Vision
Et si vous abordiez la GDPR comme une opportunité ?
L’entrée en vigueur de la nouvelle loi européenne sur la protection des données (GDPR) impose aux banques de repenser leur manière de traiter les données clients. Quitte à devoir investir dans une transformation conséquente des processus de gestion de vos « données clients », autant le faire avec une démarche orientée croissance et développement.
La GDPR (General Data Protection Regulation) est le nouveau règlement européen qui s’appliquera dès mai 2018 à toute entreprise collectant, traitant et stockant des données relatives à des personnes physiques identifiées ou identifiables.
Cette loi repose sur le droit fondamental inaliénable que constitue, pour chaque citoyen, la protection de sa vie privée et de ses données personnelles.
Bien qu’européenne, la GDPR s’applique également aux établissements suisses servant une clientèle européenne.
Leur mise en conformité représente un défi de taille étant donnés les délais (25 mai 2018), ainsi qu’un coût de mise en œuvre qui se chiffrera en millions pour les établissements de taille moyenne à grande.
Une telle contrainte ne peut-elle pas néanmoins représenter une opportunité pour votre entreprise ?
Dans les banques, ces problématiques réglementaires sont fréquemment abordées de manière « réactive », dans le sens où il s’agit avant tout de répondre au minimum des exigences réglementaires pour se conformer à la loi entrant en vigueur.
Dans le contexte GDPR, cette approche « minimale » représentera néanmoins un investissement considérable.
En effet, la loi impose aux établissements de mettre en place une nouvelle gouvernance des données clients qui garantisse un traitement adéquat de ces données, y compris dans leur stockage, leur sécurité et la préservation de leur confidentialité.
Le travail réalisé dans le cadre de l’entrée en vigueur de l’annexe 3 de la circulaire Finma 2008/21 a permis d’identifier et de renforcer la protection des CID (Client Identifying Data) dans la plupart des établissements bancaires helvétiques, mais cette exigence réglementaire n’allait pas aussi loin que celle imposée par la GDPR.
La nouvelle loi impose par exemple d’être capable en tout temps de fournir à son client toutes les données le concernant dans un format qui soit acceptable pour une éventuelle transmission à un autre établissement bancaire.
Elle impose également de pouvoir supprimer des systèmes de la banque toutes les données concernant un client (droit à l’oubli) et dont la conservation ne serait pas imposée par d’autres obligations légales.
Elle exige la mise en place d’une infrastructure de stockage de ces données qui soit suffisamment solide pour garantir un respect absolu de la confidentialité de ces données, que ce soit vis-à-vis des collaborateurs internes ou de risques d’intrusions externes à la banque. Les contrevenants s’exposent à des pénalités extrêmement importantes (4% du chiffre d’affaires global ou 20 Mios EUR).
Le travail à réaliser sur les données de vos clients vous offre une opportunité unique de repenser la manière de gérer ces données et de mieux les utiliser dans le futur.
Nombre de vos données clients sont aujourd’hui stockées dans des environnements inadaptés à leur bonne exploitation et de manière incompatible aux exigences de la nouvelle loi européenne.
Un modèle de gestion plus efficace de ces données sensibles vous permettrait d’améliorer la connaissance globale de vos clients et d’ainsi mieux satisfaire leurs attentes, en renforçant par exemple la prise en compte de leurs spécificités.
Ces données seraient ainsi disponibles non seulement pour répondre efficacement aux requêtes de vos clients relativement à la nouvelle loi sur la protection des données, mais aussi pour démarcher activement ces mêmes clients et leur proposer des services adaptés à leurs besoins actuels ou leurs attentes futures.
Les banques traitant une clientèle européenne n’échapperont pas à un projet de mise en conformité avec la réglementation GDPR. Et l’on peut s’attendre à ce que la révision de la loi Suisse sur la protection des données (LPD) s’inspire fortement de la GDPR.
Si ce n’est déjà fait, un tel projet doit être initié rapidement, sans toutefois confondre rapidité et précipitation.
L’établissement d’un plan d’actions complet et clairvoyant vous permettra de tirer le meilleur parti des travaux nécessaires, en préparant votre établissement aux défis futurs d’un nouvel environnement bancaire devenu beaucoup plus concurrentiel et exigeant.
Par Jean-Claude Favre
CEO