Les impacts du GDPR sur le secteur bancaire

Des données spécifiques

Les données personnelles sont au cœur de l’activité du secteur bancaire et financier. Les organisations doivent recueillir les éléments d’identification de leurs clients afin de rentrer en relation d’affaires avec eux.

Elles ont aussi une visibilité sur l’objet et la nature de la relation d’affaires, comme sur les informations liées à la situation professionnelle, économique ou financière. De ce fait, les organismes financiers peuvent donc avoir accès au patrimoine et aux revenus de leurs clients. Elles ont également une visibilité sur diverses informations liées aux entreprises clientes comme le siège social, les pouvoirs, les mandats, et les statuts. En somme, cela concerne l’ensemble des composants qui permettent de porter une appréciation sur la situation financière du client.

Plus encore : elles ont accès à l’état de santé dans le cas où le client demande à bénéficier d’un prêt. En effet, les clients doivent remplir des questionnaires santé, voire quelques fois transmettre des résultats d’analyse médicale. Or, les données de santé sont des données sensibles au sens du GDPR, et bénéficient à ce titre d’une protection renforcée.

Enfin, les banques sont soumises à la réglementation « Know Your Customer » relative à la lutte contre le terrorisme, ainsi qu’à la réglementation liée à la lutte contre le blanchiment d’argent. Cela leur permet de connaitre les dépenses de leurs clients puisqu’elles ont accès au montant, à la nature, à la justification, à la provenance mais aussi à la destination d’une opération particulière. Elles doivent donc trouver un équilibre entre cette réglementation plutôt intrusive et les principes protecteurs de la vie privée issus du GDPR.

 

Préserver la confiance des clients et limiter l’exposition aux risques

Si les banques ont une certaine intimité avec leurs clients du fait de l’ensemble des données qui sont collectées, elles doivent impérativement prendre en compte leurs attentes en termes de confiance. Il est donc essentiel que la personnalisation du service bancaire s’accompagne du respect des données : le client est à la recherche de cet équilibre. Dans ce cadre, la problématique du consentement est importante.

Les organisations financières se numérisent de plus en plus : de l’accès aux comptes, au paiement sans contact et mobile, en passant par la banque en ligne. Les exigences en termes de sécurité des systèmes d’information sont donc importantes, ce à quoi veille la direction des systèmes d’information. Celle-ci doit notamment mettre en place des process de notification lorsqu’une faille de sécurité est repérée.

Agissant souvent sur la scène internationale dans la gestion des actifs, les banques doivent encadrer les transferts des données à l’étranger. La mise en place de Binding Corporate Rules peut être une bonne solution puisque des filiales sont implantées dans plusieurs dizaines de pays au sein desquels la réglementation peut être moins protectrice que celle de l’Union Européenne. Elles doivent aussi prendre en compte la règle du « One-stop-go » et veiller à s’adresser à l’autorité de protection des données compétente sur le territoire de leur siège social.

Aussi, elles doivent faire particulièrement attention lorsqu’elles effectuent des « credit scoring » : une analyse d’impact, le recueil du consentement ainsi que le respect du droit au réexamen sont indispensables.

 

Vous avez une suggestion à ajouter ? Une précision ? N’hésitez pas à nous écrire (contact@trustandprivacy.eu), nous serons heureux de prendre en compte vos remarques, pour une meilleure information de tous.