TELECOM PARIS ALUMNI
Retour aux actualités
Article suivant Article précédent

Revue TELECOM 185 - Le renforcement de la protection des données personnelles des clients, quels enjeux et impacts pour BNP Paribas

Articles Revue TELECOM

-

15/06/2017

LE RENFORCEMENT DE LA

PROTECTION DES DONNEES

PERSONNELLES DES

CLIENTS, QUELS ENJEUX ET

IMPACTS POUR BNP

PARIBAS

 

Par Hélène Bianconi (1992) et Laurence Chamayou dans la revue TELECOM n° 185

 

Depuis déjà plusieurs années, les sociétés de consulting et les divers spécialistes 
annonceurs de tendances mettent en avant le nouveau « graal » pour les entreprises autour de la collecte et de l’analyse des données des clients ou des prospects : grâce aux nouvelles technologies Big Data qui permettent de brasser des volumes énormes de données brutes, captées au travers de multiples sources, les entreprises pourront mieux cerner les comportements et besoins de leur clients et ainsi proposer des services toujours plus personnalisés. Mais plus récemment, et suite à certaines affaires médiatisées et largement relayées auprès du grand public, est apparue une nouvelle sensibilité des individus à la connaissance, la maîtrise et l’usage de leur données qui en est fait par les entreprises.

 

Avec la loi de n°78-17 du 6 janvier 1978 modifiée, plus connue sous le nom de « Loi informatique et Liberté », la France disposait d’un dispositif relativement protecteur pour le citoyen français quant à l’usage de ses données personnelles. Mais avec l’avènement des GAFA et la banalisation des services digitaux ne connaissant pas de frontières, il était temps qu’un dispositif unifié et extra-territorial viennent renforcer le droit des personnes à mieux contrôler leurs données personnelles.

Avec l’entrée en vigueur, le 25 mai 2018, du Nouveau Règlement Général sur la Protection des Données Personnelles (General Data Protection Regulation – GDPR), voté par l’Union Européenne, c’est chose faite ! En complément de ce dispositif à venir, la France, au travers de la loi « Lemaire » a anticipé sur le GDPR et ajouté des droits supplémentaires (décret du 31/10/2016).

Pour les activités de banque de détail chez BNP Paribas, la protection des données clients est une priorité d’une part parce qu’elle répond aux obligations réglementaires que sont le secret bancaire (code monétaire et financier) et la Loi Informatique et Liberté (contrôlée par la CNIL), d’autre part parce que la confiance accordée par la clientèle dans la gestion de ses comptes est au centre de nos préoccupations. Enfin, n’oublions pas que le GDPR augmente très sensiblement les sanctions potentielles en cas de non-respect de la Directive.

Nous détenons, du fait de notre activité, un très grand nombre de données personnelles : données de paiement, mouvements sur les comptes, assurances, patrimoine, projets de vie….

De par la dimension internationale du groupe, ces données peuvent être localisées dans plusieurs pôles ou filiales. C’est pourquoi BNP Paribas a mis en place un dispositif, piloté à l’échelle du groupe, qui permettra de garantir une mise en application uniforme de ce nouveau règlement Européen dans tous les pôles et filiales."

 

L’organisation et la gouvernance

Une veille active exercée par les équipes juridiques du groupe a permis de sensibiliser les diverses entités du groupe à la signature à venir du Règlement Européen.

Le programme « mise en conformité GDPR » est piloté opérationnellement par le département des grands projets du groupe avec l’appui des fonctions Conformité et Juridique. Chaque entité et pôle de BNP Paribas organise localement son projet et assure un reporting vers l’équipe centrale.

En ce qui concerne la direction de la Banque de Détail en France (BDDF), la gouvernance autour des données personnelles a été renforcée début 2015 et le programme « GDPR » lancé en 2016 sous le sponsoring du « Chef Data Officer » (CDO), membre du COMEX de BDDF.

L’équipe projet BDDF est pluridisciplinaire afin de capitaliser sur les diverses compétences indispensables à la déclinaison du GDPR. Elle est constituée de l’équipe data management du CDO en charge de l’appui des différentes lignes métiers de la banque sur la thématique des données, d’un juriste spécialisé sur la Protection des données personnelles, du correspondant « data » de la direction informatique, d’un spécialiste de la sécurité informatique et de membres de l’équipe Conformité, spécialistes du sujet de Protection des données personnelles.

Suite aux ateliers menés au niveau du groupe BNP Paribas, des guides pratiques explicitant les obligations du GDPR ainsi que les positions juridiques prises par le groupe sont progressivement publiés sur chaque grande thématique identifiée afin que les diverses directions et filiales puissent assurer la mise en conformité opérationnelle du GDPR propre à leurs activités.

Le premier travail effectué par l’équipe projet GDPR de BDDF est de réaliser l’analyse des écarts entre les pratiques actuelles liées à l’application de la loi Informatique et Libertés et les nouveautés (ou le renforcement de certaines obligations) apportées par le GDPR. Cette analyse permet d’identifier et de planifier les projets à lancer tant du point de vue technique (impacts sur les Systèmes d’informations), juridique (révision des contrats et conventions) et organisationnel (nouvelles procédures, dispositifs à renforcer) ainsi que de préparer le plan de formation et de sensibilisation des collaborateurs.

A ce jour, cette analyse est bien avancée et a permis d’évaluer les impacts majeurs pour la banque et sa clientèle repris dans le chapitre suivant.

L’équipe projet procède maintenant au découpage en projets Informatiques et/ou organisationnels, à l’estimation budgétaire et à la planification des chantiers en vue de valider la trajectoire du programme.

 

Qu’est-ce qui va changer pour nos clients et pour la banque ?

Dans la suite de cet article, seuls les impacts majeurs et les dispositifs envisagés pour la direction de la Banque de Détail en France sont détaillés.

Par rapport à la loi « Informatique et Libertés », le GDPR renforce les droits des personnes en matière de protection de leurs données personnelles ainsi que les obligations des « responsables de traitement » qui collectent et manipulent ces mêmes données. Par ailleurs, le GDPR (et la loi Lemaire pour la France) introduit de nouveaux droits et modifie profondément la philosophie en matière de contrôles et de preuves.

 

Responsabilité

Les entreprises devront être en mesure de faire la preuve du respect de la Directive, ce qui signifie que tous les processus impliquant le traitement des données personnelles devront être bien documentés, entre autres en cas d’implication de tiers et de transfert de données à caractère personnel. En effet, le GDPR introduit le concept de « co-responsabilité » entre responsables de traitements. En conséquence, les contrats avec nos sous-traitants et avec nos partenaires font l’objet d’une révision pour préciser plus avant les clauses relatives à la Protection des données personnelles et s’assurer du respect effectif de leurs obligations : respect de la confidentialité, mesures de sécurité technique déployées, durée de conservation et procédures d’effacement des données, prise en compte de modalités contractuelles spécifiques pour les transferts hors EU etc…

Il sera aussi nécessaire de faire évoluer et de renforcer les contrôles en interne et chez nos sous-traitants et partenaires pour évaluer l’efficacité des politiques/procédures/processus de protection des données mises en place par BNP Paribas.

 

Respect de la vie privée dès la conception et par défaut (Privacy by Design)

Des garanties et des paramètres de confidentialité au bénéfice des individus devront être intégrés par défaut dans tous les produits et services du groupe BNP Paribas, et pris en considération dès les premières phases de leur développement et de leur conception.

Ainsi, la méthodologie projet sera adaptée pour s’assurer que les nouvelles obligations sont bien prises en compte.

Le dispositif actuel de revue des projets sous l’angle « Protection des données personnelles » est à renforcer pour intégrer les nouvelles obligations du GDPR.

Par ailleurs, une évaluation des risques en termes d’impact sur la vie privée (Privacy Impact Assessments) devra être menée par les métiers et validée par la conformité avant tout traitement de données à caractère privé susceptible d’entraîner des « risques élevés pour les droits et libertés des personnes ». En conséquence, la documentation associée à chaque projet devra être enrichie afin d’assurer la traçabilité de cette démarche et pourra être produite à la CNIL en cas de contrôle.

En effet, le GDPR supprime les obligations actuelles de déclaration des traitements auprès de la CNIL mais les entreprises devront être en capacité d’apporter la preuve de la mise en application de la réglementation (principe d’accountability) en cas de contrôle. A cet effet, BNP Paribas réfléchit à l’opportunité de mettre en place un outil pour faciliter l’accès aux divers documents d’analyse produits lors de l’examen des projets sur les aspects Protection données personnelles.

 

Renforcement des conditions de consentement individuel

Actuellement, le consentement des clients relatif à l’utilisation de leurs données personnelles est essentiellement appliqué dans le cadre de la sollicitation commerciale auprès des clients et prospects, et lors de la signature des contrats et conventions.

Avec le GDPR, la notion de « consentement tacite » devrait disparaître.

BNP Paribas souhaite offrir plus de transparence vis-à-vis de l’utilisation des données personnelles de ses clients et proposer un recueil du consentement client sur ses sites internet en lien avec les finalités des traitements qui exploiteront ces informations.

D’une façon générale, les traitements de profilage et d’analyse de données seront davantage soumis à restriction avec le GDPR et certains types de profilages pourront exiger le consentement préalable des personnes concernées.

Le client pourra aussi retirer son consentement à tout moment, comme le prévoit le GDPR.

Ce dispositif de réversibilité du consentement nécessite des évolutions majeures dans les systèmes d’information de la banque afin de conditionner certains traitements bancaires à l’accord du client.

 

Droit d’accès et Droit d’effacement

La GDPR étend les conditions permettant à un individu de demander l’effacement de ses données personnelles. Par ailleurs, la loi Lemaire introduit le « droit à l’oubli » pour les mineurs.

Il est donc prévisible de voir augmenter le nombre des demandes client relatives au droit d’accès (pré requis à la demande d’effacement) puis aux demandes d’effacement.

Au-delà de la nécessaire adaptation de la procédure actuelle de droit d’accès et d’effacement pour tenir compte des nouveaux cas prévus par la loi, ce processus devra gagner en fluidité pour permettre de traiter efficacement le volume de demandes et répondre aux nouveaux délais de traitement impartis par la loi. Cela passera probablement par une automatisation partielle du dispositif et un renforcement des équipes.

Par ailleurs, une attention particulière est portée sur tous les projets depuis 2015 sur les durées de conservation des données ou des documents afin de s’assurer que ces durées sont licites et justifiées auprès de la CNIL.

 

Conclusion

Pour BNP Paribas, la mise en œuvre du GDPR est un enjeu réglementaire mais aussi un enjeu commercial fort.

En effet, plus de transparence vis à vis des clients peut aussi devenir pour ces derniers une source d’inquiétude.

Pour certains, elle peut être le vecteur d’une prise de conscience quand au nombre d’informations dont dispose la banque sur leur situation et la façon dont elles sont stockées et traitées.

Cela ne manquera pas de susciter de nombreuses interrogations, tant sur la nature même des informations conservées que sur d’éventuels échanges de données avec des filiales du groupe ou des prestataires pour proposer des services type assurance ou crédits mieux adaptés aux attentes des clients.

A ce titre, le programme GDPR chez BNP Paribas implique fortement les lignes de métier commerciales pour déterminer avec eux la bonne approche pédagogique vis à vis des clients, faire évoluer les pratiques et leur permettre de développer les ventes en utilisant les DATA, dans le respect du GDPR, pour améliorer les offres et services proposés aux clients.

 

 Les auteurs

 

Hélène Bianconi (1992) est spécialiste en management des systèmes d’information bancaires et des grands projets transverses. Ses missions dans le domaine bancaire l’ont largement confrontée au domaine de la Protection des données.

 https://www.linkedin.com/in/helenebianconi/

 

Diplômée de l’ESE (Supelec, 89), Laurence Chamayou a occupé plusieurs fonctions à responsabilité dans les systèmes d’information bancaires avant de  rejoindre la fonction Conformité chez BNP Paribas. Elle est en charge de la   Protection  des Données Personnelles pour la Banque de Détail en France et à ce   titre participe à  la mise en place du GDPR.

 linkedin.com/in/laurence-chamayou-3a221821

418 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Revue TELECOM 194 - Editorial Laura Peytavin et Yves Poilane

User profile picture

Rédaction Revue TELECOM

13 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Bye Bye Barrault

User profile picture

Rédaction Revue TELECOM

12 novembre

Articles Revue TELECOM

Revue TELECOM 194 - Technologies et accès au système de santé Conférence ParisTalks du 4 juin 2019 par Alain Tassy (1982), Co-président de Télécom ParisTech santé

User profile picture

Rédaction Revue TELECOM

12 novembre