Le Big Data au service de la conformité bancaire, la prudence reste de mise
Le BIG DATA, tout le monde en parle, mais dans quel cadre, pour quelle utilité, et jusqu’où aller en termes de collecte de données ?
Des solutions innovantes existent et sont proposées par les éditeurs de la place, mais qu’en est-il du cadre législatif ? Toutes ces questions constituent les grands axes de réflexion stratégique des responsables conformité, dans l’application des évolutions digitales notamment pour la recherche de solutions soulignant les comportements atypiques.
Du cadre réglementaire…
Il convient de préciser ce que dit la loi en France en 2016 sur le sujet, et quelles sont les informations utilisables, et dans quel but, en attendant les nouvelles évolutions du droit Européen en la matière. Les données personnelles (article 6 de la loi relative à l’informatique, aux fichiers et aux libertés) et la personne identifiable (art.2) sont les deux pivots sur lesquels s’appuient les communications de la CNIL. La CNIL, l’ARCEP, le droit communautaire et son application en France nous précisent les informations clients utilisables dans le strict respect de leur vie privée (Cf. Paquet Télécom de 2009 – 2009/150/CE- et loi informatique et liberté du 6 janvier 1978). La CNIL précise que « Les données collectées ne doivent pas être recoupées avec d’autres traitements (fichier clients ou statistiques de fréquentation d’autres sites par exemple).
Le traceur déposé ne doit servir qu’à la production de statistiques anonymes et ne doit pas permettre le suivi de la navigation sur différents sites. Il ne doit pas être conservé au-delà de 13 mois et ne doit pas être prorogé lors de nouvelles visites »
… A la collecte des données
Nous avons tous déjà été surpris, voire agacés, de remarquer certaines bannières publicitaires apparaître sur une page web que nous consultons, nous renvoyant vers un produit que nous avons étudié sur le web, quelques heures, quelques jours auparavant. Les régies publicitaires disposent de la faculté de déposer des cookies dans nos navigateurs, pour les réutiliser plus tard, traçant ainsi l’historique de nos navigations sur le web. Cependant, seules les régies publicitaires ont ce droit aujourd’hui en France, et ce dans un délai de 13 mois maximum. Réutiliser la navigation web des utilisateurs ou des clients n’est permise que dans le cadre de « rappel de publicité » pour le moment.
Alors que faire de ces données dans une perspective de conformité ?
De l’utilisation des données publiques et des données personnelles…
L’utilisation de données semi publiques est-elle autorisée ? Sur les réseaux sociaux, les utilisateurs ne cessent de déposer des informations sur leur vie privée, leur géolocalisation, leur réseau professionnel ou personnel, autant d’éléments significatifs pour une analyse conformité ou fraude.
Néanmoins, ces éléments en l’état actuel du droit ne sont exploitables automatiquement et ne peuvent être croisés avec d’autres fichiers clients détenus par la banque. Par analogie, la France a dû précipitamment modifier en 2015 les lois de lutte contre le terrorisme relatives à la sécurité intérieure du pays pour, entre autres, pouvoir exploiter juridiquement des données collectées sur internet, sans l’acceptation expresse du principal intéressé. De même, dans l’attente d’une modification des textes en vigueur, toute utilisation massive, recoupée et automatisée des données à des fins de lutte anti-blanchiment, en dehors des investigations réalisées par les services de Bercy, pourraient être jugées contraires aux droits fondamentaux des utilisateurs.
Aussi, les données de géolocalisation ne sont exploitables aujourd’hui que si elles sont au préalable anonymisées. La rue de connexion ne peut pas apparaître pour tout traitement informatique de masse.
…A l’analyse prédictive
Dès lors, une fois le contexte juridique posé, comment exploiter toutes les données disponibles, comment les traiter et quelles analyses prédictives peuvent en découler ?
De nombreuse données « conformité » sont présentes dans différents lieux de stockage informatiques sans interconnexions possibles. Aussi, ces données sont souvent collectées et analysées localement. Le BIG DATA doit permettre aux utilisateurs un partage de cette information en différents lieux d’implantation de la banque, tout en respectant le droit local (donc en excluant Singapour et le Luxembourg).
Un dossier client, une fiche KYC, une analyse de crédit peuvent notamment présenter de nombreuses synergies et donc des économies à la clé. Demeure la question de la gestion de ces données, de leur rattachement à un service, de leur collecte. La centralisation des alertes liées au même client, leur interconnexion pour un calcul de scoring commun, la mise à jour en temps réel sont autant de pistes que le BIG DATA peut proposer, couplé à des outils de DATAMINING et DATAMART puissants, tout en respectant l’autorisation unique AU003 de la CNIL. De nouveaux scenarios de requêtes, de contrôles anti-fraudes, d’analyses LCB, de filtrages peuvent être déployés si les données sont dans un premier temps collectées, puis structurées.
Pour que les 5V du BIG DATA soient efficients : Volume, Vitesse (délais d’actualisation), Variété (structure des données), Véracité (qualité des données, rumeurs,..), Valeur (l’utilité produite).
Une analyse des besoins de sécurité financière, de reporting et de vision « régulateur » par pays doit au préalable être pilotée pour apporter de la valeur à cette innovation. Sans maîtrise des règlementations internationales en vigueur lors des développements et des évolutions à court terme (COSI, FATCA, EMIR, MIFID2,..) tout export des fichiers déclaratifs serait désuet.
La priorité repose dans un premier temps sur l’analyse des besoins métiers à mettre en place de ce futur DATAMART Conformité. La mise à jour de listes pays (en fonction des sanctions internationales, des nouveaux groupes terroristes) ne seraient qu’une mise à jour à la main du responsable MOA en charge du SI / Datamart. Le cadrage doit être exhaustif en reprenant toutes les statistiques et données métriques que les services de conformité de la banque utilisent pour leur reporting aux régulateurs ou à des fins de pilotage du risque.
Des solutions transitoires
Dès lors, deux possibilités intermédiaires existent pour les banques ne nécessitant pas de budgets colossaux. Prévoir la modification en amont de tous les disclamers présents sur le site internet de la banque : i) informer explicitement le client de l’utilisation de toutes ses informations de connexion, collectées sur le site (anonymisées pour certaines) à des fins de lutte anti-blanchiment et de lutte contre le financement du terrorisme ; ii) Mise en conformité avec l’article 32 II de la loi du 6 janvier 1978 modifiée par l’ordonnance du 24 août 2011.
Egalement, dans un second temps, le mapping des données déjà disponibles au sein de la banque pourrait orienter des développements internes intermédiaires dans l’attente de toute modification législative à venir (révision Parlement, Commission et Conseil Européen attendue pour 2016). Au lieu de croiser des fichiers internes, il peut-être envisageable de créer une base de données dédiée à la lutte anti-blanchiment, à la lutte contre le financement du terrorisme et à la lutte contre la fraude.
Cette collecte de données implique une étude approfondie du besoin et de l’utilisation cible.
S’appuyant sur l’autorisation unique CNIL AU003, cette nouvelle base de données « compilées » ne serait pas reliée, dans un premier temps, aux informations publiques déposées sur internet, mais pourrait consolider réellement une vision LCB-FT à 360° du client.