RGPD pour sociétés financières : les 3 zones grises à clarifier d’urgence

Le RGPD n’a jamais été conçu pour le monde de la finance. Il lui a été plaqué dessus. Et depuis, on vit avec les coutures qui craquent.

À force de vouloir tout classifier sous des catégories génériques de traitement, les sociétés de gestion d’actifs bricolent. Elles inventent des équivalences, des interprétations, parfois même des faux‑semblants pour que leur organisation rentre dans le moule. Mais la réalité est plus complexe. Trop complexe pour être absorbée sans friction.

Première zone grise : les données comportementales de l’investisseur. Où placer la frontière entre analyse marketing et obligation réglementaire ? Lorsqu’une société trace les habitudes d’investissement pour anticiper un risque de non‑conformité MIF 2, est‑elle encore dans le cadre du traitement justifié ? Et si ces mêmes données nourrissent une recommandation automatisée, comment garantir l’absence de profilage abusif ?

Deuxième angle mort : la conservation. Les délais réglementaires imposent souvent une rétention longue (jusqu’à dix ans dans certains cas). Mais que faire si un client exige l’effacement ? Le droit à l’oubli se fracasse contre la mémoire réglementaire. Aucun texte ne tranche, et les DPO font du funambulisme entre les deux.

Troisième inconfort : la relation tripartite entre gestionnaire, dépositaire et société mère. Qui est responsable du traitement ? Qui contrôle quoi ? Et surtout, qui porte le risque en cas de fuite ou de faille ? La responsabilité conjointe est encore mal définie, et l’accountability réelle est souvent diluée.

InFactis milite pour une lecture spécialisée du RGPD dans le secteur financier, qui tienne compte de ces particularismes. Tant que ces trois zones grises ne seront pas traitées frontalement, la conformité restera fragile, et l’exposition aux sanctions bien réelle. Il est temps d’arrêter de faire semblant.