Comme évoqué dans les précédents articles de notre dossier sur les banques et le RGPD, le secteur financier a toujours été très avancé en matière de sécurité et de protection des données, et outre le RGPD, de multiples réglementations le régissent : dispositifs TRACFIN de Lutte Anti-Blanchiment et Anti-Terroriste, ou plus récemment les réglementations IFRS 9, MIFID II, DSP 2, KYC, loi Sapin 2, loi Eckert, ou encore le décret du 18 avril 2018 renforçant le dispositif français de lutte contre le blanchiment de capitaux et le financement du terrorisme.
En plus de certains fonctionnements propres au secteur bancaire, quelques aspects de cette législation complexe peuvent entrer en conflit avec des exigences du RGPD, ou bien occasionner des difficultés lors de sa mise en application :

  • La directive “Know Your Customer” (Connaître son client) vise à réunir un ensemble d’informations au sujet des clients afin de prévenir l’usurpation d’identité, le blanchiment d’argent, les fraudes, et les crimes financiers. Parmi les données recueillies, les dépenses, leur montant, leur nature, leur justification, les provenances et destinations des opérations bancaires effectuées par les personnes concernées, mais également beaucoup de données personnelles d’autres types. Une collecte plutôt conséquente qui peut apparaître en contradiction avec le principe de minimisation des données imposé par le RGPD…
  • La loi Eckert, de lutte contre la déshérence des comptes bancaires et produits d’épargne, impose aux banques la conservation de certaines données sur une longue durée.
  • De la même manière, que ce soit suite à l’échéance de leurs dates de conservation légale, ou par le biais d’une demande d’effacement, la suppression de données personnelles au sujet d’opérations financières et d’individus qui y sont impliqués peut constituer un non-respect des dispositifs LAB et LAT (Lutte Anti-Blanchiment et Lutte Anti-Terroriste).

Comme évoqué précédemment, certains standards ou fonctionnements du secteur bancaire peuvent s’avérer difficilement compatibles avec le RGPD :

  • C’est le cas de certains outils et systèmes utilisés qui rendent impossible l’effacement de certaines données.
  • Pratique très répandue au sein des établissements financiers depuis déjà quelques décennies, le credit scoring est une méthode d’évaluation des risques-clients qui vise à déterminer, via l’attribution d‘un “fonction score”, la solvabilité et la capacité de remboursement d’un demandeur de prêt via un outil d’analyse se basant sur certains critères. Il figure parmi les activités de profilage et de prise de décision automatisées via intelligence artificielle fortement encadrées par le RGPD. Pour être autorisé, il nécessite désormais la mise en place de certaines mesures : expliquer le profilage au demandeur, obtenir son consentement, et lui donner la possibilité de réviser certaines décisions automatisées avec une personne humaine.

La digitalisation et l’utilisation des données personnelles ont abouti à une amélioration de la connaissance client et de l’expérience client. Une expérience client qui a cependant paradoxalement eu tendance à se complexifier et à s’étendre suite à la mise en application de l’ensemble des textes réglementaires : entre collecte de données dans une optique de sécurité, recueil des consentements, et obligations de fournir une certaine quantité d’informations… Les banques doivent donc se repenser afin de pallier à ce problème, ce sera d’ailleurs le sujet du prochain article de notre dossier sur les banques et le RGPD.