Le Règlement Général sur la Protection des Données “RGPD”, réglementation et enjeux dans les banques et assurances
De la mise en conformité a la mise en œuvre opérationnelle, des challenges et des opportunités autour de la donnée clients. Un enjeu durable et à forte valeur commerciale bien au-delà de l’aspect règlementaire.
Préambule
L’objectif de cet article, au-delà de vous retracer la genèse de cette réglementation sur la protection de la donnée, est de mettre en évidence deux grandes tendances associées. D’une part, son impact sur le patrimoine applicatif des grands acteurs qui, encore aujourd’hui, tentent d’intégrer la contrainte de gestion de la donnée au niveau de l’architecture des systèmes d’information. D’autre part, sa transformation en véritable opportunité au niveau commercial, ou comment exploiter au mieux la masse d’informations client dont les entreprises disposent.
Sans confiance du consommateur, pas de données confiées, et désavantage conséquent dans l’exploitation de leads commerciaux
La première conséquence de ce règlement est la mise en œuvre de chantiers importants au sein des organisations afin de mettre en conformité leurs systèmes de gestion de la donnée, chantiers qui sont pour la plupart encore en train de s’écouler. En effet, les organismes, dans la mise en œuvre de cette réglementation au niveau pratique, peuvent se voir confrontés à certains écueils. Il est de ce fait nécessaire selon nous de comprendre dans un premier temps les coûts implicites qui y sont associés, mais surtout le bénéfice attendu dans une vision de long terme.
Au-delà de la mise en conformité, comment puis-je en tirer un profit commercial et/ou améliorer mon image ?
Il nous semble également bénéfique d’exposer les points structurants permettant de transformer cette contrainte réglementaire en un atout, participant à la qualité de la relation clientèle et à la confiance que chaque client doit avoir en sa banque, son assureur ou plus généralement son prestataire de service. Enfin, ne sous-estimons pas les impératifs de conduite du changement et le besoin d’une solide gouvernance de la donnée. La valorisation de la donnée est en effet un axe majeur qui découle directement de cette réglementation et qui touche, compte tenu des bouleversements technologiques, toutes les entreprises.
Historique
Depuis la mise en application du Règlement Général sur la Protection des Données le 25 mai 2018, on entend parler de confidentialité, stockage, sécurisation, effacement… mais quels sont les réels enjeux qui se cachent derrière ces termes pour les entreprises visées par cette réglementation qui encadre strictement la gestion des données ?
Récemment, d’importantes pénalités ont été prononcées par la CNIL pour manquement au RGPD. On peut par exemple citer les pénalités de 35 millions € à l’encontre d’AMAZON Europe Core[1] et 100 millions € à l’encontre de GOOGLE[2] pour leurs traitements de données personnelles opérées dans le cadre de leurs activités européennes. Toutefois, ces sanctions ne se limitent pas à des organismes d’envergure mondiale, mais s’appliquent également à tout organisme (quelle que soit sa taille) ou personne physique traitant des données personnelles dans le cadre des activités au sein de l’UE, quelle que soit la domiciliation du siège social. On peut citer de récentes amendes de 3000€ et 6000€ à l’encontre de deux médecins libéraux pour ne pas avoir suffisamment protégé les données personnelles de leurs patients et ne pas avoir notifié une violation de données à la CNIL[3].
La donnée dite « personnelle » peut se définir comme « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement ».
[1] Site officiel CNIL Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE (10/12/20)
[2] Site officiel CNIL Cookies : sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED (10/12/20)
[3] Site officiel CNIL Violations de données de santé : la CNIL sanctionne deux médecins (17/12/20)
De par sa définition, la réglementation couvre ainsi un large spectre d’application.
Cette prise de conscience de la nécessité de protéger les données, plus particulièrement les « données à caractère personnel », s’inscrit dans une tendance qui s’est renforcée au fil du temps, initialement portée par la loi “Informatique et libertés” entrée en vigueur le 6 janvier 1978 qui en constitue le fondement. La création de la Commission nationale de l’informatique et des libertés (CNIL), en charge notamment de veiller à l’application des mesures de protection, achève cette première brique de l’édifice. S’en suit une réforme de cette loi le 6 août 2004 avec comme principaux ajouts un élargissement du domaine des données qualifiées de « personnelles » ainsi qu’un alourdissement des sanctions et un renforcement des droits des personnes. L’évolution du secteur du numérique, avec notamment l’arrivée de nouvelles technologies (Blockchain, IA, …) et plus généralement l’émergence de problématiques de stockage et de confidentialité (cloud, SaaS, …) conduit à un bouleversement des modes de gestion de la donnée. C’est ainsi qu’est adopté le 14 avril 2016 le Règlement Général sur la Protection des Données (RGPD) qui vient compléter la Loi Informatique et Libertés, pour une entrée en vigueur effective fixée au 25 mai 2018 dans tous les pays membres de l’Union Européenne. Cette unification du cadre au niveau européen permet à la fois une simplification des règles, mais également et surtout une meilleure protection des données personnelles qui font l’objet de traitements sur le territoire européen.
Au-delà de la contrainte réglementaire qu’impose le RGPD, elle peut être vue comme une réelle opportunité pour les organismes qui acquièrent une forme de confiance et de reconnaissance, plus particulièrement vis-à-vis de leurs clients. La mise en conformité effective n’est toutefois pas chose facile. En effet, ce qui peut être à priori perçu comme une simple mise à jour des outils informatiques traitant de données personnelles peut se transformer en un chantier titanesque visant la remise en forme de tout le patrimoine applicatif, à laquelle s’ajoute nécessairement un axe dédié à la formation des différents départements impliqués dans les traitements de données personnelles.
Ainsi, comment assurer une mise en conformité effective et durable au RGPD ? Chez ACI partners, nous sommes convaincus qu’une telle transformation ne peut se faire qu’à travers une solide politique de gouvernance de la donnée ainsi qu’une implication de tous les acteurs dans une logique d’accompagnement des transformations, couplée à une composante technologique.
Le RGPD, une contrainte réglementaire qui s’est au départ imposée aux organismes mais qui est en réalité un fort vecteur de confiance et de transparence vis-à-vis des parties prenantes
Lors de son entrée en application le 25 mai 2018, le RGPD s’est imposé comme une contrainte supplémentaire à tous les organismes (ou personnes physiques) traitant de données personnelles dans le cadre de leurs activités. Si certains organismes avaient anticipé en amont, il n’est reste pas moins que certains peuvent aujourd’hui encore rencontrer des difficultés dans la mise en œuvre pratique au sein des processus métiers.
Vous trouverez ci-dessous une synthèse des grands principes à appliquer au sein des organismes visés par la réglementation.
Les personnes concernées par la collecte de données personnelles disposent également de droits, qui ont été renforcés par le régulateur au fil du temps.
On voit que la mise en conformité des organismes est un chantier à part entière qui couvre un large spectre.
Cette mise en conformité au RGPD suppose de ce fait d’adopter une démarche transverse qui puisse couvrir tout le périmètre d’activité, notamment par la nomination d’un Data Protection Officer[1] (DPO) en charge de piloter les sujets relatifs aux données personnelles et à leur traitement dans le cadre de l’activité. Un recensement des traitements de données personnelles est ensuite nécessaire avant de pouvoir évaluer le degré de conformité du dispositif, pour enfin procéder à la remédiation des traitements jugés « non-conformes » – notamment en termes de conservation/suppression des données personnelles. Le volume d’actions à entreprendre peut fortement varier en fonction de la taille et du secteur d’activité de l’organisme. Cette lourdeur administrative peut se traduire par un « retard à l’allumage », qui explique que ce chantier ne soit pas entièrement achevé ou encore en phase de test.
[1] Délégué à la Protection des Données
Au-delà de la contrainte des avantages commerciaux à en tirer
Ce processus de mise en conformité souvent perçu comme une contrainte supplémentaire par les entreprises, n’en est pas moins une réelle opportunité qui accroit de façon significative la confiance et la transparence vis-à-vis des parties prenantes. En effet, la prise de responsabilité à l’égard du traitement des données personnelles (que ce soit celles des salariés, des clients ou des sous-traitants) est un gage de confiance. Un organisme en charge de données personnelles doit assurer une protection continue, en partant de la collecte de ces données jusqu’à leur destruction in fine. Le devoir d’accountability est un principe qui en découle, puisque tout organisme entrant dans le cadre du RGPD doit être en mesure de démontrer le respect des règles relatives à la protection des données par la mise en place de mécanismes et procédures internes. On ne se limite ainsi plus seulement à une protection des données de facto mais à la constitution d’un corpus de documents et référentiels prouvant la conformité effective au RGPD.
Les récents scandales renforcent ce besoin d’instaurer une dynamique positive de protection des données personnelles. On peut ainsi penser à Facebook, qui a enregistré une fuite de données massive, notamment à destination de Cambridge Analytica. Cette affaire qui a valu au réseau social non seulement une amende record de cinq milliards de dollars infligée par la FCC, a surtout fortement détérioré l’image de ce réseau en raison des implication politiques et sociétales qui en ont découlées. C’est aussi le reflet des chaînes invisibles qui relient les organismes gestionnaires de bases massives de données client. L’exploitation illégale des données, outre le caractère intrusif dans la vie privée de chacun (exemple: le piratage de photos d’utilisateurs directement reliées à leur identité), génère un biais concurrentiel. C’est aussi une manne importante de revenus pour les trafiquants et escrocs en tout genre.
Vous l’aurez compris, dépasser la simple mise en conformité au sein des organismes bancaires et assurantiels au RGPD peut être un élément différenciant vis-à-vis des clients, qui constitue une clé face à la forte pression concurrentielle sur de nombreux marchés. L’aspect relatif à la protection du client entre en effet en première ligne dans le cadre de cette démarche. Dans la dynamique de digitalisation de la relation client, il paraît par ailleurs nécessaire de renforcer la confiance de ces derniers dans le traitement de leurs données personnelles afin de pallier la remise en cause profonde des modèles de gestion des données.
Assurer une mise en conformité durable au sein des organismes couplant fort engagement des collaborateurs et technologie de pointe : Un besoin de solide gouvernance
Le processus de mise en conformité comme nous avons pu le voir plus haut est en grande partie rythmé par les recommandations de la CNIL, qui en énonce les premières briques. Nommer un DPO, recenser les traitements de données personnelles, constituer une documentation appropriée en sont les exemples les plus parlants. Toutefois, comment instaurer une démarche de mise en conformité durable qui puisse prendre en compte l’ensemble du périmètre, tout en permettant une réelle appropriation des principes applicables au niveau métier ?
Ce processus implique au préalable de pouvoir classer les « données personnelles » en fonction de leur sensibilité ; condition sine qua none de la mise en œuvre des grands axes de la démarche de mise en conformité définie ensuite. La « donnée » présente en réalité de multiples facettes. En effet, lorsque l’on parle de données biométriques ou génétiques, nous ne sommes forcément pas dans le même registre qu’un numéro de téléphone ou une date de mariage. Il est donc nécessaire de s’appuyer sur un classement des données personnelles en fonction de leur niveau de criticité. On pourra ainsi définir trois grandes catégories de données personnelles : la donnée personnelle « standard » de niveau 1, la donnée personnelle « sensible » de niveau 2, la donnée personnelle « hautement sensible » de niveau 3. Cette catégorisation des données personnelles va ainsi permettre de mesurer les risques de façon graduelle quant à leur traitement dans le cadre de l’activité, et ainsi d’ajuster les méthodes et coûts additionnels liés à leur protection.
Le processus de mise en conformité se décompose en plusieurs grandes phases. Il est nécessaire en premier lieu de veiller à la mise en place d’une instance en charge de piloter le processus au sein de l’organisme, représentée par le DPO et les intervenants annexes. Cette instance aura pour mission première de réaliser une cartographie des traitements de données personnelles recensés, à travers notamment la constitution d’un registre des traitements. A partir de ce référentiel, une priorisation des travaux à mener doit être établie, afin de remédier aux écarts des traitements jugés « non-conformes » i.e. qui n’entrent pas dans les directives du Règlement RGPD, en prenant en compte les risques induits pour l’organisation. Cette instance de pilotage devra en parallèle insuffler une dynamique de changement au sein des départements impactés, notamment par la réalisation de formations ciblées. La remise à jour des procédures internes ainsi que la constitution d’une documentation étant les deux points qui permettront d’ancrer l’organisation dans une réelle démarche de conformité.
Pour assurer cette mise en conformité, il est donc nécessaire de veiller à une implication de l’ensemble de l’organisation, que ce soit au niveau de l’infrastructure informatique que de la politique de gouvernance de la donnée, en passant bien évidemment par l’engagement des collaborateurs qui in fine collectent et utilisent ces données dans le cadre de leur activité quotidienne.
L’initiation d’une démarche de conduite du changement est pour ACI partners une condition sine qua none. En effet, l’accompagnement du projet de mise en conformité depuis le lancement puis de façon continue doit générer une adhésion des collaborateurs à travers une réelle appropriation des nouvelles règles du jeu. La dimension humaine de ce processus est essentielle, autant que la prise en compte de la culture d’entreprise ancrée. L’objectif de cette démarche va être de permettre aux équipes métiers de comprendre, pour s’approprier ensuite les caractéristiques des nouveaux process. On peut par exemple penser à la problématique de conservation des données personnelles, qui impose qu’une donnée collectée ne peut pas être conservée plus que nécessaire, et qui suppose donc un traitement de purge des données (qu’il soit fait manuellement ou de façon automatisée). On pensera surtout à la mauvaise habitude très répandue du traitement de données via Excel extraite des systèmes avec un niveau de contrôle insuffisant. Il est donc nécessaire de mettre en place un plan de formation et/ou de sensibilisation des collaborateurs qui permette de générer une démarche collective et proactive, qui peut par exemple s’exprimer à travers d’un plan de communication au niveau du groupe à l’initiative du Data Protection Officer (DPO). Vous trouverez ci-dessous notre vision sur la combinaison des différents paramètres permettant d’instaurer une réelle dynamique de mise en conformité au sein d’une organisation ; leur articulation étant un des enjeux clés de cette démarche.
Par ailleurs, la prise en compte de la partie technologique dans la mise en conformité des systèmes d’informations est un axe complémentaire. En effet, au-delà de l’implication de l’ensemble de l’organisation, il nous semble nécessaire de veiller à l’automatisation des règles définies par le RGPD, pour une mise en conformité qui soit efficiente et durable à long terme. L’enjeu sera de prendre en compte ce qui existe déjà au sein de l’organisation, pour veiller à une remédiation si nécessaire, mais également de cadrer les futurs projets pour ainsi permettre une conformité effective dès l’initiation du projet. Penser la conformité à l’initiation de nouveaux traitements permet d’éviter une correction des écarts de conformité ensuite – c’est le principe du « Privacy By Design ». Toutefois, bon nombre d’organisations établies sur le marché bien avant l’application du Règlement RGPD ont pris le train en marche, la correction des écarts s’avère de ce fait nécessaire et indispensable mais parfois complexe.
Comme nous avons pu le voir, la démarche de mise en conformité nécessite donc la prise en compte de multiples paramètres afin d’assurer la réussite de sa mise en œuvre pratique au sein des organisations.
Les convictions d’ACI
Même si le RGPD est entrée en vigueur le 25 mai 2018, il n’en reste pas moins un sujet toujours d’actualité. Les bouleversements qui s’opèrent au sein des organisations ainsi que les mutations technologiques sont des facteurs déterminant dans le cadre de cette démarche de mise en conformité.
Au-delà de la mise en conformité technique des systèmes d’informations, il s’avère nécessaire de mettre en œuvre une démarche d’accompagnement du changement au sein des équipes. ACI partners, à travers une gamme d’interventions dans les grands groupes sur les sujets conformité, est là pour faire en sorte que la transformation globale puisse s’opérer, tout en minimisant les coûts et en optimisant les ressources allouées. D’une part, à l’initiation et dans la continuité des projets déjà lancés à travers une solide expertise en la matière ; d’autre part, à l’issue du processus de mise en conformité, avec la réalisation d’un diagnostic d’efficacité complet afin de finaliser les derniers ajustements.
Par ailleurs, le RGPD englobe une problématique plus générale relative à la politique de gouvernance des données.
En effet, il est ici question de la gestion, du stockage ou de l’exploitation de la donnée (incluant les données dites personnelles) dans les organismes. On peut définir la donnée comme une ressource stratégique, au même titre que l’aspect client ou l’aspect financier. Il va donc être nécessaire d’en optimiser l’utilisation mais également le stockage ainsi que la destruction.
ACI partners fait preuve d’une solide expertise dans le domaine de la gestion de la donnée, que ce soit en termes de gouvernance, de démarche qualité ou d’automatisation des processus.
En couplant démarche agile et accompagnement du changement, nous sommes capables d’initier le processus de transformation nécessaire au sein des organisations.
L’aspect technologique découle du point précédent. Que l’on parle de l’utilisation ou du stockage de la donnée, cela implique nécessairement une problématique relative à la technologie utilisée. Avec le développement d’une gamme de technologies de pointe, le choix peut s’avérer cornélien, tant en termes d’optimisation des ressources que de minimisation des coûts. Nous sommes force de proposition dans ce domaine, avec une capitalisation des ressources liées à l’innovation (RPA, IA, Data Science..). L’intelligence artificielle par exemple, qui est souvent évoquée dans les analyses comme un des éléments clés de valorisation de la donnée, fait partie de ce travail de recherche ; un article sur le sujet IA est par ailleurs disponible sur notre site internet.[i]
Vous l’aurez compris, si la réglementation RGPD définit les principes clés en matière de protection des données, il n’en reste pas moins que la mise en œuvre pratique reste un véritable défi pour les organismes qui y sont confrontés. Au-delà de l’aspect purement technique, l’enjeu n’est pas simplement de protéger les données mais bien de protéger des individus, la composante humaine étant déterminante dans les transformations à l’œuvre.
[i] Comment faire de l‘intelligence artificielle un levier d’efficacité dans le secteur de la banque et de l’assurance? (21/01/2020)