Dans le dernier article de cette sÈrie, nous avons ÈtudiÈ l'Ètat de prÈparation des institutions financi res pour l'arrivÈe du R glement gÈnÈral sur la protection des donnÈes (RGPD). Cette publication va plus en dÈtail et explique la raison pour laquelle les institutions financi res du monde entier doivent donner la prioritÈ ‡ la conformitÈ au RGPD. Nous allons examiner quelques aspects du r glement qui doivent attirer l'attention des institutions de services financiers, notamment les notifications en cas de violation d'acc s aux donnÈes, le droit ‡ l'oubli et les exigences relatives ‡ la gestion des prestataires externes.
Le RGPD, un changement de taille
Le RGPD ´est conÁu pour harmoniser les lois sur la confidentialitÈ des donnÈes dans tout l'Europe, pour protÈger les citoyens de l'UE et leur accorder le droit ‡ la confidentialitÈ des donnÈes et pour redÈfinir la mani re dont les sociÈtÈs de l'UE consid rent la confidentialitÈ des donnÈes.ªLe RGPD constitue une Èvolution considÈrable des exigences de confidentialitÈ qui rÈgissent les institutions de services financiers et la mani re dont les autres types d'entreprises traitent et prot gent les donnÈes personnelles, principalement en vertu de la juridiction Ètendue dÈfinie dans sa dÈfinition: TOUS LES CITOYENS DE L'UE.
Le RGPD impose ‡ toutes les sociÈtÈs qui traitent les donnÈes personnelles des personnes rÈsidant dans l'Union europÈenne, quelle que soit leur localisation, une marche ‡ suivre pour la collecte des donnÈes personnelles, leur stockage, leur sÈcuritÈ et la mani re dont elles sont traitÈes et utilisÈes. Ce r glement a ÈtÈ approuvÈ par le Parlement europÈen le 14avril2016, et la fin de la pÈriode de transition arrive ‡ grands pas: elle est prÈvue pour le 25mai2018.
Obligation de notification en cas de violation d'acc s aux donnÈes
La conformitÈ avec le RGPD imposera notamment aux institutions financi res de signaler les violations d'acc s aux donnÈes dans un dÈlai de 72heures. L'identification d'une violation, des personnes concernÈes, de son ampleur et de son origine, le tout en moins de 72heures, nÈcessite un effort de coordination important au sein de l'entreprise. …tant donnÈ que pendant la pÈriode critique qui suit une violation, les institutions financi res se concentrent gÈnÈralement sur la rÈparation des dommages provoquÈs, le respect de l'obligation de signalement du RGPD nÈcessite de la transparence et de la coordination pour l'ensemble de la sociÈtÈ, des architectes d'infrastructure, des responsables de la sÈcuritÈ informatique, des services juridique et marketing... Globalement, chaque employÈ, directeur et investisseur est concernÈ. Pour mettre en perspective cet aspect du r glement, l'annÈe derni re, selon le cabinet Ponemon Research, le temps moyen d'identification d'une violation (MTTI) Ètait de 191jours, et le temps moyen de confinement (MTTC) Ètait de 66jours.
Le droit ‡ l'oubli
…tant donnÈ que le RGPD a pour objectif de protÈger le droit des citoyens europÈens ‡ la confidentialitÈ de leurs donnÈes, il apporte aux consommateurs le droit de demander ‡ consulter leurs propres donnÈes personnelles aupr s des institutions financi res et d'en demander la suppression, sans nÈcessiter d'autorisation externe. Ces requ'tes, regroupÈes sous le concept de la ´ portabilitÈ des donnÈes ª, permettent aux institutions financi res de conserver certaines donnÈes si elles s'av rent nÈcessaires ‡ la conformitÈ ‡ d'autres r glementations. Toutefois, en l'absence de justification valable, le droit ‡ l'oubli de la personne prÈvaut. Concr tement, les institutions financi res sont souvent encombrÈes par des silos de donnÈes dÈconnectÈs, qui compliquent la mise en úuvre des pratiques de gestion des donnÈes nÈcessaires pour respecter le droit ‡ l'oubli et nÈcessitent de renforcer la transparence et la coordination ‡ l'Èchelle de l'entreprise.
ContrÙleurs et processeurs de donnÈes fournisseurs de services Cloud (FSC)
Les institutions financi res qui optent pour des FSC doivent s'assurer que ces fournisseurs disposent de protections et de mesures de sÈcuritÈ qui respectent les exigences du RGPD pour prÈserver leur conformitÈ. Les donnÈes sont l'ÈlÈment vital de chaque institution financi re. Elles peuvent 'tre partagÈes entre plusieurs applications, stockÈes en interne et parfois sous-traitÈes par des prestataires. L'institution financi re a la responsabilitÈ de mettre en place des processus et procÈdures clairs pour sa propre structure comme pour tous les fournisseurs externes qui traitent les donnÈes de leurs clients.
RGPD ConsÈquences
Les institutions financi res doivent se conformer ‡ ce r glement, sous peine de lourdes amendes Èquivalant ‡ 4% de leur chiffre d'affaires global annuel ou ‡ 20millions d'euros, le montant le plus ÈlevÈ l'emportant.
Tout manquement ‡ ce r glement peut entra ner des pÈnalitÈs r glementaires majeures, une atteinte ‡ la rÈputation et une perte de confiance du consommateur.La solution, pour les institutions financi res, consiste ‡ approcher le RGPD de mani re holistique, avec des capacitÈs Èvolutives et suffisamment souples pour respecter toute nouvelle exigence r glementaire ponctuelle ou planifiÈe en mati re de donnÈes. Une approche holistique apporte la visibilitÈ nÈcessaire pour Ètablir une comprÈhension claire des donnÈes personnelles dÈtenues par la sociÈtÈ et la possibilitÈ de rÈpondre aux requ'tes de suppression des donnÈes ‡ l'Èchelle de l'entreprise quand elles ne sont plus utiles.
DÈcouvrez-en davantage sur ce numÈro d'AppianLIVE Expert Cut
Pour plus d'informations sur la conformitÈ et le dÈfi que reprÈsente le RGPD, veillez ‡ regarder notre dernier numÈro d'AppianLIVE Expert Cut. Cet entretien avec des leaders d'Appian issus des services financiers vous explique comment la plate-forme de dÈveloppement Low-Code d'Appian permet d'obtenir un CaseManagement solide et un syst me d'automatisation intelligente, notamment dans les domaines de la Robotic Process Automation (RPA) et de l'intelligence artificielle (IA), autant d'ÈlÈments nÈcessaires ‡ la prÈparation au RGPD et ‡ une transformation numÈrique rÈussie.
