Les données dans le secteur bancaire : un oasis de richesses
Zen
Aujourd’hui, les entreprises du secteur bancaire sont soumises à une double injonction contradictoire. D’une part, on leur demande de conduire des investigations poussées sur leurs clients. D’autre part, on leur en limite l’usage. Les banques disposent de quantités importantes de données sans pouvoir réellement les utiliser à leur propre compte.
Elles accumulent de plus en plus d’informations sur les clients et cela pour deux raisons principales. Grâce au développement des transactions en ligne, les établissements financiers accumulent des masses de données personnelles via le comportement sur la toile. Grâce également à la règlementation qui contraint les acteurs du secteur bancaire à recueillir le maximum d’informations concernant le client. Dans les faits, les autorités attendent des opérateurs bancaires un profilage extrêmement pointu du client avec des outils très sophistiquées. Malgré ce stock impressionnant de données, les entreprises doivent restreindre considérablement leur exploitation à des fins commerciales.
L’essor des services en ligne
Le développement des nouvelles technologies a profondément impacté les business models des entreprises. Elles ont dû s’adapter aux nouvelles demandes des utilisateurs : simplicité, ergonomie et rapidité. Certains acteurs du secteur ont en d’ailleurs profité pour concurrencer les opérateurs traditionnels du marché : ce sont bien évidemment les fintechs.
Afin d’améliorer leurs services, les entreprises bancaires ont dû prévoir des applications intégrant des dispositifs de stockage des données pour améliorer la rapidité et l’ergonomie de leurs services. Ainsi, elles se sont vues recevoir de grandes quantités de données personnelles. Tout cela ne s’est pas fait sans contrôle. Avec le développement des usages tels que les applications mobiles, elles ont dû s’assurer de l’identité exacte des clients.
La donnée : pierre angulaire des obligations règlementaires
La banque est un des secteurs le plus régulé entre les règlementations et la CNIL.
Un des principes directeur des différents textes règlementaires européen (MiFID, MAD, EMIR, AML&FT, Bâle2, FATCA) est la transparence. Cette dernière impose les acteurs à collecter, stocker et faire des reporting auprès de prestataires de services d’investissement ou organes de régulation, un nombre de données de plus en plus conséquent.
La masse des informations à traiter couvre les données relatives au client, à des conditions de marché (de prix, d’origine, de source, de comptabilisation, de valorisation), à la création et l’intégration de nouveaux indicateurs (de liquidité, de qualité d’actifs, de fonds propres).
Le développement des procédures KYC implique une collecte de données qui tend vers l’exhaustivité. En effet, les banques doivent récolter de multiples informations avant l’entrée en relation avec le client en question. On peut citer : l’état civil, la situation professionnelle, la situation patrimoniale et financière (actif, passif) ou encore les sources et types de revenus.
C’est un processus adopté par les banques afin de réunir un ensemble d’informations sur chacun de leurs clients, visant à mieux les identifier, les protéger contre l’usurpation d’identité, les risques éventuels de blanchiment d’argent, de fraude et de crime financier.
Ici les enjeux sont cruciaux mais nous sommes loin des finalités commerciales à proprement parler. Nous sommes davantage dans une optique de détection de comportements à risques. (Certes la gestion des risques peut conduire à la protection des intérêts commerciaux).
Avis de la CNIL au sujet des procédures KYC
En France, en application de la loi informatique et libertés, tout traitement de l’information relative aux données personnelles recueillies dans le cadre du KYC pour la lutte anti blanchiment est soumis à un régime d’autorisation auprès de la CNIL. Afin de simplifier les formalités, la CNIL a élaboré une autorisation unique, qui est une sorte d’accord-cadre auquel se réfèrent les déclarants.
La CNIL recommande également une durée de conservation concernant les données personnelles. Cette conservation doit durer pendant une période de 5 ans après l’exécution de la transaction. Par ailleurs, les banques sont tenues à des obligations de sécurité et de confidentialité (mots de passe pour accéder aux données, mesures de sécurité logique).
Les stratégies Big Data au sein de la banque
A priori, les données collectées sont destinées à la mise en conformité. Cependant, elles pourraient très bien servir d’autres finalités davantage commerciales. Les banques sont en quelque sorte assises sur une montagne d’or qui fait même rêver les géants de l’Internet. Or, elles sont limitées et surveillées quant à l’utilisation de ces données à des fins commerciales. Les banques pourraient très bien utilisées les outils sophistiquées de profilage (propice au KYC) pour proposer des solutions axées sur les besoins des clients
Les applications du Big Data couvrent des domaines très divers et permettent par exemple de :
- Mesurer le taux de transformation de campagnes de nouveaux produits personnalisés.
- Recouper des données issues d’informations historiques, des réseaux sociaux et d’une segmentation pour proposer des offres ciblées
- Réagir à une stimulation du client qui peut être déclenchée par sa proximité avec une enseigne partenaire
- Capter la satisfaction des clients, valoriser la fidélité de manière personnalisée en pondérant par la capacité d’influence du client
Rapprochement entre les autorités de régulation
Au vue de ces nombreuses opportunités commerciales, le contexte règlementaire se doit d’évoluer. Plusieurs experts ont d’ailleurs émis l’idée d’un éventuel rapprochement entre la Commission Nationale Informatique et Libertés, l’Autorité de Contrôle Prudentiel et de résolution et l’Autorité des marchés financier pour croiser leurs approches respectives en termes de KYC. Cela aurait pour objectif une clarification et une simplification des exigences règlementaires.
On pourrait imaginer un principe de proportionnalité dans la collecte et le traitement des données. En effet, l’activité d’un retraité avec peu de mouvements de fonds ne devrait pas avoir à fournir les mêmes justificatifs qu’un client jeune et actif.
Les acteurs pourraient ainsi redéfinir leur champ des possibles et améliorer considérablement leur offre de services en respectant l’enjeu de confidentialité des données clients.