1. Accueil › 
  2. › 
  3. › 
  4. Comment le secteur financier apprend-il à danser sur la corde raide de la législation GDPR

Comment le secteur financier apprend-il à danser sur la corde raide de la législation GDPR

, Législation

L’entrée en vigueur du Règlement général sur la protection des données (GDPR : General Data Protection Regulation) approche à grands pas. Il sera d’application à partir du 25 mai prochain. Comme vous le savez, le GDPR s'appliquera à tous les secteurs et le secteur financier est donc également concerné par ces obligations.

CVE-20170522-Febelfin academy-333

GDPR en résumé

La collecte, l’analyse et le partage international des données personnelles sont fondamentaux dans le monde financier pour la recherche, le développement et la commercialisation des produits et services financiers.

La technologie actuelle, et surtout celle de demain, permet aux organisations financières d’obtenir d’importants avantages concurrentiels grâce à l’utilisation et au partage transfrontaliers et interservices des données.

Le GDPR vise à renforcer le cadre légal de protection des données personnelles. L’objectif est d’accroître le contrôle des individus sur leurs données, tout en veillant à ce que les entreprises intègrent et transcrivent la confidentialité en contrôles opérationnels efficaces dans l’ensemble de l’organisation et auprès des tiers.

Son implémentation conduit à d’importants défis

Dans le secteur financier, cela s’est traduit par de nombreux défis opérationnels et organisationnels.

Ainsi, le GDPR a un impact direct sur les actions liées:

  • à la garantie de la gouvernance de la confidentialité dans un environnement où les informations sont souvent cloisonnées;
  • à la mise en œuvre et à l’adaptation de mesures techniques adéquates comme la cybersécurité vs la confidentialité;
  • à la révision des règles de limitation de la conservation des données et à l’identification du bon fondement juridique du traitement comme le consentement contre obligation légale et nécessité pour l’exécution du contrat.

Sa complexité avec les législations en place

En outre, au-delà du GDPR, le secteur des services financiers doit également tenir compte d’autres obligations réglementaires à « marier » à celles du GDPR.

Voici quelques exemples pour démontrer la complexité de ces autres réglementations par rapport aux principes de protection des données du GDPR:

La « légitimité du traitement »: Le GDPR exige que vous disposiez de bases juridiques claires pour traiter des données personnelles, c’est-à-dire que vous ne pouvez traiter des données personnelles que pour l’un des motifs légaux donnés. Tandis que dans le cadre de la LCB/FT même du FATCA, il peut facilement être allégué que le suivi des informations personnelles répond aux obligations de base légale de traitement selon le GDPR, ce ne sera pas toujours le cas pour d’autres réglementations, telles que la DSP 2 où il s’agit de s’appuyer à la fois sur le consentement du client et sur la nécessité des données pour l’exécution du contrat. En particulier avec ce que l’on appelle les tiers fournisseurs, certaines actions comme par exemple celles concernant les obligations de vérification du consentement par les banques, peuvent être plus complexes.

Limitation de la conservation des données: Le GDPR exige que les données conservées le soient « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. » Ces « finalités pour lesquelles elles sont traitées » peuvent être des obligations légales telles que définies dans la directive MIFID II (Directive concernant les marchés des instruments financiers II). Cependant, la durée, les données précises à conserver, etc. ne sont pas toujours des points clairs et les déterminer nécessitera une analyse minutieuse.

Mesures de sécurité: En vertu du GDPR, vous devez vous conformer au règlement de façon efficace, en mettant, entre autres, en œuvre des mesures de sécurité de pointe. Par ailleurs, dans le cadre de la NIS, vous devrez, dans certaines circonstances, mettre en œuvre des mesures de sécurité appropriées et pouvoir prouver leur implémentation. Ici aussi, bien que (cyber)sécurité et confidentialité puissent aller de pair, il faut veiller à ce qu’elles n’aient pas d'impact négatif l’une sur l’autre. Le « principe de proportionnalité » du GDPR sera ici le mot clé.

Conclusion

Une chose est sûre, dans beaucoup de domaines d’application, le GDPR exigera la recherche d'un équilibre très délicat et précis pour atteindre un niveau de conformité raisonnable sur tous les points.
Pour parvenir à cet équilibre, il faudra une approche basée sur le risque et, plus particulièrement pour la gouvernance interne, un environnement de gouvernance des données très efficace, pragmatique et, surtout, transversal.

En tant que tel, le GDPR aura non seulement un impact technique et juridique sur les organisations financières, mais il demandera une nouvelle analyse de l'impact organisationnel sur les environnements existants de protection et de gouvernance des données.

Nouvel e-learning

En savoir plus sur le sujet? Sofuba vous présente sa nouvelle formation en ligne:

Le GDPR dans la pratique - E-learning - NEW

Cet e-learning est également disponible en anglais et en néerlandais.

Nos nouveautés

CVE-20170522-Febelfin academy-333

Comment le secteur financier apprend-il à danser sur la corde raide de la législation GDPR

L’entrée en vigueur du Règlement général sur la protection des données (GDPR : General Data Protecti...

En savoir plus

CVE-20170522-Febelfin academy-246

Decouvrez sans plus tarder les avantages de notre nouvel e-learning AML

En collaboration avec l’équipe des services consultatifs Regulatory & Compliance de Deloitte, nous a...

En savoir plus

CVE-20170522-Febelfin academy-199

Obtenez immédiatement les points nécessaires grâce à notre dernier recyclage en crédits

Un entretien crédit, quelle que soit sa taille, doit toujours être préparé. Nos formations classique...

En savoir plus