RGPD : que peut-on envisager après un an de chantier ?
Les dernières décennies se sont avérées être un réel tremplin à l’ère de l’innovation et de la transformation digitale. Entre le déploiement de CRM renforcés, l’automatisation de nombreux traitements au sein des banques et le déferlement de nombreux e-services, la collecte des données personnelles est plus que jamais au cœur des activités entrepreneuriales et de la relation client.
Bien qu’elles soient bénéfiques pour tous (gain de temps, économie de coûts, etc.), les activités basées sur la collecte de données ont engendré de nombreux incidents. Nous pouvons entre autres citer l’attaque mondiale des rançongiciels Wannacry et Petrwrap, le piratage de données bancaires de 400.000 clients chez Unicredit, ou encore le piratage massif des données clients du VTC Uber en 2016. Ce type d’incidents représente des risques majeurs, tant bien pour les banques que pour leurs clients. Ainsi, lorsqu’ils surviennent, les conséquences sont non-négligeables. C’est en vue de renforcer les droits et la protection des citoyens de l’union européenne quant à l’usage de leurs données personnelles, et de lutter contre ce type d’incidents, que le Règlement Général pour la Protection des Données personnelles (RGPD) a été établi. Il est fondé sur 99 articles et entrera en vigueur le 25 Mai 2018.
Le présent document a pour but de rappeler les travaux menés depuis Avril 2016 par les banques en vue de se mettre en ligne avec les exigences du règlement. Nous présenterons également dans un second temps les chantiers qui seront déroulés tout au long des 12 prochains mois en amont et en aval de la date d’échéance.
Retour sur 1 an et demi de travaux
D’Avril 2016 à Mai 2018, les banques auront disposé de 2 ans pour se mettre en conformité au regard des dispositions du Règlement Général pour la Protection des Données. Début 2018, à 4 mois de l’échéance, nous vous proposons de revenir sur les actions menées par les principaux acteurs concernés par la réforme et les difficultés rencontrées.
- Etat des lieux
Dans l’ensemble, les projets de mise en conformité en lien avec RGPD ont démarré tardivement (fin 2016). Cela est dû à une surestimation des organismes par rapport à leur niveau réel de maîtrise du sujet. A ce jour, les actions menées se sont déclinées en trois temps majeurs :
- Deuxième semestre 2016 : lancement des premiers projets – principalement des analyses règlementaires et plans de cadrage ;
- Premier semestre 2017 : démarrage de la gouvernance de la vie privée et actions commerciales pour promouvoir les réformes auprès des tiers ;
- Deuxième semestre 2017 : analyses et premières actions de remédiations informatiques.
Le chemin déjà parcouru a donc essentiellement consisté à identifier, analyser et prioriser les processus (informatisés ou non) en lien avec le traitement et le stockage des données. Il y a également eu divers projets portant sur la mise en place d’une Gouvernance spécifique ayant pour but de répondre au fondement d’Accountability du RGPD (traçabilité). Cette gouvernance consiste à piloter les actions et suivre les évolutions des données collectées.
Si la protection des données est une problématique existant depuis de nombreuses années, elle est à distinguer du nouveau règlement. En effet, les nouveautés apportées par cette législation impliquent entre autres le droit à l’opposition à toute action marketing.
Les nouvelles réformes nécessitent une quantité de ressources humaines et financières non négligeables. Malheureusement, les banques ne se sont rendu compte de l’ampleur des dispositifs que très tardivement (et bien souvent après le déploiement des projets). Ce retard a principalement impacté les estimations sur les budgets réellement nécessaires, l’ampleur des programmes et plans de charges associés.
Intéressons-nous dans un premier temps aux plans de charges. Pensant avoir une certaine maîtrise du sujet (protection des données et de la vie privée numérique), les banques n’ont pas pris le temps de faire une étude en amont de la capacité d’exploitation réellement nécessaire. De ce fait, nous avons très rapidement constaté une tendance à la réévaluation systématique des ressources nécessaires. Cela a conduit les banques à faire énormément d’appels d’offres de dernière minute pour un renforcement d’urgence de la force de travail, et à une réévaluation continuelle de celle-ci.
Concernant les stratégies budgétaires, le bilan est le même. Les charges de travail sont étroitement liées aux budgets nécessaires. Il y a donc eu, sur cet aspect également, une sous-estimation des ressources disponibles au regard de celles réellement nécessaires. Le déséquilibre entre les budgets disponibles, et les budgets nécessaires est souvent survenu, notamment dans les PME. Il a donc parfois été nécessaire de « déprioriser » certains projets au profit de la mise en conformité au RGPD.
- Rappel des difficultés rencontrées
Les professionnels ayant participé et piloté des projets en lien direct avec la mise en conformité RGPD sont unanimes. Quels que soient le contexte, le secteur ou encore le type de données traitées, il y a 5 « points dûrs » récurrents qui constituent un facteur de ralentissement au chemin vers la conformité. Ces principaux éléments, que nous rappelons ci-dessous, constituent la base des travaux qu’il reste encore à effectuer, et que nous aborderons dans un second temps.
Les difficultés d’interprétation du texte et le manque de maturité des acteurs (plusieurs règlements, parmi lesquels le droit à la portabilité, ne sont pas clairement énoncés et les organisations risquent de devoir défaire ce qu’elles auront entrepris si cela n’est pas en phase avec exigences réelles)
L’application des délais de rétention et du droit à l’oubli (la suppression des données clients est bien souvent compliquée à appliquer car un bon nombre d’éléments ne sont pas gérés ou maîtrisés par les systèmes d’information ; il s’avère bien souvent difficile de déterminer une liste exhaustive des données concernées) – ici, les coûts sont estimés de 40 à 200 mille euros par application
La mise en conformité des nombreux contrats clients existants (il est question ici de revoir plusieurs dizaines de milliers de contrats au cas par cas dans un délai qui s’avère être manifestement trop court ; en théorie, les banques disposeraient de quelques mois pour la réconciliation de contrats accumulés sur plusieurs dizaines d’années)
La mise en œuvre d’une méthodologie d’accompagnement des projets, et le déploiement d’outils d’analyse de risques sur la vie privée (c’est la refonte des processus sur l’intégration de la protection des données ; elle vise à implémenter des méthodes plus simples et pragmatiques – en mettant en place un tri initial – afin de focaliser l’attention sur les points plus sensibles)
La mobilisation des rares ressources expertes du sujet à même de contribuer aux chantiers et d’intégrer les équipes DPO (il convient de mettre en place un positionnement stratégique des experts car ce sont des ressources rares – compte tenu de la complexité du règlement – et difficiles à trouver que ce soit en interne ou en cabinet de conseil ; début 2018, les banques peinent encore à avancer sur ce point).
Il reste encore beaucoup de chantiers à entamer, et nous les évoquerons dans la deuxième partie de cet article. En novembre 2017, le baromètre RGPD indiquait que 44% des banques estimaient qu’elles ne seraient pas en conformité d’ici la date d’échéance. Ainsi, en se projetant de manière réaliste, nous sommes d’accord avec l’idée selon laquelle 81% des banques ne seront pas totalement conformes d’ici Mai 2018. Pour autant, la plupart des projets ont déjà bien avancé dans leurs phases de remédiations. Il faut toutefois dès à présent envisager des solutions pour faire face aux sanctions en cas de manquements.
Quid de l’avenir de RGPD en 2018?
Nous pouvons déjà prévoir une année 2018 laborieuse. En effet, l’ensemble des études portant sur l’avancement des travaux de mise en conformité et le niveau de maturité des banques vont vers une même conclusion : la majeure partie des acteurs concernés par le nouveau règlement ne seront pas prêts à l’échéance. De plus, la majeure partie des banques disposant de moyens suffisants choisissent de faire appel à des prestataires externes pour les aiguiller.
- Ce qu’il reste à faire : de nombreux projets de remédiation et de conduite du changement sont à prévoir au cours des 12 prochains mois. Les professionnels ayant une connaissance plus opérationnelle du sujet portent des avis similaires sur le type de chantiers à prévoir. De plus, bien qu’il soit encore trop tôt pour avoir une vision précise de l’issue des contrôles de conformité, nous pouvons d’ores et déjà supposer qu’il y aura des travaux postérieurs à effectuer. Si la nature de ces futurs chantiers reste à préciser, nous sommes convaincus qu’ils seront axés sur les points énoncés ci-dessous.
- Rattraper le retard : selon une étude présentée par Raphael Lebrun (Manager expert de la conformité RGPD au sein du cabinet WAVESTONE), 75% des acteurs concernés par les réformes du règlement ont démarré leurs travaux de mise en conformité au courant de l’année 2017. Les dispositions ont été complexes à comprendre et à adapter, et les ressources sont constamment réhaussées. Partant de ces principes, il est certain qu’un retard important a été pris, et il sera indispensable de le rattraper au plus vite et de manière efficace en vue d’éviter d’éventuelles sanctions lourdes.
- Réconcilier les contrats : dans de nombreuses banques, la question de la rétroactivité constitue un jalon clé sur le chantier de la mise totale en conformité. Ainsi seront déployés ou accélérés un grand nombre de travaux qui auront pour but de remettre les contrats précédents au niveau des exigences RGPD.
- Corriger les erreurs de mise en pratique : il n’est plus à démontrer que les textes issus du nouveau règlement sont complexes, et que l’interprétation de certaines dispositions reste incertaine. Il est donc fort probable qu’à l’issue des contrôles de conformité, des demandes de corrections soient formulées par les autorités compétentes. Il sera alors urgent de rectifier les points ciblés.
- Poursuivre le renforcement des SI : Les systèmes d’informations sont fortement sollicités dans les travaux de mise en conformité au RGPD. Comme nous le savons, le nouveau règlement prévoit que les individus disposent d’un certain nombre de droits (d’accès et de rectification ou à l’oubli et à la portabilité) dans un délai d’1 mois pour certaines demandes. Cela impliquera de nombreux impacts qui nécessitent un perfectionnement des outils de traitements. Le schéma ci-dessous récapitule les principaux aspects qu’il sera utile de maîtriser au cours des prochains mois :
- Sensibiliser les équipes sur l’importance du règlement et dispenser des formations : le niveau de maturité des banques en termes de connaissances RGPD ne s’est réhaussé que très récemment. Il sera nécessaire de former les collaborateurs sur les bonnes pratiques, et les accompagner afin qu’ils se familiarisent avec les nouveaux processus et modes opératoires. C’est sur cet aspect que porterons la plupart des projets de conduite du changement.
- Structurer l’organisation autour d’un DPO : Robert HALF rapportait en Novembre 2017 que plus de la moitié des banques étaient encore à la recherche de profils orientés RGPD. Le recrutement du DPO n’est pas simple, car il devra idéalement avoir un profil de juriste spécialisé dans les NTIC ou spécialiste des traitements de données avec de solides connaissances des lois et règlementations. C’est un profil difficile à trouver et coûteux. De plus, il convient de mettre une petite équipe autour du DPO en fonction de la taille de l’entreprise et de la cartographie des traitements. Dans certains cas, notamment pour les PME, il pourrait être judicieux d’externaliser la fonction. Les activités autour du DPO (insertion dans l’organisation générale, mode d’intervention, management, etc.) constitueront donc également une part importante des missions « post RGPD ».
La disposition selon laquelle le stockage des données devra être limité dans le temps engendre également une problématique. En effet, les institutions ne seront plus en mesure de fournir des duplicatas de documents au-delà d’un certain temps. Cela pourrait avoir des impacts plus ou moins importants sur les tiers en fonctions du type de document sollicité. En effet, quel que soit le type de document sollicité (factures, relevés bancaires, avis d’imposition, actes de naissances/décès, certificat de mariage, diplôme, etc.), il ne sera plus possible de disposer de duplicata au-delà d’un certain délai. Cela pourrait constituer un problème majeur, et il est important de se questionner dès à présent sur les solutions qui pourraient y être apportées.
Les données personnelles sont amenées à être de plus en plus indispensables. Cela s’explique par de nombreux phénomènes parmi lesquels nous pouvons citer : l’intelligence artificielle, l’automatisation des processus, les évolutions technologiques et l’accroissement des usages numériques. Il est donc indispensable de sécuriser l’ensemble des opérations en amont, et de faciliter les échanges.
La majeure partie des banques perçoivent le Règlement Général sur la Protection des Données comme une contrainte avec de lourdes sanctions en cas de non-conformité. Pourtant, il s’avère intéressant, à notre avis, d’emmener la protection des données au-delà des obligations de conformité, et par là-même, d’instaurer une confiance sur le long terme. Une telle initiative permet de renforcer le sentiment de confiance vis-à-vis des tiers. Par exemple, de grands acteurs d’internet tels qu’Amazon, Google, Facebook, et Microsoft ont manifesté leurs intentions de développer l’intelligence artificielle au bénéfice des citoyens en y associant immédiatement un comité d’éthique. C’est là un vecteur considérable de différenciation dans la gestion des relations clients.
Nous le savons, les dispositions de RGPD ont entre autres résultantes une remise à niveau (égal) des banques. Aussi, nous pensons que toute activité ayant pour finalité la protection des données numériques consiste à « faire du digital autrement ». Par conséquent, il est de l’intérêt des banques que ce principe soit mis à profit comme un tremplin pour une rénovation de la relation client. Ainsi, ce qui aujourd’hui représente des contraintes de conformité, deviendra un atout stratégique de business development. Nous ne pouvons achever cet article sans citer Milad DOUHEILI (philosophe américain titulaire de la chaire d’humanisme numérique à l’université Paris-Sorbonne), qui rapportait lors d’une entrevue que « au travers du blockchain, on va transférer la confiance vers la puissance de calcul de la machine plutôt qu’aux tiers de confiance classiques comme les États et les banques. C’est un changement de délégation majeur ». Cette réflexion nous mène à nous demander jusqu’où s’étend le regain de confiance envisagé par la protection des données, et si les dispositions prises sont suffisantes au regard de la conjoncture actuelle. N’oublions pas qu’au-delà des aspects juridiques, RGPD apparaît comme un défi réglementaire qui impacte l’organisation dans sa globalité, et à la culture de l’entreprise.