Actualité web & High tech sur Usine Digitale

GDPR : la Société Générale se met en ordre de bataille

Twitter Facebook Linkedin Google + Email
×

La banque française a investi plusieurs dizaines de millions d'euros pour être en conformité, dès le mois de mai 2018, avec la nouvelle réglementation européenne en matière de la protection des données personnelles : le GDPR (ou RGPD)

GDPR : la Société Générale se met en ordre de bataille
Les locaux de la Société Générale à Fontenay sous Bois. © Société Générale

La Société Générale a son DPO. La banque a officialisé, mardi 24 octobre 2017, la nomination d'Antoine Pichot au poste de Data Protection Officer. Il aura pour mission de veiller à la conformité du groupe avec la nouvelle réglementation européenne en matière de la protection des données personnelles (GDPR), qui entrera en vigueur le 25 mai prochain.Ses activités s'articuleront autour de trois grands axes : la mise en conformité, un rôle de conseil auprès des métiers et celui d'interlocuteur privilégié du régulateur, en l'occurrence la Commission nationale de l'informatique et des libertés (Cnil) pour la France.

 

Des dizaines de millions d'euros investis

"De par son métier, la Société Générale a développé un savoir-faire sur la gestion de masse des données. Nous ne partons pas de rien sur cette problématique. Nous avions déjà un correspondant informatique et liberté (Cil) et nous avions mis en œuvre des cadres pour border les usages", expose Antoine Pichot, qui occupait précédemment le poste de codirecteur de la stratégie, du digital et de la relation client de la banque de détail en France.

 

La data à la Société Générale

  • 500 personnes travaillent sur la donnée à la Société Générale.
  • Plusieurs pétaoctets de données sont gérées sur un datalake.
  • Emmanuelle Payan, directrice des données du groupe, coordonne un réseau d'une vingtaine de chief data officers. 

 

 Il n'en reste pas moins que les dispositifs à mettre en place pour être conforme restent colossaux et que cette nomination n'est que la partie visible de l'iceberg. "Ce cadre-là, il faut le faire évoluer, pas tant pour être en conformité avec la GDPR, mais avant tout pour répondre aux interrogations de nos clients. Car si vous lisez en profondeur le texte, le régulateur se fait le porte-voix des clients, de leurs interrogations, de leurs angoisses", explique le nouveau DPO. Et d'insister : "C'est un enjeu stratégique majeur pour nous". De son côté, Bernardo Sanchez Incera, directeur général délégué du groupe Société Générale, reconnaît : "Des dizaines de millions d'euros ont été dépensés pour se mettre à niveau de la GDPR".

 

Une inondation de requêtes ? 

Dans les détails, côté client, le texte européen réaffirme des droits existants comme le droit d'accéder à ses données, le droit de les rectifier. Ce qui est nouveau, c'est l'obligation pour les entreprises de renforcer l'information du client. Plus éclairés sur les droits dont ils disposent, les clients pourraient davantage les activer. La Société Générale se prépare donc à un appel d'air et prévoit de renforcer la robustesse de ses infrastructures pour y faire face, sans pour autant avoir une idée précise de la volumétrie des futures requêtes.

 

A ces droits existants, s'ajoutent les droits à la portabilité et à l'oubli, mais aussi toute une nouvelle démarche autour du consentement. "Il faut que l'acte de consentement relève d'un acte positif. [L'adage] qui ne dit mot consent ne sera pas 'GDPR compliant', la case pré-cochée non plus", prévient Antoine Pichot.

 

le Casse-tête des consentements 

L'un des plus gros enjeux concerne justement la gestion de ces différents consentements et leur traduction dans le système d'information de la banque. Car un client qui autorisera l'utilisation de ses données dans un certain contexte ne bénéficiera pas des mêmes services que celui qui l'aura refusée. Les clients pourront donc, en quelque sorte, tirer des revenus de la mise à disposition de leurs données. Un modèle que l'on retrouve déjà dans le domaine du retail avec les programmes de fidélité où, en échange de leurs données, les clients reçoivent des avantages sous la forme de promotions, de ventes privées, etc.

 

Côté banque, la notion de la protection des données devra être intégrée dès la conception d'un nouveau service ou d'un nouveau produit. L'entreprise devra aussi faire une analyse de ses propres traitements de la donnée et aura un devoir d'alerte du régulateur et des clients concernés en cas de fuite des données.

 

Un réseau de correspondants DPO

Pour mettre en œuvre cette nouvelle politique, Antoine Pichot s'appuiera sur un réseau de correspondants DPO au sein du groupe. Pour l'heure, pas de communication sur la taille exacte de cette communauté d'ambassadeurs de la protection de la donnée, mais elle pourrait regrouper plusieurs dizaines de personnes (essentiellement des collaborateurs déjà présents au sein de l'entreprise). Ils seront nommés dans les différents départements de la banque et ses implantations à l'étranger et devront décliner les règles en fonction du contexte local et de leur métier. Côté calendrier, le réseau devra être opérationnel pour le 25 mai prochain. J-212.  

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

3 commentaires

Claude Cadario - Cabinet de Conseil Cx4

26/10/2017 10h56 - Claude Cadario - Cabinet de Conseil Cx4

Pour répondre à Alexis. L'article 37.5 du RGPD stipule que le DPO est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions. Le RGPD ne fait pas de distinction entre le DPO d'une PME et celui d'une grosse structure format banque. Relayé par plusieurs DPO, M. Pichot a clairement un rôle stratégique. Dans une grosse organisation, cet aspect stratégique est essentiel pour pouvoir être entendu et faire passer les obligations réglementaires, et c'est sûrement la mission la plus dure à réaliser dans le cadre du RGPD. Personnellement cela ne me choque pas s'il a de bonnes capacités relationnelles et une faculté de convaincre au plus haut niveau. Une personne ayant un passé commercial a, je pense, de bonnes chances d'y parvenir.

Répondre au commentaire | Signaler un abus

Dan

26/10/2017 10h20 - Dan

Non, vous n'êtes pas le seul à être choqué, c'est malheureusement de plus en plus fréquent de voir nommer des responsables qui ne connaissent rien à leur domaine de responsabilité et qui se reposent entièrement sur leur équipe souvent plus compétents que ces responsables mais qui n'ont pas le même reseau.

Répondre au commentaire | Signaler un abus

Alexis

25/10/2017 10h50 - Alexis

OK, le nouveau responsable de la protection des données personnelles n'a aucune expérience en la matière et a plutôt un background commercial. Il n'y a que moi que cela choque? Comment va-t-il "veiller à la conformité du groupe avec la nouvelle réglementation européenne" s'il n'a aucune expérience juridique ou même d'expérience enla matière? N'aurait-il pas été souhaitable d'embaucher quelqu'un avec de l'expérience en matière de Data Protection, ou alors un juriste ou quelqu'un avec de l'expérience en matière d'Information Security?

Répondre au commentaire | Signaler un abus

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale