Les raisons pour lesquelles les banques devraient se préparer à de nouvelles réglementations relatives aux données

Blog /Les raisons pour lesquelles les banques devraient se préparer à de nouvelles réglementations relatives aux données
NTT DATA Services Data Privacy Blog

La confidentialité et la sécurité des données sont à l’avant-scène depuis plusieurs années, mais 2018 a marqué un point tournant pour les consommateurs. Depuis le scandale Facebook-Cambridge Analytica, durant lequel plus d’un milliard de comptes ont été compromis, les consommateurs exigent un plus grand contrôle sur leurs données personnelles et sur l’utilisation qu’en font les entreprises.

Face à la grogne grandissante, l’Union européenne a mis en place le Règlement général sur la protection des données (RGPD), redonnant aux individus le contrôle de leurs renseignements personnels. Bien que ce règlement concerne l’Union européenne, il y est question de l’exportation des données personnelles, notamment à partir des États-Unis.

Aux États-Unis, à l’instar de la plupart des entreprises, les banques et autres institutions financières adoptent une approche passive à l’égard d’un éventuel resserrement de la réglementation entourant l’exploration, la divulgation et le traitement des données. Cela dit, pour les banques qui désirent prendre une longueur d’avance sur leurs concurrentes, l’heure est à l’action.

Si nous étions dans Trône de fer, « La réglementation s’en vient » serait le cri qui ferait trembler de peur les dirigeants des banques, un peu comme « L’hiver s’en vient » dans les sept royaumes.

L’an dernier, les autorités californiennes ont entériné le California Consumer Privacy Act (CCPA), la plus sévère des lois sur la protection des données des consommateurs actuellement en vigueur aux États-Unis. Cette loi, qui s’est attiré son lot de critiques de la part des regroupements d’affaires américains, ne donne pas aux consommateurs l’entière mainmise sur leurs données comme le fait le RGPD, mais elle permet aux particuliers de poursuivre les entreprises si leurs données sont divulguées à la suite d’une violation de données.

En réponse à cette loi, des sociétés comme Amazon, Apple et Google ont milité pour que le gouvernement fédéral américain crée une loi sur la protection des renseignements personnels numériques en 2019. Ces entreprises sont à l’avant-scène de la riposte du monde des affaires, mais si le RGPD et le CCPA sont un présage des temps à venir, tout indique qu’il y aura un resserrement de la réglementation, et que ce dernier favorisera le consommateur, qui semble souvent être la seule victime des problèmes de confidentialité des données.

Pourquoi maintenant?

Pourquoi la réglementation est-elle inévitable? En grande partie parce que les consommateurs sont plus sensibilisés que jamais à la question de la protection des données, et qu’ils s’attendent de plus en plus à être informés de l’utilisation qui est faite de leurs données par les entreprises.

Dans une étude publiée l’an dernier, NTT DATA a découvert que seuls 8 % des consommateurs font fortement confiance aux entreprises pour assurer la sécurité de leurs renseignements personnels. Qui plus est, 79 % des consommateurs ont indiqué qu’ils cesseraient de faire affaire avec une entreprise qui ferait un usage abusif de leurs données. Il s’agit donc d’un enjeu très important.

Parallèlement, 93 % des cadres interrogés ont déclaré que leur entreprise avait connu une violation de données au cours des trois dernières années. Dans le cas des banques, seuls 8 % des cadres ont affirmé que leur entreprise était adéquatement préparée pour répondre à un éventuel changement dans la réglementation. Cette situation doit changer, et ce, rapidement.

De plus en plus, les clients se demandent pourquoi les banques et les autres entreprises ont besoin de leurs renseignements : « Si on ne vous les donne pas, vous ne les perdrez pas. »

L’enjeu pour les banques

Dans un contexte où les exigences des clients et des autorités feront de la confidentialité des données une attente minimale, les banques devront faire face à des défis de taille, car en plus de constituer l’un des secteurs les plus ciblés par les cybercriminels, les institutions financières ont souvent réellement besoin d’obtenir les renseignements personnels de leurs clients pour leur offrir des services comme l’ouverture d’un compte de carte de crédit ou l’approbation d’une demande d’hypothèque ou de prêt pour entreprise.

Avec l’entrée en vigueur de nouveaux règlements, les banques devront prouver la valeur de leurs services afin de mériter l’accès aux renseignements des clients. Ainsi, si une banque peut expliquer en quoi elle a besoin de certains renseignements et comment elle les utilisera, les clients seront plus enclins à collaborer.

Il est probable que la réglementation à venir précise les droits des consommateurs et exige des banques qu’elles présentent les conséquences négatives qui pourraient découler de la divulgation des données. Il est également possible que dans une telle situation, les clients puissent ordonner à leur banque de n’utiliser leurs renseignements que dans le cadre d’un service précis, et pour aucune autre fin.

Il va sans dire que pour les banques, ces changements entraîneront des conséquences opérationnelles considérables. Par exemple, elles ne pourront plus transmettre les données reçues dans le cadre d’une demande d’hypothèque aux services responsables des demandes de carte de crédit ou aux autres divisions. De plus, il se peut qu’elles ne puissent plus transmettre des données à leurs sociétés affiliées, ce qui veut dire que par exemple, elles ne toucheront plus de paiements des magasins de rénovation qui désirent envoyer des dépliants aux nouveaux propriétaires. Ces changements apporteront donc une perte de revenus à court terme. Il se peut même que les banques ne soient plus en mesure de transmettre des données aux agences d’évaluation du crédit, ce qui pourrait avoir des répercussions majeures sur la façon dont on évalue le crédit des consommateurs.

Pour l’heure, nul ne peut prédire la teneur de la future réglementation américaine, mais les banques doivent commencer à s’y préparer, non seulement pour éviter des amendes, mais aussi pour gagner un avantage concurrentiel qui compensera d’éventuelles pertes de revenus.

Un avantage concurrentiel

Lorsque la réglementation sera modifiée, il ne fait aucun doute que les banques devront débourser des millions de dollars pour modifier leurs activités, leurs plateformes, leur approche et leurs stratégies marketing. Leurs dirigeants doivent se préparer à assumer ce coût opérationnel considérable. De plus, les banques devront remplacer les sources de revenus qui ne seront plus viables avec l’entrée en vigueur des nouvelles restrictions.

Cela dit, les banques ont tout intérêt à voir dans la réglementation à venir une occasion plutôt qu’un obstacle. En vous préparant activement, vous indiquerez publiquement à vos clients que vous avez leur vie privée à cœur et vous vous imposerez comme un chef de file dans le domaine, ce qui vous permettra de tirer votre épingle du jeu à long terme, car vos concurrents et les autres entreprises continueront d’être victimes d’attaques continues et d’une mauvaise gestion des données.

Pour se préparer, les banques doivent à tout le moins évaluer leurs politiques et leurs processus actuels, y compris leurs relations avec leurs fournisseurs. Il s’agit d’une exigence minimale. Car pour changer, elles devront bien comprendre comment leurs données sont recueillies, gérées et transmises. Cette analyse de vulnérabilité de base les aidera à se préparer aux changements opérationnels à venir.

Les véritables chefs de file du secteur élaboreront leur propre stratégie et se doteront des plans nécessaires en prévision de la réglementation; mais il n’en reste pas moins que la majorité des banques se contenteront de faire le strict minimum pour répondre aux exigences qui seront imposées. C’est un pensez-y-bien.

À titre d’exemple, les règles du département américain du Travail concernant l’obligation fiduciaire, qui allaient contraindre les professionnels de la finance qui gèrent les régimes de retraite ou qui offrent des conseils à respecter les exigences applicables aux fiduciaires, devaient entrer en vigueur le 1er janvier 2018. Or, la cour d’appel des États-Unis pour le cinquième circuit a tué cette mesure dans l’œuf, ce qui n’a toutefois pas empêché certaines entreprises de tirer profit de leurs efforts de préparation.

Plusieurs entreprises avaient déjà réalisé les investissements nécessaires et s’étaient engagées à respecter les règles relatives à l’obligation fiduciaire avant même qu’elles n’entrent en vigueur. Elles ont ensuite lancé une campagne de publicité pour présenter leur initiative, offrant l’argument de la transparence à leurs clients.

N’oubliez pas : « La réglementation s’en vient! » Les banques doivent agir maintenant pour protéger leurs données, leurs clients, leur réputation et leur position sur le marché. Avec l’avènement de la chaîne de blocs et de son registre immuable, la question pourrait un jour ne plus se poser, mais les banques gagneront à s’informer sur la façon d’améliorer la confidentialité de leurs données ou à communiquer dès aujourd’hui avec l’un de nos experts en confidentialité des données afin de bien se préparer à l’hiver qui s’en vient.

Date de la publication : 2019-03-13

PARCOURIR NOS BLOGUES