RGPD et banque : qu’est-ce qui va changer ?

Ce n’est plus qu’une question de semaines : le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. Comme toutes les autres entreprises, les acteurs de la banque doivent s’adapter à de nouvelles exigences, permettant d’assurer aux consommateurs que leurs droits sont respectés. Mais que doivent faire les banques pour être en règle ? Que conseille la CNIL ? Voyons cela !

Des droits renforcés, d’autres inédits

Les acteurs du secteur bancaire doivent dès à présent s’adapter aux impératifs du RGPD. Les plus importants, au-delà des aspects organisationnels ? Des droits renforcés pour les consommateurs, et d’autres nouveaux. Il s’agit ainsi :

  • Du droit d’accès aux données, par exemple pour savoir ce que la banque a « compilé » sur son dossier au fur et à mesure de la relation commerciale ;
  • Du droit d’être informé sur le traitement des données utilisées, par exemple pour savoir si les données sont utilisées pour proposer automatiquement de nouveaux services ;
  • Du droit de rectification, par exemple pour corriger une adresse mail ;
  • Du droit d’opposition, par exemple pour refuser que les données soient transmises à un partenaire ;
  • Du droit de portabilité des données, dans certains cas ;
  • Du droit à l’oubli, par exemple pour exiger de la banque qu’elle supprime tout un pan de la relation commerciale dont elle n’a plus l’utilité.

Les clients des banques doivent ainsi être en mesure de reprendre le contrôle de leurs données. Ce qui impose la nomination d’un expert : le DPO.

Le DPO, au centre de la conformité des banques avec le RGPD

Les banques font en effet partie des entreprises pour lesquelles le DPO semble absolument incontournable. Il faut dire que le RGPD impose la nomination d’un tel professionnel dès lors que « les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes ». Difficile de ne pas y reconnaître les banques, et leur suivi des clients, que ce soit au quotidien ou pour proposer de nouveaux services !

Ainsi, le DPO devra prouver que la banque est en mesure de regrouper tous les échanges avec les clients, quels que soient les points de contact utilisé par ces derniers (mail, téléphone, courrier, passage en agence…) au sein d’un même document. La CNIL (ou tout autre organisme de contrôle) lui demandera aussi de démontrer que les clients ont bien consenti à l’utilisation de leurs données personnelles (sans cases précochées dans les formulaires, comme il pouvait être le cas jusqu’à présent). Il lui reviendra aussi d’expliciter l’utilisation faite des données à caractère personnel. Bref, il sera le responsable de la gouvernance de l’information dans le secteur bancaire, autour de trois impératifs : la traçabilité documentaire, la sécurité du stockage et la réactivité.

Se mettre en conformité en quelques étapes

Avec le RGPD, le consentement des consommateurs recueilli doit être clair et univoque. Les données collectées doivent être adéquates, pertinentes et limitées. Et ce, de la collecte à la conservation des données ! Ainsi, pour être en conformité, quelques étapes sont à respecter :

  • La désignation d’un DPO et de son positionnement hiérarchique ;
  • La mise en place de comités de pilotage ;
  • Un point sur les pratiques en cours et les éléments à corriger ;
  • L’adoption, si besoin, de nouveaux outils ;
  • La sensibilisation, en interne, aux enjeux du RGPD.

La mise en conformité aux exigences du RGPD n’est pas une option dans le secteur de la banque, ultra-concurrentiel et « secoué » par l’arrivée de nouveaux acteurs (banques en ligne, opérateurs téléphoniques…). Autant dire que pour conserver ses clients, il faut montrer patte blanche ! Vous souhaitez en savoir plus sur les outils à adopter pour accompagner votre mise en conformité RGPD ? Contactez-nous sans plus tarder !