Le Règlement General sur la Protection des Données (RGPD ou GDPR en anglais : General Data Protection Regulation ), entré en vigueur le 25 mai 2018, s’inscrit dans la continuité de la Loi Informatique et Libertés du 6 janvier 1978 qui stipule que « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant». De fait, le RGPD encadre le traitement des données personnelles au sein de l’Union Européenne. Les entreprises ou organismes qui ont donc recours à la collecte de données de résidents européens sont tenues aujourd’hui d’assurer une protection optimale de ces données. Le secteur bancaire est particulièrement concerné de par le traitement des données personnelles récoltées auprès de leurs clients.

Les données personnelles bancaires

En France, c’est la Commission Nationale de l’Informatique et des Libertés qui encadre le RGPD. La CNIL définit une donnée personnelle comme étant « toute information identifiant directement ou indirectement une personne physique (ex. nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…) ». Au travers des comptes bancaires de leurs clients, les banques sont donc en mesure de connaitre leurs habitudes de consommation. Les banques ont également accès à des données sensibles liées au patrimoine de leurs clients.

D’après une étude du CSA : Chez 80% des français le risque le plus important pour eux est le risque de se faire pirater leurs données bancaires. « Les banques sont les seuls acteurs à obtenir la confiance de plus de la moitié des Français en matière de protection des données ».

Les droits des clients

Le Régime General sur la Protection des données permet aux clients d’une institution bancaire un certain nombre de nouveaux droits :

• un droit à l’accès : les clients ont ainsi la possibilité de demander à leur banque de leurs restituer un fichier informatique contenant toutes leurs informations personnelles;
• un droit à la portabilité : les clients peuvent transmettre leurs données auprès d’une autre institution bancaire ;
• un droit à l’oubli : les clients peuvent demander à leur banque de procéder à la suppression de l’ensemble de leurs données.

Ces droits visent à protéger les consommateurs. L’objectif du RGPD est de permettre une transparence et une sécurité financière.

Des sanctions possibles

Toute entité ne respectant pas la réglementation générale sur la protection des données pourra être sanctionnée d’une amende pouvant atteindre les 20 millions d’euros ou 4% du chiffre d’affaires. Pour éviter cela, de grandes entreprises s’entourent de juristes experts.

Une mise en conformité nécessaire

L’article 37 du RGPD prévoit la nomination d’un DPO (Data Protection Officer ou Délégué à la Protection des données ) au sein des entreprises pour s’assurer de la mise en conformité du RGPD. Toutes les institutions financières et établissements de crédit doivent en designer un. Le DPO doit disposer de connaissances juridiques et de connaissances en matière de protection des données. Il apporte des conseils auprès des collaborateurs de son entreprise, veille à l’application du droit en matière de protection des données, et coopère avec les autorités de contrôle. La CNIL donne également quelques conseils pour permettre aux entreprises leur mise en conformité au RGPD.