Le Règlement Général sur la Protection des Données (RGPD) fête ses 6 mois d'exercice, l'occasion idéale pour la CNIL de dresser un premier bilan de son application. Bilan positif puisque les Français sont de plus en plus nombreux à s'intéresser à la protection des données personnelles. Pendant ce premier semestre, la CNIL a reçu près de 6 000 plaintes ! Une réelle prise de conscience soulignée par un sondage réalisé fin octobre : 2/3 des Français se déclarent plus sensibles qu'auparavant à la protection des données. Le piratage, les vols de données, mais aussi la multiplication des spams et des sollicitations commerciales sont les facteurs phares qui peuvent expliquer cette sensibilité accrue à la protection des données. Le RGPD engage particulièrement les banques qui collectent des données personnelles très sensibles au format numérique comme sur papier. Alors que de nombreuses organisations placent la protection des données numériques au premier rang de leurs préoccupations, deux tiers ne sont pas encore en règle et admettent accorder une importance minime aux documents papier.
Les données bancaires : la crème de la crème !
Si l'on se réfère à la typologie des données personnelles définie par la CNIL, les données bancaires sont très sensibles et sont l'objet de nombreuses convoitises. Certains vont jusqu'à les qualifier de « véritables mines d'or », car elles en disent long sur les habitudes de consommation des usagers. Les GAFA en rêvent et seraient prêts à payer très cher pour les récupérer ! La bonne nouvelle est que les banques n'ont pas attendu le RGPD pour lutter contre la fraude et protéger les données de leurs clientèles. Le sujet fait débat dans le secteur depuis plusieurs années déjà car le RGPD renforce un cadre préexistant imposé par la CNIL et généralise les nouveaux droits des usagers : droit à l'accès, à la portabilité et à l'oubli. Les banques doivent donc tenir compte du cadre existant et le faire évoluer.
Quid des données bancaires papier ?
Excellente nouvelle ? Pas si sûr : qu'en est-il des données bancaire papier ? Très peu voire aucune banque ne communique sur le sujet. Des process de destruction des données papiers sont-ils mis en place en interne pour les supprimer ? Suffirait-il d'un oubli dans l'imprimante pour que les données des usagers tombent entre des mains malveillantes ?Le RGPD impose d'effacer les données qui ne sont plus utiles aux finalités pour lesquelles elles ont été traitées, collectées ou stockées. Les banques sont donc contraintes de supprimer toutes les données non nécessaires. Bien que les banques mettent tout en œuvre pour appliquer le RGPD, et déploient maintes stratégies pour éviter les incidents les données papier sont à l'origine de 40% des incidents.
Des incidents qui peuvent avoir de lourdes conséquences pour les banques – sous la forme d'amendes notamment – mais aussi et surtout pour les consommateurs les plus vulnérables à la fraude et aux usurpations d'identité. Frauder un compte bancaire peut avoir de terribles conséquences sur le pouvoir d'achat d'un ménage.
Les banques doivent tendre vers excellence dans leur dispositif de sécurité des données
Selon un sondage PwC/Iron Mountain de 2014, seulement 40% des entreprises fournissent à leurs employés des instructions claires sur l'élimination et sur l'archivage interne des documents papier. Espérons que les banques aient adoptées les 4 règles d'or du bon fonctionnement du RGPD à savoir : désigner un ou des responsables des données, tenir à jour un registre des mesures de protection des données, faire des points réguliers sur le sujet et ne jamais remettre à plus tard et se faire accompagner d'experts pour mener à bien cette sécurité.