Les datas sont au coeur des préoccupations depuis plusieurs années déjà. Des initiatives comme l’Open Data auquel a souscrit le Groupe BPCE permettent une meilleure circulation de données publiques, mais les données personnelles sont de plus en plus protégées. Vous n’avez probablement pas pu échapper aux multiples articles autour de la RGPD. Voilà une petite présentation des conséquences de cette nouvelle réglementation sur votre métier de conseiller financier.
Mise en place de la RGPD : difficile d'y voir clair
Récapitulatif sur la RGPD
La mise en place du nouveau « Règlement Général sur la Protection des Données » (RGPD, en anglais General Data Protection Regulation) aura lieu le 25 mai 2018. Cette initiative a pour but de responsabiliser les entreprises dans l’utilisation des données personnelles des citoyens européens.
Toute entreprise ayant des données personnelles sur ses clients est concernée, les banques sont donc en première ligne. Toutes les entreprises doivent respecter ce règlement, mais en fonction de la sensibilité des données et de leur volumétrie, le travail de conformité sera différent.
Des processus en interne revus
Nomination d’un Data Protection Officer
Toutes les entreprises ont la possibilité de désigner un DPO. Cette nomination est obligatoire pour les organismes publics, ou les organisations avec des activités nécessitant la surveillance régulière à grande échelle des personnes, comme les banques et les assurances, et pour les organismes traitant de données sensibles (hôpitaux, sites de rencontre, etc.).
Le Délégué à la Protection des Données a comme mission de veiller à la conformité en matière de protection des données traitées par l’entreprise.
Prenez le temps de l’identifier, c’est à lui que vous pourrez poser vos questions sur la conformité de vos opérations, et qui fera le lien avec la CNIL.
Le dossier de conformité
L’entreprise devra dorénavant prouver qu’elle est en conformité avec la RGPD, en mettant notamment en place un registre des traitements, qui devra rendre compte du contenu et de l’utilisation des données que vous possédez. Elle devra également consigner leur durée de conservation, mentionner les conditions de stockage et les accès, les mesures de sécurité mises en place ainsi que des analyses d’impact sur l’utilisation des données.
L’audit de vos données sensibles
Sont qualifiées de données sensibles les informations portant sur l’origine raciale ou ethnique, les opinions politiques, religieuses ou philosophiques, l’appartenance syndicale, des données sur la santé, l’orientation sexuelle, mais aussi les données génétiques ou biométriques, et les infractions ou condamnations pénales.
Justifier de l’utilité des données collectées
Une des règles vous concernant est l’obligation de justifier des données collectées. En tant que conseiller financier, c’est votre rôle de tout connaître vos clients, afin d’être en mesure de leur offrir des conseils avisés. Prenez le temps de sélectionner désormais les données que vous conserverez, afin de ne pas être accusé par la suite d’avoir gardé des données sensibles, mais pas vraiment nécessaires à votre activité.
Nettoyer les données qui ne sont plus utiles
La RGPD change la manière dont vous traitez vos données dans le temps
La RGPD prend en compte l’archivage des données personnelles, qui doit être sélectif, limité dans le temps et sécurisé. Passez en revue vos fichiers clients, et de ne gardez que ceux concernant vos clients actuels.
Après 3 ans sans action sur un client, il faut lancer l’anonymisation, et 2 ans après le dernier contact avec un prospect, ses données doivent être supprimées.
Une communication plus transparente avec vos clients.
Le consentement à formaliser
« Qui ne dit mot ne consent pas ». Cet adage ne peut plus prévaloir à l’ère de la RGPD. Désormais, il va falloir clairement informer vos clients, et obtenir leur consentement de manière explicite.
Ce consentement devra prendre en compte toutes les données obtenues à l’origine de la collecte d’informations. Il devra aussi spécifier la durée de conservation de ces fichiers, la finalité d’utilisation de ces données, et la manière dont les clients peuvent exercer leurs droits.
Après le 25 mai, vous n’avez normalement plus le droit d’utiliser des informations sans ce consentement, donc anticipez les demandes.
Le droit de regard sur leurs données par les clients
Vos clients auront maintenant le droit en tout temps d’avoir accès à leurs données, et de pouvoir les modifier, voire de les supprimer. Il faut donc mettre en place un formulaire de contact pour que vos clients puissent s’informer des données en votre possession les concernant. Vous bénéficiez d’un mois après réception de la demande pour répondre, mais vous pouvez demander 2 mois supplémentaires si vous en informez le client et justifiez de la complexité de sa demande.
De même, les clients peuvent demander la portabilité de leurs informations, dans le cas où ils voudraient que leur dossier soit transmis à un organisme concurrent.
Le devoir d'information en cas de problème de sécurité
Des mesures de sécurité adaptées à la sensibilité des fichiers doivent être mises en place, afin de garantir la vie privée de vos clients. En cas de problème, il faudra les prévenir dans des délais très courts, et ne pas faire comme Yahoo qui avait mis près de deux ans à avouer un piratage touchant 1 milliard de leurs utilisateurs, en 2013.
Les risques
Le sujet des données personnelles est important car 85% des Français sont préoccupés par la protection des données personnelles.
A partir du 25 mai, les associations de consommateurs ou des groupements de particuliers vont pouvoir porter plainte, alors qu’avant les infractions n’étaient constatées que lors de contrôles par la CNIL.
Votre entreprise court des risques en cas d’utilisation incorrecte, de divulgation accidentelle ou de perte des données. Le risque de mauvaise réputation notamment est engagé, car un client hésitera à donner des informations personnelles, qui sont pourtant essentielles, à une entreprise qui a la réputation de ne pas être fiable ou bien sécurisée.
En outre, les amendes en cas d’infraction reconnue peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial.
Déposer un commentaire