• Contenus gratuits
  • Notre offre
Menu
  • Ressources
    • Toutes les ressources
  • Infos
    • Toutes les infos
  • Essentiels
    • Tous les essentiels
  • Analyses
    • Toutes les analyses
  • Data
    • Data
  • Newsletters
  • Profil
    • Je teste 15 jours
    • Je me connecte
  • Profil
    • Mon profil
    • Je me déconnecte
CLOSE

Accueil > Services bancaires > Banque au quotidien > RGPD : qui sont les acteurs positionnés sur le droit à la portabilité ?

RGPD : qui sont les acteurs positionnés sur le droit à la portabilité ?

Alors que le RGPD (Règlement Général de Protection des Données), entré en vigueur le 25 mai, est perçu comme une contrainte dans les entreprises, l’un de ses articles portant sur la portabilité des données personnelles peut, lui, être une chance pour les fintech, les banques et les assurances. Au-delà d’une simple facilitation du travail des agrégateurs, avec l’aide de nouveaux prestataires, il peut déboucher sur de nouveaux services pour les clients. Explications avec Onecub, Cozy, Pikcio, Saagie, CA Technologies et SAS.

Par . Publié le 28 mai 2018 à 16h29 - Mis à jour le 28 mai 2018 à 16h29
  • Ressources

“Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle, lorsque : a) le traitement est fondé sur le consentement en application de l’article 6, paragraphe 1, point a), ou de l’article 9, paragraphe 2, point a), ou sur un contrat en application de l’article 6, paragraphe 1, point b) ; et b) le traitement est effectué à l’aide de procédés automatisés. 2. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d’obtenir que les données à caractère personnel soient transmises directement d’un responsable du traitement à un autre, lorsque cela est techniquement possible (…)”. Alors que le RGPD est désormais une réalité, l’article 20 sur la portabilité des données, une nouveauté longtemps passée inaperçue dans le règlement, commence à intéresser les différents acteurs, notamment dans le monde de la banque et de l’assurance.

Les PIMS en tiers de confiance

Pour Olivier Dion, cofondateur de Onecub, un PIMS (Personal Information Management System – service de gestion des données personnelles), “à cause ou grâce à la DSP2, il y a une plus grande maturité dans la banque sur les bénéfices à retirer de la portabilité. En revanche, elles veulent pouvoir contrôler elles-mêmes tous les échanges et ne pas laisser la main à l’individu. Chaque banque veut faire sa solution dans son coin pour la portabilité complémentaire entre la DSP2 et la RGPD, sans tiers comme les PIMS au milieu. Des banques s’organisent entre elles pour réaliser la portabilité concurrentielle. La situation est différente du côté des fintech qui sont beaucoup orientées vers les APIs dès le départ”. Jouant le rôle de tiers de confiance chargés par les utilisateurs de faire l’interface entre les services détenteurs des données et les services qui pourraient en avoir besoin, les PIMS sont les premiers acteurs capables d’aider les entreprises à mettre en œuvre la portabilité, et plus particulièrement la transmission directe des données d’un responsable du traitement à l’autre.

Devenir un agrégateur de vie numérique

Outre OneCub, en France, Cozy s’est réinventé comme PIMS dans la troisième version de son service avec Cozy Cloud, Cozy Connect et Cozy Banks notamment. “Nous permettons à l’acteur bancaire ou autre de fournir des données au-delà de son propre service. Nous sommes capables technologiquement de récupérer automatiquement les données où elles se trouvent et de développer les APIs pour les exposer. En élaborant le connecteur Cozy, on met la société en conformité avec le RGD”, explique Benjamin André, PDG de Cozy. “Cela permet de créer des liens complémentaires : de la facture dans Cozy Bank, on accède au site du vendeur et éventuellement interagir avec lui sans avoir à donner ses mots de passe. Le PFM (solution de gestion des finances personnelles, ndlr) n’est plus un agrégateur de vie bancaire, mais un agrégateur de votre vie numérique. De plus, chaque acteur qui rejoint l’écosystème Cozy se retrouve à bénéficier des avantages des autres, nous créons les conditions d’un KYC (Know Your Customer) amélioré”, poursuit le dirigeant.

Une solution qui intéresse les fintech plus que les acteurs traditionnels

Pour autant, même si Cozy Cloud, soutenu financièrement par la MAIF depuis 2016, affirme être en discussion avancée avec de grandes banques et assurances pour qu’elles utilisent ses solutions, dans l’ensemble ces secteurs sont plutôt frileux à l’idée de laisser la main à des tiers. Pour Julien Arsac, manager consultant pour Investance Partners, “les acteurs bancaires et les assurances ont envie d’avoir le contrôle de leurs données. Derrière ces craintes, il y a la notion de concurrence, y compris vis-à-vis des nouveaux entrants fintech et GAFAM. Si les particuliers vont de plus en plus vers ces plates-formes, les acteurs traditionnels n’auront pas d’autres choix que de suivre”. En revanche, pour lui, les fintech et insurtech peuvent être particulièrement intéressées : “en tant que nouveaux entrants, ils auront intérêt à faciliter la portabilité pour faciliter la vie de leurs nouveaux clients”.

Une autre solution : le prestataire technique

Une autre approche consiste à faciliter le transfert de données sans que le prestataire y ait lui-même accès. C’est notamment, la solution choisie par Pikcio, anciennement MatchUpBox. La société, qui a levé au premier trimestre 2018 l’équivalent de 10 millions d’euros lors d’une ICO, a choisi de travailler sur un domaine particulier des données personnelles, le KYC. “Chez Pikcio, nos APIs sont connectées aux vérificateurs de pièces d’identité ainsi qu’aux différents fournisseurs de services pour contrôler automatiquement les justificatifs de domicile”, explique son directeur général pour l’Europe, Gonzague Grandval. “La banque cliente obtient ainsi un KYC plus fiable et plus rapide qu’elle va pouvoir partager avec d’autres sur une blockchain privative (basée sur NEO, ndlr). Cette chaîne n’est pas invasive, car elle ne collecte pas elle-même les données. Elle se contente de créer de la confiance entre les différents collecteurs”, souligne le co-fondateur de Paymium.

Dans le cas d’une banque, ces collecteurs peuvent être les différentes caisses régionales et filiales, mais également des partenaires (compagnies d’assurance ou commerçants pour un organisme de crédit par exemple). Pikcio est déjà en relation avec plusieurs groupes bancaires dont BNP Paribas (via ses filiales BNP Paribas Personal Finance et Cardif), “mais idéalement, il faudrait une démarche interbancaire. C’est un processus long”, considère Gonzague Grandval. La start-up vient en outre d’intégrer le programme d’accélération co-développé par BNP Paribas et Plug and Play à Station F.

Saagie, société qui se présente comme une solution de “Big Data-as-a-service”, se positionne également comme un fournisseur d’infrastructure. Et utilise le RGPD et les contraintes propres à l’article 20 comme point d’entrée pour sa solution. Pour Matthieu Olivier, Big Data Expert chez Saagie, “nous sommes la plate-forme qui fait la colle entre les briques du Big Data au sein de plusieurs entités bancaires : Bpifrance, Caisse d’Épargne, Matmut. Au sein de la plateforme, il y a un module de data gouvernance. Celui-ci est le moteur qui permet d’exporter la donnée à caractère personnel à l’extérieur de l’entité bancaire de manière sécurisée sous forme d’une API standard. Ce que le client final en fera dépendra de la façon dont il l’installera, et dont il choisira d’exposer ainsi les données à un agrégateur, un PIMS ou entre professionnels du monde bancaire”.

Des contraintes organisationnelles à résoudre

Les éditeurs traditionnels tels que SAS ou CA Technologies ont également des solutions de gestion des données qui peuvent s’adapter pour faciliter la mise en œuvre de l’article 20 du RGPD. Mais s’ils se disent prêts, ce n’est pas le cas de leurs clients. Pour Marie-Benoîte Chesnais, responsable sécurité senior chez CA Technologies, “de ce que nous constatons, nos clients sont encore assez loin. Les équipes qui s’occupent du RGPD l’ont bien identifié et savent techniquement que cela pourra être fait. Nous sommes encore loin de l’industrialisation. Pour beaucoup, le RGPD c’est encore la cartographie des données, la sécurisation, les relations avec les sous-traitants”.

La technique seule n’est pas l’unique raison de ce retard selon Sarah Cadiot, privacy and compliance council EMEA chez SAS. “Les responsables de traitement, quand ils reçoivent une demande de portabilité, vont devoir vérifier s’ils sont dans les conditions prévues par l’article 20. Le règlement dit qu’il faudrait répondre dans les meilleurs délais d’un à trois mois pour les applications très complexes. Cela va inciter les entreprises à se tourner vers des fournisseurs ayant les outils nécessaires. De manière générale, il y a une tendance très forte des secteurs qui se préparent avec des réglementations sectorielles : paiement, banques, assurances et télécommunications. Sur l’article 20, ces secteurs réglementés et avec un lien direct avec l’utilisateur ont le plus d’activités et recherche des solutions adaptées”. Marie-Benoîte Chesnais renchérit en estimant que “toutes les fintech qui se sont positionnées sur la DSP2 et qui ont une expérience dans l’agrégation de données ont une carte à jouer. Ce qui a été fait dans un marché vertical peut facilement se porter de façon transversale”.

“La portabilité n’est pas une priorité”

Julien Arsac, manager consultant pour Investance Partners, travaille sur les questions du RGPD avec les clients banques et assurances du cabinet. Pour lui, “il y a des réflexions concernant l’article 20, mais cela ne va pas être un sujet prioritaire, car la portabilité nécessite un consensus de place entre les différents acteurs par spécialité. L’impact sera différent selon si l’on a une activité de banque de détail, de banque d’investissement ou d’assurance-vie ou dommages. Le fait pour un particulier de changer de banquier ou d’assureur sans faire de démarche implique qu’il y ait un socle de données commun pour que les acteurs aient des fichiers à s’échanger entre eux. La FBF a tendance à vouloir échanger le minimum de données, alors que côté assurance, il y a un périmètre assez large en cours de discussion. Mais l’ensemble des discussions n’a pas encore abouti et la mise en place de la portabilité dès le 25 mai est totalement illusoire. Et en termes de chantier RGPD, la portabilité est une priorité 2, et là on se concentre sur la priorité 1 (soit la sécurité, l’information des personnes, et la collecte des données)”.


Cliquez sur le tableau pour l’agrandir (PDF)

 

  • données personnelles
  • protection des données
  • RGPD

Besoin d’informations complémentaires ?

Contactez Mind Research

le service d’études à la demande de mind

À lire

Règlement européen sur les données personnelles : quels enjeux et solutions pour les assureurs ?

Les Français inquiets mais désinvoltes face à leurs données personnelles
Découvrez nos contenus gratuitement et sans engagement pendant 15 jours J'en profite
  • Le groupe mind
  • Notre histoire
  • Notre équipe
  • Nos clients
  • Nos services
  • mind Media
  • mind Fintech
  • mind Health
  • mind Rh
  • mind Retail
  • mind Research
  • Les clubs
  • mind et vous
  • Présentation
  • Nous contacter
  • Vous abonner
  • A savoir
  • Mentions légales
  • CGU
  • CGV
  • CGV publicité
  • Politique des cookies
Tous droits réservés - Frontline MEDIA 2025