Dans ce troisième et dernier article de notre série, nous allons traiter des exigences que les entreprises FinTech doivent avoir à l’esprit lorsqu’elles gèrent leurs données KYC. Nous nous concentrons sur deux domaines spécifiques que vous devez connaître : la conservation et la suppression des données, ainsi que les droits des personnes concernées.
Conservation et suppression des données KYC
Le premier élément à prendre en compte est de déterminer combien de temps les données KYC seront stockées et ensuite quand elles doivent être supprimées. Selon les lois européennes sur la protection des données, les données personnelles qui ne sont plus nécessaires aux fins pour lesquelles elles ont été utilisées doivent être supprimées et donc ne plus être traitées. Cela signifie que les sociétés FinTech doivent s’assurer qu’elles ne stockent que les données KYC nécessaires à leurs opérations et pour la période pertinente exclusivement. Cette période dépend de la finalité du traitement, mais dans certains cas, elle est fixée par la loi. Par exemple, en Allemagne et en Suisse, la loi prévoit des périodes de conservation pouvant aller jusqu’à 10 ans pour les documents comptables et fiscaux. La directive européenne relative à la lutte contre le blanchiment d’argent oblige les entités à conserver une copie de leurs processus KYC pendant une période de 5 ans après la fin de la relation d’affaires ou après la date d’une transaction occasionnelle. Cette directive oblige également les entités à conserver un registre des transactions pendant une période de cinq ans après la fin de la relation d’affaires avec le client ou après la date d’une transaction occasionnelle.
Après avoir fixé les périodes de conservation, vous devez également définir un processus par lequel les données sont supprimées après le délai fixé. Il existe différentes méthodes de suppression, de l’écrasement à la destruction physique, en passant par la démagnétisation. En particulier, lorsque vous traitez de grandes quantités de données dans plusieurs systèmes, l’automatisation est l’un des meilleurs moyens de réduire le risque de non-conformité avec la législation sur la protection des données, ainsi que d’éviter la possibilité d’une erreur humaine. C’est pourquoi vous devriez mettre en œuvre un processus de suppression dès le début de votre système, en marquant automatiquement chaque ensemble de données avec une date de suppression future.
Les entreprises ont également la possibilité d’anonymiser les données, car les lois sur la protection des données ne s’appliquent pas à ces données. Cela peut parfois s’avérer judicieux, car des données anonymes agrégées peuvent être nécessaires à des fins statistiques. Néanmoins, il faut garder à l’esprit que cela est plus facile à dire qu’à faire, car pour que les données soient réellement anonymes, il ne doit pas être possible d’identifier les personnes concernées en utilisant des moyens raisonnablement disponibles.
Dans ce contexte, il est conseillé de mettre en place une politique de conservation des données KYC, qui précise la durée de conservation des données ainsi que les modalités de leur suppression, en tenant compte de la période pendant laquelle les données sont nécessaires aux opérations concernées et des délais de conservation fixés par la loi.
Droits des personnes concernées
Le deuxième aspect important est celui des droits des personnes concernées en ce qui concerne leurs données KYC. Selon le RGPD et la LPD, les personnes dont vous traitez les données ont un ensemble de droits, dont l’un des plus importants est le droit d’être informé du traitement des données (par exemple, par le biais d’une politique de confidentialité).
Il est important de rendre cette politique de confidentialité accessible le plus tôt possible dans la relation avec le client, car vous devez informer la personne au moment où vous collectez ses données. Cela signifie que vous devez rendre votre politique de confidentialité à la fois visible et accessible sur votre site web et votre application, ainsi que tout au long du processus d’enregistrement du client. Il est également important que les clients puissent y accéder quand ils le souhaitent.
En outre, les personnes concernées ont le droit à la portabilité dans la plupart des cas, ce qui signifie qu’elles peuvent vous demander de leur fournir leurs données à caractère personnel à elles-mêmes ou à une autre entreprise dans un format standard tel qu’excel. Pour cette raison, il est important que les sociétés FinTech mettent en œuvre les outils techniques nécessaires pour permettre l’extraction des données pertinentes dans un format structuré, couramment utilisé et lisible par une machine (par exemple, les formats CSV, XML et JSON), ainsi que leur transfert en toute sécurité au responsable du traitement des données concerné ou à la personne concernée. Il existe différentes possibilités d’y parvenir, notamment en transmettant directement les données demandées ou en donnant accès à un outil automatisé permettant à la personne concernée d’extraire elle-même les données demandées.
Outre le droit d’être informées et le droit à la portabilité des données, les personnes concernées ont également d’autres droits dans le cadre du processus KYC, par exemple le droit d’accéder à leurs données stockées par vous et de les rectifier, ainsi que le droit à l’effacement des données lorsqu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées.
Principaux enseignements
Tout comme la collecte et le suivi des données KYC, leur gestion requiert une attention particulière de la part des entreprises FinTech, principalement en ce qui concerne leur stockage et le respect des demandes des personnes concernées. Dans cette optique, il est important de prêter attention :
- Aux périodes de conservation : les données à caractère personnel ne peuvent être conservées qu’aussi longtemps qu’elles sont nécessaires aux fins pour lesquelles elles ont été collectées ou conformément à une période de conservation légale (par exemple, les lois sur la comptabilité, la fiscalité et la lutte contre le blanchiment d’argent prévoient diverses périodes de conservation allant de 5 à 10 ans). À l’issue de cette période, leur traitement doit être interrompu par la suppression ou l’anonymisation ;
- À l’effacement des données : l’effacement des données doit être effectué de manière à les rendre inutilisables, soit en détruisant les archives physiques, soit en utilisant des outils automatisés pour faciliter l’effacement de grands ensembles de données ;
- À la politique de conservation : Vous devez définir la période de conservation pour chacune des catégories de données KYC que vous traitez, en définissant leur processus de suppression respectif et en l’intégrant automatiquement dans vos systèmes ;
- Aux droits des personnes concernées : Vous devez prêter attention aux droits accordés aux personnes concernées par les lois sur la protection des données. En particulier, vous devez les informer des activités de traitement auxquelles leurs données sont soumises (par exemple dans votre politique de confidentialité). Ces informations doivent être fournies d’une manière accessible et facilement compréhensible et à un stade aussi précoce que possible du processus KYC. Lors de la mise en place de vos processus et systèmes, vous devez également mettre en œuvre les mesures techniques nécessaires pour respecter d’autres droits, tels que le droit à la portabilité.