Editorial n°109 - Mai 2018 - #T2S #GDPR

4
0
0
 
 
 
 

Afin de compenser des volumes plus faibles qu’espérés, la BCE commence à préparer les esprits à une hausse des tarifs pratiqués par la plateforme T2S.
Rappelons que le modèle économique envisagé en 2010 s’appuyait sur un prix de base de l’instruction de règlement/livraison de 15 centimes d’euros et sur une projection de volumes de transactions manifestement trop optimiste puisqu’ils se sont avérés inférieurs aux prévisions de 15,2% en 2015, de 26,3% en 2016 et de 33% en 2017.

Et même si deux CSD restent sur la liste d’attente de T2S, Euroclear Finland et VP Securities pour ses opérations en Couronne Danoise, ils ne génèreront pas une augmentation significative des volumes traités.

Le prix de l’opération sera donc très probablement réévalué à partir de 2019, dans la limite de l’engagement pris qu’il n’y ait pas d’augmentation supérieure à 10%  par an sur la période 2019-2022.

Il n’aura échappé à personne d’un tant soit peu connecté que le règlement GDPR (General Data Protection Regulation) est entré en application le 25 mai.

Rappelons pour ceux qui n’auraient pas suivi de près ce sujet, quelques points essentiels de ce règlement notamment pour les institutions financières qui traitent quotidiennement une grande quantité de données personnelles.

Selon les termes du GDPR, les données personnelles font référence à tout ce qui pourrait être utilisé pour identifier une personne, comme le nom, l'adresse électronique, l'adresse IP ou le numéro de carte d'identité.

Chaque institution financière qui traite des données personnelles aura besoin d'une base légale pour ces traitements.

L'article 6 du GDPR prévoit que le traitement n'est légal que si et dans la mesure où: (i) la personne concernée a donné son consentement; (ii) le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée; (iii) il est nécessaire pour le respect d'une obligation légale ou d'une mission réalisée dans l'intérêt public; (iv) il est nécessaire de protéger les intérêts vitaux d'un individu; ou v) il est nécessaire aux fins des intérêts légitimes du responsable du traitement ou d'un tiers, pour autant qu'ils ne soient pas contraires aux droits fondamentaux de la personne concernée.

Les institutions financières doivent donc évaluer la base légitime de leurs opérations de traitement de données. Cela implique d’obtenir le consentement de leurs clients sur les données personnelles collectées et une vérification des contrats existants, des termes et conditions et des modèles d'accords. Même si le consentement a déjà été donné, ce consentement pourrait ne plus suffire dans le cadre de GDPR.

Elles doivent également mettre en place les mesures techniques et organisationnelles nécessaires pour répondre aux demandes des personnes concernées, sur la base de leurs droits étendus au titre du GDPR.

Parmi ces droits, le «droit à l'oubli» permet à une personne de demander l'effacement de ses données lorsque celles-ci ne sont plus nécessaires aux fins du traitement pour lequel elles ont été collectées ou si le traitement n'a pas de fondement légitime.

Le droit à la «portabilité des données» permet aux particuliers de demander une copie lisible par ordinateur de leurs données personnelles stockées par un fournisseur de services. Lorsque cela est techniquement possible, les particuliers peuvent demander un transfert direct des données d'un fournisseur à l'autre. Cependant, la demande ne peut pas imposer des efforts disproportionnés au responsable du traitement ou poser des problèmes de confidentialité.

GDPR exige également que les data protection officers (DPO) signalent dans les 72 heures toute violation de données à l'autorité de surveillance des données personnelles (La CNIL pour la France). La notification doit contenir des détails sur la nature de la violation, les catégories et le nombre approximatif de personnes concernées.

Pour répondre à toutes ces exigences, les entreprises doivent identifier les différents éléments de leur système d’information dans lesquels sont stockées, ou par lesquels transitent, des données personnelles.

Elles doivent pouvoir garantir que les données de leurs clients restent bien protégées de bout en bout de leur système d’information même si une partie de celui-ci est externalisé.

GDPR s'applique ainsi à toutes les données personnelles des clients, où qu'elles se trouvent, que ce soit dans un environnement de production, d’homologation voire même de développement. Sous GDPR, les données doivent être anonymisées dans tous les environnements afin de garantir que l'accès aux données reste dans les limites des obligations du «besoin de savoir» (need-to-know obligations).

Pour terminer, rappelons que le GDPR prévoit des amendes administratives qui peuvent être élevées puisqu’elles peuvent atteindre 20 millions d’euros ou 4% du chiffre d'affaires annuel global d'une entreprise.