Comme nous l’évoquions dans notre premier article sur les banques et le RGPD, dans la mesure où les nombreuses données collectées par les établissements bancaires fournissent une connaissance précise des habitudes de consommation des personnes concernées, elles constituent une véritable mine d’or pour les entreprises, surtout depuis le développement du Big data et des technologies d’analytique à base de machine learning. Il est donc tout à fait logique que les banques cherchent à les protéger. D’autant plus que leur violation est susceptible d’entraîner des conséquences néfastes pour les individus touchés. Leur sécurisation au sein du secteur bancaire passe désormais en partie par le respect des principes du RGPD :

  • Accountability : si les banques devaient auparavant déclarer leurs traitements de données personnelles auprès d’une commission compétente en la matière, elles sont désormais elles-mêmes responsables de leur propre conformité. Elles doivent donc tenir un registre de traitement des données à caractère personnel, précisant celles qu’elles détiennent, leur type, leur lieu de stockage, leurs usages, leur date de conservation, ainsi que les dispositifs de sécurisation mis en place. Cette documentation atteste de leur conformité, en particulier face à la CNIL en cas de contrôle ou d’incident.
  • Privacy by design : la sécurisation des données personnelles doit être prise en compte par les banques dès la conception de tous services ou produits.
  • Licéité du traitement : le traitement de données personnelles n’est autorisé que s’il repose sur l’un des six fondements juridiques prévus par le RGPD, à savoir :
    • s’il est nécessaire au respect d’une obligation légale, par exemple afin de respecter l’une des réglementations imposées au secteur bancaire.
    • S’il est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles impliquant la personne concernée.
    • S’il est nécessaire au déroulement d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement.
    • S’il est nécessaire aux intérêts légitimes de l’établissement bancaire responsable du traitement, par exemple afin de prospecter auprès des clients pour assurer le bon fonctionnement de l’organisation, ou de prévenir les fraudes.
    • S’il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.
    • Le dernier fondement juridique possible est, bien évidemment, le consentement de la personne concernée, qui doit être donné par un acte positif clair, et doit être aussi simple à retirer qu’à fournir.
  • Loyauté et transparence : une organisation traitant les données d’un individu se doit de lui fournir un ensemble d’informations claires, accessibles, et concises (droit d’information) au sujet de ce traitement. Cette personne doit également pouvoir facilement exercer ses droits RGPD auprès de l’organisation lorsqu’elle le souhaite : droit d’accès, de rectification, d’opposition, d’effacement, droit à la portabilité… Évidemment, les données recueillies doivent être traitées pour les finalités précises et légitimes explicitées aux personnes concernées, et ne peuvent faire l’objet d’un autre traitement relatif à d’autres utilisations.
  • Pertinence et minimisation : seules les données personnelles nécessaires aux traitements prévus doivent être collectées. Leur accès doit être limité aux personnes compétentes impliquées dans leur recueil ou leur traitement, et leur conservation ne peut dépasser la durée requise au regard des finalités pour lesquelles elles sont traitées. Enfin, le traitement des données doit, lui aussi, être limité à ce qui est nécessaire.

Des principes dont le respect nécessite la mise en place de processus internes exigés par le RGPD :

  • Élaboration d’un registre de traitement tenu à jour détaillant l’ensemble des traitements de données à caractère personnel susceptibles d’être effectués.
  • Analyses d’impact relatives à la protection des données (PIA) afin de recenser les éventuels risques en cas de violation et de mettre en place des dispositifs de sécurisation adéquats.
  • Désignation ou recrutement d’un DPO (Data protection officer, délégué à la protection des données) pour les organisations ayant plus de 250 salariés ou traitant un nombre important de données personnelles.

Mais, outre ces mesures, la concrétisation de la conformité RGPD n’est pourtant pas si simple, car complexifiée par quelques paramètres propres au secteur bancaire… Ce sera d’ailleurs le sujet du prochain article « Des incompatibilités qui compliquent la conformité » de notre dossier sur les banques et le RGPD.