Le secteur bancaire est l’un des plus encadres en matiere de protection des donnees personnelles. Les banques collectent et conservent des informations financieres detaillees sur des millions de clients : comptes, transactions, credits, epargne, investissements. Le RGPD s’ajoute aux reglementations sectorielles existantes (secret bancaire, LCB-FT, DSP2) pour former un cadre de conformite exigeant.
Les donnees personnelles traitees par les banques
Les etablissements bancaires traitent un volume considerable de donnees personnelles. Les donnees d’identite et de verification KYC comprennent les pieces d’identite, les justificatifs de domicile et de revenus. Les donnees financieres englobent les soldes de comptes, les historiques de transactions, les credits en cours, l’epargne et les investissements. Les donnees comportementales incluent les habitudes de depense, les canaux utilises et les interactions avec le service client.
Les banques en ligne et les applications mobiles collectent des donnees supplementaires : donnees de geolocalisation, identifiants biometriques (empreinte digitale, reconnaissance faciale), donnees de connexion et habitudes d’utilisation. Chaque categorie de donnees necessite une base legale specifique et des mesures de protection adaptees.
Secret bancaire et RGPD
Le secret bancaire, prevu par le code monetaire et financier, protege la confidentialite des informations detenues par les banques sur leurs clients. Ce secret professionnel converge avec les objectifs du RGPD mais ne s’y substitue pas. Les clients disposent de droits specifiques au titre du RGPD qui s’ajoutent aux protections du secret bancaire.
Le droit d’acces prevu par le RGPD permet aux clients d’obtenir une copie de l’ensemble des donnees les concernant. Ce droit va au-dela du releve de compte et inclut les notes internes, les scores de credit et les profils marketing. Les banques doivent etre en mesure de repondre a ces demandes dans un delai d’un mois.
Scoring bancaire et decisions automatisees
Les banques utilisent des systemes de scoring pour evaluer la solvabilite des demandeurs de credit, detecter les fraudes et personnaliser les offres commerciales. Ces traitements automatises sont soumis a l’article 22 du RGPD lorsqu’ils produisent des effets significatifs sur les personnes concernees.
Un refus de credit fonde exclusivement sur un scoring automatise doit pouvoir etre conteste. Le client a le droit d’obtenir une intervention humaine, d’exprimer son point de vue et de contester la decision. Les banques doivent documenter la logique de leurs algorithmes et garantir l’absence de discrimination.
Open banking et partage de donnees
La directive DSP2 a ouvert les donnees bancaires a des tiers autorises (agregatateurs de comptes, initiateurs de paiement). Ce partage de donnees doit s’articuler avec le RGPD : le consentement du client est requis, l’acces est limite aux donnees necessaires et la securite des API doit etre garantie.
Les banques doivent informer leurs clients de maniere claire sur les implications du partage de leurs donnees avec des tiers, les risques potentiels et les moyens de revoquer leur consentement. La concurrence entre les acteurs traditionnels et les fintechs se joue aussi sur le terrain de la confiance et de la protection des donnees.
Marketing bancaire et profilage
Les banques disposent d’une connaissance approfondie de leurs clients grace aux donnees de transactions. L’exploitation de ces donnees a des fins de marketing (offres personnalisees, ciblage publicitaire) doit respecter le RGPD. Le profilage a des fins commerciales necessite une information transparente et un droit d’opposition effectif.
La prospection commerciale par voie electronique est soumise au consentement prealable pour les non-clients et a l’interet legitime (avec opt-out) pour les clients existants, dans les limites des produits et services similaires. Les banques doivent segmenter leurs bases de donnees et respecter les preferences de communication de chaque client.
Conservation des donnees bancaires
Les durees de conservation dans le secteur bancaire sont encadrees par de nombreux textes : code monetaire et financier, code de commerce, code general des impots, reglementation LCB-FT. Les donnees de comptes et de transactions sont generalement conservees pendant la duree de la relation bancaire plus cinq a dix ans selon leur nature. Les documents KYC sont conserves cinq ans apres la fin de la relation.
Les enjeux a venir pour le secteur bancaire
Le secteur bancaire fait face a des enjeux croissants en matiere de protection des donnees : intelligence artificielle pour le credit scoring et la detection de fraude, biometrie pour l’authentification, blockchain pour les paiements, et exploitation des donnees comportementales. Chaque innovation doit etre evaluee au regard du RGPD avant son deploiement. Les banques qui integrent la protection des donnees dans leur strategie d’innovation se positionnent comme des acteurs de confiance dans un marche en pleine transformation.
