Banques et RGPD, quelles sont les fondements d’une bonne conformité ?

20 mai 2019
image single post header

Comme nous l’évoquions dans notre premier article sur les banques et le RGPD, les nombreuses données collectées par les établissements bancaires fournissent une connaissance précise des habitudes de consommation des personnes concernées. Elles constituent une véritable mine d’or pour les entreprises, surtout depuis le développement du Big data et des technologies d’analytique à base de machine learning.

Il est donc tout à fait logique que les banques cherchent à les protéger en se conformant au RGPD. D’autant plus que leur violation est susceptible d’entraîner des conséquences néfastes pour les individus touchés.

 

Sécurisation des données bancaires et conformité RGPD

 

La sécurisation des données personnelles au sein du secteur bancaire passe désormais en partie par le respect des principes du RGPD.

 

Le principe de l’accountability

 

L’Accountability est défini comme la responsabilité, plus particulièrement, l’acceptation de la responsabilité d’une conduite honnête et éthique envers les utilisateurs. Si les banques devaient auparavant déclarer leurs traitements de données personnelles auprès d’une commission compétente en la matière, elles sont désormais elles-mêmes responsables de leur propre conformité RGPD.

Les banques doivent donc tenir un registre de traitement des données à caractère personnel, précisant celles qu’elles détiennent, leur type, leur lieu de stockage, leurs usages, leur date de conservation, ainsi que les dispositifs de sécurisation mis en place. Cette documentation atteste de leur conformité RGPD, en particulier face à la CNIL en cas de contrôle ou d’incident.

 

Le principe du Privacy by design

 

Le principe de Privacy by design implique une sécurisation des données personnelles prise en compte directement par les banques dès la conception de tous services ou produits. L’intégration du concept de protection des données personnelles dès la conception de projets permet une limitation des risques de non-respect de conformité du RGPD.

 

Le principe de licéité du traitement

 

La Licéité du traitement, ce principe repose sur le fait que le traitement de données personnelles n’est autorisé que s’il se base sur l’un des six fondements juridiques prévus par le RGPD.

Voici les fondements, ci-dessous :

  • s’il est nécessaire au respect d’une obligation légale, par exemple, afin de respecter l’une des réglementations imposées au secteur bancaire;
  • s’il est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles impliquant la personne concernée;
  • s’il est nécessaire au déroulement d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement;
  • s’il est nécessaire aux intérêts légitimes de l’établissement bancaire responsable du traitement, par exemple afin de prospecter auprès des clients pour assurer le bon fonctionnement de l’organisation, ou de prévenir les fraudes;
  • s’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée;
  • le dernier fondement juridique possible est, bien évidemment, le RGPD, Règlement Général sur la Protection des Données Personnelles de la personne concernée, qui doit être donné par un acte positif clair, et doit être aussi simple à retirer qu’à fournir.

 

Le principe de la loyauté et transparence

 

Le principe de loyauté et transparence est défini par le fait qu’une organisation traitant les données d’un individu se doit de lui fournir un ensemble d’informations claires, accessibles, et concises (droit d’information) au sujet de ce traitement.

Cette personne doit également pouvoir facilement exercer ses droits RGPD auprès de l’organisation lorsqu’elle le souhaite : droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité… Évidemment, les données recueillies doivent être traitées pour les finalités précises et légitimes explicitées aux personnes concernées, et ne peuvent faire l’objet d’un autre traitement relatif à d’autres utilisations.

 

Le principe de pertinence et de minimisation

 

Ce principe de pertinence et de minimisation restreint la collecte de données personnelles seulement aux traitements prévus pour la banque. Leur accès doit être limité aux personnes compétentes impliquées dans leur recueil ou leur traitement, et leur conservation ne peut dépasser la durée requise au regard des finalités pour lesquelles elles sont traitées. Enfin, le traitement des données doit, lui aussi, être limité à ce qui est nécessaire.

 

Des principes dont le respect nécessite la mise en place de processus internes exigés par le RGPD

 

Un registre de traitement tenu à jour détaillant l’ensemble des traitements de données à caractère personnel susceptibles d’être effectués doit être mis en œuvre. De plus, une analyse d’impact relative à la protection des données (PIA) doit être proposée afin de recenser les éventuels risques en cas de violation et de mettre en place des dispositifs de sécurisation adéquats. La désignation ou recrutement d’un DPO (Data Protection Officer, délégué à la protection des données) pour les organisations ayant plus de 250 salariés ou traitant un nombre important de données personnelles est obligatoire.

Outre ces mesures, la concrétisation de la conformité RGPD n’est pourtant pas si simple, car complexifiée par quelques paramètres propres au secteur bancaire… Ce sera, d’ailleurs, le sujet du prochain article de notre dossier sur les banques et la conformité RGPD.

Vous souhaitez en savoir plus sur Fair&Smart et nos solutions de gestion de données personnelles, cliquez sur le bouton ci-dessous :

Prendre contact !

 

Rejoignez-vous sur les réseaux sociaux :

LinkedIn
Twitter
YouTube