Quand le GDPR s’immisce dans l’Asset Management

Les Asset Managers possèdent et traitent une mine d’informations privées, relatives à leurs clients, leurs salariés, leurs partenaires (et d’autant plus en cas d’externalisation de prestations essentielles et de due diligences renforcées) et leurs prospects ou contacts. Ils sont donc fortement concernés par le GDPR et ont dû depuis mai 2018 entamer leur chantier de mise en conformité.

Rappel sur le GDPR :

Applicable en mai 2018, le GDPR (General Data Protection Regulation), vient encadrer de façon harmonisée au niveau européen le traitement des données à caractère personnel. Il vise à protéger les libertés et droits fondamentaux des personnes physiques concernant la protection de la vie privée et des données personnelles. Ce règlement est donc applicable à tout type d’entreprises, mais aussi aux associations, administrations, collectivités locales, syndicats…, dès lors que ces acteurs collectent, traitent et stockent des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.

Les bonnes questions à se poser

Les Asset Managers ont désormais l’obligation de disposer de politiques et procédures adaptées pour assurer une sécurité pérenne des données dont ils disposent. Ce qui implique de se poser les bonnes questions :

  • Quelles sont les données personnelles dont dispose l’Asset Manager ou son groupe d’appartenance ? Parmi celles-ci, quelles sont les données sensibles ? Quel traitement leur est appliqué ?
  • Le recueil de ces données fait-il l’objet d’un consentement explicite des personnes concernées ? Comment ce consentement est-il conservé ? Comment les droits des personnes concernées sont-ils mis en œuvre ?
  • Quels sont les flux de données existants ou futurs (en fonction des projets à venir) ?
  • Où et comment ces données sont-elles conservées ? Ce qui pose clairement la question de la sécurité des systèmes d’information (IT et Cyber).
  • Comment la gouvernance de la protection des données est-elle organisée ?
  • Dans le cadre d’une approche par le risque, comment l’Asset Manager a-t-il formalisé et estimé le « risque GDPR » ?
  • L’Asset Manager est-il en mesure de mener une étude d’impact sur la vie privée (EIVP ou DPIA) des traitements de données qu’il effectue ?
  • L’Asset Manager a-t-il les moyens techniques et humains d’identifier les violations de données personnelles ?
  • Autant de questions qui ne relèvent pas du cœur de métier des Asset Managers et qu’il faudra cependant considérer.

 

Une réglementation dont il faudra tenir compte dans les mutations à venir

Mais au-delà de la simple mise en conformité réglementaire, le GDPR questionne sur l’évolution du métier. A l’heure où le digital, l’automatisation et la Blockchain augurent une profonde mutation de la profession, ce règlement européen pourrait bien faire « pencher la balance » et cliver les acteurs de l’Asset Management en deux camps : ceux qui auront les moyens d’assumer une relation B to C avec tout ce qu’elle implique en traitement de la donnée et ceux qui préféreront se spécialiser dans la production de produits financiers distribués par les premiers.

Si le marché du retail peut être envisagé comme l’avenir de la gestion d’actifs, la gestion d’une relation directe avec le client final qui est une personne physique n’est sans doute pas à la portée de tous. En effet, la collecte et le maintien des données nécessaires à la bonne connaissance du client (qu’elle relève de la lutte anti-blanchiment ou du bon accompagnement de ce dernier dans ses investissements) sont déjà des enjeux en eux-mêmes. Pour preuve, les nombreux plans de remédiation actuellement en cours dans les banques. La sécurisation et la pérennité du traitement des données qu’une relation B to C implique dorénavant seront des défis supplémentaires à relever par ceux qui voudront se lancer dans l’aventure de la souscription directe.

Servane rejoint Deloitte en juillet 2014. Son champ d’expertise couvre notamment les problématiques réglementaires liées à l’asset management, mais également à la mise en œuvre de réglementations transversales telles que PRIIPs ou MiFID II, la commercialisation des produits financiers et la protection des investisseurs. Elle était auparavant Responsable commercialisation et Vie des acteurs à l’AFG. Elle a participé à l’élaboration de la position de l’AFG sur diverses réglementations ainsi qu’à la transposition en droit français des réglementations européennes.

Published by

Recent Posts

Cas d’usage des captives de réassurance, entre gestion du risque corporate et opportunité financière

Article co-rédigé avec Cyril Chalin, Charles-Henri Carlier, Joseph Delawari et Pape Modou Mbow. La loi…

1 an ago

Talent Acquisition et compétences face au changement organisationnel

Entretien avec Jérôme de Grandmaison (VP Talent Management, Product Lines & Functions, Alstom) à l’occasion…

1 an ago

Refonte du questionnaire lutte anti-blanchiment : une approche qui évolue avec des impacts forts pour les entités assujetties

Article co-écrit par Ivann Le Pallec (Senior Consultant Risk Advisory) et Valentin Brohm (Manager Risk…

1 an ago

Future of luxury travel

Five Trends Shaping the Market Hear “luxury travel,” and you’re likely to envision a swirl…

2 ans ago

E-Euro : l’interview de Frédéric Faure, Head of Blockchain chez Banque de France

Interview réalisée par Marie-Line Ricard, Associée Blockchain & Web 3, Jérémy Stevance, Manager Blockchain &…

2 ans ago

La prise en compte de sujets fonctionnels résultant de la réforme de la demande et des attributions, une opportunité pour les acteurs de la réforme

Article co-rédigé avec Wilfrid Biamou, Senior manager. Les évolutions réglementaires successives Alur du 26 mars…

2 ans ago