Quand le GDPR s’immisce dans l’Asset Management

Les Asset Managers possèdent et traitent une mine d’informations privées, relatives à leurs clients, leurs salariés, leurs partenaires (et d’autant plus en cas d’externalisation de prestations essentielles et de due diligences renforcées) et leurs prospects ou contacts. Ils sont donc fortement concernés par le GDPR et ont dû depuis mai 2018 entamer leur chantier de mise en conformité.

Les bonnes questions à se poser

Les Asset Managers ont désormais l’obligation de disposer de politiques et procédures adaptées pour assurer une sécurité pérenne des données dont ils disposent. Ce qui implique de se poser les bonnes questions :

• Quelles sont les données personnelles dont dispose l’Asset Manager ou son groupe d’appartenance ? Parmi celles-ci, quelles sont les données sensibles ? Quel traitement leur est appliqué ?
• Le recueil de ces données fait-il l’objet d’un consentement explicite des personnes concernées ? Comment ce consentement est-il conservé ? Comment les droits des personnes concernées sont-ils mis en œuvre ?
• Quels sont les flux de données existants ou futurs (en fonction des projets à venir) ?
• Où et comment ces données sont-elles conservées ? Ce qui pose clairement la question de la sécurité des systèmes d’information (IT et Cyber).
• Comment la gouvernance de la protection des données est-elle organisée ?
• Dans le cadre d’une approche par le risque, comment l’Asset Manager a-t-il formalisé et estimé le « risque GDPR » ?
• L’Asset Manager est-il en mesure de mener une étude d’impact sur la vie privée (EIVP ou DPIA) des traitements de données qu’il effectue ?
• L’Asset Manager a-t-il les moyens techniques et humains d’identifier les violations de données personnelles ?
• Autant de questions qui ne relèvent pas du cœur de métier des Asset Managers et qu’il faudra cependant considérer.

Une réglementation dont il faudra tenir compte dans les mutations à venir

Mais au-delà de la simple mise en conformité réglementaire, le GDPR questionne sur l’évolution du métier. A l’heure où le digital, l’automatisation et la Blockchain augurent une profonde mutation de la profession, ce règlement européen pourrait bien faire « pencher la balance » et cliver les acteurs de l’Asset Management en deux camps : ceux qui auront les moyens d’assumer une relation B to C avec tout ce qu’elle implique en traitement de la donnée et ceux qui préféreront se spécialiser dans la production de produits financiers distribués par les premiers.

Si le marché du retail peut être envisagé comme l’avenir de la gestion d’actifs, la gestion d’une relation directe avec le client final qui est une personne physique n’est sans doute pas à la portée de tous. En effet, la collecte et le maintien des données nécessaires à la bonne connaissance du client (qu’elle relève de la lutte anti-blanchiment ou du bon accompagnement de ce dernier dans ses investissements) sont déjà des enjeux en eux-mêmes. Pour preuve, les nombreux plans de remédiation actuellement en cours dans les banques. La sécurisation et la pérennité du traitement des données qu’une relation B to C implique dorénavant seront des défis supplémentaires à relever par ceux qui voudront se lancer dans l’aventure de la souscription directe.