Un niveau d’avancement des travaux hétérogène selon les établissements
Le RGPD engage particulièrement les établissements bancaires qui recueillent des données très sensibles aux formats papier et numérique.
Concernant les données personnelles collectées au format numérique, les banques n’ont pas attendu l’entrée en vigueur de ce texte pour lutter contre la fraude, car le RGPD ne fait que renforcer un cadre préexistant imposé par la CNIL et prévoit une généralisation des droits des usagers. Concernant les données personnelles collectées au format papier, les banques sont tenues de les détruire dès lors qu’elles ne sont plus utiles aux finalités pour lesquelles elles ont été traitées, recueillies ou stockées. Sur ce point, très peu voire aucun établissement ne communique.
Dans son enquête annuelle sur la gouvernance et la protection de la donnée, Novaminds montre que le niveau de conformité au RGPD progresse, mais le chantier est loin d’être achevé. Le cabinet de conseil indique que la plupart des établissements ont déjà défini des politiques de protection des données, organisé la filière Data Privacy, nommé un délégué à la protection des données (DPO) et sensibilisé les salariés via des actions de formation. Cependant, le niveau d’avancement sur l’inventaire est plus hétérogène, certaines banques n’ayant pas encore industrialisé et outillé leur dispositif. Novaminds dresse un constat similaire sur la mise en conformité du parc informatique et le déploiement du privacy by design ou de la gestion des demandes d’exercice des droits des personnes.
Une réflexion sur le positionnement du DPO au sein de l’entreprise
La désignation d’un délégué à la protection des données est l’une des obligations phares du RGPD. Cet acteur central a pour rôle de remettre les droits et libertés fondamentales de l’individu au centre des décisions. Il doit ainsi sensibiliser le client et lui donner la maîtrise de l’utilisation des données qui le concernent.
Dans son étude, Novaminds constate que pendant cette période de mise en œuvre du RGPD, dans plusieurs banques, le DPO a pu être amené à intervenir opérationnellement dans le déploiement de processus de conformité, et met en garde sur l’existence d’une possible « situation de conflit d’intérêts ». « Cela amènera des questions sur son profil, son positionnement au sein de l’entreprise et ne manquera pas de susciter une réflexion plus large sur les rôles respectifs des acteurs de la Data Privacy mobilisés en 1re et 2de ligne de défense », précise Gaël Duval, directeur chez Novaminds, lors d’une interview accordée à Revue Banque.