Les Asset Managers possèdent et traitent une mine d’informations privées, relatives à leurs clients, leurs salariés, leurs partenaires (et d’autant plus en cas d’externalisation de prestations essentielles et de due diligences renforcées) et leurs prospects ou contacts. Ils sont donc fortement concernés par le GDPR et ont dû depuis mai 2018 entamer leur chantier de mise en conformité.

Rappel sur le GDPR :

Applicable en mai 2018, le GDPR (General Data Protection Regulation), vient encadrer de façon harmonisée au niveau européen le traitement des données à caractère personnel. Il vise à protéger les libertés et droits fondamentaux des personnes physiques concernant la protection de la vie privée et des données personnelles. Ce règlement est donc applicable à tout type d’entreprises, mais aussi aux associations, administrations, collectivités locales, syndicats…, dès lors que ces acteurs collectent, traitent et stockent des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.

Les bonnes questions à se poser

Les Asset Managers ont désormais l’obligation de disposer de politiques et procédures adaptées pour assurer une sécurité pérenne des données dont ils disposent. Ce qui implique de se poser les bonnes questions :

  • Quelles sont les données personnelles dont dispose l’Asset Manager ou son groupe d’appartenance ? Parmi celles-ci, quelles sont les données sensibles ? Quel traitement leur est appliqué ?
  • Le recueil de ces données fait-il l’objet d’un consentement explicite des personnes concernées ? Comment ce consentement est-il conservé ? Comment les droits des personnes concernées sont-ils mis en œuvre ?
  • Quels sont les flux de données existants ou futurs (en fonction des projets à venir) ?
  • Où et comment ces données sont-elles conservées ? Ce qui pose clairement la question de la sécurité des systèmes d’information (IT et Cyber).
  • Comment la gouvernance de la protection des données est-elle organisée ?
  • Dans le cadre d’une approche par le risque, comment l’Asset Manager a-t-il formalisé et estimé le « risque GDPR » ?
  • L’Asset Manager est-il en mesure de mener une étude d’impact sur la vie privée (EIVP ou DPIA) des traitements de données qu’il effectue ?
  • L’Asset Manager a-t-il les moyens techniques et humains d’identifier les violations de données personnelles ?
  • Autant de questions qui ne relèvent pas du cœur de métier des Asset Managers et qu’il faudra cependant considérer.

 

Une réglementation dont il faudra tenir compte dans les mutations à venir

Mais au-delà de la simple mise en conformité réglementaire, le GDPR questionne sur l’évolution du métier. A l’heure où le digital, l’automatisation et la Blockchain augurent une profonde mutation de la profession, ce règlement européen pourrait bien faire « pencher la balance » et cliver les acteurs de l’Asset Management en deux camps : ceux qui auront les moyens d’assumer une relation B to C avec tout ce qu’elle implique en traitement de la donnée et ceux qui préféreront se spécialiser dans la production de produits financiers distribués par les premiers.

Si le marché du retail peut être envisagé comme l’avenir de la gestion d’actifs, la gestion d’une relation directe avec le client final qui est une personne physique n’est sans doute pas à la portée de tous. En effet, la collecte et le maintien des données nécessaires à la bonne connaissance du client (qu’elle relève de la lutte anti-blanchiment ou du bon accompagnement de ce dernier dans ses investissements) sont déjà des enjeux en eux-mêmes. Pour preuve, les nombreux plans de remédiation actuellement en cours dans les banques. La sécurisation et la pérennité du traitement des données qu’une relation B to C implique dorénavant seront des défis supplémentaires à relever par ceux qui voudront se lancer dans l’aventure de la souscription directe.