De toutes les réglementations auxquelles la Suisse doit faire face pour travailler avec le marché européen, le Règlement Général sur la Protection des Données (RGPD) est le plus en phase avec l’attachement, typiquement suisse, à la protection de la sphère privée. Une bonne nouvelle?
A la fin des années 2000, je fus témoin d’une situation dont je me suis souvenue récemment, avec l’arrivée de la date butoir du RGPD:
Dans le souci de protéger ses données client, la direction d’une banque sise à Genève décida de mettre en place un blocage dans son outil CRM (‘Client relationship management’), rendant impossible pour de nombreux collègues toute impression, extraction ou copie de données sur un quelconque support. Le blocage complexifiait beaucoup les tâches quotidiennes: La simple impression d’un KYC en vue d’une séance de travail n’était plus possible.
La mesure fut pointée du doigt avec véhémence par les collaborateurs concernés. Mais la levée de boucliers dura peu de temps.
En effet, quelques collègues plus malins que les autres avaient remarqué une faille dans le blocage, et trouvé un moyen pour extraire malgré toutes les données nécessaires à l’accomplissement de leurs tâches. L’astuce se diffusa rapidement et un workflow ‘underground’ se mit en place, dont la direction ne fut jamais vraiment consciente.
Si la banque avait communiqué de manière plus convaincante avec les employés sur les raisons de ce blocage, la faille aurait sans doute été remontée aux responsables au lieu d’être exploitée par les collègues.
Le Règlement Général sur la Protection des Données (RGPD) qui entre en vigueur le 25 mai prochain risque lui aussi de générer un décalage entre la stratégie déployée par les sociétés concernées et sa compréhension par les employés. Certes, la plupart des banques et autres intermédiaires financiers concernés mettront en place des mesures assurant leur conformité avec le RGPD.
Mais comment les employés percevront-ils la complexification des processus? Comment réagiront-ils face au temps perdu dans certaines tâches liées au RGPD? La clé du problème réside dans l’adhésion personnelle des collègues à ces nouvelles contraintes. Une telle adhésion implique une communication positive et approfondie par la direction sur le sujet.
Mais peut-on (se) convaincre que le RGPD n’est pas qu’une énième intrusion des Régulateurs étrangers dans nos professions?
En fait, de toutes les règlementations auxquelles la Suisse doit faire face pour travailler avec le marché européen, le RGPD est celle qui est le plus en phase avec l’attachement, typiquement suisse, à la protection de la sphère privée.
On songe d’ailleurs avec nostalgie à la simplicité de notre article 41 LB sur le secret bancaire. Cet article, certes un peu désuet, résume en 15 lignes l’esprit des 122 pages du RGPD: il faut protéger les données de nos clients et nos prospects.
Le nombre exponentiel d’incidents concernant la protection de données privées a donné à réfléchir à chacun de nous. Le récent scandale de Cambridge Analytica n’est à ce titre que la pointe de l’iceberg. Rappelons par exemple que de nombreux acteurs de la place ont souligné les risques liés à la diffusion quasi-industrialisée de données client à des collectivités publiques étrangères n’ayant pas les mêmes standards de confidentialité que la Suisse.
Bref, il est vrai que le RGPD est un animal imparfait et indigeste. Mais ce règlement marque un retour bienvenu vers le respect de la vie privée. Il offre l’opportunité de remettre quelque peu la protection de nos clients et de leurs données au centre de nos préoccupations.
Cela mérite de mobiliser l’attention de tous les collègues des sociétés concernées, afin que les processus déployés ne se limitent pas à un rôle purement cosmétique.