Embed Size (px)
Citation preview
La data, un défi majeurpour les banquesLes banques vont devoir repenser de manière plus globale leur approche de la donnéeafin de répondre aux exigences du nouveau règlement GDPR - General Data ProtectionRégulation - sur la protection des données personnelles adopté le 14 avril. Parallèlementà cette évolution, l'Autorité bancaire européenne (European Banking Authority - EBA)se penche sur l'utilisation des données personnelles par les institutions financières.Preuve que la donnée reste l'un des enjeux de l'évolution du monde financier.
Tous droits de reproduction réservés
PAYS : France PAGE(S) : 22,23,24,25SURFACE : 275 %PERIODICITE : Mensuel
DIFFUSION : (4000)JOURNALISTE : Jo Cohen Et Andr…
1 juin 2016 - N°112
Tous droits de reproduction réservés
PAYS : France PAGE(S) : 22,23,24,25SURFACE : 275 %PERIODICITE : Mensuel
DIFFUSION : (4000)JOURNALISTE : Jo Cohen Et Andr…
1 juin 2016 - N°112
•
Attendu de très longue date, le règlementeuropéen sur la protection des données àcaractère personnel - alias General Data
Protection Régulation (GDPR) - a été publié le 4mai dernier au Journal Officiel de l'Union Euro-péenne. Il faisait suite au vote du Parlement Euro-péen intervenu le 14 avril. « Le vote du GDPR est,de loin, le fait le plus marquant de ce siècle concer-nant la régulation sur la protection des données.Ce nouveau règlement devra être appliqué d'ici à2018. Les entreprises doivent se préparer dès à pré-sent, sinon elles risquent d'en payer le prix », ex-plique Michael Hack, Senior VP EMEA des Ope-rations chez l'éditeur Ipswitch, spécialisé dans letransfert de fichiers sécurisé. Les banques sont lespremières concernées puisqu'elles traitent des mil-liards d'enregistrements et de transactions de leursclients chaque année. GDPR représente pour ellesun défi majeur, y compris pour les établissementsspécialisés sur les marchés de capitaux qui traitentgénéralement avec des institutions.
La France a anticipé l'échéance du 25 mai 2018en intégrant certaines exigences de ce règlementsur la protection des données personnelles dansle projet de République Numérique. Voté par l'As-semblée Nationale le 26 janvier dernier, il renforceen outre les pouvoirs de la Cnil. Sur le papier, lecoup d'envoi après une gestation qui aura duré unpeu plus de six années laisse deux ans aux entre-prises pour se mettre en conformité avec les exi-gences du nouveau règlement. Il prend ainsi la re-lève de la directive 95/46/CE, obsolète compte tenudes évolutions technologiques intervenues depuisla fin des années 90. Avec ce nouveau règlement, lelégislateur a cherché à rassurer les citoyens sur l'uti-lisation et la protection de leurs données person-nelles comme en témoignent les différents articlesdu texte. Toute entreprise devra être en mesure deprouver en permanence qu'elle est en conformitéavec les dispositions de ce règlement qui préco-nise, entre autres recommandations, de tokeniser
les données afin de les rendre inexploitables en casde vol. Ce règlement concerne au premier chef lesentreprises qui s'engagent dans l'ère digitale, no-tamment les banques. Selon une enquête réaliséeauprès de DSI au Cebit de Hanovre par Varonis,éditeur spécialisé dans la gouvernance et la protec-tion des données, seulement un tiers des banqueseuropéennes auraient déjà un plan de marche pourassurer leur conformité à GDPR. Les deux tiersrestants ne sauraient par quel bout prendre le pro-blème. L'impréparation est donc notoire.
GESTION DU RISQUEComme aux Etats-Unis, tout vol de données per-sonnelles devra être notifié sous 72 heures à la Cnilainsi qu'aux propriétaires des données. A ce sujet,l'enquête Varonis montre que plus de la moitié desDSI interrogés au Cebit estiment que leur banquene pourra jamais tenir un tel délai. Précisons quele règlement prévoit des exceptions à cette com-munication, notamment si le responsable de lasécurité a mis en œuvre des mesures de protec-tion techniques et organisationnelles telles que lechiffrement ou encore s'il a pris des mesures ul-térieures garantissant que le risque d'atteinte auxdroits et libertés des personnes concernées n'estplus susceptible de se matérialiser. Autre cas consi-déré comme une exception : celui où la communi-cation exigerait des efforts disproportionnés, unecommunication publique de type « communiquéde presse » suffirait alors. Les sanctions financièresencourues en cas de manquement sont lourdes etdissuasives : elles seront de 20 M€ ou de 4 % de toutle chiffre d'affaires annuel de l'entreprise. Au plantechnique, en cas de vol de données avéré, la chargede la preuve incomberait alors au responsable destraitements. Celui-ci devra tenir à jour une ré-glementation et pratiquer des analyses d'impact.Autre point essentiel, le droit à l'accès et à l'oubli,bafoués en permanence par bien des entreprises,est expressément mentionné dans le nouveau rè-glement. Certaines banques avaient fait remarquerque ces deux exigences mettraient en péril la dé-tection de fraudes et la lutte contre le terrorisme encontrecarrant les transferts mondiaux de données.
Même si l'échéance n'est prévue qu'en 2018, lechantier de la conformité GDPR doit être immé-diatement mis en place avec un exercice de ges-tion du risque capable d'identifier et d'évaluerles risques pesant sur les processus et les donnéesclés. Le résultat de cet exercice mettra en avantles priorités à prendre en compte. Il devra portersur l'ensemble de la banque et des technologiesdéployées. Se mettre en conformité représente uncoût, mais ne pas l'être pourra coûter encore pluscher. « Comparé aux pénalités dont l'entreprisepeut écoper, ce coût reste minime », estime Mi-chael Hack. Les banques qui manipulent plus de5 000 enregistrements de données ou emploientplus de 250 personnes, ce qui est le cas de la plu-part des banques, devront également nommer unDPO - Data Protection Officer - profil doté à la fois
Tous droits de reproduction réservés
PAYS : France PAGE(S) : 22,23,24,25SURFACE : 275 %PERIODICITE : Mensuel
DIFFUSION : (4000)JOURNALISTE : Jo Cohen Et Andr…
1 juin 2016 - N°112
de compétences juridiques et informatiques. A cesujet, l'Association Française des Correspondantsà la Protection des Données à Caractère Personnelsouhaite que le statut actuel de Correspondant In-formatique et Libertés, institué par la loi du 6 août2004, évolue moyennant une formation en celui deDPO. Sa mission ? Garder les données gérées parl'entreprise en sécurité, et s'assurer que cette der-nière respecte la conformité.
COMPLEXIFICATION DE LACOLLECTE DES DONNÉES
Le nouveau règlement va modifier de fond encomble la façon dont les banques abordent laquestion des données de leurs clients. Avant toutechose, les banques devront obtenir un consente-ment de leurs clients avant tout traitement, trans-fert ou même digitalisation de leurs données. Ceconsentement doit être explicite et non implicitecomme c'est le cas à présent. La collecte de donnéesrisque de devenir d'autant plus complexe qu'enplus de GDPR, les banques devront répondre auxnombreuses questions de règlements tels KYC,Emir, MIFID 2, Fatca, etc. Or, le client détestequ'on lui demande à plusieurs reprises les mêmesdonnées. Les éditeurs de solutions de ComplétéLifecycle Management vont trouver un sérieuxallié avec GDPR. Reste que les banques devrontévaluer au préalable et avec exactitude la portéeréelle et les implications de ce nouveau règlementqui vient alourdir une pression réglementairedéjà forte. Les données personnelles ne manquentpas dans la banque : identité, IBAN, numéros decomptes, de cartes bancaires, données de transac-tions, etc. Beaucoup de consultants affirment quela plupart des banques n'ont pas d'idée précise surleur base réelle de leur clientèle : les informationsse trouvent éparpillées sur des bases de donnéesgérées sur des mainframes, des serveurs Unix, destableurs et sans oublier des applications sur PC. Lavue unique du client 360° dont les départementsmarketing se sont gargarisés un temps trouve ici salimite. Certaines banques auraient même des basesde données manuelles. En effet, l'enrôlement d'unnouveau client reste pour bien des banques un pro-cessus manuel lourd, consommateur de temps etsouvent incomplet.
Ajoutons à cela qu'il existe selon l'étude Data-berg de Veritas Technologies, spécialiste mondialde la gestion de l'information, une culture de l'ac-cumulation des données dans le secteur européendes banques et des services financiers, 78 % desinformations stockées étant soit inconnues, soitinutiles. Seules 22 % des données seraient consi-dérées par cette étude comme stratégiques. Ré-sultat ? Ces données présentent un risque sérieuxde non-conformité dans un contexte de régle-mentation changeante, car elles peuvent conteniraussi bien des informations commerciales de va-leur que des informations non conformes, tellesque des données personnelles sur les clients et lesemployés. Les données personnelles n'ont jamais
autant encombré les réseaux des banques estimeencore Veritas Technologies, ce qui présente desérieux risques et exclut tout « déni plausible » encas d'enquête réglementaire ou criminelle. Dansce contexte, protéger la donnée où quelle soit stoc-kée, traitée ou envoyée n'aura rien d'une sinécure, àmoins de modifier en profondeur la façon dont lesbanques collectent et gèrent leurs données clients,ce qui va nécessiter de nouvelles règles et de nou-veaux processus métier. Les banques qui aurontfranchi cette transformation majeure avec succèsseront mieux placées pour tirer parti de l'écono-mie numérique. GDPR devrait inciter les banquesà lancer de nombreux projets de transformationde leur approche de la donnée en faveur d'unevision plus holistique. L'impact de GDPR sur lesbanques sera donc énorme ainsi que l'affirmentplusieurs experts. Face à un tel enjeu, les grandesbanques de détail bénéficient de leur expérienceen matière de conformité à la norme PCI DSS re-lative aux données concernant les cartes bancairesde leurs clients. Ces données sont également pro-tégées lorsqu'elles transitent chez des prestatairesde services de paiement. A cet effet, signalons queMonext, filiale du Crédit Mutuel Arkéa, proposedès à présent la tokenisation des données de paie-ments, ainsi que de toutes les données personnellesdes établissements qui font appel à ses services. Leprestataire propose une méthodologie, des outilset des services de tokenisation certifiés PCI-DSS.« GDPR instaure une nouvelle approche de la pro-tection des données ainsi que de nouvelles règles...dans une économie numérique qui attire de nou-velles formes de cybercriminalité, et qui exige deconquérir et de conserver la confiance des clientset prospects » estime Thierry Le Forban, ProductManager chez Monext. En un mot, les banquessont conscientes que c'est à ce prix quelles pour-ront renforcer la confiance de leurs clients avec uneprotection sans faille de leurs données sensibles.
JO COHEN ET ANDRÉA TOUCINHO
L'EBA se penche sur l'utilisationdes donnees clients par lesinstitutions financièresL'Autorité bancaire européenne (European Banking Authority -EBA) a publié le 4 mai 2016 un discussion paper sur l'utilisation,par les institutions financières, des données clients. Le documentidentifie les risques et les bénéfices de cet usage. Parmi lesavantages identifiés figurent la réduction des coûts et l'améliorationde la qualité des produits. En termes de risques, l'EBA pointenotamment les asymétries en termes d'information, la mauvaiseutilisation des données ou encore les possibles failles sécuritaires.Mais ce n'est pas tout. L'EBA identifie également des risquespour les entités financières tels que des risques en termes deréputation, ou encore des distorsions en termes de concurrence. Ledocument est ouvert à des commentaires jusqu'au 4 août 2016.
Tous droits de reproduction réservés
PAYS : France PAGE(S) : 22,23,24,25SURFACE : 275 %PERIODICITE : Mensuel
DIFFUSION : (4000)JOURNALISTE : Jo Cohen Et Andr…
1 juin 2016 - N°112
