Le secteur financier traite massivement des données à caractère personnel, qui présentent une certaine sensibilité pour les personnes concernées. Le traitement de ces données représente par ailleurs des enjeux importants, dans la mesure où ces données sont convoitées par des personnes au profil varié, en particulier les cybercriminels. Cet état de fait n’a pas échappé au Bureau mauricien de protection des données personnelles (Data protection Office en anglais, ci-après « la DPO » ou « le Bureau »), qui s’est saisi du sujet et a publié, en novembre 2023, un guide sur le traitement des données personnelles dans le secteur financier. Une analyse de ce guide permet de constater que le Bureau a pris soin, dans un premier temps, de recenser les catégories de données personnelles concernées, avant de rappeler les obligations et principes à respecter par les responsables de traitement. Enfin il a bien pris en compte les particularités du secteur financier.
Tout d’abord, se voulant pédagogique, le guide procède à la définition d’une donnée personnelle, conformément à la loi mauricienne . Il dresse ensuite une liste non-exhaustive des données personnelles qui font souvent l’objet de traitement dans le secteur financier. Sans qu’il soit nécessaire de reprendre intégralement la liste établie par le Bureau, il est intéressant de relever qu’il s’agit d’un large spectre de données, allant de simples données nominatives, aux données financières (numéro de carte bancaire, historique de paiement, informations de revenus, de prêts, de KYC …), en passant par les données d’identité. Un accent spécial est mis sur les données sensibles, au sens de l’article 9 du Règlement Général sur la Protection des Données (RGPD), et les données relatives aux infractions pénales, comme les catégories particulières de données personnelles traitées par les institutions financières. Les données de santé, la biométrie et le casier judiciaire sont cités en exemple.
Dans un second temps, une fois les catégories de données concernées rappelées, le Bureau revient sur le cadre juridique qui s’applique aux traitements des données personnelles à Maurice.
• L’enregistrement. Au premier rang des obligations figure celle de l’enregistrement. Conformément au droit mauricien , nul ne peut agir comme responsable de traitement ou sous-traitant (autrement dit, procéder à un traitement de données personnelles) s’il n’est au préalable enregistré auprès de la DPO. Les institutions financières ont ainsi l’obligation basique de procéder à leur enregistrement auprès de la DPO. Cette obligation d’enregistrement est facilitée par la mise en place d’une plateforme numérique (e-DPO).
• Principes clés. Une fois le formalisme d’enregistrement rempli, le responsable de traitement, ou le sous-traitant, doit respecter les principes clés suivants : transparence et licéité du traitement, limitation, minimisation des données, exactitude, limitation de la durée de conservation des données, respect des droits des personnes concernées. Le guide s’est attelé à une explication de chacun de ces principes.
• Sécurité des données et conformité juridique. En tant que responsables de traitement, les institutions financières doivent par ailleurs définir des politiques et prendre des mesures techniques et organisationnelles appropriées pour démontrer que les traitements auxquels elles procèdent sont conformes à la loi. Ces mesures sont d’abord relatives à la sécurité des données. Des standards tels que ISO 27001 et la National Institute of Standards and Technology Cybersecurity framework existent et sont préconisés par le guide. D’autres mesures, telles que l’établissement d’un registre, la rédaction d’une analyse d’impact (PIA ou AIPD), ou la désignation d’un délégué à la protection des données, sont aussi à la charge du responsable de traitement.
• Cloud computing et prospection commerciale. En cas d’utilisation du cloud impliquant des transferts de données, les institutions financières doivent être en mesure de fournir la preuve de garanties appropriées pour la protection et la sécurité des données, ou en cas de doute, demander l’avis de la DPO. En cas de prospection commerciale, elles doivent obtenir un consentement valide et être en mesure de le démontrer.
• Sanctions pécuniaires et pénales. Le guide permet également de voir le tableau des sanctions prévues par le droit mauricien en cas de manquements. La non-conformité ou les contraventions à la loi sont punies par exemple par une amende ne pouvant dépasser 200 000 roupies. Le refus de collaboration avec la DPO, le traitement illégal des données, les fausses déclarations sont également visés et sont punis par des amendes, voire même passibles de peines d’emprisonnement.
• Autres concepts. Enfin, le guide souligne les conditions du consentement, rappelle les conditions de traitement des données sensibles, dont celles des enfants, insiste sur la nécessité et les conditions de notification d’une violation de données, et détaille les droits des personnes concernées, notamment le droit d’accès, le droit d’effacement et le droit à l’opposition.
Pour conclure, le guide relève les particularités du système financier: les traitements relatifs au blanchiment d’argent et le financement du terrorisme d’une part, et les technologies financières (fintechs) d’autre part.
• Le blanchiment d’argent et le financement du terrorisme. Transparence financière, lutte contre le blanchiment d’argent et protection de la vie privée… Les enjeux liés à certains traitements de données dans le secteur financier sont importants. La DPO note que ce type de traitement doit avoir une base légale claire et détaillée sans manquer d’être nécessaire et proportionnel à la finalité poursuivie. Le consentement libre doit être considéré quand c’est possible. Dans le cas contraire, il est possible de fonder ce type de traitement sur la base de « mission d’intérêt public » pour les organismes publics ou d’ « obligations légales » pour les organismes privés. Ces traitements permettent la lutte contre le blanchiment d’argent et le financement du terrorisme en garantissant l’existence d’informations adéquates, exactes, et actualisées sur les bénéficiaires effectifs et le contrôle des personnes morales. Ils doivent être accessibles aux autorités compétentes à travers, par exemple, la mise en place d’un registre des bénéficiaires effectifs.
• Les technologies financières (fintechs). Les fintechs sont des entreprises qui proposent des services financiers, à travers de nouvelles technologies, pour concurrencer les méthodes traditionnelles. Les technologies utilisées sont l’intelligence artificielle, la blockchain, le big data, ou encore le cloud computing. Le guide tient à rappeler qu’en plus des principes clés précités, les fintechs doivent adopter une approche basée sur le privacy by design, faire preuve de loyauté dans les traitements, et procéder à des audits de conformité réguliers.
La DPO œuvre pour l’acculturation à la protection des données personnelles à Maurice. Les précisions sectorielles telles que celles-ci revêtent donc une importance particulière.
Par Justin Yao KOUMAKO, Doctorant/Délégué à la protection des données.