Comment organiser la gouvernance des données en interne ?

Stéphanie de Buck
IP, IT & Data Privacy Legal Counsel
BNP Paribas

 

La gouvernance au sens de la loi Informatique et Libertés

BNP Paribas présente une forte particularité parmi les plus grandes entreprises françaises : ce Groupe en effet n’a jamais désigné de correspondant Informatique et Libertés. Cette absence de désignation résulte d’une décision politique, prise au niveau de la Fédération des Banques françaises. BNP Paribas, donc, s’inscrit dans le prolongement de cette prise de position. Le dispositif mis en place, qui va être présenté ci-dessous, en découle directement.
Ce dispositif tient directement compte de la culture bancaire, très particulière. BNP Paribas – comme toutes les banques présentes en France – exerce une activité très réglementée, et très contrôlée. La culture du risque est en outre très particulière : la prise de risque inconsidéré est naturellement exclue, et toute prise de risque est strictement encadrée. Une approche, là également, tout à fait logique compte tenu de l’activité de l’entreprise.
BNP Paribas, par ailleurs, est un Groupe parfaitement conscient des enjeux économiques extrêmement importants liés à la gestion des données. Tout doit être fait pour renforcer la confiance des clients, en assurant la sécurité de leurs données (personnelles et bancaires). Dans le même temps, le Groupe s’attache à mieux exploiter les données dont il dispose pour améliorer ses produits et ses services.
Le dispositif de conformité existant doit être aussi robuste que possible et a d’ailleurs fait l’objet d’un renforcement. Il s’appuie sur une pluralité de compétences et s’attache à travailler le plus tôt possible, afin de prévenir très en amont les éventuelles difficultés. Parmi les fonctions agissant dans le cadre de ce dispositif : Juridique, Conformité, Sécurité, IT… mais aussi d’autres, a priori plus éloignées des problématiques Informatique & Libertés : les Achats par exemple. il s’agit bien de développer les synergies et les échanges entre tous ces acteurs, pour plus d’efficacité. Tous en outre participent à la sensibilisation des métiers et des fonctions et poursuivent le même objectif : développer une culture « Informatique et Libertés » dans toute l’entreprise.
Les acteurs de ce dispositif, en outre, s’attachent à favoriser l’intégration de la protection des données personnelles dans chaque projet, chaque nouvelle activité ou produit depuis sa conception – donc le plus en amont possible. Ils visent enfin à garantir la conformité des projets mis en oeuvre par BNP Paribas de bout en bout.

 

Focus sur le dispositif appliqué aux projets

Il vise à garantir la prise en compte des principes de protection des données personnelles et à déterminer les mesures de conformité à mettre en oeuvre et les acteurs associés. Cette prise en compte a lieu au niveau de l’avant-projet, de la préparation, de l’élaboration et, naturellement, de la construction du projet en tant que tel.

  • Avant-projet : identifier au plus tôt les principes applicables au projet.
  • Préparation du projet : intégrer les besoins de protection des données personnelles à l’expression des besoins.
  • Elaboration et construction du projet : mettre en oeuvre les mesures nécessaires à la conformité du projet.

 

Assurer la sécurité juridique et informatique des données

Ces deux chantiers, a priori éloignés l’un de l’autre, doivent néanmoins être conduits de manière coordonnée – ils sont en effet directement liés l’un à l’autre.
Ainsi, au niveau de la sécurité informatique, il s’agit de mettre en oeuvre les mesures de sécurité portant sur les données, alimenter la cartographie des risques Sécurité SI et Conformité, contribuer au dispositif de contrôle permanent.
A mi-chemin entre les enjeux de sécurité informatique et de sécurité juridique, il faut naturellement intégrer la protection des données personnelles dans la mise en oeuvre des projets et sensibiliser les collaborateurs.
En ce qui concerne cette fois la sécurité juridique, plusieurs actions doivent également être menées dans le cadre de tout projet : formalités auprès de la CNIL, réponses aux saisines de la CNIL, gestion des réclamations clients, intégration des contrats avec les partenaires et les prestataires, information des clients.


Et demain ?

Le Règlement introduit manifestement des nouveautés importantes, qu’il convient de prendre en compte. De fait, BNP Paribas procède actuellement à une analyse approfondie de ce nouveau texte, partout dans l’organisation, afin d’identifier ses impacts éventuels. Le dispositif interne du Groupe va être adapté, à la faveur d’une gouvernance intégrée. Ce travail se fera en concertation étroite avec les Fédérations professionnelles.

 

Extrait "Les Cahiers N°11" Mars 2018

   

 

Ce sujet vous inéresse ? Retrouvez notre prochaine formation :

Formation - Sécuriser le cadre contractuel des traitements de données - 15 mai 2018, Paris


Publié le 18/04/2018

Adhésion

Déjà 7 000 adhérents, rejoignez-nous.

Agenda