Données personnelles : la DSP 2 et le RGDP sont-ils alignés ?

la DSP 2 et le RGDPComment concilier l’ouverture des données de paiement et le RGPD ? Aurélie Banck nous livre son analyse dans un numéro spécial « DSP 2 : Un nouvel univers de business » publié par la Revue Banque & Stratégie.

La DSP 2 et le RGDP : une philosophie opposée …

La philosophie de la DSP 2 est souvent opposée à celle du RGPD, l’ouverture des données de paiement étant pour certains difficilement conciliable avec la protection des données personnelles. Qu’en est-il vraiment ?

L’ouverture des données de paiement est au centre de l’open banking.  Elle permet à de nouveaux acteurs d’accéder à ces données, et place donc l’interaction entre la directive sur les services de paiement (DSP 2) et le Règlement général sur la protection des données (RGPD) au cœur du débat.

La DSP 2 a été adoptée le 25 novembre 2015 et le Règlement général sur la protection des données date du 14 avril 2016, avec une entrée en application au 25 mai 2018. Ces deux textes ont donc été adoptés dans un cadre temporel très proche.

Dès lors, même si la DSP 2 a été adoptée alors que la Directive 95/46/CE sur la protection des données personnelles était encore en vigueur, on aurait pu légitimement supposer que le législateur veillerait à la cohérence de ce texte avec la réforme en cours relative à la protection des données…

Aurélie  Banck, « La DSP2 et le RGPD sont-ils alignés ou orthogonaux ? » Revue Banque & Stratégie n°379, avril 2019.




RGPD : les banques sont-elles à égalité avec les géants du web ?

géants du webLes géants du web sont-ils soumis aux mêmes règles ? Aurélie Banck nous livre son analyse dans un numéro spécial « Gafa & Banques : concurrents ou partenaires » publié par la Revue banque.

Alors que le RGPD vient d’entrer en vigueur, les acteurs bancaires européens peuvent-ils compter sur une égalité de traitement réglementaire avec les géants technologiques quant à l’utilisation des données personnelles ? Pour Aurélie Banck, la réponse est nuancée.

Pour les entreprises les plus puissantes du monde de l’internet à savoir : Google, Apple, Facebook et Amazon, le Règlement général européen sur la protection des données personnelles (RGPD ou, en anglais, GDPR) pourrait offrir de nouvelles opportunités.

Elles pourraient récupérer des données dont l’exploitation commerciale est une source significative de revenus. Ou, dans une stratégie de diversification, créer un nouveau pôle d’activité. Cela va se jouer autour de la capacité, d’une part, à capter et traiter les données, d’autre part, à conserver la relation directe avec le client mais également au niveau réglementaire sur l’égalité de traitement entre les entreprises du secteur bancaire et les géants du web.

L’adoption du RGPD applicable depuis le 25 mai dernier offre un cadre réglementaire de plus en plus dense sur la protection des données personnelles et la sécurité des transactions numériques.

Les banques restent vigilantes face aux avancées des GAFA dans leur périmètre, mais elles savent pouvoir compter sur de réels atouts : un patrimoine de données très riches et leur capacité à s’adapter plus aisément aux évolutions réglementaires.

Aurélie Banck, « Les géants du web sont-ils soumis aux mêmes règles ? » Revue Banque n°821, juin 2018.




Protection des données : quels changements pour les banques ?

protection des donnéesQuels sont les changements à attendre du projet de loi sur la protection des données personnelles dans le secteur bancaire ?

Cet article analyse les impacts pour le secteur bancaire et financier du projet de loi relatif à la protection des données personnelles sur le point d’être adopté.

Ce texte modifie la loi Informatique et Libertés afin d’intégrer en droit français les dispositions nécessaires à la mise en œuvre du RGPD (notamment en ce qui concerne les prérogatives de la Cnil). Il intègre également en droit local des spécificités prévus par le Règlement. Enfin, il transpose la directive 2016/680 relative aux traitements mis en œuvre à des fins de Prévention et de Détection des infractions pénales.

L’ensemble de ces dispositions ne sont donc pas applicables au secteur bancaire et financier notamment les articles 18 et 19 du projet qui portent sur la transposition de la Directive.

Au titre des dispositions impactantes pour ces acteurs, on peut noter la modification des pouvoirs de la Commission et notamment la possibilité qui lui est offerte d’adopter des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements.

Le projet de loi clarifie également les types de secret opposable aux agents de la Commission et exclut le secret bancaire de ces dispositions. Il introduit certaines dispositions spécifiques pour les traitements comportant une prise de décision automatisé, fréquents dans le secteur bancaire et financier. Enfin, les parlementaires ont introduit par voie d’amendement la possibilité d’engager une action de Groupe à des fins d’indemnisation du préjudice subi par les personnes concernées.

Conscient qu’un travail de rédaction postérieur à l’adoption de la loi sera nécessaire notamment afin de donner aux règles de protection des données personnelles une meilleure lisibilité, le gouvernement a prévu de prendre par ordonnance les mesures nécessaires à la réécriture de la loi Informatique et Libertés avant la fin de l’année.

Aurélie Banck, « Projet de loi sur la protection des données personnelles ? Quels changements pour les établissements financiers ? » , Revue Banque n°819, mars 2018.