Comment Société Générale a bétonné son projet RGPD

Comment Société Générale a bétonné son projet RGPD La banque française a nommé un data protection officer en octobre 2017. Voici les principaux chantiers qu'elle mène pour être conforme avec le nouveau règlement européen.

Le Règlement européen sur la protection des données (RGPD) est un sujet très sensible pour les banques. Axa Banque, BNP Paribas, BPCE, Crédit Agricole, HSBC France, La Banque Postale, LCL… Contactées par le JDN, aucune d'entre elles n'a souhaité s'exprimer. Seule Société Générale a bien voulu nous parler de sa mise en conformité à cette réglementation, qui se chiffre en "dizaine de millions d'euros", selon elle. Pour la mener à bien, elle avait nommé son data protection officer (DPO) en octobre 2017.

C'est Antoine Pichot, ancien codirecteur de la stratégie, du digital et de la relation au sein de la banque de détail, qui a pris cette casquette. "En nommant un DPO, Société Générale envoie un signal fort. On montre qu'on prend le sujet au sérieux et qu'on anticipe", s'enthousiasme l'intéressé. Le DPO de la banque de la Défense a plusieurs missions : assurer la mise en conformité du groupe, accompagner les métiers et faire l'interface avec la Cnil.

"C'est historiquement dans la culture d'une banque d'appliquer des règles de confidentialité"

La question de la protection des données personnelles n'était pas nouvelle pour l'établissement bancaire. "Dans son bureau, le conseiller discute avec son client de sujets très intimes. Il sait très bien qu'il ne doit pas divulguer ces informations. C'est historiquement dans la culture d'une banque d'appliquer des règles de confidentialité. Et cette pratique est diffusée au-delà des conseillers", souligne Antoine Pichot. "Depuis longtemps, on manipule beaucoup de données. On a développé un savoir-faire, notamment sur des aspects de sécurité", ajoute-t-il. Société Générale compte depuis plusieurs années dans ses effectifs un correspondant informatique et libertés (CIL), des relais dans le groupe pour accompagner les métiers sur cette problématique et une équipe conformité. Sans compter l'équipe juridique qui participe évidemment à toutes ces mises à niveau. Grâce à ces prérequis, Société Générale a pu mettre en oeuvre de gros chantiers pour être conforme à GDPR. Mais certains restent encore à mettre sur plan.

Le consentement du client : en construction

Le fameux proverbe "qui ne dit mot consent" n'est pas du tout "GDPR compliant". L'article 7 stipule que "le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une déclaration écrite, y compris par voie électronique, ou d'une déclaration orale." Société Générale prévoit de lancer des campagnes pour recueillir les consentements des clients en agence et sur le web. La banque spécifiera quel usage elle souhaite faire de chaque donnée du client. "Ce consentement éclairé exige de notre part une demande explicite, simple, très compréhensible et sans équivoque pour le client. La case pré-cochée n'est pas conforme à GDPR par exemple. Le client doit manifester son consentement de manière très claire", insiste le dirigeant. "Concrètement, il faut poser cette question : est-ce que vous m'autorisez à utiliser vos données pour faire de la démarche sur tel autre produit ? Si l'usage de la donnée change, il faut l'avertir de manière très explicite", illustre-t-il.

La transparence vis-à-vis du client : en rénovation

Les petits astérisques en bas de page vont être mis à mal. L'article 12 précise que "le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples." "Nous comme en train d'actualiser tous nos documents contractuels, nos brochures disponibles en agences ainsi que les informations sur nos sites pour être le plus transparent possible", assure le dirigeant.

Les procédures d'alertes : en rénovation

Et si des informations ne sont plus protégées ? L'article 33 impose qu'en cas de violation de données à caractère personnel, le responsable du traitement doit le signaler à l'autorité de contrôle compétente dans un délai maximal de 72 heures après en avoir pris connaissance. Si la donnée est jugée très sensible, la banque doit aussi prévenir le ou les clients concernés. S'il ne le fait pas, le régulateur s'en chargera. Pour Société Générale, rien de bien nouveau sous le soleil. "En termes de gestion de crise, nous avons déjà des dispositifs. Nous devons seulement ajouter des "triggers" (des déclencheurs, ndlr) et intégrer ce délai de 72 heures, qui n'existait pas, à nos processus existants", souligne Antoine Pichot.

Le registre des activités de traitement : en reconstruction

Et la pierre angulaire de GDPR est… le registre des traitements. L'article 30 exige des entreprises de plus de 250 salariés de tenir ce document qui comprend notamment le nom et les coordonnées du responsable de traitement, les finalités du traitement ou encore les transferts de données à caractère personnel. Pour Société Générale, ce registre est une opportunité pour tout remettre à plat. "On doit recenser l'ensemble des traitements que nous faisons et qui incluent des données personnelles. Ce n'est pas qu'un recensement c'est aussi l'occasion de se reposer la question de ce traitement, sa finalité, son fondement, des mesures qui l'encadrent… Une fois constitué, on fera vivre ce registre au fil du temps. Ce sera un peu la colonne vertébrale du projet GDPR", résume Antoine Pichot.

Les partenaires en règle : en construction

Les règles s'appliquent à tout le monde. Selon l'article 28, les sous-traitants des banques doivent aussi être conformes à GDPR. Il s'agit des agences de communication, des gestionnaires de DMP, des sous-traitants marketing… Société Générale imagine différents cas pour vérifier leur conformité. "Cela passe de la clause contractuelle qu'on va mettre dans nos contrats pour manifester cet engagement réciproque et cela peut aller pourquoi pas jusqu'au déclenchement d'un audit si on veut s'assurer de la conformité et des dispositifs mis en place par nos partenaires", précise Antoine Pichot.

Le rôle des collaborateurs : en reconstruction

Quels salariés sont concernés par RGPD ? Tout le monde pour la Société Générale, qui a lancé en 2016 un programme sur la protection des données qui touche l'ensemble des collaborateurs du groupe. "Nous nous sommes organisés en deux étages : une équipe centrale qui définit les normes, les principes, la méthodologie, les guidelines. Dans chaque métier, on a des équipes projets dont le rôle est de décliner toutes ces règles et guidelines en fonction du contexte local. Cela concerne notamment le contexte réglementaire local car GDPR laisse un champ aux régulateurs locaux pour adapter certaines choses", précise Antoine Pichot. "Cette organisation à deux étages nous a permis d'onboarder très largement et très tôt l'ensemble de nos métiers. Par conséquent, on a la garantie qu'à la fin on aura un système efficace et adapté au contexte local."

Privacy by default, sécurité, nouveaux droits… : les autres chantiers

99. C'est le nombre d'articles contenus dans RGPD et autant de potentiels chantiers. Voici quelques exemples.

  • Le privacy by default : ce concept impose de réfléchir à la protection des données personnelles en amont de la conception  d'un produit ou d'un service. "C'est un principe que nous devons inclure dans nos processus", affirme Antoine Pichot.
  • La sécurité : "Tout ce qui tourne autour de la sécurité des données personnelles est déjà inclus dans nos programmes plus globaux de sécurité, notamment de lutte contre la cybercriminalité."
  • Les nouveaux droits : Il s'agit du droit à la portabilité, du droit à l'oubli… "Nous devons intégrer les droits nouveaux pour nous assurer de la robustesse de nos dispositifs existants dans la perspective d'un volume de demandes plus élevés qu'aujourd'hui."
  • Les nouvelles responsabilités : "Il y a une sorte de transfert de responsabilité du régulateur vers nous car il nous demande de faire nous-même notre diagnostic sur les traitements, notre analyse de chaque traitement, de son fondement, de sa finalité, des mesures qui vont l'encadrer. Après on prendra nos décisions et on rendra compte a posteriori au régulateur."

Que se passera-t-il après le 25 mai ? "Ce n'est que le début. C'est un processus d'amélioration en continu. De nouveaux traitements vont arriver, le registre devra vivre. Il restera encore des points à consolider", conclut Antoine Pichot.