Banque digitale, se préparer aux obligations à venir en matière de cyber-sécurité

cathie rosalie joly bird and birdCathie-Rosalie JOLY
Avocat Associée (Partner) – Barreaux de Paris et de Bruxelles (liste E)
Docteur en Droit, Chargée d’enseignement en Cybersecurité (Montpellier I)
BIRD & BIRD

Intervenante à la conférence « Banque digitale et connectée  », le mardi 27 juin à Paris.

Nouveaux usages et nouveaux risques encadrés par la DSP2

Avec la deuxième directive services de paiement qui doit être transposée d’ici janvier 2018, deux services techniques n’impliquant pas la réception de fonds des clients entrent désormais dans la sphère des services de paiements réglementés soumis à agrément préalable de l’Autorité de Contrôle Prudentiel et de Résolution. Le service d’initiation de paiement (service de passerelle logicielle permettant l’initiation de paiements sur la base d’un virement) et le service d’information sur les comptes (service permettant de disposer d’une vue d’ensemble des informations de ses comptes bancaires, les données liées aux différents comptes de paiement détenus par un utilisateur étant agrégées et accessibles via une simple interface en ligne).

Les établissements gestionnaires des comptes de paiements (les banques) devront donc donner accès à ces nouveaux prestataires autorisés par les clients titulaires de comptes, et ne pourront suspendre ou refuser l’accès que pour des raisons motivées liées à un accès non autorisé ou frauduleux au compte de paiement.

Afin de garantir la sécurité de l’accès aux comptes de paiement des clients et à leurs données, il était dès lors nécessaire que des exigences strictes soient prévues en matière de sécurité, ces mesures introduites dans la DSP2 (authentification forte, interface dédiée…) sont en cours de précision par l’EBA dans le cadre de la définition des règles techniques relatives à l’authentification forte.

Données personnelles et données bancaires : Plusieurs réglementations à respecter

Bien évidemment il convient d’évoquer le Règlement européen sur les données personnelles (GDPR) qui sera applicable dans tous les états membres en Mai 2018, et qui portera les sanctions encourues en cas de manquement à l’obligation de sécurité, d’absence de notification d’une faille de sécurité, absence d’information ou de recueil du consentement des personnes… à des montants pouvant selon le cas atteindre jusqu’à 2% ou 4% du chiffre d’affaires mondial annuel de l’entreprise ou de 10 à 20 millions d’euros.

Il convient également de ne pas oublier les nombreuses obligations spécifiques au secteur bancaire et financier, telles que notamment :

  • les obligations applicables en matière de secret bancaire,
  • les nouvelles dispositions introduites par la DSP2 liées à la gestion des risques opérationnels et de sécurité, aux procédures de notification des incidents et à la mise en œuvre de l’authentification forte du client,
  • les nouvelles dispositions introduites dans la 4ème directive anti-blanchiment en cours de transposition en France, qui encadre le traitement des données collectées dans le cadre de la lutte LCB-FT.

2018 verra donc l’entrée en vigueur d’une série de nouvelles dispositions ayant des impacts importants pour l’adaptation des procédures, des contrats et des systèmes d’information des banques et des Fintech.

Pour en savoir plus, retrouvez Cathie-Rosalie JOLY lors de la conférence « Banque digitale et connectée », le mardi 27 juin à Paris.

Laisser un commentaire