GDPR : la Société Générale se met en ordre de bataille

La banque française a investi plusieurs dizaines de millions d'euros pour être en conformité, dès le mois de mai 2018, avec la nouvelle réglementation européenne en matière de la protection des données personnelles : le GDPR (ou RGPD)

Partager
GDPR : la Société Générale se met en ordre de bataille
Les locaux de la Société Générale à Fontenay sous Bois.

La Société Générale a son DPO. La banque a officialisé, mardi 24 octobre 2017, la nomination d'Antoine Pichot au poste de Data Protection Officer. Il aura pour mission de veiller à la conformité du groupe avec la nouvelle réglementation européenne en matière de la protection des données personnelles (GDPR), qui entrera en vigueur le 25 mai prochain.Ses activités s'articuleront autour de trois grands axes : la mise en conformité, un rôle de conseil auprès des métiers et celui d'interlocuteur privilégié du régulateur, en l'occurrence la Commission nationale de l'informatique et des libertés (Cnil) pour la France.

Des dizaines de millions d'euros investis

"De par son métier, la Société Générale a développé un savoir-faire sur la gestion de masse des données. Nous ne partons pas de rien sur cette problématique. Nous avions déjà un correspondant informatique et liberté (Cil) et nous avions mis en œuvre des cadres pour border les usages", expose Antoine Pichot, qui occupait précédemment le poste de codirecteur de la stratégie, du digital et de la relation client de la banque de détail en France.

La data à la Société Générale

  • 500 personnes travaillent sur la donnée à la Société Générale.
  • Plusieurs pétaoctets de données sont gérées sur un datalake.
  • Emmanuelle Payan, directrice des données du groupe, coordonne un réseau d'une vingtaine de chief data officers. 

 

Il n'en reste pas moins que les dispositifs à mettre en place pour être conforme restent colossaux et que cette nomination n'est que la partie visible de l'iceberg. "Ce cadre-là, il faut le faire évoluer, pas tant pour être en conformité avec la GDPR, mais avant tout pour répondre aux interrogations de nos clients. Car si vous lisez en profondeur le texte, le régulateur se fait le porte-voix des clients, de leurs interrogations, de leurs angoisses", explique le nouveau DPO. Et d'insister : "C'est un enjeu stratégique majeur pour nous". De son côté, Bernardo Sanchez Incera, directeur général délégué du groupe Société Générale, reconnaît : "Des dizaines de millions d'euros ont été dépensés pour se mettre à niveau de la GDPR".

Une inondation de requêtes ?

Dans les détails, côté client, le texte européen réaffirme des droits existants comme le droit d'accéder à ses données, le droit de les rectifier. Ce qui est nouveau, c'est l'obligation pour les entreprises de renforcer l'information du client. Plus éclairés sur les droits dont ils disposent, les clients pourraient davantage les activer. La Société Générale se prépare donc à un appel d'air et prévoit de renforcer la robustesse de ses infrastructures pour y faire face, sans pour autant avoir une idée précise de la volumétrie des futures requêtes.

A ces droits existants, s'ajoutent les droits à la portabilité et à l'oubli, mais aussi toute une nouvelle démarche autour du consentement. "Il faut que l'acte de consentement relève d'un acte positif. [L'adage] qui ne dit mot consent ne sera pas 'GDPR compliant', la case pré-cochée non plus", prévient Antoine Pichot.

le Casse-tête des consentements

L'un des plus gros enjeux concerne justement la gestion de ces différents consentements et leur traduction dans le système d'information de la banque. Car un client qui autorisera l'utilisation de ses données dans un certain contexte ne bénéficiera pas des mêmes services que celui qui l'aura refusée. Les clients pourront donc, en quelque sorte, tirer des revenus de la mise à disposition de leurs données. Un modèle que l'on retrouve déjà dans le domaine du retail avec les programmes de fidélité où, en échange de leurs données, les clients reçoivent des avantages sous la forme de promotions, de ventes privées, etc.

Côté banque, la notion de la protection des données devra être intégrée dès la conception d'un nouveau service ou d'un nouveau produit. L'entreprise devra aussi faire une analyse de ses propres traitements de la donnée et aura un devoir d'alerte du régulateur et des clients concernés en cas de fuite des données.

Un réseau de correspondants DPO

Pour mettre en œuvre cette nouvelle politique, Antoine Pichot s'appuiera sur un réseau de correspondants DPO au sein du groupe. Pour l'heure, pas de communication sur la taille exacte de cette communauté d'ambassadeurs de la protection de la donnée, mais elle pourrait regrouper plusieurs dizaines de personnes (essentiellement des collaborateurs déjà présents au sein de l'entreprise). Ils seront nommés dans les différents départements de la banque et ses implantations à l'étranger et devront décliner les règles en fonction du contexte local et de leur métier. Côté calendrier, le réseau devra être opérationnel pour le 25 mai prochain. J-212.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'Usine Digitale

Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

ARTICLES LES PLUS LUS