Les acteurs du secteur doivent revoir leurs pratiques avant l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD) au printemps 2018.Tous ne seront toutefois pas prêts dans les temps.

L’heure n’est pas encore à la pause réglementaire dans la finance. Certes, le gros de la vague de régulation post-crise de 2008 semble absorbé, mais un nouveau chantier d’ampleur s’est ouvert : celui de la protection des données personnelles des clients.

Mis à l’agenda par la Commission européenne, avec le nouveau règlement général sur la protection des données personnelles (RGDP) qui entrera en vigueur le 25 mai 2018, celui-ci est de nature à changer profondément les règles du jeu pour l’ensemble des entreprises qui en manipulent. De fait, il les contraint à assurer aux clients un « droit à l’oubli », un droit d’accès à leurs données personnelles et un droit à la portabilité de leurs données.

Un chantier colossal

Particulièrement fournies en matière de note de crédit, d’adresses et autres bulletins de salaires qui recèlent d’informations très personnelles, banquiers et assureurs se mobilisent.

« Dans les banques, des études ont été lancées début 2017 pour cartographier les opérations qui utilisent des données personnelles, pour définir de nouvelles politiques de traitement des données et pour centraliser leur traitement afin d’être en mesure de les restituer aux clients qui en feront la demande par exemple. Ces données sont parfois éparpillées dans différentes filiales aux systèmes d’information anciens et très diverses. C’est un travail colossal, les grands acteurs de la finance ont parfois pas loin de 1.000 applicatifs qui gèrent de la donnée personnelle », atteste Julien Sac, Partner chez Sia Partners.

Pour les banques et les assureurs entrer dans les clous de cette réglementation est capital. D’abord pour consolider leur rôle de tiers de confiance auprès des clients face aux GAFA (Google, Apple, Facebook et Amazon). Mais aussi pour éviter de nouvelles sanctions qui, selon la Commission, pourront atteindre jusqu’à 4 % du chiffre d’affaires mondial des entreprises non conformes.

Du retard à l’allumage est ancitipé

Pour autant, huit mois avant l’entrée en vigueur du règlement européen, les spécialistes anticipent déjà du retard à l’allumage. Selon un sondage d’OpinionWay et du cabinet Optimindwinter, réalisé auprès de 104 entreprises (principalement des assureurs, organismes de protection sociale et banques), 35% d’entre elles indiquent qu’elles ne lanceront la revue de leurs processus internes impactés par les nouvelles règles du jeu qu’à partir de janvier 2018, voire après.

Par ailleurs, seuls 41 % des acteurs interrogés ont d’ores et déjà désigné leur « délégué à la protection des données », directement responsable de ces questions. « Plus avancées que d’autres secteurs car plus sensibles aux sujets de conformité les banques ne seront toutefois pas toutes d’équerre en 2018. Leurs chantiers informatiques devraient s’étaler au-delà, la destruction des données relatives à d’anciens dossiers sera par exemple un exercice lourd à mettre en œuvre », prédit Dan Chelly, directeur métier chez Optimindwinter. « Comme pour l’entrée en vigueur de la loi sur les comptes oubliés , l’ampleur des sanctions du régulateur sera déterminante quant à la vitesse de transformation des pratiques… », estime encore un expert.

Source : Les Échos – Sharon Wajsbrot