Digitalisation & RGPD

Digitalisation bancaire et RGPD : être conforme sans s’aliéner la relation client

La gestion des données personnelles, entre sécurisation et valorisation de ce nouvel actif.

Le règlement général sur la protection des données personnelles entre en application en mai 2018. Il renforce les droits des personnes physiques, pose de nouvelles obligations pour les entreprises et oblige à repenser les dispositifs de conformité. Au lieu de la logique de contrôle et d’autorisation préalable aux traitements qui prévalaient, le RGPD promeut une approche fondée sur les risques ainsi qu’une responsabilisation accrue des organisations qui va de pair avec un alourdissement des sanctions possibles.

Les entreprises devront notamment s’assurer que les traitements de données personnelles puissent garantir dès leur conception (« privacy by design »), puis à chaque utilisation, le plus haut niveau possible de protection (« privacy by default »).

La libre circulation est l’une des conditions du développement de l’économie numérique.

Le RGPD ordonnance les relations entre deux libertés antinomiques au premier abord. D’un côté, il s’agit d’offrir un cadre à la libre circulation des données personnelles. Ces données ne sont pas seulement des actifs que l’accroissement des capacités de calcul, de stockage et de nouveaux types d’algorithmes permettent de mieux exploiter : ce sont aussi des actifs qui s’inscrivent dans un cycle de marchandisation. Cette libre circulation est l’une des conditions du développement de l’économie numérique.

De l’autre, il s’agit de préserver les libertés individuelles et publiques. Sur ce sujet, le droit est remarquablement constant. Dès 1978, la loi Informatique et Libertés disposait que l’informatique ne devait pas porter atteinte à l’identité humaine ni aux droits de l’homme. Cette idée fut reprise dans les lignes directrices de l’OCDE (1981), inspira le Conseil de l’Europe (Convention de 1982) puis la Commission européenne (directive de 1995). Enfin, la protection des données personnelles a été sanctuarisée par son inscription dans les droits fondamentaux des citoyens de l’Union (conseil européen de Nice, Traité de Lisbonne). Alignées
sur cette tendance et parfois à rebours de l’intérêt des entreprises, les jurisprudences de la CJCE et du Conseil d’Etat se rejoignent aujourd’hui dans des approches favorables au droit des individus (cf. les récents arrêts Digital Rights Ireland sur la conservation des données et Decaux sur leur anonymisation).

Avec la digitalisation, la protection des données personnelles est devenue un paramètre plus important qu’il ne l’était pour le développement des entreprises. Ceci est particulièrement vrai dans le secteur de la banque-assurance, où un aggionarmento trop tardif de la vision des exécutifs sur les enjeux du RGPD pourrait se révéler dommageable.

Les banques-assureurs ont des atouts pour déployer le RGPD, dans une logique de transversalité avec d’autres chantiers comme la data gouvernance et la protection contre la cybercriminalité.

Les banques-assureurs sont naturellement collecteurs et utilisateurs de données personnelles. Ils font partie des entreprises qui étaient déjà les plus impactées par la directive de 1995 et figurent aujourd’hui parmi celles qui sont le plus concernées par le RGPD.

Les entreprises du secteur financier disposent d’atouts pour se mettre en conformité avec le nouveau règlement. Conséquence du tsunami réglementaire, elles ont dû développer un savoir-faire en matière d’implémentation de grands projets réglementaires. Elles sont également en capacité de mobiliser des moyens parfois significatifs. En outre, le RGPD recycle un certain nombre de dispositions issues des précédents textes sur la protection des données personnelles et vis-à-vis desquelles les établissements étaient déjà conformes.

Le RGPD entretient des liens étroits avec d’autres grands chantiers sur lesquels les établissements ont déjà dû se pencher, comme la gouvernance de la donnée, la cybercriminalité et le déploiement de dispositifs de contrôle interne efficients sur les prestataires essentiels. A cet égard, l’un des enjeux de la mise en conformité avec le RGPD est de s’inscrire dans une logique de transversalité :

• Le RGPD est un paramètre réglementaire de plus à coordonner avec la nécessité de s’adapter à l’augmentation tendancielle du volume des données et de permettre leurs traitements tout en maîtrisant les coûts (« big data »). Il s’agit aussi de  répondre à l’inflation des demandes et exigences de fiabilité notamment en matière de reportings réglementaires. Répondre à ces enjeux passe notamment par la mise en place d’une solide gouvernance de la donnée.

• Le RGPD s’applique aux sous-traitants et impose une forme de contrôle sur ces derniers. Mais cette contrainte s’inscrit dans la continuité de dispositions déjà présentes dans d’autres textes, dont pour les banques la CRD IV et les recommandations du Comité de Bâle. Sauf exception, il serait à nouveau peu opportun de dupliquer ou fractionner les processus de contrôle existants ou en développement sur les prestataires extérieurs.

• Le RGPD oblige à déclarer les piratages de données personnelles. Mais la lutte contre la cybercriminalité figurait déjà dans la directive de 1995 et les banque-assureurs n’ont pas attendu pour travailler sur ce sujet. D’ailleurs, sur un plan IT il n’y a pas de différence entre une donnée personnelle ou une donnée de risque. Là encore, l’enjeu est d’adapter et d’améliorer les dispositifs existants, toujours dans une logique de transversalité.

• Le RGPD requiert de respecter les décisions d’adéquation de la Commission ainsi que la mise en place de « binding corporate rules » en cas de transfert de données intra-groupe hors de l’Union. Ces questions ne peuvent être isolées des décisions et processus d’offshoring. Le RGPD doit aussi être considéré en lien avec le droit des pays non membres de l’Union, sans compter qu’en France même plusieurs textes connexes sont à prendre en compte (loi pour une République numérique de 2016, ordonnances transposant la directive de 2009 sur la vie privée et les communication téléphoniques).

Au final, le RGPD appelle à une implication effective en mode projet comme en production des DSI et des directions risques, juridique et commerciale, avec une gouvernance qui aide à dépasser les logiques de territoire et ne se limite pas à la simple nomination d’un DPO.

Les stratégies de digitalisation rencontrent le RGDP sur leur chemin.

La digitalisation permet d’accompagner les clients dans l’évolution des modes de consommation. Pour la banque-assurance, c’est également un facteur de différenciation par les services, alors que les contraintes prudentielles rendent difficiles la différenciation par les produits.

Certains domaines pouvant bénéficier des apports de la digitalisation sont exclus de la RGDP (sujets répondant à une obligation légale comme les diligences en matière de connaissance des clients ou traitements qui ne mobilisent pas de données personnelles). Mais dans la plupart des cas, les stratégies de digitalisation bancaire ont vocation à rencontrer le RGDP sur leur chemin, ce qui nécessite une correcte information des dirigeants effectifs. En effet, il n’est pas possible de faire tout ce que la technologie peut promettre car le RGPD oppose des contraintes aux solutions techniques possibles. En outre, il convient d’être en veille active sur les prochaines évolutions du droit.

• L’intelligence artificielle offre de nombreux usages possibles, avec cette limite que des décisions automatisées ne doivent pas emporter à elles seules des conséquences juridiques sur les individus. Par ailleurs, avec le « deep learning », les réseaux neuronaux ne permettent pas d’expliquer en sortie la raison du choix opéré par la machine, alors qu’il pèse une obligation de transparence sur le fonctionnement des algorithmes. Si des recherches visent à contourner ces limites (par exemple au Data Transparency Lab du MIT), le recours à l’intelligence artificielle pose d’importantes questions en matière d’autonomie, de délégation et de responsabilité de l’individu. Ces questions font l’objet de débats au niveau des autorités nationales de protection des données personnelles et devraient déboucher sur de nouvelles propositions d’encadrement par les pouvoirs publics.

• La transposition de la DSP2 va accélérer le développement de l’ « open banking » sur les activités de paiements. La tendance actuelle est précisément au développement de modèles d’offres de services ouvertes et modulables permettant de séparer les activités de production et de distribution. Pour autant, dans le cadre du recours à l’open banking, des solutions appropriées doivent être adoptées pour concilier l’utilisation des interfaces API (permettant les échanges de données entre applications tierces) avec les obligations de recensement des traitements et de gestion du consentement posées par le RGPD.

• Les RGPD ne s’appliquent pas aux informations anonymisées. Mais l’anonymisation (qui est à distinguer de la pseudonymation) doit être irréversible. Outre la difficulté pratique, l’enjeu est de pouvoir garantir qu’aucun algorithme ne permettra de remonter à la personne d’origine et, plus prosaïquement, de s’assurer de la maîtrise des risques opérationnels (par exemple dans le cas d’un fichier non anonymisé qui serait conservé par erreur). Le RGPD demande aussi d’informer la personne concernée qu’elle n’est plus identifiable. Cette exigence paradoxale devra vraisemblablement être mieux précisée par la jurisprudence.

L’enjeu pour les banques-assureurs est de réussir la mise en conformité sans s’aliéner la relation client ni les capacités de développement découlant de la digitalisation.

Certains acteurs de l’économie numérique investissent le marché de la banque-assurance, forts de leurs compétences technologiques et d’un nombre important d’utilisateurs. A l’inverse, les GAFA ne cherchent pas à créer des établissements financiers. Sans avoir à supporter de charge en capital, ils mettent à profit la dissociation entre production et distribution, jouent un rôle d’agrégateur de services financiers, collectent de manière expansionniste des données personnelles, les traitent pour leur conférer du sens, c’est-à-dire de la valeur, puis les monétisent.

Sur ce point, la menace ne vient pas forcément de ceux qui vous copient. Ainsi, ce qui se joue autour de la donnée personnelle et en périphérie du RGPD, c’est un déplacement possible du centre de gravité en matière de relation client.

Le secteur financier pris dans son ensemble a des caractéristiques propres qui font que la protection des données y est un sujet naturellement sensible. Le commerce de l’argent repose sur la confiance et une garantie de sécurité : les banques opèrent dans le respect de la notion de secret bancaire, notion à géométrie variable, certes aujourd’hui amoindrie par la transparence fiscale mais néanmoins toujours existante. Or, le RGPD oblige les établissements à se positionner clairement sur le degré de protection des données personnelles collectées et sur l’usage qui en est fait.

La question du modèle d’entreprise autour de la protection de la donnée est donc centrale. Pour 95% des Français, la protection des données est un sujet important (IPSOS juin 2017). Un établissement peut protéger les données personnelles des clients comme elle sécuriserait des avoirs dans une salle des coffres (à l’instar d’un modèle de banque privée opérant dans un pays à secret bancaire fort) ou, à l’autre extrémité, promouvoir la création de valeur via la monétisation de ces données. A ceci correspondent des positionnements différents en matière d’image, de confiance et de sécurité.

Au final, le RGPD n’oppose pas digitalisation et mise en conformité.

Fruit d’un intense travail de lobbying, le règlement présente par exemple en matière d’« opt-in » deux exemptions qui sont le recours à l’intérêt légitime du traitement et le traitement nécessaire à l’exécution du contrat. Elles permettent notamment de ne pas inutilement alourdir l’expérience utilisateur. Mais faut-il y recourir ? Des éléments de réponse existent du côté de la jurisprudence. On peut se référer en France (mais uniquement dans le cadre de la loi Informatique et Libertés) aux décisions de la CNIL sur Google (2014) et Facebook (2015). Sous l’empire de la directive de 1995, les conditions du recours à l’intérêt légitime ont également été précisées en 2014 par le groupe de travail « Article 29 ». Mais au regard des risques d’image, de l’incertitude juridique et de la réglementation prudentielle, la décision d’utiliser ces exemptions devrait tenir compte de l’appétit aux risques des dirigeants effectifs.