L’activité des banques les oblige à collecter et à stocker de nombreuses données concernant leurs clients. Des données confidentielles et qui, du point de vue de la CNIL, sont considérées comme des données sensibles. Il incombe donc au secteur bancaire d’avoir un usage éthique de cette data et surtout d’en garantir la sécurité. En effet, la numérisation des opérations bancaires a simplifié l’expérience client et collaborateur. Néanmoins, elle fait peser de nouveaux risques sur ces entreprises face à la recrudescence des cyberattaques. Ainsi, depuis plusieurs années, la Banque de France ne cesse d’alerter sur le “risque structurel” que représente cette digitalisation alors même que les entreprises du secteur financier sont régulièrement visées par les cybercriminels.
Comment protéger les données sensibles dans les banques ? Dans cet article, nous ferons le tour des typologies d’informations clients nécessitant des mesures de protection accrues. Nous examinerons les bonnes pratiques de sécurité de ces données.
Les réglementations liées à la protection des données des banques
Le secteur bancaire est soumis à diverses lois et réglementations en matière de sécurité des données. Pour s’y conformer, les banques sont donc contraintes de mettre en place des moyens technologiques et organisationnels et des procédures strictes. Voici les principales réglementations en vigueur.
Le Règlement Général sur la Protection des Données (RGPD)
Depuis l’entrée en vigueur du RGPD en mai 2018, le secteur financier a renforcé sa vigilance sur 3 volets :
- la collecte des données qui nécessite l’obtention préalable du consentement explicite du client ;
- le stockage des données qui confère au client un droit à rectification des informations renseignées, et même un droit à l’oubli (suppression des données) ;
- l’analyse des données : l’entreprise doit être transparente auprès de ses clients sur l’usage qui est fait des données comme par exemple dans le cas d’une enquête de satisfaction post-appel.
De plus comme toutes les entreprises, les banques ont dû se conformer aux obligations RGPD : désigner un délégué à la protection des données et un responsable de traitement, tenir à jour le registre de traitements des données, encadrer la sous-traitance des données, respecter le principe d’ « accountability » (traçabilité de l’utilisation des données), etc.
La loi Informatique et Libertés (LIL)
Spécificité française, la loi du 6 janvier 1978 a été réactualisée le 1er juin 2019. En effet, cette nouvelle rédaction a pour objectif de mettre en conformité le droit français avec les dispositions RGPD et la Directive « police-justice ». Elle porte, entre autres, sur la collecte et le traitement des données personnelles et bancaires des citoyens.
La directive européenne sur les services de paiement (DSP2)
Cette directive définit les règles de partage de données bancaires entre les banques et les tiers prestataires de services de paiement (PSP tiers) comme la solution de paiement par téléphone de Voxpay par exemple. Elle détermine aussi les exigences à respecter en matière de sécurité visant à protéger les consommateurs.
Les catégories de données sensibles collectées par le secteur bancaire
Les informations personnelles
Aux yeux de la CNIL, une donnée personnelle est toute information permettant d’identifier une personne physique (directement ou indirectement). Ainsi, on peut qualifier de données personnelles les éléments suivants : nom, prénom, date de naissance, adresse, numéro de sécurité sociale ou de téléphone, une adresse IP, une adresse électronique, une copie de pièce d’identité, etc.
Les informations bancaires et transactionnelles
Les banques disposent d’un grand nombre d’informations financières au sujet de leurs clients : numéro de compte bancaire, identifiants, codes PIN, numéro de carte bancaire, historiques de transactions, etc. Les Français considèrent d’ailleurs ces données bancaires comme les plus sensibles (89%) selon une étude de la Fédération Bancaire Française (FBF) menée par Harris Interactive en 2022.
D’autres données confidentielles
Nous pensons ici à toutes les données extrêmement personnelles qui donnent une vision à 360° des clients et de leurs comportements : sa profession, sa situation familiale, sa santé, sa situation financière et son patrimoine (prêts, investissements, biens immobiliers par exemple), ses données biométriques, etc.
Si les traitements sur ces données sont différents et que les conséquences d’une fuite ou d’une fraude impactent à différents degrés les clients, la protection reste une condition sine qua none. D’autant que 88% des Français s’inquiètent d’une possible usurpation d’identité à la suite d’un piratage de leurs données personnelles. Et que 86% craignent d’être victimes d’attaques de leurs données bancaires. (étude FBF-Harris Interactive, 2022).
Ainsi, comment améliorer la protection des données sensibles ?
Les mesures de protection des données sensibles recueillies
Bien évidemment, les premières mesures à déployer pour garantir la sécurité des données collectées et stockées par les banques concernent la sécurisation des informations :
- des éléments physiques (traitement et stockage des documents papiers) ;
- des systèmes d’information.
Toutes les solutions cloud utilisées doivent être sécurisées, maintenues et testées pour éviter de laisser une porte d’entrée aux cybercriminels. De fait, les banques ont intérêt à choisir un prestataire de téléphonie IP offrant des garanties de sécurité.
Les pratiques sont nombreuses mais nous nous concentrons ici sur les plus essentielles.
La minimisation des données
Le principe de minimisation des données est l’un des principes clés du RGPD. Le concept est simple : les données à caractère personnel collectées par les entreprises doivent être « adéquates, pertinentes et limitées ». Ainsi, pour les établissements bancaires, cela suppose de ne collecter que les données nécessaires aux finalités de traitement définies. Dans le respect de la minimisation de ces informations, les banques anonymisent les données qui ne seraient plus indispensables. Elles doivent aussi se conformer strictement aux durées de conservation propres à leurs activités.
Le cryptage des données (SSL)
Désormais, pour consulter leurs relevés de compte, effectuer des virements, souscrire à des contrats d’assurance, les Français se connectent sur le compte client via le site internet ou l’application de leur banque. Le cryptage de données évite le piratage des données, notamment au cours des opérations réalisées par le client. Que ce soit sur les interfaces de sa banque ou sur une interface tierce qui nécessite un partage de données entre la banque et le prestataire ou des sous-traitants.
En outre, pour des établissements bancaires, il est impératif de choisir une solution de téléphonie VoIP et un logiciel de gestion de la relation client proposant le cryptage des données. Chez Axialys, les enregistrements téléphoniques sont stockés en utilisant des identifiants uniques non-rattachables à des données personnelles. De même, les entreprises ont accès à plusieurs options pour le stockage des enregistrements d’appels. Axialys a fait le choix d’avoir ses datacenters en France, mais nos clients peuvent aussi bénéficier de solutions d’hébergement de type S3 – contrôlées par le client – avec cryptage de données.
L’authentification des utilisateurs
Avec la généralisation des achats e-commerce, les établissements financiers se tournent vers des méthodes d’authentification fortes à double facteur pour renforcer davantage la sécurité des données de leurs clients. C’est d’ailleurs l’une des obligations fixées par la directive DSP2 dans le cas des paiements d’un montant supérieur à 30€. Concrètement, l’utilisateur devra fournir deux des trois éléments d’identification suivants :
- un mot de passe ou un code numérique (élément de connaissance) ;
- son portable ou sa ligne téléphonique (élément de possession) ;
- son empreinte digitale, faciale ou vocale (élément d’inhérence).
De la même manière, pour sécuriser les interactions téléphoniques entre un conseiller bancaire et ses clients, l’authentification de ces derniers est un prérequis pour éviter de divulguer des informations confidentielles à un pirate informatique. Ainsi, l’utilisation d’un SVI permet la mise en place de certains filtres qui aident à authentifier l’appel :
- le numéro de téléphone de l’appelant tout d’abord ;
- des réponses vocales ou numériques à d’autres questions posées qui peuvent faire l’objet de l’envoi d’un sms ;
- la fonction de call-back.
Conclusion
Les Français attendent de leurs banques qu’elles respectent la confidentialité de leurs données sensibles et qu’elles en fassent un usage raisonné. De même, face aux trop nombreuses actualités sur des fuites de données, les clients sont de plus en plus attentifs aux questions de protection de leurs données. Assurer la cybersécurité des banques, c’est donc rassurer les clients et les fidéliser. Mais qu’importent tous les moyens et protocoles déployés par le secteur financier, le risque zéro n’existe pas. C’est pourquoi les banques doivent aussi sensibiliser sans relâche collaborateurs et clients pour réduire le risque induit par le facteur humain.
