La directive européenne sur les marchés d’instruments financiers (MiFID) et le règlement général sur la protection des données (RGPD) sont deux initiatives visant à aligner les marchés européens. Mais les deux initiatives pourraient-elles prendre des directions différentes ?
MiFID – ou dans sa dernière forme – MiFID II, est une directive européenne qui vise à harmoniser les différentes sociétés d’investissement qui existent dans les 31 États de l’Espace économique européen, y compris trois États non membres de l’UE, la Norvège, l’Islande et le Liechtenstein. Le plan initial était d’uniformiser les règles du jeu, en rendant les marchés financiers plus équitables pour les utilisateurs finaux qui alimentent ces marchés.
Le RGPD est un autre décret européen qui se préoccupe pleinement et entièrement de l’utilisation équitable des données des consommateurs. Sa motivation est de redonner le contrôle des données financières et personnelles entre les mains des personnes qui possèdent ces données. Des questions se posent concernant les données collectées, à qui elles appartiennent, qui y aura accès et comment la confidentialité et la protection peuvent être assurées.
Récemment, on s’est inquiété du fait que la directive MiFID2 et le RGPD pourraient en fait tirer dans des directions différentes. Alors que la MiFID promeut une plus grande transparence et une plus grande visibilité, le RGPD tente de rendre la gestion des données plus étroitement contrôlée et surveillée. Il semble y avoir un conflit entre l’ouverture et la vie privée en jeu ici. Alors, est-ce vraiment le cas ?
Un malentendu à propos du RGPD est que, loin de restreindre l’accès aux données des clients, il ne s’intéresse qu’à la mise en place de règles et de normes sur la manière dont les informations sur les clients peuvent être partagées. L’objectif principal de la directive est d’assurer une sécurité renforcée des données, tout en veillant à ce que les données ne soient vues que par les personnes et les organisations qui ont le droit de les voir.
Et la MiFID2 et le RGPD ne sont pas des tigres de papier. Non, ils peuvent mordre. Des amendes pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise attendent ceux qui choisissent d’ignorer ces directives.
Ainsi, bien que la directive MiFID2 et le RGPD puissent s’intéresser à deux aspects distincts des plans de l’Europe en matière de réglementation des marchés financiers, il semble raisonnable de croire qu’il s’agit des deux faces d’une même médaille. Et si les organisations financières veulent éviter des accusations punitives, elles devront s’aligner et suivre les nouvelles règles. Cependant, les institutions financières peuvent prendre certaines mesures pour rendre le voyage un peu plus facile.
Tout d’abord, vous devez définir le plan de données de votre entreprise, ce qui implique la cartographie précise des informations de vos clients. Les données sont comme du vif-argent : sans contrôle, elles se retrouvent partout. Les données clients et financières se retrouvent sur des lecteurs réseau, des serveurs, des disques durs externes et des clés USB. Sans un contrôle strict des données, les informations peuvent être difficiles à trouver, ou au pire, perdues. La nature électronique des données utilisées dans les banques et les maisons de courtage facilite leur transfert et leur réception, mais il est tout aussi facile de les perdre ou de les envoyer au mauvais endroit. La solution actuelle à ces défis de gestion des données consiste à fournir aux clients un accès à leurs données via des serveurs Web sécurisés. Les clients disposent d’un accès contrôlé par mot de passe à leurs données, qu’ils obtiennent au fur et à mesure qu’ils en ont besoin.
Ensuite, les organisations financières doivent mettre en place des procédures pour gérer les situations où les choses tournent mal. Il peut s’agir d’événements associés à l’erreur humaine et à la mauvaise gestion, qu’il s’agisse d’employés emportant des données à la maison sur des ordinateurs portables ou d’événements impliquant des cyberattaques contre les serveurs ou les réseaux d’une entreprise. Les clients doivent être assurés que les entreprises auxquelles ils ont confié leurs actifs peuvent être fiables pour savoir quoi faire en cas de crise.
Enfin, les institutions financières doivent former leur personnel, en les sensibilisant aux enjeux de sécurité des données, au sein de l’entreprise et à l’extérieur. La clé du succès de cette formation est la nomination d’un délégué à la protection des données (DPO) expérimenté et responsable dont le travail consiste à s’assurer que l’entreprise respecte les règles de conformité européennes et à signaler toute aberrance à la direction générale. Le DPO doit être hautement qualifié et à jour avec la technologie des données financières, ainsi que la personne de référence qui maintient le plan d’atténuation des crises de l’entreprise.
La directive MiFID2 est entrée en vigueur en juillet 2014 et le RGPD entrera en vigueur le 25 mai 2018. Les deux directives garantiront que les investisseurs européens seront traités équitablement lorsqu’ils négocient sur les marchés financiers internationaux. Et pour étayer cette activité, ils peuvent également être assurés que leurs informations financières et personnelles sont disponibles et sécurisées.
