Comment le secteur financier apprend-il à danser sur la corde raide de la législation GDPR
Écrit par Erik Luysterborg, Data Protection & Privacy Leader, Deloitte Belgium, 07/05/2018 • Législation
Sur la base de cas concrets, il vous démontre l’équilibre complexe que le monde financier doit trouver entre la législation existante et la nouvelle loi sur la protection des données bientôt en vigueur.
GDPR en résumé
L’entrée en vigueur du Règlement général sur la protection des données (GDPR : General Data Protection Regulation) approche à grands pas. Il est d’application depuis le 25 mai. Comme vous le savez, le GDPR s'appliquera à tous les secteurs et le secteur financier est donc également concerné par ces obligations.
La collecte, l’analyse et le partage international des données personnelles sont fondamentaux dans le monde financier pour la recherche, le développement et la commercialisation des produits et services financiers.
La technologie actuelle, et surtout celle de demain, permet aux organisations financières d’obtenir d’importants avantages concurrentiels grâce à l’utilisation et au partage transfrontaliers et interservices des données.
Le GDPR vise à renforcer le cadre légal de protection des données personnelles. L’objectif est d’accroître le contrôle des individus sur leurs données, tout en veillant à ce que les entreprises intègrent et transcrivent la confidentialité en contrôles opérationnels efficaces dans l’ensemble de l’organisation et auprès des tiers.
Son implémentation conduit à d’importants défis
Dans le secteur financier, cela s’est traduit par de nombreux défis opérationnels et organisationnels.
Ainsi, le GDPR a un impact direct sur les actions liées:
- à la garantie de la gouvernance de la confidentialité dans un environnement où les informations sont souvent cloisonnées;
- à la mise en œuvre et à l’adaptation de mesures techniques adéquates comme la cybersécurité vs la confidentialité;
- à la révision des règles de limitation de la conservation des données et à l’identification du bon fondement juridique du traitement comme le consentement contre obligation légale et nécessité pour l’exécution du contrat.
Sa complexité avec les législations en place
n outre, au-delà du GDPR, le secteur des services financiers doit également tenir compte d’autres obligations réglementaires à « marier » à celles du GDPR.
Voici quelques exemples pour démontrer la complexité de ces autres réglementations par rapport aux principes de protection des données du GDPR:
La « légitimité du traitement »: Le GDPR exige que vous disposiez de bases juridiques claires pour traiter des données personnelles, c’est-à-dire que vous ne pouvez traiter des données personnelles que pour l’un des motifs légaux donnés. Tandis que dans le cadre de la LCB/FT même du FATCA, il peut facilement être allégué que le suivi des informations personnelles répond aux obligations de base légale de traitement selon le GDPR, ce ne sera pas toujours le cas pour d’autres réglementations, telles que la DSP 2 où il s’agit de s’appuyer à la fois sur le consentement du client et sur la nécessité des données pour l’exécution du contrat. En particulier avec ce que l’on appelle les tiers fournisseurs, certaines actions comme par exemple celles concernant les obligations de vérification du consentement par les banques, peuvent être plus complexes.
Limitation de la conservation des données: Le GDPR exige que les données conservées le soient « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. » Ces « finalités pour lesquelles elles sont traitées » peuvent être des obligations légales telles que définies dans la directive MIFID II (Directive concernant les marchés des instruments financiers II). Cependant, la durée, les données précises à conserver, etc. ne sont pas toujours des points clairs et les déterminer nécessitera une analyse minutieuse.
Mesures de sécurité: En vertu du GDPR, vous devez vous conformer au règlement de façon efficace, en mettant, entre autres, en œuvre des mesures de sécurité de pointe. Par ailleurs, dans le cadre de la NIS, vous devrez, dans certaines circonstances, mettre en œuvre des mesures de sécurité appropriées et pouvoir prouver leur implémentation. Ici aussi, bien que (cyber)sécurité et confidentialité puissent aller de pair, il faut veiller à ce qu’elles n’aient pas d'impact négatif l’une sur l’autre. Le « principe de proportionnalité » du GDPR sera ici le mot clé.
Conclusion
Une chose est sûre, dans beaucoup de domaines d’application, le GDPR exigera la recherche d'un équilibre très délicat et précis pour atteindre un niveau de conformité raisonnable sur tous les points.
Pour parvenir à cet équilibre, il faudra une approche basée sur le risque et, plus particulièrement pour la gouvernance interne, un environnement de gouvernance des données très efficace, pragmatique et, surtout, transversal.
En tant que tel, le GDPR aura non seulement un impact technique et juridique sur les organisations financières, mais il demandera une nouvelle analyse de l'impact organisationnel sur les environnements existants de protection et de gouvernance des données.
Nouvel e-learning
En savoir plus sur le sujet? Febelfin Academy vous présente sa nouvelle formation en ligne: Le GDPR dans la pratique - E-learning - NEW
Cet e-learning est également disponible en anglais et en néerlandais.