lesquelles la vente croisée est un vivier majeur d’acquisition de nouveaux clients. Plus généralement, la banque ne pourra pas faire l’impasse sur une totale transparence au sujet des traitements de données opérés dans le cadre du suivi relationnel et commercial du client. Agrégation d’actifs d’un client multi-bancarisé, diagnostic de portefeuille, allocation d’actifs, ce sont autant de services faisant intervenir les données personnelles du client, qui a le droit de savoir comment et dans quel but ces informations sont traitées.

Un enjeu culturel dans la conduite des projets : quel impact sur la digitalisation de la banque privée ?

Le troisième enjeu a trait à l’effort de digitalisation mené par l’ensemble des banques privées du marché. En effet, le règlement introduit les notions de protection des données personnelles « par défaut », et « dès la conception ». Qu’il s’agisse du développement d’une nouvelle application de suivi des comptes ou encore d’un service de robo-advisory collectant des données personnelles pour proposer un profil de risque client ou une allocation cible, tous les projets digitaux peuvent potentiellement être impactés par GDPR.

La banque privée devra donc choisir précautionneusement les outils digitaux dont elle souhaite se doter, en tenant compte de ces contraintes. De plus, la conduite et l’implémentation de ces projets ne sera possible que si le délégué à la protection des données[4] (PDP ou DPO en anglais) est associé dès la conception du projet, avec sa double fonction de conseil (réalisation de Privacy Impact Assessments sur les traitements à risque, contribution aux spécifications fonctionnelles) et de contrôle (assurer la conformité a posteriori du service ou du produit). Enfin, plus généralement, il s’agit d’insuffler dans les équipes projets une véritable culture de la protection des données personnelles.

GDPR : juste une contrainte règlementaire de plus ?

Au vu de ces enjeux, certains acteurs peuvent être tentés de voir GDPR comme une simple contrainte règlementaire de plus, dans une période où l’agenda de mise en conformité est déjà particulièrement dense. Cependant, derrière le coût élevé de la mise en conformité, l’enjeu est celui de la confiance des clients - confiance dans le fait que le client est seul maître des usages qui sont faits de ses données personnelles, et que sa vie privée sera respectée. A ce titre, le règlement constitue surtout une opportunité pour les banques privées de renforcer leur image de professionnels de confiance à qui le client peut non seulement confier sa fortune, mais aussi sa vie privée.

Sia Partners

0 commentaire
Poster un commentaire

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
Image CAPTCHA
Saisissez les caractères affichés dans l'image.
Back to Top