Secteur bancaire – Comment se préparer au RGPD ?

Le secteur bancaire est l’une des industries les plus régulées, cependant, de nombreuses banques sont déstabilisées par le Règlement Général sur la Protection des Données (RGPD). Le règlement, qui sera mis en application dès le 25 mai 2018, révise la manière dont les organisations traitent les données personnelles. Il comprend de nombreuses exigences, mais nous avons souhaité mettre en avant dans ce blog trois étapes essentielles à suivre au plus vite.

 

  1. Documenter une base juridique au traitement

La plupart des organisations utilisent le consentement afin de traiter les données personnelles, mais le RGPD décourage cette pratique en renforçant les exigences liées au consentement. Les organisations devraient plutôt utiliser l’une des cinq autres bases juridiques lorsque possible :

  • Un contrat avec l’individu : par exemple, pour fournir des biens et services ou un employé devant remplir une obligation.
  • Conformité avec une obligation légale : lors du traitement des données à des fins particulières est une obligation légale.
  • Intérêts vitaux : par exemple, lorsque le traitement des données protège l’intégrité physique ou la vie d’une personne (personne concernée ou autre).
  • Une tâche publique : par exemple, afin de remplir des fonctions officielles ou des tâches dans l’intérêt public. Cela couvre les autorités publiques telles que le gouvernement, les écoles et autres établissements d’enseignement, les hôpitaux et la police.
  • Intérêts légitimes : lorsqu’une organisation du secteur privé a des raisons honnêtes et légitimes (y compris le bénéfice commercial) de traiter les données personnelles sans consentement, sous réserve qu’elles ne soient pas éclipsées par des effets négatifs liés aux droits et libertés des individus.

Dans la plupart des cas, les banques pourront utiliser un contrat avec la personne concernée ou un intérêt légitime. Quelque soit la base juridique utilisée par l’organisation, la personne concernée doit être informée des données collectées par l’organisation, ce pour quoi ces données seront utilisées, combien de temps elles seront archivées et si elles seront partagées avec des tierces parties. Les personnes concernées devront également être informées de leurs droits, y compris le droit d’accéder à toute donnée conservée par l’organisation et de rectifier ou supprimer toute donnée incorrecte ou inutile.

Cette information doit être facilement accessible à la personne concernée et écrite dans un langage facile à comprendre.

 

  1. Embaucher un délégué à la protection des données

La plupart des banques décideront de désigner une personne ayant pour objectif d’encadrer la mise en conformité de l’entreprise – mais le RGPD rend cela obligatoire.

Le DPD a plusieurs obligations, y compris :

  • La sensibilisation du personnel aux exigences de conformité du RGPD,
  • La formation du personnel impliqué dans les activités de traitement des données,
  • La gestion d’audits,
  • Etre le point de contact entre l’organisation et l’autorité de contrôle.

Le DPD doit faire suivre ses rapports directement au plus haut niveau (conseil d’administration) et le conseil devra lui fournir les ressources nécessaires afin de répondre à ses obligations.

L’article 39 du règlement propose une présentation détaillée des tâches du DPD.

 

  1. Droit à la portabilité

Le droit à la portabilité permet aux individus d’obtenir toute information conservée par une organisation à son sujet et de les réutiliser à ses propres fins. Les individus peuvent alors, soit les conserver à des fins personnelles, soit les transmettre à un autre responsable du traitement.

Les données doivent être reçues « dans un format structuré, couramment utilisé et lisible par machine ».

Comme le cabinet juridique Simont Braun l’explique : « L’objectif est donc de fournir à la personne concernée la possibilité d’obtenir, de réutiliser et de transférer ses données personnelles d’une responsable du traitement à un autre (ex : une tierce partie prestataire de services de paiement telle qu’un). »

Le droit à la portabilité concerne :

  • Les données personnelles données à un responsable du traitement par un individu,
  • Les traitements de données effectués à l’aide de procédés automatisés,
  • Les traitements de données fondés sur le consentement de la personne concernée ou sur la nécessité d’exécuter un contrat.

Les secondes et troisièmes conditions sont relativement explicites, mais la notion de données personnelles « données au » responsable du traitement n’est pas très claire. L’article 29 du Data Protection Working Party précise que cela fait référence aux informations « liées à l’activité de la personne concernée ou qui résultent de l’observation du comportement d’un individu. »

Cela comprend « les données fournies activement et sciemment par la personne concernée […] (par exemple, adresse email, nom d’utilisateur, âge, etc.) » et « données observées [telles que] l’historique de recherche d’une personne, les données de navigation et la localisation des données [ou] d’autres données brutes telles que le rythme cardiaque contrôlé par les montres connectées de fitness et de santé ».

Cependant, les déductions ou « analyses ultérieures des données », telles que les conclusions d’un bilan de santé, ne sont pas dans le champ d’application.

 

Etes-vous prêts pour le RGPD ?

La préparation au RGPD ne consiste pas simplement à la mise en conformité vis-à-vis du règlement par des spécialistes. En effet, toute personne de votre organisation traitant des données personnelles devra connaitre ses obligations. C’est pourquoi le règlement met en avant le besoin de formation du personnel.

Notre formation en ligne de sensibilisation du personnel présente le règlement aux employés et leur explique :

  • Les rôles clés de protection des données,
  • Le champ d’application du RGPD,
  • Les six principes de collection et de traitement des données personnelles, et
  • Comment se conformer au RGPD.

En savoir plus >>

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.