Les données sont au cœur de la transformation digitale des banques et assurances qui doivent respecter les nombreuses réglementations applicables à la collecte et au traitement des données, ainsi que le besoin de transparence concernant leur utilisation de la part des clients, tout en optimisant la valeur qu’elles en extraient pour accélérer l’innovation. Afin d’aider au mieux nos clients du secteur des services financiers à faire face à la complexité réglementaire, à l’accroissement des risques et à la sensibilisation de leurs clients, nous avons construit une approche basée sur la notion de « Data Compliance by Design » permettant de définir, identifier et maitriser les risques liés aux données et répondre aux besoins des équipes Data Office, Data Scientists, Compliance et IT Risk.

S’assurer que le traitement des données est conforme aux réglementations en vigueur s’avère complexe. Ces dernières évoluent rapidement (globalisation de la protection de la donnée ou du cyber risque par exemple) et ne s’appliquent parfois pas directement aux données (ex : maitrise de l’externalisation). Les exigences pour maitriser ces risques engendrent une forte charge de travail et des coûts non négligeables, qui peuvent représenter parfois jusqu’à 50% du budget total d’un « Proof of Concept ».

D’un autre côté, l’écosystème des données est en pleine évolution en faisant appel à des données externes (Open Banking, IoT) et en multipliant les sources de données pour alimenter les moteurs d’IA. Cette transformation augmente significativement les risques (ex : fuite de données). Par ailleurs, les lignes Métiers exercent une forte pression pour adopter des solutions Cloud et des techniques de marketing basées sur l’IA, ce qui nécessitera de plus en plus d’obtenir le consentement explicite des clients.

Ces derniers ont désormais des attentes croissantes en matière de protection de leurs données et de leur vie privée. Ils sont en général bien informés sur la RGPD et de plus en plus sensibles aux traitements de leurs données et ce, même s’ils plébiscitent paradoxalement en majorité, les solutions les moins transparentes (i.e GAFA).

Afin d’aider au mieux nos clients du secteur des services financiers à faire face à cette complexité réglementaire, à l’accroissement des risques et à la sensibilisation de leurs clients, nous avons construit une approche basée sur la notion de « Data Compliance by Design » permettant de définir, identifier et maitriser les risques liés aux données et répondre aux besoins des équipes Data Office, Data Scientists, Compliance et IT Risk.

1. ÉVALUER LES RISQUES DE NON-CONFORMITÉ LIÉS À LA DONNÉE

Connaître l’exposition au risque de non-conformité des données permet d’adapter l’approche au contexte. Afin d’accélérer cette phase cruciale, nous avons développé un outil d’aide qui se base sur les réglementations en vigueur (RGPD, NIST, etc.), que nous avons classées en 6 catégories de risques.

[Cliquez sur l’image pour l’agrandir] 

Cet outil, à adapter en fonction du contexte de chaque client, permet de donner une moyenne du niveau de risque d’un projet ou d’une application liés à la donnée, en évaluant 4 aspects : transfert de données ; protection et confidentialité des données ; gestion des risques IT et résilience ; outsourcing et cloud.

Environ 130 questions, basées sur les textes de loi et/ou les frameworks IT, permettent d’identifier ces niveaux de risques.

Il permet de rapidement se situer et d’identifier les sujets sur lesquels se concentrer.  Grâce à l’expertise d’Accenture dans ce domaine, nous pouvons par ailleurs proposer des benchmarks des pratiques de la place afin de compléter et ajuster l’évaluation.

2. ADAPTER L’ ÉVALUATION DES RISQUES DONNÉES AU SEIN DES PROJETS IT (MÉTHODOLOGIES PROJETS, OUTIL, KPI)

Les projets informatiques sont souvent au cœur des risques sur les données. Ils participent à créer, transformer et transférer des données. Afin de sécuriser ces changements et garantir que les futurs projets n’entraîneront pas de risques liés à la conformité des données, les banques et assurances réalisent des évaluations de ces projets (procédures ou outils) sur les risques liés à la sécurité, la confidentialité, l’externalisation ou encore les risques opérationnels, tout au long de leur durée.

Mais il n’est pas rare que des analyses sécurité IT tardives remettent en cause l’architecture du projet (réglementation NIST par exemple).

Le problème bien souvent n’est pas que les évaluations ne sont pas réalisées, mais plutôt qu’elles sont catégorisées avec un empilement de questionnaires partiellement redondants qui ne sont pas adaptés à toutes les phases de projets.

[Cliquez sur l’image pour l’agrandir] 

Illustration d’empilement de questionnaires

Les méthodologies d’évaluation sont bien adaptées pour les projets significatifs mais se révèlent lourdes et complexes pour les autres (évolutions d’applicatif, utilisation de données, « Proof of Concept »).

L’objectif est de simplifier les différentes méthodologies projets pour renforcer l’évaluation des risques tout en allégeant la charge des chefs de projets.

Par ailleurs ces processus d’évaluation sont souvent peu compris par les équipes métiers et redondants en raison de l’empilement des contrôles pour chaque nouvelle réglementation.

Nos expériences nous ont permis de mettre en évidence les bonnes pratiques à prendre en compte dans cette évaluation des risques :

  • Formaliser les processus d’approbation (ex : comité nouveau produit, comité de validation d’architecture / technique) pour permettre aux chefs de projets d’anticiper les jalons et livrables prévus ;
  • Disposer d’un texte interne officiel pour décrire les risques liés aux données permet d’accélérer la prise de conscience ;
  • Evaluer dès l’initiation du projet les risques de façon “High Level”, afin d’identifier des difficultés significatives (ex : consentement requis non prévu) ;
  • Disposer de supports (process, outils) pour orienter les chefs de projets dans les démarches à réaliser ;
  • Sensibiliser les chefs de projets pour permettre une auto-évaluation des risques.

3. UTILISER LES INNOVATIONS TECHNOLOGIQUES POUR RÉDUIRE LES RISQUES LIÉS AUX DONNÉES

Evaluer les risques de non-conformité relatifs aux données ne signifie pas forcément uniquement s’opposer aux initiatives et bloquer les projets. Le framework mis en place doit permettre aux fonctions « animant » ce processus d’évaluation des risques de fournir des recommandations à mettre en place (dans l’architecture de l’application et/ou dans les contrats) afin de s’assurer de la conformité du projet ou de l’application.

Certaines solutions technologiques émergentes permettent d’aller plus loin en « réduisant » les risques liés aux données via différentes techniques, comme par exemple :

  • anonymiser les données ;
  • identifier rapidement les fuites de données ;
  • tracer les données structurées et non structurées pour s’assurer d’une couverture exhaustive ;
  • récupérer efficacement le consentement des clients pour étendre l’utilisation des données.

Nos nombreux partenariats et notre connaissance de l’écosystème nous permettent de vous orienter sur la solution la plus adaptée à votre besoin.

4. TIRER PROFIT DE L’APPROCHE DATA COMPLIANCE POUR RENFORCER LA RÉSILIENCE AUX RISQUES CYBER ET OPTIMISER LE CONTRÔLE PERMANENT

Après la mise en œuvre de la RGPD, l’agenda réglementaire se concentre dorénavant sur les risques Cyber (NIST, NYDFS, guidelines US et Europe pour les assurances, …).

Ces nouvelles réglementations doivent être intégrées dans l’approche de Data Compliance (et non pas être traitées de manière totalement séparée) pour rationaliser les efforts et ainsi disposer d’une vision globale des risques sur les données.

Nous pensons qu’il est nécessaire d’adapter la gouvernance et impliquer les équipes au-delà du Data Office (Direction des Données) (ex : compliance, risques opérationnels, sécurité IT) pour disposer d’une vision globale du risque liés aux données et intégrer le risque cyber dans les référentiels de contrôle.

Afin de réduire les coûts et la complexité, nous recommandons de renforcer les contrôles en rationnalisant l’existant, via par exemple une méthode d’Activity Based Costing.

NOTRE EXPÉRIENCE TERRAIN

Le sujet est encore émergent et nombreux sont les acteurs qui adoptent une approche catégorisée de la gestion des risques liés aux données (chevauchement entre compliance, data office et sécurité IT) et ne parviennent pas à avoir une vision globale de leurs risques encourus.

Pour une des principales banques françaises, nous avons mis en place une approche multi-projets et équipes (en s’appuyant sur différents experts Accenture : Compliance, Sécurité et Applied Intelligence) pour rapprocher les experts sur les données mais aussi agir sur l’ensemble du cycle de production de la donnée.

En agissant auprès de différents acteurs (Data Office Groupe, Conformité et IT) nos équipes participent à la mise en œuvre d’un processus uniforme de Data Compliance innovant, permettant de garantir la conformité du traitement des données et de rationaliser les efforts consacrés à l’encadrement des risques.

[Cliquez sur l’image pour l’agrandir] 

À terme, la création d’un dispositif d’encadrement des risques liés aux données (outillage, méthodologie projets) permettra d’intégrer facilement les évolutions réglementaires et d’éviter la multiplication des dispositifs d’évaluation des risques.

NOTRE APPROCHE A PERMIS DE :

  • Réduire la charge de travail des équipes projets, Compliance et Risques ;
  • Optimiser le time to market des projets d’externalisation via l’identification de cas d’usages récurrents ;
  • Augmenter la couverture des évaluations, notamment les risques cyber ;
  • Améliorer le reporting et établir des stratégies plus fiables.

Pour plus d’information, n’hésitez pas à contacter :

@Michael Chouraki, Senior Manager Accenture