À l’occasion du récent scandale, les adeptes de Facebook, mais même ceux qui ne disposent pas de compte sur le célèbre réseau social, ont découvert avec effarement l’incroyable masse d’informations détenue sur eux et les usages parfois discutables qui pouvaient en être faits. Normalement, à partir du 25 mai et l’entrée en vigueur du Règlement général sur la protection des données (RGPD), ces problèmes ne devraient plus se reproduire. Car la nouvelle réglementation prévoit que les consommateurs, tous secteurs confondus, reprennent la main sur leurs données personnelles.
Les banques et les compagnies d’assurance sont en première ligne, en raison de la masse de données qu’elles sont amenées à collecter et à traiter. Même si, depuis la directive de 1995, et plus anciennement dans certains pays comme la France, elles sont déjà soumises à une réglementation contraignante, la mise en place du RGPD semble particulièrement difficile : un sondage réalisé en février montrait que cent jours avant l’échéance, 74 pour cent des entreprises luxembourgeoises n’étaient pas prêtes. Il y a fort à parier que nombre d’institutions financières figurent dans ce lot.
La directive d’octobre 1995 a été transposée au Luxembourg par la loi du 2 août 2002 relative à « la protection des personnes à l’égard du traitement des données à caractère personnel ». Cette loi a établi un certain nombre de principes, de droits et de devoirs devenus familiers aux professionnels, qui ont l’obligation de les mettre en œuvre, mais pas forcément à leurs clients.
Ainsi le chapitre VI instaure-t-il un droit à l’information, un droit d’accès et un droit d’opposition, avec plusieurs dérogations et limites. En pratique, les consommateurs, surtout ceux des services financiers, devraient savoir que leurs prestataires n’ont pas le droit de collecter, de stocker et d’utiliser directement certaines « données sensibles » (ou toute information permettant indirectement de les deviner) : origine raciale ou ethnique, opinions politiques, philosophiques et religieuses, appartenance syndicale, données sur la santé ou la sexualité. Mais les clients exercent très peu leurs droits, faute le plus souvent d’en avoir une connaissance précise.
Le RGPD, qui remplace la directive de 1995, en reprend logiquement plusieurs dispositions mais en les renforçant et surtout en ajoutant de nouveaux droits, au travers de ses 99 articles. Dorénavant, le client devra donner explicitement son consentement, contrairement à la situation actuelle où les données sont souvent collectées et traitées par acceptation tacite. Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Il doit être recueilli par une déclaration ou « par un acte positif clair ». Pour pouvoir donner son accord, le client doit savoir quels traitements seront réalisés, ce qui conduit à lui fournir les informations nécessaires « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » (article 12).
Deux importants droits nouveaux, à la mise en œuvre compliquée, sont instaurés. Le droit de portabilité des données permet aux clients de transférer les informations détenues par un prestataire à un autre. Le droit à l’oubli signifie qu’une société pourra être obligée de supprimer des informations dont elle n’a plus l’utilité en raison de leur ancienneté.
Sur le plan organisationnel, le Règlement impose la nomination d’un délégué à la protection des données (plus couramment désigné par le sigle anglais DPO, pour data protection officer) aux entreprises dont les activités « exigent un suivi régulier et systématique à grande échelle » de leur clientèle (article 37). Les institutions financières, au premier chef les banques, sont directement visées. Le DPO est le responsable de la conformité avec le RGPD et, par conséquent, l’interlocuteur de l’autorité de tutelle, en l’espèce la Commission nationale pour la protection des données (CNPD) au Luxembourg.
Véritable responsable de la gouvernance de l’information, le DPO ne sera plus soumis à des obligations déclaratives (notification préalable de traitements). Mais en cas de contrôle, il devra par exemple démontrer que les clients ont bien consenti à l’utilisation de leurs données personnelles, prouver que l’institution est en mesure de regrouper tous les échanges avec les clients, quels que soient les points de contact utilisés par ces derniers (mail, téléphone, courrier, passage en agence…), et expliciter l’utilisation faite des données à caractère personnel. Il devra aussi justifier, dans toutes les entités de plus de 250 salariés, d’avoir mené une étude d’impact des traitements sur la vie privée des clients. La documentation des actions menées est essentielle, le RGPD obligeant d’ailleurs à la tenue d’un registre des traitements effectués.
Un accent particulier est mis sur la sécurité du stockage : le DPO doit non seulement veiller à ce que toutes les mesures propres à l’assurer ont bien été prises, mais, en cas de « violation de données à caractère personnel », il doit en informer la CNPD dans un délai maximal de 72 heures après en avoir pris connaissance et, si la donnée est jugée très sensible, il doit aussi prévenir le ou les clients concernés.
Dans le nouveau dispositif, le régulateur transfère clairement de nouvelles responsabilités aux entreprises concernant notamment les traitements, leurs finalités, leurs modalités et les mesures qui vont les encadrer. La CNPD se livrera à des contrôles a posteriori. La contrepartie d’une certaine liberté (très encadrée cependant) se trouve dans la lourdeur des sanctions prévues (jusqu’à vingt millions d’euros d’amende ou quatre pour cent du chiffre d’affaires en cas de manquements graves).
Le RGPD n’a rien d’un simple toilettage de la directive de 1995, et, au Luxembourg, de la loi d’août 2002. Il ouvre, de fait, de nouveaux et grands chantiers, en particulier dans les banques. Ceux qui concernent les clients sont prioritaires car la médiatisation du RGPD et des scandales du type Cambridge Analytica les ont rendus très sensibles à ces questions et on s’attend dans tous les secteurs à ce qu’ils exercent davantage leurs droits. Le recueil explicite de leur consentement et la communication sur les données collectées (qui doivent être « adéquates, pertinentes et limitées ») et la finalité des traitements effectués demanderont un gros travail.
En interne, l’urgence est à la formation des salariés, car le RGPD prévoit que toute personne ayant à connaître de données personnelles doit être sensibilisée à leur collecte et à leur usage. Les relations avec les sous-traitants ou les partenaires doivent aussi être scrutées, au regard des risques de fuite ou de mauvaise utilisation. Les banques et institutions financières doivent par ailleurs gérer l’articulation avec les réglementations spécifiques qui s’appliquent à elles et qui, comme pour la lutte anti-blanchiment, impliquent la collecte de données extrêmement détaillées sur les personnes et leurs opérations.
La compatibilité avec la Directive sur les services de paiement (DSP2) qui prévoit un partage d’informations avec les fintechs, avec le prochain règlement « ePrivacy » (pour harmoniser la législation des États membres de l’UE en matière de confidentialité des communications électroniques) et avec d’autres réglementations à venir relève du casse-tête chinois et occasionne naturellement des coûts élevés, qui n’ont pas encore été précisément chiffrés au niveau du secteur.
Certains experts voient dans le RGPD, au-delà des contraintes qu’il impose à court terme, une opportunité pour mieux valoriser et mieux protéger un actif stratégique (les données personnelles sur les clients) encore trop peu exploité. Ils voient aussi l’occasion de remettre à plat la relation client en s’interrogeant sur les données qu’ils possèdent, celles qui leur seraient utiles et sur la manière la plus efficace de s’en servir à leur profit comme à celui des clients.
Données brutes et dérivées
Les informations bancaires sur les clients sont en grande partie des « données brutes », comme les éléments d’identification, les produits bancaires détenus ou les mouvements et les soldes du compte. Elles ne sont pas le résultat d’un travail intellectuel ou de création de la part de la banque, même si elles sont tirées de leurs systèmes d’information. Elles sont utiles pour la gestion de la relation mais sont similaires d’une banque à une autre. On peut les opposer aux « données dérivées », qui désignent les informations créées à partir des données brutes soumises à divers calculs et retraitements. Dans la mesure où ces « données dérivées » ne permettent pas l’identification, directe ou indirecte, d’une personne physique – contrairement par exemple à un numéro de compte ou de carte bancaire –, elles n’ont pas nécessairement le caractère de donnée à caractère personnel. Propres à chaque banque et protégées par le secret des affaires, elles servent le plus souvent de base à des opérations commerciales collectives (lancement d’un produit d’épargne après extraction des cibles potentiellement les plus réceptives) même si certaines ont un caractère individuel (score de crédit). gc