Dans le précédent article de cette série, nous avons exploré les exigences des lois sur la protection des données en matière de collecte de données, dans le cadre des processus KYC. Dans le présent article, nous nous concentrons sur les normes relatives aux moyens de traitement et de transfert des données à caractère personnel, et sur ce que les entreprises FinTech doivent avoir à l’esprit lorsqu’elles procèdent ainsi.
Suivi des données
Une fois que vous savez quelles données vous collectez à partir de quelle source, en fonction de quel objectif, l’étape suivante consiste à vous concentrer sur le traitement des données lui-même et les outils que vous utilisez. Selon le RGPD et la nouvelle loi suisse sur la protection des données, les entreprises FinTech sont responsables du maintien de l’intégrité des données qu’elles traitent ainsi que de la protection de la vie privée, dès la conception et par défaut. Cela inclut notamment les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données et la conformité lors du choix d’un prestataire de services. En outre, les entreprises sont soumises à l’obligation d’informer les clients du traitement, un sujet que nous explorerons dans le prochain article.
Garanties de traitement – les principes de base
Les entreprises doivent protéger leurs activités internes de traitement des données et s’assurer qu’elles déploient les mesures nécessaires pour protéger les données lors de leur processus KYC. D’un point de vue technique, les entreprises FinTech ont tendance à automatiser leurs processus KYC afin de créer des profils de risque pour chaque client à l’aide de sources de données fiables. En automatisant la collecte, le stockage, le suivi et la gestion des données personnelles, vous êtes en mesure de minimiser les risques pour la sécurité des données, notamment en raison d’une erreur humaine, tout en facilitant l’exercice des droits des personnes concernées (par exemple, la portabilité des données). Cette automatisation vous donne également la possibilité d’inclure des outils de gestion de flux et d’analyse des risques pour surveiller les flux de données et connaître à l’avance les risques potentiels pour la vie privée. En outre, des outils tels que la technologie de découverte et de classification des données et les systèmes de prévention des pertes de données peuvent contribuer à une meilleure protection des données personnelles contre les accès non autorisés et les utilisations abusives. Enfin, le cryptage et la sauvegarde des données jouent également un rôle essentiel. Conformément à l’idée de la protection des données dès la conception, il est utile d’intégrer des garanties techniques lors de la mise en place du processus KYC automatisé de l’entreprise, afin non seulement de protéger vos données, mais aussi de remplir vos obligations en matière de protection des données.
D’un point de vue organisationnel, une répartition claire des rôles et des responsabilités est nécessaire. Cela contribue à renforcer la confiance et le sentiment d’appartenance et garantit la possibilité de tracer l’accès et de limiter les dommages en cas d’incident. En outre, il est nécessaire de restreindre l’accès à la visualisation ou à la modification des données des clients, notamment en ce qui concerne les données sensibles. Enfin, la mise en place d’accords de non-divulgation et de formations régulières de votre personnel permet d’atténuer les sources potentielles de risque tout au long du traitement.
Partage des données avec des tiers
Dans le cadre des procédures KYC, il est fréquent que les entreprises FinTech transfèrent des données à des prestataires de services afin d’assurer le bon déroulement de leurs opérations (par exemple, des fournisseurs de logiciels externes spécialisés). Dans la plupart des cas, ces tiers agissent conformément aux instructions fournies par votre entreprise et traitent les données selon les finalités et les moyens que vous avez déterminés. Cela étant, le transfert doit être régi par un contrat – Data Processing Agreement (DPA) – en vertu du RGPD, définissant les spécificités du transfert de données. La plupart des prestataires de services proposent leurs propres DPA lorsque vous signez le contrat principal de prestation de services. Néanmoins, vous devez les vérifier régulièrement en ce qui concerne leur conformité à la protection des données ainsi que leur adéquation aux procédures et aux besoins de vos entreprises internes.
Une autre question importante à laquelle il faut prêter attention lorsqu’on fait appel à des prestataires de services est liée aux transferts vers des pays tiers. Les données stockées sur des serveurs dans l’UE/EEE ou en Suisse peuvent facilement être échangées sans aucune exigence de transfert supplémentaire. Cependant, les prestataires de services stockent généralement (certaines) données dans des pays situés en dehors de ces zones ou font appel à des sous-traitants secondaires basés dans des pays tiers comme les États-Unis ou l’Inde. Dans ces cas, les transferts de données ne peuvent se faire que dans certaines circonstances. Premièrement, lorsque la Commission européenne ou le Conseil fédéral suisse ont émis une décision d’adéquation, indiquant que le cadre de protection des données du pays tiers est conforme aux normes européennes/suisses (par exemple, actuellement, Israël, le Canada, la Corée du Sud ou le Royaume-Uni). Si ce n’est pas le cas, vous devez vous assurer que le prestataire de services offre des garanties suffisantes en ce qui concerne l’intégrité des données, par exemple en effectuant une évaluation de l’impact du transfert (c’est-à-dire une analyse de l’impact et des implications du transfert en matière de sécurité en analysant l’ordre juridique du pays tiers), l’utilisation des clauses contractuelles types (“CCS”) de la Commission européenne et d’autres moyens techniques (par exemple le cryptage) jugés adéquats. Dans cette optique, lors du transfert de données vers des pays tiers, il est important pour les entreprises FinTech de dresser une liste de tous leurs prestataires de services utilisés et d’analyser les prestataires de services non européens/suisses pour vérifier leur conformité avec la réglementation sur la protection des données.
Suivi des données – les points essentiels à retenir
La mise en œuvre de mesures techniques et organisationnelles dans votre système de traitement des données KYC est non seulement nécessaire du point de vue de la protection des données, mais elle vous aide à gérer les flux de données dans votre entreprise et à réduire les risques de violation des données. Ces mesures comprennent :
- Processus de gestion des données automatisés avec outils de gestion de flux et d’analyse des risques inclus.
- Systèmes de découverte des données et de prévention des pertes de données
- Cryptage et sauvegardes
- Répartition claire des rôles et responsabilités et des accès restreints
- Accords de non-divulgation et formations régulières du personnel
Lorsque vous travaillez avec des prestataires de services et que vous transférez des données personnelles à des sous-traitants de solutions KYC, vous devez vérifier vos partenaires de coopération également du point de vue de la protection des données. Il s’agit notamment de mettre en place les bons accords de traitement des données et d’avoir une vue d’ensemble des flux de données vers des pays situés en dehors de l’UE/EEE et de la Suisse. Si des données personnelles sont transférées vers des pays dits tiers comme les États-Unis ou l’Inde, vous devez mettre en place des garanties sur une base contractuelle et technique. Pour l’avenir, les prestataires de services utilisent déjà souvent l’intelligence artificielle pour vérifier les identités et analyser les données. Comme l’UE prévoit actuellement de réglementer l’intelligence artificielle, il est conseillé de garder en tête les futures réglementations dans ce domaine également lors du choix des partenaires de service KYC.
Dans le prochain article de cette série, nous examinerons le processus KYC sous l’angle de la “gestion des données”. Nous analyserons les méthodes permettant de garantir un stockage sécurisé des données, la durée de leur conservation et les droits des clients dans le cadre des processus KYC.