À l'aube de l'application du Règlement général sur la protection des données (RGPD), qui sera effective en mai prochain, Christophe Bonnefoux, Chief data officer de BNPP AM, expose ici les contours de son métier et les enjeux de cette réglementation quant à l'évolution des process.
À 3 mois de la mise en place du règlement européen de protection des données, vous venez d'être nommé Chief Data Officer. Quelles sont les spécificités de votre poste et vos objectifs à court terme ?
Dans le cadre de mes nouvelles fonctions, j'ai pour mission de piloter la gestion des données au sein de BNPP AM. Concrètement, cela comprend la définition des orientations stratégiques en matière d'intégrité et de qualité des données, le pilotage des processus de gestion de la qualité des données au service de l'ensemble de l'organisation et la promotion de l'usage des technologies et des pratiques au meilleur standard de l'industrie. Mon rôle de Chief Data Officer est donc plus large que le seul volet réglementaire. Concernant le Règlement général sur la protection des données (RGPD) et Risk Data Aggregation and Reporting (RaDAR), les plans d'action ont été préparés en amont de mon arrivée et sont finalisés. L'enjeu consiste à présent à adapter les principes, les méthodes et les bonnes pratiques définis par le Groupe BNP Paribas au métier de l'Asset Management et à garantir leur opérabilité au-delà du 25 mai 2018.
Plus largement, j'accompagne la transformation « Data » de notre organisation. J'ai ainsi initié de nombreux projets, parmi lesquels la mise en place de « Data Hub » ou encore de solutions visant à faire converger les équipes vers un vocabulaire « Data commun ».
Quelles sont les spécificités d'application du règlement pour le secteur bancaire ?
Les travaux sur la protection des données personnelles sont accélérés aussi bien au niveau groupe qu'au niveau des entités dans le cadre du onzième domaine du programme RaDAR. Ces travaux permettent d'élaborer des solutions permettant le renforcement des dispositifs relatifs à la protection des données personnelles et, ainsi, assurer la préparation du groupe BNP Paribas au RGPD dont l'échéance a été fixée à fin mai 2018. Dans ce contexte, des solutions sont en cours de déploiement en matière d'information et de consentement de nos clients quant à l'utilisation de leurs données personnelles, au renforcement des dispositifs de sécurité des données, à l'évaluation du risque lié à l'utilisation des données (Privacy Impact Assessment ou PIA) et au recensement au sein d'un registre de nos processus utilisant des données personnelles.
Dans un environnement où le secteur bancaire conduit une digitalisation de ses processus et propose une expérience client renouvelée s'appuyant sur un volume de données en forte croissance, je suis convaincu que le renforcement de nos capacités à protéger les données à caractère personnel va constituer l'un des piliers de la confiance digitale et s'avérera un avantage concurrentiel.
En quoi la mise en place de dispositifs liés au règlement RGPD peuvent-ils améliorer la gestion des cyber-risques au sein de BNPP AM ?
Les données et leur protection sont au cœur de la transformation digitale de la banque et de ses métiers. C'est également un domaine sur lequel tous les régulateurs mondiaux ont émis des exigences fortes. Nous pouvons citer notamment le BCBS 239 publié en janvier 2013 par le comité de Bâle, en plus de RGPD adopté en avril 2016. Le RGPD introduit par exemple de nouvelles obligations de résultat, notamment au travers des articles 32 et 33 sur la sécurité des traitements et les notifications.
Les programmes cyber sécurité du groupe BNP Paribas et de BNPP AM sont alignés pour accompagner la transformation digitale et s'assurer du respect des exigences des différents régulateurs.
Ainsi, les processus cyber sécurité bénéficiant du RGPD incluent notamment la gestion de crise, la classification des données personnelles ou l'implémentation à plus grande échelle de solutions techniques de chiffrement ou de masquage.
Entretien réalisé par Michèle Hénaff, rédactrice en chef de la revue Analyse financière
Contact : revue@sfaf.com