Si tout le monde sait (ou devrait savoir) à quoi correspond le RGPD, il existe d’autres réglementations et normes moins connues applicables au secteur bancaire : la réglementation sur la résilience opérationnelle numérique (DORA), la norme PCI DSS (Payment Card Industry Data Security Standard), la 2ème Directive Européenne sur les Services de Paiement (PSD2), la directive visant à renforcer la cybersécurité au sein de l’Union Européenne (NIS2), le traitement des données à caractère personnel de militaire (DPCM) … Un véritable casse-tête dans le domaine de la gestion des données, surtout en prenant en compte que le taux de bancarisation atteint 99% en France (d’après la Fédération Bancaire Française) et que 75 millions de cartes de paiement circulent dans l’hexagone (selon la BCE).
De fait, avec des volumes à analyser conséquents et une criticité des données importante, il est facile de comprendre que ce secteur fait l’objet d’une vigilance toute particulière de la part des autorités. Frédéric Toumelin, Responsable du secteur Banque et Assurance chez Blueway, nous explique que si le premier enjeu du secteur bancaire par rapport à la data est bien celui de la sécurité et de la conformité, il n’est pas le seul.
En matière de gouvernance des données, quels sont les enjeux actuels des banques ?
Historiquement, les banques ont toujours été plus vigilantes que d’autres secteurs professionnels quant à la manière dont elles traitent leurs données. Ce qui est logique, l’activité même d’une banque demandant à manipuler des données personnelles sensibles. De fait, les enjeux liés à la gouvernance des données sont identifiés de longue date, mais y répondre devient aujourd’hui de plus en plus complexe, notamment du fait de deux phénomènes. Le premier est le durcissement des exigences en matière de conformité, les banques étant soumises à des exigences spécifiques amenées par le régulateur (PCI DSS, BCBS 239, DORA, PSD2, différentes obligations en matière de reporting comme AnaCredit, …). En cas de manquement, les impacts peuvent s’avérer lourds, que ce soit en termes de pénalités financières ou de dommages réputationnels.
Le second est l’augmentation permanente du niveau de risque. D’abord sécuritaire avec la multiplication des cyberattaques qui visent tout particulièrement les organismes financiers. Mais il existe également une autre facette dans le domaine du risque : la difficulté à consolider une vision globale de l’exposition d’un établissement sur une activité donnée, de manière transverse par rapport à ses différentes entités géographiques et thématiques. La crise des subprimes aux Etats-Unis a démontré en 2008 le type d’effet domino qu’une visibilité parrcellaire pouvait induire, pouvant aller jusqu’à la faillite des banques pourtant réputées solides.
C’est pour cette raison que les régulateurs ont considérablement renforcé depuis 15 ans les exigences en matière de reporting sur les activités présentant les profils de risque les plus sensibles à la volatilité ou aux défaillances (témoin en est le mécanisme de collecte AnaCredit pour mieux réguler l’activité d’attribution des prêts bancaires). En Europe, la situation peut être rendue plus complexe du fait de l’empilement des règles domestiques et supranationales, un vrai casse-tête pour les établissements qui opèrent leurs activités dans plusieurs pays, au travers d’entités dont la nature juridique peut renvoyer à des corps de règles parfois imparfaitement alignés.
Comment garantir la cohérence et la fiabilité des données pour optimiser les performances ?
Comment ces nombreux enjeux impactent la gouvernance des données dans ce secteur ?
Pour commencer, face aux nombreux enjeux de conformité et de contrôle du risque, la première étape consiste systématiquement à identifier où se trouvent les données qui doivent faire l’objet d’une attention particulière. Ce travail d’inventaire s’avère notamment ardu dans le secteur bancaire, du fait à la fois de la taille des organisations concernées et du poids des systèmes legacy. Il faut en effet bien garder en tête que la majorité des grandes banques françaises existaient bien avant l’ère de l’informatique (1818 pour la Caisse d’Epargne, 1882 pour BNP Paribas, 1885 pour le Crédit Agricole, etc.). De fait, c’est un véritable défi pour ces organismes de faire un travail efficace autour de la donnée au sein d’un patrimoine informatique qui a muté pendant des décennies, au gré de la digitalisation croissante des processus comme des opérations de croissance externe.
Il est donc facile d’imaginer la difficulté de connaître précisément la localisation des données afin de pouvoir les exploiter efficacement, que ce soit à des fins non seulement de contrôles mais aussi de valorisation. En effet, la plupart des grandes banques possèdent aujourd’hui des centaines de filiales à travers le monde, avec bien souvent pour chaque entité un patchwork informatique hétérogène et peu ou pas interfacé avec celui des autres entités du groupe ! C’est typiquement dans ce contexte qu’un outil de cartographie automatique des données prend tout son sens. Sans lui, la démarche de data discovery n’est pas seulement beaucoup, beaucoup plus longue et moins efficace en termes d’exhaustivité, elle s’avère pour un certain nombre de cas d’usage impossible à mettre en œuvre.
5 étapes pour cartographier vos données et en tirer plus de valeur.
Comment Blueway répond à ces enjeux ?
MyDataCatalogue est le module de la plateforme Phoenix de Blueway dédié à la cartographie et au catalogage de votre patrimoine de données. Le mot-clé ici est « automatisation », et ceci à toutes les étapes du catalogage : la découverte, la normalisation et la classification. Avec Phoenix, il n’est donc pas nécessaire de passer par des ateliers métiers chronophages pour remplir le catalogue, cette démarche manuelle et déclarative ne permettant par ailleurs pas une parfaite exhaustivité. De plus, contrairement à une démarche reposant sur la description manuelle des attributs, l’utilisation de MyDataCatalogue permet de garantir l’évolutivité du catalogue, grâce à l’automatisation de mises à jour régulières et programmables.
Il y a plus : de par la technologie embarquée dans ses sondes, MyDataCatalogue est en mesure de scanner les sources informatiques non seulement au niveau des métadonnées mais aussi des données unitaires. Cette granularité en fait une solution quasi unique sur le marché, et ouvre des cas d’usage inaccessibles autrement, notamment en matière de qualité applicative et de capacité à purger les environnements de données non structurées, en expansion constante.
Enfin, les fonctions de MyDataCatalogue se combinent avec les autres modules de la plateforme Phoenix afin d’apporter une solution sur tout le cycle de la donnée, de son identification à son urbanisation, sa gouvernance et sa mise en mouvement au travers des processus. Blueway aide ainsi les banques à répondre aux enjeux actuels de gouvernance des données dans un contexte réglementaire où les exigences sont sans cesse croissantes, ainsi qu’à mieux exploiter le potentiel de leur patrimoine décisionnel.
Échangez sur le Data Catalog avec un expert Blueway !