Banque : que change le RGPD pour vous ?

Le règlement général européen sur la protection des données (RGPD) est entré en vigueur le 25 mai dernier. Il engage tout particulièrement les banques, qui collectionnent des données personnelles très sensibles. Mais qu’est-ce qui va changer pour vous, en tant que client ? Le point sur la mise en œuvre de vos nouveaux droits.

Depuis quelques semaines, vous ne pouvez pas y avoir échappé. Une à une, les sociétés détenant des données personnelles contactent leurs clients pour les informer sur le RGPD et ses conséquences. En effet, le 25 mai dernier est entré en vigueur le « règlement général sur la protection des données », un texte de l’Union européenne directement applicable dans les 28 pays membres, sans nécessité de transposition, et dont l’objectif est de renforcer la transparence et la sécurité en matière de données personnelles. Un texte qui engage donc l’ensemble des tiers à qui vous avez confié ce type de données, et notamment vos banques.

Qu’est-ce qu’une donnée personnelle bancaire ?

Selon la définition de la Commission Nationale de l'Informatique et des Libertés (CNIL), régulateur chargé de veiller à la mise en œuvre du RGPD en France, la notion de donnée personnelle recouvre « toute information identifiant directement ou indirectement une personne physique (ex. nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale…) ».

Si l’on suit cette définition, les informations fournies par tout usager bancaire (l’état-civil, l’adresse, le numéro de téléphone, le mail, le montant des revenus, du patrimoine, l’IBAN, etc.) doivent être considérées comme des données personnelles. C’est aussi le cas des données de paiement, une « véritable mine d’or » selon Thomas Hirtzig, manager au sein du cabinet de conseil Alpha FMC, qui a accompagné plusieurs banques privées dans leur mise en conformité avec le RGPD. Pour lui, les banques ont en effet, grâce aux comptes qu’elles détiennent, les « meilleures données possibles », qui permettent de connaître avec précision les habitudes de consommation des usagers. « Les GAFA (1) seraient prêts à payer très cher pour les récupérer », estime-t-il.

Un renforcement de l’existant

La banque est donc un secteur particulièrement sensible en matière de données, et les enseignes n’ont pas attendu l’application du RGPD pour y accorder une importance toute particulière. « Les banques sont garantes de la sécurité de ces données mais ne les exploitent pas beaucoup », constate Thomas Hirtzig. « En matière de sécurité, on fait difficilement mieux qu’elles ». « Nous n’avons pas attendu le RGPD pour lutter contre la fraude et protéger les données, c’est un sujet prégnant dans toutes les banques depuis longtemps, et heureusement », confirme Lucas Naja, délégué à la protection des données - ou DPO, pour Data Protection Officer - du Crédit Mutuel Arkéa.

Plus qu’un nouveau cadre, « le RGPD représente un renforcement du cadre existant posé par la CNIL », poursuit-il. « Il généralise de nouveaux droits pour les usagers, dont les trois les plus mis en lumière - ceux pour lesquels nous commençons à avoir des demandes - sont les droits à l’accès, à la portabilité et à l’oubli ». Des grands principes, donc, pour la mise en œuvre desquels le RGPD fixe assez peu de normes. D’où des pratiques qui peuvent être différentes selon les banques.

Chez Arkea, une équipe de 5 personnes à plein temps

Si les thématiques du RGPD ne sont pas nouvelles, le règlement a contraint les banques à « industrialiser » leur gestion des données personnelles. Chez Arkéa (Crédit Mutuel de Bretagne et du Sud-Ouest, Fortuneo, etc.), cette adaptation a nécessité l’équivalent de 4 000 journées de travail sur le développement informatique. La banque bretonne a également mis en place un département dédié, animé à plein temps par une équipe de 5 personnes.

Lire sur le sujet : Arkéa ouvre un département dédié aux données personnelles

Le droit à l’accès

Dans les banques du groupe Arkéa, le client qui souhaite accéder à ses données peut « en faire la demande dans les canaux habituels de la relation clients », promet Lucas Naja : l’espace client web, la plateforme téléphonique et les agences dans le cas des enseignes à réseaux. Il recevra alors, dans un délai d’un mois, un fichier informatique qui recense ses données personnelles… à l’exception de ses opérations de paiement, auxquelles il accède déjà via le relevé de compte.

Le canal généralement privilégié pour le droit à l’accès devrait toutefois être le web. Des pages « protection des données » ont ainsi déjà commencé à fleurir sur les sites des banques, qui permettent d’accéder à des explications sur l’usage des données personnelles et à une adresse mail pour faire sa demande d’accès. Une opération sensible, pour laquelle une double authentification (grâce à un code SMS provisoire par exemple) pourrait être requise.

Le droit à la portabilité

Le RGPD instaure un nouveau droit : celui à la portabilité des données, qui permet à l’usager de récupérer ses données, par exemple pour faciliter son passage à la concurrence. Comment cela va-t-il se concrétiser dans le domaine bancaire ? Pour Thomas Hirtzig, il s’agit d’un « droit de théorique mais dont les applications concrètes ne sont pas encore évidentes ».

En ce qui concerne la portabilité vers une autre banque, les banques peuvent s’abriter derrière le mandat de mobilité issu de la loi Macron, qui permet un transfert automatique des opérations récurrentes. Qu’en est-il de la portabilité vers d’autres type d’acteurs, comme les fintechs ? « Aujourd’hui, aucune banque n’est organisée pour répondre parfaitement à ce type de demande », estime Thomas Hirtzig. Confirmation de Lucas Naja, qui évoque des discussions à venir avec les régulateurs - la CNIL et l’Autorité de contrôle prudentiel et de résolution (ACPR) principalement - sur le sujet.

En savoir plus sur la mobilité bancaire

Le droit à l’oubli

Un « cauchemar pour les banques » : c’est ainsi que Thomas Hirtzig décrit la mise en œuvre du droit à l’oubli, qui autorise un usager à demander à tout moment que ses données personnelles soient effacées. « Leurs systèmes d’informations sont justement conçus pour ne rien oublier », argumente le consultant. « Effacer des données de façon industrielle est donc un sujet très complexe et très sensible. Aucun établissement de la place n’est prêt à le faire, et les banques pourraient demander une exemption à l’ACPR et à la CNIL ».

Ce droit devrait rester d’autant plus théorique que d’autres réglementations contraignent, à l’inverse, les banques à conserver des données personnelles sur le long terme. Citons par exemple la loi dite « Eckert » de lutte contre la déshérence des produits d’épargne.

8 Français sur 10 voient le RGPD d’un bon œil

Selon un récent sondage (2), les Français sont très méfiants dans l’usage qui est fait de leurs données personnelles. Ils ne sont ainsi que 20% à percevoir l’intérêt qu’ils ont à laisser des marques y accéder, et 80% à craindre une utilisation frauduleuse. Sans surprise, ils voient donc l’arrivée du RGPD d’un bon œil, à 80%, espérant plus de transparence.

(1) Acronyme de Google, Amazon, Facebook, Apple, géants du numérique dont le modèle économique est, plus ou moins selon les acteurs, basé sur le recueil et l'exploitation de données personnelles. (2) Etude Toluna QuickSurveys, réalisée pour Affinion International en mai 2018 sur un échantillon représentatif de la population française âgée de 18 à 55 ans et plus.