RGPD : Vers la diffusion, à l’échelle internationale, d’une « réelle culture de la protection des données »
Experte en protection des données personnelles, Aurélie Banck, Directeur de Département, Lexing Alain Bensoussan Avocats, dresse un premier constat des effets du RGPD en Europe et dans le monde et analyse les enjeux prospectifs de la protection des données personnelles dans le secteur de la banque et des moyens de paiement.
Le Règlement européen sur la protection des données personnelles (RGPD) a été adopté en mai 2018. Quels sont les premiers constats de cette réglementation ? Quel bilan dressez-vous de son application ?
Les chiffres qui ont été récemment publiés par la Cnil démontrent une réelle prise de conscience des acteurs sur ce sujet, notamment les établissements financiers. A date, 32 000 entreprises ont désigné un délégué à la protection des données personnelles (DPO), avec des ouvertures de postes au sein de certaines entités emblématiques à l’image de BNP Paribas, Ingenico ou encore Gemalto. Cela démontre à la fois une réelle reconnaissance du sujet de la protection des données personnelles au sein du secteur financier, et également un besoin de connaissances dans ce domaine. Et pour cause, rappelons que 1 200 violations de données ont été notifiées et que le secteur financier figure dans le Top 5 des marchés concernés. Cela explique également l’évolution des travaux de la Cnil dans ce domaine, avec notamment la publication d’une liste des traitements devant faire l’objet d’une analyse d’impact comportant les traitements de lutte contre la fraude en matière de paiement et le scoring des risques.
Quels sont les points de vigilance de la Cnil sur ce sujet ?
La Cnil a tendance à renforcer sa doctrine sur certains points de vigilance précis comme le partage des informations avec des tiers dans le cadre de stratégies de cross-selling, par exemple lorsqu’un acteur bancaire utilise les données clients pour proposer également une offre d’assurance. Autre point essentiel traité par cet organisme : la structuration d’une approche européenne et la consolidation de ses travaux avec le Comité européen de la protection des données (CEPD) par le biais, notamment, de réunions mensuelles. La particularité du RGPD est que ce texte impose non seulement une adaptation des entreprises mais également des régulateurs eux-mêmes. Un réseau réglementaire européen est ainsi en train de se mettre en place dans ce domaine, avec la possibilité, prochainement, d’y associer la Banque centrale européenne (BCE) et l’European banking authority (EBA).
Quelles ont été les sanctions marquantes prises dans ce domaine, à ce jour ?
Les deux premières sanctions ont été attribuées à un hôpital au Portugal et un réseau social en Allemagne. Dans le deuxième cas, la sanction n’a pas été importante – 20 000 € – car les autorités ont tenu compte de la collaboration de l’organisme.
Qui sont les bons élèves européens dans ce domaine ? Quid de la position de la France ?
La particularité de la France est que ce pays a toujours eu une autorité de contrôle engagée sur ce sujet, et par conséquent un socle culturel déjà présent dans ce domaine. Cela n’est pas forcément le cas dans d’autres pays comme la Belgique. De la même manière, l’Allemagne bénéficie d’une culture très forte sur la protection des données. Nul doute que la réglementation européenne va permettre de consolider ces visions.
Quels impacts de ce texte sur les marchés de la banque et des moyens de paiement ? Comment évoluent les réflexions sur la protection des données personnelles au sein du monde bancaire et du marché des paiements ?
Premier constat : dans la totalité des sondages d’opinion réalisés, la crainte des consommateurs sur une possible perte ou un éventuel vol de données ressort en premier lieu sur les données de santé et les données bancaires. Il existe donc une réelle vigilance des consommateurs dans ce domaine. Cela explique un besoin de sécurité accru, alors même que, paradoxalement, lorsque l’on se penche sur l’évolution des usages, on observe de nombreuses pratiques à risque, notamment lors de l’utilisation de la carte bancaire pour effectuer des paiements à distance. Et cette tendance ne va faire que s’accroître avec l’avènement du paiement mobile. Le besoin de garantir la sécurité des paiements est réel. L’urgence de cette prérogative est néanmoins nuancée par la réalité du marché, à savoir le besoin de concertation entre tous les acteurs avant de se positionner sur une innovation et ce, même si le fonctionnement est avéré d’un point de vue technique. Cette situation, impliquant un temps de maturation, permettra d’ajuster les choses, confirmant que nous nous trouvons actuellement dans une période de transition.
Quid des travaux et réflexions autour des Gafa ? Leurs objectifs dans le monde de la finance sont de plus en plus prégnants, avec notamment l’obtention d’une licence par Google. Comment les professionnels de la protection des données appréhendent-ils cette réalité ?
Les Gafa sont effectivement des acteurs prédominants dans le domaine de la protection des données. Néanmoins, nous pouvons nuancer leur impact sur le marché bancaire en rappelant qu’ils disposent déjà d’un certain nombre de connaissances sur les consommateurs donc qu’est-ce qu’un statut d’opérateur de paiement pourrait leur apporter de plus ? Autre élément : les éléments apportés par le RGPD sont déjà relativement solides comme le démontre le cas Orange. En effet, lorsque le telco a créé sa banque, l’une des craintes manifestées était la possible utilisation des données Orange pour alimenter la base clients Orange Bank. Or, la polémique s’est estompée puisqu’Orange Bank a misé sur le consentement express tel que stipulé dans le texte. Si les objectifs des Gafa dans le monde bancaire sont réels, ces derniers restent soumis à la réglementation européenne et seront, sans conteste, sous l’œil du régulateur, qu’il s’agisse de la Cnil, des autorités européennes, de l’Autorité de contrôle prudentiel et de résolution (ACPR) qui s’intéresse de plus en plus à ces sujets ou encore de l’Autorité de la concurrence.
Quelle appréhension du RGPD en dehors de nos frontières européennes ? Aux Etats-Unis, des réflexions évoluent sur un RGPD à l’américaine. Pourriez-vous nous en dire plus ?
Sur le sujet de la protection des données personnelles, les Etats-Unis disposent d’une réglementation fragmentée car chaque Etat a sa propre législation. Sous l’impulsion de la loi californienne qui sera applicable à compter de 2020, les législateurs réfléchissent à la définition d’une loi fédérale dans ce domaine avec des principes de base applicables à tous. En effet, en l’état, il est compliqué de maitriser le corpus réglementaire des Etats-Unis en matière de protection des données alors même que l’Europe dispose désormais d’un texte de référence. Cela suscite d’inévitables questions business dans un contexte de globalisation ainsi qu’une question d’opportunité politique. Les Etats-Unis sont conscients du poids du RGPD. Cette situation nous permet également d’affirmer que l’autre vertu du RGPD est de diffuser, à l’échelle internationale, une réelle culture de la protection des données, comme le démontrent les prises de position de certains pays à l’image du Canada, de la Nouvelle-Zélande ou encore du Japon qui ont modifié leur réglementation en ce sens. Rappelons que ce socle réglementaire constitue, à l’image de PCI DSS, un gage de confiance dans le cadre de relations commerciales entre acteurs et pays donnés.
Quelles prochaines étapes envisagez-vous dans le domaine de la protection des données personnelles au regard des évolutions des usages ?
Un constat s’impose : le RGPD a permis une avancée de la totalité des acteurs et des secteurs sur le sujet de la conformité. Mais subsistent différents challenges comme le fait de maintenir les process et d’assurer une réelle diffusion du principe de protection des données dans la culture d’entreprise. Les prochains enjeux reposent également sur la façon dont la Cnil et le CEPD vont réguler le secteur, ainsi que sur le rôle et les responsabilités de chaque acteur. Une attente du marché subsiste sur la définition de lignes directrices claires de la Cnil dans ce domaine dans un contexte où la violation de données reste une problématique majeure pour les entreprises comme le démontre le cas de HSBC en novembre. L’autre inconnue qui sera à éclairer est la façon dont les consommateurs vont réagir à cela, confirmant l’importance de la sensibilisation de tous les maillons de la chaîne, à commencer par les collaborateurs de l’entreprise. Sur le sujet spécifique des paiements, l’utilisation de l’Iban, ou encore du numéro de téléphone mobile pour effectuer des transactions, pose effectivement des interrogations majeures. Tout l’enjeu sera de proposer des systèmes de pseudonymisation, à l’image des tokens, et de miser sur des solutions de sécurité informatique élaborées car les attaques seront de plus en plus hybrides et sophistiquées.
Pôle Études | Partelya Consulting
