RGPD : les banques dressent le bilan de leur mise en conformité

La création du poste de DPO (Data Protection Officer) et ses implications en termes de gouvernance ont représenté les changements les plus visibles au sein des organisations, en prévision de l’entrée en application du règlement européen sur la protection des données (RGPD) en mai 2018. “Il a fallu réfléchir à l’entité à laquelle il allait être rattaché ainsi qu’à l’équipe et aux moyens qui lui seraient alloués”, commente Lucas Naja, nommé DPO d’Arkéa en mars 2018. Il a ainsi pu accompagner la fin du chantier de mise en conformité, un “projet de deux ans avec des investissements humains et informatiques importants”.

Rattaché à la direction de la conformité (un choix pour lequel ont opté la plupart des institutions financières), il chapeaute une équipe de quatre personnes à temps complet : “trois juristes et un profil sécurité du système d’information”. Lui-même est issu du milieu IT : il a été responsable département systèmes d’information et organisation chez Suravenir puis responsable département SI et organisation et responsable organisation chez Arkéa.

Une filière de plus de 30 référents de données personnelles a également été créée au sein du groupe. “On en trouve a minima un par filiale, puis des référents dédiés à quelques fonctions régaliennes comme l’informatique, le marketing ou les ressources humaines”, indique le CDO. Ces référents occupent bien souvent des fonctions support dans leur entité respective (juridique, sécurité informatique, etc.) et endossent celle de référent en complément. Certains sont des ex-CIL (correspondants Informatique et Libertés).

Chez Société Générale, la mise en conformité a débuté fin 2016 avec la création d’un programme global au niveau du groupe, porté directement par la direction générale. “La direction a eu la volonté de créer une équipe groupe pour définir les règles, les deadlines et interprétations du texte tout en laissant aux business units et entités locales une certaine marge de manoeuvre pour le déploiement”, décrit Antoine Pichot, CDO. Des sous-programmes ont donc vu le jour dans les business units, traduisant une volonté de décentralisation et d’appropriation locale.

Antoine Pichot, ex-directeur stratégie, digital et relation client du groupe, a été nommé DPO en septembre 2017 pour “déployer l’organisation de l’ensemble des DPO et correspondants au sein du groupe”. Il rapporte à la direction de la conformité et dispose d’une équipe d’une douzaine de personnes, “dont des juristes experts de la protection des données qui ont été détachés par la direction juridique et officient désormais à temps plein pour le DPO”. Le réseau d’experts compte ensuite une cinquantaine de personnes, pas forcément à temps plein sur ces missions et parfois répartis sur plusieurs entités.

Au Crédit Agricole, le réseau a été déployé sur plusieurs niveaux : des DPO ont été nommés dans chaque grande entité chapeautant une activité, comme Crédit Agricole Payment Services ou CACIB, ainsi que dans chaque pays européen où le groupe est présent, et enfin dans chaque caisse régionale. Le réseau compte donc 63 DPO (dont 39 pour les caisses régionales, dont certaines ont mutualisé le poste). La plupart sont des collaborateurs du groupe issus de l’univers de la réglementation et conformité, éventuellement des anciens CIL. Certains viennent aussi de la filière informatique. Dominique Moreau-Ferellec a été nommé DPO opérationnel de l’organe central coté, Crédit Agricole SA, et a en charge l’animation de la communauté des DPOs, avec l’appui d’un autre collaborateur. “J’ai pour tâche de les faire monter en compétence, de les faire travailler ensemble sur des usages communs et aussi de mener à terme le programme RGPD, puisque tout n’était pas fini le 25 mai 2018 et qu’il nous faut industrialiser le dispositif afin d’être efficace dans la durée”, explique le responsable.

Transparence

Le premier grand chantier de mise en conformité a consisté à élaborer la communication pour répondre aux exigences de transparence du règlement. “Nous avons mis à disposition de toutes les parties prenantes (prospects, clients, collaborateurs, fournisseurs…) une politique de protection des données afin d’expliquer la nature des données collectées, la finalité des traitemenst, à qui les données sont confiées, quelle est leur durée de vie…”, raconte Dominique Moreau-Ferellec, de Crédit Agricole.

Chez Arkéa, “700 maquettes informatiques ont été retouchées et le projet de mise en conformité a coûté plus d’un million d’euros”, commente Lucas Naja. “Nous avons mis à niveau les sites internet et les recueils informatiques. Nous avons modifié les clauses contractuelles, le recueil des consentements, les procédures pour gérer les droits de personnes, etc.”

Société Générale a aussi actualisé ses portails, mis en place des outils de communication auprès de ses clients, et a “renforcé l’usage du consentement”, relate le CEO. Le groupe a aussi créé une plateforme dédiée à ses collaborateurs, doublée d’un chatbot, “pour qu’ils sachent comment leurs données sont utilisées”.

Chez Arkéa, le droit à la portabilité des données a été automatisé : les clients peuvent désormais, après identification sur le site, demander une portabilité des données et recevoir un fichier avec le récapitulatif. “Cela n’a pas été le chantier le plus compliqué car notre espace client est très dynamique”, assure Lucas Naja. Société Générale a également “mis en place des dispositifs pour faire face à des volumes croissants de demandes d’exercice de droits, d’accès aux données” et a “digitalisé le processus dans la banque de détail en France pour permettre d’obtenir un premier niveau de réponse immédiat en temps réel”, décrit Antoine Pichot.

Les volumes de demandes d’accès, modification ou effacement restent faibles : quelques milliers pour SocGen depuis le 25 mai dernier. Au Crédit Agricole, Dominique Moreau-Ferellec évoque 250 à 300 demandes par mois environ. “Mais c’était une grande inconnue et nous avons dû nous préparer sans savoir si les demandes allaient se compter en dizaines ou milliers.”

Outillage

Antoine Pichot évoque également le chantier de Société Générale “autour de l’outillage et de la mise en conformité du legacy informatique et de la mise en sécurité des applications qui traitent de données personnelles” en lien avec la stratégie globale cyber-sécuritaire du groupe. “De nouveaux critères de sécurité ont été introduits.”

Au Crédit Agricole, une réflexion est en cours sur le déploiement d’outils dédiés au recensement des traitements de données personnelles (registres de traitement). “Nous voulons déployer une solution de data management qui inclut la gestion des registres et l’inscription de toutes les nouvelles modifications, dévoile le CDO. Le chantier est ouvert et nous espérons aboutir sur un choix technologique au printemps pour un déploiement courant 2019.” La banque pourrait opter pour des développements internes ou bien pour des solutions externes, soit développées uniquement pour le RGPD (pour les registres des traitements, le suivi et la traçabilité de l’exercice des droits…) ou bien des outils de data management à vocation plus large, comme Onetrust ou Collibra.

Nouveaux process de gestion de projets

Outre le projet de mise en conformité, les banques ont dû mettre en place le système de fonctionnement post-application du RGPD. Le règlement prévoit par exemple la réalisation d’une analyse d’impact sur la protection des données à caractère personnel quand le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. “Nous avions déjà un registre des traitements, une fiche au registre qui passait au crible les obligations de la Cnil, raconte Lucas Naja, d’Arkéa. Nous nous sommes mis à niveau sur les procédures : tous les nouveaux traitements font l’objet d’une analyse avec de nouveaux critères.” Pour chaque nouveau projet, le responsable le présente à l’équipe du DPO et la grille d’analyse permet de déduire le degré de sensibilité des données. “Si elles sont sensibles, alors nous lançons une analyse d’impact.”

Avant le RGPD, les analyses, moins poussées, étaient réalisées par deux collaborateurs au sein du groupe. Le contrôle a priori de la Cnil est remplacé par un contrôle a posteriori. Et de nouvelles procédures doivent aussi voir le jour, notamment en cas de fuite de données. “Nous avons dû travailler sur des outils de détection, sur des process de remontée et de communication…”, explique Antoine Pichot.

Le DPO doit aussi actualiser en continu la documentation normative et les instructions en interne : “C’est une matière vivante car les réglementations se succèdent, commente Antoine Pichot. Nous avons pour tâche de digérer et normaliser les guidelines pour s’assurer que le groupe reste conforme.” Dominique Moreau-Ferellec renchérit : “la jurisprudence issue du règlement est encore inexistante, donc nous tâtonnons un peu pour élaborer des règles d’usage, et les curseurs vont se préciser au fur et à mesure.”

Les équipes des DPO occuperont également une mission de conseil. “Nous réaliserons des conseils informels et nous serons en lien quotidien avec le régulateur. Nous jouerons un rôle de conseiller sur les nouveaux traitements. Les DPO sur le terrain auront une mission d’adaptation à la régulation locale”, souligne Dominique Moreau-Ferellec.

Chez Arkéa, les équipes seront également amenées à “réaliser des analyses juridiques ponctuelles”, indique Lucas Naja. “Nous ne voulons pas être un frein pour le business mais renforcer l’éthique et s’assurer que la finalité pour laquelle on a fait un traitement soit respectée.” Un dispositif cadre groupe sur la protection des données personnelles va voir le jour : “nous donnons notre analyse du règlement et de sa déclinaison dans le groupe et chaque entité devra l’appliquer sur son périmètre.”

Chantiers en cours

La mise en conformité demeure en perfectionnement. Chez Arkéa, “il nous reste quelques chantiers à terminer, sur l’anonymisation des données, la purge de données, leur durée de conservation…, révèle Lucas Naja. Ce sont des chantiers qui ne sont pas neutres pour l’entreprise car elle brasse beaucoup de données depuis longtemps.”

Au Crédit Agricole, “le chantier de la responsabilité entre donneur d’ordres et sous-traitant s’est avéré plus lourd que prévu”, indique de son côté Dominique Moreau-Ferellec. “Il faut renégocier les conditions des contrats à l’aune du RGPD : réécrire la clause Informatique et Libertés, mais aussi décrire précisément les traitements, les mesures de sécurité informatique et physique liées à la protection des données, rediscuter de la clause de répartition de responsabilité en cas de problème, etc.”. La réécriture des contrats est “un travail extrêmement lourd qui mobilise de nombreux juristes et les services achats”. L’objectif du groupe est d’achever le chantier d’ici la fin de l’année.