DIGITAL BUSINESS
Les stratégies des banques, des assurances et du secteur public pour se conformer au RGPD
Quelques jours après l’entrée en vigueur de la réglementation, ces deux jours ont notamment permis de faire le point sur la manière dont les assurances et les institutions bancaires ont assuré leur mise en conformité.
June 7, 2018
Après la première session de Luxembourg Data Protection Days intitulée « GDPR Countdown Event » en 2017, MGSI et NautaDutilh ont organisé les 29 et 30 mai 2018 à l’Alvisse Parc Hotel de Luxembourg la deuxième session de leur événement consacré au RGPD. Quelques jours après l’entrée en application du Règlement, l’événement a notamment permis de faire le point sur la manière dont les sociétés et organisations publiques se sont conformées à ce nouveau Règlement.
Sujet qui submerge l’actualité depuis plus de 2 ans, le Règlement Général sur la Protection des Données (RGPD) n’a pas pour autant fini de faire parler de lui. Le décalage entre la théorie et la pratique dans la mise en conformité à ce règlement européen destiné à mieux protéger les données à caractère personnel commence en effet à apparaître. Quelques jours à peine après l’entrée en application du RGPD, les Luxembourg Data Protection Days organisés les 29 et 30 mai 2018 par MGSI et NautaDutilh ont constitué une occasion idéale pour revenir, avec les différents acteurs, sur l’important travail déjà réalisé pour se mettre en conformité, mais aussi sur les challenges qui restent à relever.
Organisé au sein du Alvisse Parc Hotel de Luxembourg, l’événement de cette année, intitulé « GDPR is NOW! », a attiré 275 participants et a rassemblé des experts venus de différents horizons : l’autorité de contrôle au Luxembourg, soit la Commission Nationale pour la Protection des Données, des fournisseurs de solutions techniques (OneTrust, ainos, PrivacyPerfect, VIGIL, etc.), des pôles académiques (l’Université de Luxembourg, Ryerson University, Canada), des acteurs du secteur public (le Gouvernement, la Commission européenne, la Commission Nationale pour la Protection des Données), des acteurs économiques (Post Group), des banques (BGL BNP Paribas, Keytrade, Swedbank, Pictet, RBC, etc.) et les assurances (Le Foyer).
Parmi ces spécialistes, la présence du Commissaire de la CNPD, Monsieur Christophe Buschmann, est à souligner tout particulièrement. Ce dernier a présenté le nouveau schéma de certification « GDPR CARPRA » de la CNPD. Il est à noter que ce schéma est soumis à consultation publique jusqu’à fin juin.
Banques et assurances parmi un large panel d’experts
Le 30 mai, une table ronde a réuni plusieurs acteurs du monde bancaire et de l’assurance afin de discuter l’entrée en application du RGPD. L’échange, qui réunissait Marie-Claire Pettinger (DPO, Le Foyer), Sara Delbecque (Senior Legal Counsel, BGL BNP Paribas) et Emmanuelle Ressmann (DPO, Pictet), a permis de découvrir les différentes stratégies mises en œuvre par les entreprises pour se conformer au RGPD, en fonction de leur secteur d’activité.
Ainsi, par exemple, BGL BNP Paribas a priorisé l’établissement d’un registre des traitements de données et les procédures mises en œuvre lors de la violation de données ou celles permettant aux personnes concernées d’exercer leurs droits. « Pour ce faire, nous avons dû revoir les procédures existantes, mais aussi en créer de nouvelles comme celle encadrant la notification des personnes en cas de fuites de données personnelles, a expliqué Sara Delbecque. En outre, la nomination d’un DPO et l’adaptation des contrats sont deux autres actions que nous avons dû lancer. »
La gouvernance interne a en effet été bousculée par l’arrivée du RGPD. Dans une banque comme Pictet, son adaptation a été plus importante que la seule nomination d’un DPO. « Nous avons créé une structure à deux têtes comprenant un data protection office pour l’opérationnel et un data protection committee pour les décisions stratégiques », a précisé Emmanuelle Ressmann.
De plus, le caractère sensible de certaines données à caractère personnel traitées par les sociétés d’assurances a conduit le Groupe Foyer à mettre en avant tout particulièrement la sécurisation des données sensibles en sa possession.
La révision des contrats, un défi majeur
La digitalisation des procédures permettant aux clients de faire plus facilement valoir leurs droits auprès de leur banque ou assurance occupe beaucoup les acteurs de ce secteur. Mais la révision des contrats – avec les clients, les fournisseurs et même les salariés – est une question importante abordée lors de cette table ronde. « Il s’agit d’une étape qui arrive à la fin de la procédure de mise en conformité et qu’on a tendance à sous-estimer, a indiqué Emmanuelle Ressmann. Cela prend beaucoup de temps, surtout si l’on opte, contrairement à ce qui est fait chez nous, pour une renégociation de chaque contrat. Chez Pictet, nous avons catégorisé nos contrats pour y voir plus clair. Nous en avons 6000 types différents, auxquels il faut ajouter les sous-types ! »
On imagine donc que les prochains mois seront bien chargés pour les DPO en charge de la révision des contrats. Le bilan de cette ultime étape dans la mise en conformité au RGPD pourra peut-être être dressé dans un an, lors de la prochaine édition des Luxembourg Data Protection Days. « L’an prochain, l’événement sera toujours consacré au RGPD, mais il exposera plutôt le retour d’expérience un après l’entrée en application du RGPD », annonce Mélanie Gagnon, CEO de MGSI, à l’initiative de l’événement avec Vincent Wellens, Tech & Privacy Law Partner chez NautaDutilh. Nous sommes vraiment satisfaits de l’affluence cette année, avec plus de 275 participants. Par ailleurs, les démonstrations que nous avons proposées et qui ont expliqué concrètement le fonctionnement des solutions techniques mises au point par des sociétés actives dans ce secteur ont rencontré un franc succès, avec 40 à 50 personnes à chaque session. C’est très positif. » Vincent Wellens a approuvé ce point de vue en soulignant la diversité des intervenants, mais aussi celle du public présent. « Nous avons su toucher à la fois un large public, mais aussi des audiences spécialisées sur certains sujets plus techniques, comme des acteurs du secteur public ou du monde financier », explique-t-il. On se réjouit donc d’assister, l’an prochain, à une troisième édition des Luxembourg Data Protection Days.