Banques et RGPD, des réglementations incompatibles avec les pratiques bancaires
Comme évoqué dans les précédents articles de notre dossier sur les banques et le RGPD, le secteur financier a toujours été très avancé en matière de sécurité et de protection des données, et outre le RGPD, de multiples réglementations le régissent : dispositifs TRACFIN de Lutte Anti-Blanchiment et Anti-Terroriste, ou plus récemment les réglementations IFRS 9, MIFID II, DSP 2, KYC, loi Sapin 2, loi Eckert, ou encore le décret du 18 avril 2018 renforçant le dispositif français de lutte contre le blanchiment de capitaux et le financement du terrorisme.
En plus de certains fonctionnements propres au secteur bancaire, quelques aspects de cette législation complexe peuvent entrer en conflit avec des exigences du RGPD, ou bien occasionner des difficultés lors de sa mise en application.
Une collecte intense en contradiction avec certaines réglementations du RGPD
La directive “Know Your Customer” (Connaître son client) vise à réunir un ensemble d’informations au sujet des clients afin de prévenir l’usurpation d’identité, le blanchiment d’argent, les fraudes, et les crimes financiers. Parmi les données recueillies, nous retrouvons : les dépenses, leur montant, leur nature, leur justification, les provenances et destinations des opérations bancaires effectuées par les personnes concernées, mais également beaucoup de données personnelles d’autres types.
Une collecte plutôt conséquente qui peut apparaître en contradiction avec le principe de minimisation des données imposé par le RGPD… La loi Eckert, de lutte contre la déshérence des comptes bancaires et produits d’épargne, impose aux banques la conservation de certaines données sur une longue durée. De la même manière, que ce soit suite à l’échéance de leurs dates de conservation légale, ou par le biais d’une demande d’effacement, la suppression de données personnelles au sujet d’opérations financières et d’individus qui y sont impliqués peut constituer un non-respect des dispositifs LAB et LAT (Lutte Anti-Blanchiment et Lutte Anti-Terroriste).
Des standards, processus ou fonctionnements du secteur bancaire difficilement compatibles avec la réglementation RGPD
C’est le cas de certains outils et systèmes utilisés qui rendent impossible l’effacement de certaines données. Pratique très répandue au sein des établissements financiers depuis déjà quelques décennies, le credit scoring est une méthode d’évaluation des risques-clients qui vise à déterminer, via l’attribution d‘un “fonction score”, la solvabilité et la capacité de remboursement d’un demandeur de prêt via un outil d’analyse se basant sur certains critères.
Il figure parmi les activités de profilage et de prise de décision automatisées via intelligence artificielle fortement encadrées par le RGPD. Pour être autorisé, il nécessite désormais la mise en place de certaines mesures : expliquer le profilage au demandeur, obtenir son consentement RGPD, Règlement Général sur la Protection des Données Personnelles, et lui donner la possibilité de réviser certaines décisions automatisées avec une personne humaine.
La digitalisation et l’utilisation des données personnelles ont abouti à une amélioration de la connaissance client et de l’expérience client. Une expérience client qui a cependant paradoxalement eu tendance à se complexifier et à s’étendre suite à la mise en application de l’ensemble des textes réglementaires : collecte de données dans une optique de sécurité, recueil des consentements, les réglementations RGPD, et obligations de fournir une certaine quantité d’informations… Les banques doivent donc se repenser afin de pallier à ce problème.
Vous souhaitez en savoir plus sur Fair&Smart et nos solutions de gestion de données personnelles, cliquez sur le bouton ci-dessous :
Rejoignez-vous sur les réseaux sociaux :
