Nous n’avons jamais autant échangé de données ni partagé d’informations, y compris nos images et nos voix, que depuis ce 17 mars 2020. En pratiquement deux mois, les traitements de données personnelles induits par le télétravail (invitations à des visioconférences, envoi de liens vers des webinaires ou conversations par des « chat » en ligne) ont connu une croissance totalement inédite, à la hauteur de la crise sanitaire que nous traversons.
Et pourtant nous nous montrons plus prudents et nous posons des questions qui auraient peut-être échappées aux plus averties deux ans auparavant.
Depuis l’entrée en application du RGPD [1] nos réflexes ont évolué : ai-je accepté que les informations me concernant soient collectées ? L’entité me contactant a-t-elle décrit les finalités des traitements me concernant ? Les périodes de conservation m’ont-elles été communiquées ? Autant de questions que tout citoyen européen est en droit de se poser depuis le 25 mai 2018, date d’entrée en vigueur du Règlement européen sur la protection des données.
Alors si notre vigilance tend à se renforcer, les pratiques des professionnels, en particulier ceux du secteur bancaire, se sont-elles réellement transformées ?
Pour se préparer à l’échéance du 25 mai 2018, les entreprises bancaires et financières ont dû s’approprier le nouveau cadre juridique. Cela s’est traduit par :
■ La rédaction d’une politique de protection des données personnelles et la diffusion de chartes décrivant la nature des données traitées, les finalités, les bases légales, ainsi que les durées de conservation ; une place importance dans cette communication a été accordée aux droits des personnes concernées et aux modalités d’exercice.
■ La tenue et le maintien à jour du registre des traitements qui permet de disposer d’une cartographie actualisée des processus impliquant l’exploitation de données personnelles et de données sensibles, leur partage et leur transfert y compris vers des pays hors de l’Union européenne.
■ La vérification que les règles de sécurité informatique convergeaient bien vers les mesures techniques et organisationnelles exigées par le règlement.
Cette adaptation des normes régissant la protection des données personnelles s’est transformée en un nouveau mode de gouvernance de la donnée, notamment par les dispositifs suivants :
■ L’évaluation de l’impact sur la vie privée (EIVP ou PIA) qui s’est invitée dans les comités Projets ou NPNA (Nouveaux Produits / Nouvelles activité), et qui prouve une plus grande responsabilisation des organismes. Cet outil leur permet de construire des traitements de données respectueux de la vie privée lorsqu’ils sont susceptibles d’engendrer des risques élevés, notamment dans la lutte contre la fraude et la corruption, contre le blanchiment des capitaux et le financement du terrorisme ou encore en matière de scoring clients.
■ Le suivi des demandes d’exercice des droits des personnes concernées (et leurs réponses) traitées comme des KRI (Key Risk Indicator) dans la maîtrise des risques Data Privacy ;
■ La révision de la politique d’archivage dans un souci d’uniformisation au sein de l’ensemble des départements d’une entité ou des filiales au sein d’un Groupe.
Toutefois, afin de gagner le pari et concrétiser « toutes les promesses et potentialités du RGPD » selon les termes de la feuille de route stratégique de la CNIL 2019-2021[2], les acteurs du secteur bancaire devront parvenir à instaurer une vraie culture « informatique et libertés » pleinement partagée et diffusée aussi bien en interne que vis-à-vis de leurs partenaires, prestataires et clients. Cela revient à faire de l’obligation « d’accountability » [3] un vecteur de confiance rendant opérationnel le principe de primauté des intérêts des parties prenantes.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[2] Lien vers la feuille de route CNIL « https://www.cnil.fr/sites/default/files/atoms/files/cnil-feuille-de-route-strategique-2019-2021.pdf »
[3] Dans le cadre du RGPD, l’accountability (ou démontrabilité) est l’obligation qui pèse sur le responsable du traitement et lui impose de revoir l’ensemble des règles internes et vis-à-vis des sous-traitants afin d’améliorer la protection des données personnelles. Cela doit permettre de démontrer le respect du règlement.
