Pour le secteur des services financiers, peu de nouveautés sont à signaler sous le soleil réglementaire. Si l'acronyme est à peine sorti des lèvres vie privée et les professionnels de la sécurité de l'information en dehors des services financiers pendant au moins six mois (et potentiellement plus longtemps), le RGPD rejoint des dizaines, voire des centaines de réglementations existantes que les équipes informatiques et de sécurité de l'information des organisations financières mondiales sont tenues de respecter.
Le RGPD, bien que le règlement le plus complet à ce jour en matière de protection de la vie privée, n'est pas le premier texte adopté pour garantir la protection des données. Il n'est donc guère surprenant que de nombreuses organisations financières aient initialement présenté le RGPD comme une réglementation fixant les normes de sécurité informatique pour d'autres secteurs, auxquelles le secteur des services financiers est soumis depuis des années.
Cependant, le RGPD n'est pas un simple règlement supplémentaire. Ce qui caractérise cette nouvelle réglementation, entre autres, c'est l'accent mis non seulement sur la protection des informations, mais aussi et surtout sur la protection de la vie privée.
Contrôles de sécurité et contraintes de confidentialité
Protéger la vie privée est différent de protéger les données. Les outils technologiques disponibles ont été développés pour répondre aux problèmes de sécurité, et les obligations de conformité se sont concentrées sur la mise en œuvre de contrôles. Les exigences en matière de confidentialité visent à comprendre à qui appartiennent les données, afin de garantir que toute opération et tout accès à ces données soient conformes à des considérations telles que le consentement et l'intérêt commercial légitime.
La protection de la vie privée ne se résume pas à une conformité réglementaire comme d’habitude pour un certain nombre de raisons importantes :
1. Droits d'accès des sujets – Les personne concernée (par exemple, le client) a désormais droit à un enregistrement de toutes les informations détenues à son sujet et peut à tout moment demander à les consulter, les modifier ou les supprimer.
2. Registre des activités de traitement – Les organisations sont tenues de signaler à tout moment comment elles utilisent les informations privées dans leurs processus opérationnels, comment elles ont obtenu leur consentement pour collecter les informations et quel est le but de l’utilisation des informations.
3. Notification de réponse en cas de violation de données – En cas de violation de données, un rapport doit être adressé aux autorités de protection des données dans les 72 heures et peu de temps après aux personnes concernées.
Les outils de protection des informations peuvent indiquer où sont stockées les informations privées (avec un certain degré de précision), mais ne peuvent pas déterminer à qui elles appartiennent ni à quoi elles servent. Afin de protéger non seulement les informations, mais aussi la vie privée, vous devez savoir à qui appartiennent ces informations et à quoi elles servent :
- Si un client souhaite être supprimé, comment savez-vous où se trouvent les informations pour les supprimer ?
- Si votre base de données est compromise, comment savoir qui est concerné et les avertir ? N'ayant pas le choix, vous devrez informer tous vos clients, au même moment. prix énorme avec des conséquences persistantes.
Des données à perte de vue
Depuis près d'un siècle que le secteur financier moderne opère, d'énormes quantités d'informations ont été collectées et conservées par divers clients, entreprises et partenaires commerciaux. Certaines peuvent être stockées dans un entrepôt en plein désert ou sur un serveur de sauvegarde, mais la capacité de collecte et de traitement des données dépasse celle de leur suppression, voire de l'application de politiques de conservation.
Les données sont stockées dans des bases de données, des serveurs de fichiers et des systèmes Big Data, sans véritable gouvernance centralisée des finalités de leur collecte, de leur appartenance et de leur utilisation. Comment pouvons-nous désormais rendre compte de la légalité de l'utilisation des informations si elles ne sont ni surveillées ni contrôlées ?
Bien sûr, les sociétés de services financiers ont investi massivement dans la compréhension de leurs données structurées. Mais la vitesse à laquelle ces données deviennent non structuré en raison d'un nombre incalculable de transformations, c'est sans précédent.
L’environnement réglementaire des organisations financières rend le processus de suppression des données complexe, car de nombreuses réglementations imposent des restrictions différentes et parfois contradictoires sur la préservation des informations.
Outils de confidentialité pour les besoins de confidentialité
La complexité de l'environnement financier, le manque d'outils appropriés et la complaisance de certaines organisations ont conduit de nombreuses organisations financières à une préparation insuffisante au RGPD. Certaines des plus grandes organisations financières mondiales ont dû faire face aux nouvelles exigences du RGPD en utilisant des processus manuels, des feuilles de calcul Excel et PowerPoint.
Maintenant que l'échéance est passée et que les demandes d'accès aux données des personnes concernées s'accumulent, de nombreuses organisations réalisent que le RGPD nécessite un ensemble de processus automatisés. Le défi pour les organisations consiste désormais à trouver des moyens d'automatiser les processus manuels en s'appuyant sur les informations qu'elles conservent et sur une analyse plus approfondie des données.
À BigIDNous avons identifié dès le départ le besoin d'outils dédiés pour protéger les informations privées et la vie privée. Au cœur de cette technologie réside la capacité non seulement à trouver et cartographier les informations privées dans tous types de sources de données, mais aussi à identifier leur propriétaire, à faire valoir les droits des personnes concernées, à signaler avec précision les violations de données et à documenter les activités de traitement. Parmi nos clients figurent certaines des plus grandes organisations mondiales, qui ont très tôt compris les véritables enjeux de la protection de la vie privée et la nécessité de disposer d'outils technologiques pour les relever.
Auteur
