Les risques informationnels de la conformité bancaire

Les risques informationnels de la conformité bancaire

Le règlement général sur la protection des données (GDPR) doit entrer en application en mai 2018. C’est l’un des cadres règlementaires européen les plus avancés en matière de protection des données personnelles. Il s’applique à tous les acteurs économiques et sociaux afin de les responsabiliser sur le traitement des données à caractère personnel et vise à consolider les droits des individus et renforcer les pouvoirs des autorités européennes.
En parallèle, les évolutions règlementaires, géopolitiques et sociétales poussent les établissements bancaires à détenir des quantités croissantes de données sur les clients, dans une logique de contrôle et de maitrise des risques. Qu’il s’agisse de criminalité financière (blanchiment de capitaux, financement du terrorisme), de connaissance des clients (KYC – Note 1) ou d’intégrité des marchés et, eu égard aux chiffres faramineux en perpétuelle augmentation des fraudes à l’échelle mondiale dans les domaines suscités, les autorités de tutelle cherchent à éliminer les « moutons noirs » du système financier, et les banques à protéger leur réputation.
Mais alors, comment se conformer à ces évolutions, préserver le capital informationnel du client, tout en évitant les sanctions que les régulateurs appliqueraient en cas de violation des lois bancaires, régies, qui plus est, par des organismes différents ? Un casse tête qui peut coûter cher : jusqu’à 4% du chiffre d’affaires annuel pour non-respect du GDPR, et de l’avertissement jusqu’au retrait d’agrément bancaire, pour une non-conformité réglementaire.
Cette exigence de transparence, qui menace les vies privées (Note 2), devra amener les établissements bancaires à revoir en profondeur les méthodes de stockage des données de leurs clients. En effet, le potentiel de leur exploitation est sans limite (Note 3) : être en mesure d’établir un « profilage » (Note 4) du client, à partir de son compte bancaire, ses virements et avoirs, en déduire son cercle proche, sa vie privée et ses habitudes de consommation, risque de devenir une norme pour ces établissements. Ils pourraient utiliser ces mêmes données à des fins marketing pour de l’analyse prédictive.
Quelles seraient les conséquences d’une fuite de données, due à une erreur humaine ou une fraude interne ? Les nombreuses fuites de données, relayées via des tribunes spécialisées (Note 5), démontrent l’impossibilité de sécuriser réellement une collecte toujours plus importante de données, contrairement à ce que tentent de nous faire croire les tenants d’une surveillance en augmentation constante.
L’opinion publique n’est pas alertée de ces risques pour deux raisons: d’abord, seule la presse financière spécialisée se fait le relais de ces évolutions réglementaires. L’information n’est pas assez vulgarisée. Ensuite, à l’image de beaucoup de corporations (médecins, avocats..), ce que vous diront les banquiers fait foi. Qui oserait le contredire ? Et comment vivre sans compte bancaire ?
Avant mai 2018, il faudra bien trouver un juste équilibre, une solution pragmatique, la bonne taille du « couloir » encadrant la nécessité de contrôle, fondé sur le seul principe du « besoin d’en connaitre » (Note 6) et de la « finalité du traitement » (Note 7).

Notes :
Note 1 : KYC, (Know Your Customer) nom donné au processus consistant à ce qu’une entreprise vérifie l’identité de ses clients dans le but de prévenir la fraude financière, le blanchiment d’argent et le financement du terrorisme.
Note 2 : Certaines de ces règles restrictives proviennent de l’application directe de réglementations américaines à portée extraterritoriale (comme la réglementation FATCA).
Note 3 : Grâce notamment aux nouvelles technologies de Big Data.
Note 4 : Cartographie d’un client et de son cercle proche ;
Note 5 : Vol de données et chantage à l’encontre des clients de Valartis Bank, ou encore le piratage de la Qatar National Bank (source CLUSIF, Panorama de la cybercriminalité Année 2016).
Note 6 : Principe du « Need to know » en anglais qui régit la sécurité des systèmes d’information
Note 7 : Objectif principal d’une application informatique de données personnelles. (Source CNIL.fr) ;