Happy Chinese New Year 2018!
Happy Chinese New Year 2018! Best wishes from all of us at Labgroup!
Information Governance Day 2018
Today is the Global Information Governance Day!
#GIGD occurs on the third Thursday in February and was established to raise awareness on information governance.
WHAT IS INFORMATION GOVERNANCE (IG)?
IG includes activities and technologies that organisations employ to maximise the value of their information while minimising associated risks and costs.
IG is based on a holistic approach to managing corporate information by implementing processes, roles, controls and metrics that treat information as a valuable business asset:
- make information assets available to those who need it,
- provide employees with data they can trust and easily access while making business decisions,
- reduce legal risks associated with the unmanaged or inconsistently managed information.
The information governance, after a preliminary analysis, results in a classification of the information according to its nature or its value. This classification enables the identification of your information with engaging/probative/legal value, (for instance business contracts, policies…).
NEWS ON INFORMATION GOVERNANCE IN EUROPE!
Information governance has never been as important as in 2018. The European Union pursues its objective of restoring trust and imposing transparency on businesses. All companies as of 2018 “must watch over the outcome of their data, from their creation to their destruction.”
In this way, Europe is focusing on strengthening digital trust through a policy of protection and regulation, as reflected in:
- General Data Protection Regulation (GDPR), in force in May 2018.
- Three objectives :
- strengthen the rights of people + creation of a right to the portability of personal data,
- empower stakeholders dealing with data,
- increase awareness of the regulation thanks to reinforced cooperation between the authorities
- Three objectives :
- European regulation eIDAS (Electronic Identification and Trust Services) n°910/2014, which has been fully implemented since the 1st of July 2016, has demonstrated the willingness of member states to democratise digitisation by:
- enhancing the security of electronic exchanges;
- recognising the universal value of the electronic signature;
- granting of legal value to a digital document. (In Luxembourg the legal framework anticipates and supports this democratisation of the digitisation. The law of 25th of July 2015 on electronic archiving recognises the probative value of electronic copies of paper documents produced by a PSDC (Provider of Digitisation and Conservation Services) certified company to respect all the conditions of strict fidelity to the original and, moreover, the presumption of conformity with the original.)
HOW TO RESPOND TO THESE NEW REQUIREMENTS/OBLIGATIONS?
1. SIMPLIFY & STRENGTHEN INFORMATION GOVERNANCE WITH ARCATEG™
Being a trusted partner of Marie-Anne Chabin, an internationally recognised expert in the archiving and digital information management field, as well as the creator of the Arcateg™ method, Labgroup integrates this method into its service offering. Arcateg™ is an original and effective methodology that accelerates and consolidates information management rules and their implementation.
The 100 universal categories of the Arcateg™ ranking framework cover all possible values of information on all media and thus facilitate the audit and qualification of risk information in the enterprise. These conservation categories make it possible to structure the lifecycle of documents and data rigorously and sustainably.
With Arcateg ™, you can both simplify and strengthen information governance across the organisation (lifecycle management of files and folders, data security, content access). You can also decline to use the Arcateg ™ repository according to various specific projects: improvement of physical archiving, quality and completeness of the retention rules, identification of personal data and compliance with GDPR.
2. …AND WHAT ABOUT MY LEGAL DOCUMENTS? CALL FOR A PSDC-DC!
First PSDC-DC company in Luxembourg, Labgroup is certified as:
- Provider of Digitisation Services, in other words Labgroup is empowered to create legal electronic copies of paper documents;
- Provider of Conservation Services, which guarantees the integrity, confidentiality and persistence of electronic archives throughout their retention period.
3. GO DIGITAL ! LET’S GO FOR A PAPERLESS OFFICE!
Labgroup provides electronic document signing services, in collaboration with its partner Nowina, enabling companies to:
- Facilitate the “workflow” (process) of contract signing, at national and international level (Europe),
- Ensure transparency and trust between the signatory parties.
4. ASSESS YOUR GDPR AND CYBER RISK COMPLIANCE!
Today, Labgroup is the first independent provider to offer Cybermanager, a solution developed by its partner UBCOM, which is an assessment tool that allows business managers to evaluate in less than five hours their level of maturity and resilience of their organisations as well as their information systems facing cyber risks and GDPR regulation.
If the questionnaire is adapted to GDPR compliance, the approach should be viewed more holistically: an assessment of the organisation’s actual level of maturity regarding information governance Information governance and resilience.
An opportunity for organisations to better analyse their exposure to risks and make text compliance a competitive advantage by increasing the level of trust of its employees, customers and partners.
Still not ready for 2018?
Labgroup consultants are available to help you optimise your management and archiving of your information assets.
Send an e-mail to servicedesk@labgroup.com to schedule your appointment without.
Article 41 : « de nouvelles possibilités aux acteurs financiers », IT Nation
Découvrez l’article Article 41 : « de nouvelles possibilités aux acteurs financiers », publié par IT Nation le 8 février 2018.
Le projet de loi 7024, qui assouplit le secret professionnel fixé par l’article 41 de la loi du 5 avril 1993 relative au secteur financier dans le cadre d’un outsourcing, a été adopté ce mardi à la Chambre des députés. Ce changement législatif a fait couler beaucoup d’encre, depuis de nombreux mois. Entre les craintes de voir partir de nombreuses activités IT vers l’étranger et la possibilité de faciliter l’établissement de nouveaux acteurs financiers au Luxembourg, le débat fut animé.
Les opportunités pour les institutions financières luxembourgeoises liées à ces changements réglementaires (Article 41, Circulaire Cloud de la CSSF…) seront largement débattues lors de l’événement « Digital Borders », proposé par DXC Technologies fin mars. Vincent Wellens, associé du cabinet d’avocat NautaDutilh, responsable du département propriété intellectuelle ( PI), technologies de l’information et de la communication (TIC), y évoquera les enjeux juridiques liés à ces transformations réglementaires.
Maître Wellens, dans quelle mesure la loi adoptée ce mardi transforme-t-elle le cadre dans lequel peuvent être traitées les données des clients des institutions financières luxembourgeoises ?
Tout d’abord, la nouvelle loi élargit les possibilités d’externalisation, sans accord du client, au Luxembourg, au-delà des PSF de Support et établissements de crédits, aux autres acteurs sous supervision de la CSSF ou du Commissariat aux Assurances. Ensuite, elle permet aussi l’externalisation vers d’autres acteurs non-réglementés par la CSSF (y compris vers des acteurs à l’étranger), moyennant un accord du client de l’institution financière. La démarche du gouvernement vient s’inscrire dans des pratiques qui existaient déjà. Il était déjà communément accepté que des clients d’une institution financière puissent renoncer à l’obligation de secret professionnel de l’institution. Cette pratique fut confirmée par la CSSF dans ses circulaires relatives à l’outsourcing. Ainsi, le traitement des données de ces clients, par exemple, pouvait être externaliser au sein d’un même groupe, à condition notamment que l’outsourcing se fasse dans l’intérêt du client, que celui-ci y avait consenti et que l’institution puisse le justifier. Cette pratique ne trouvait toutefois pas d’ancrage dans la loi. Il y avait donc un flou juridique autour de ces aspects qui est aujourd’hui levé par la nouvelle loi. Celle-ci prévoit maintenant explicitement qu’un outsourcing basé sur l’accord du client constitue une exception au secret bancaire.
La question du consentement à obtenir était au cœur des discussions autour de ce projet de loi. Qu’en est-il, aujourd’hui, maintenant que la loi a été adoptée ?
En effet, dans le débat, les PSF de Support demandaient à ce que l’accord à obtenir soit formel et explicite, comme la CSSF le requérait jusqu’à présent. Le Conseil d’Etat et la CNPD, invités à émettre un avis sur le projet de loi, penchaient également plus vers un consentement actif à obtenir, en phase avec celui à obtenir dans le cadre du Règlement Général sur la Protection des Données Personnelles (RGPD). Le lobby des banques, pour sa part, souhaitait profiter d’un accord implicite. Au final, le législateur a choisi de ne pas préciser la nature de l’accord à obtenir. Il laisse de cette manière le soin aux tribunaux de trancher selon les cas. N’oublions que cette législation relève de la juridiction pénale. Chacun doit donc se poser les bonnes questions, et elles sont nombreuses, avant de procéder à une externalisation. Là où il n’y pas de doute, toutefois, c’est sur la nécessité d’informer le client préalablement sur la nature de l’outsourcing, le type de renseignements transmis et le lieu d’établissement du prestataire de services. On peut aussi se demander si le lieu d’établissement du prestataire correspond au siège social de celui-ci ou aussi aux lieux où les données sont effectivement hébergées. Quelles informations doivent être communiquées dans ce dernier cas de figure ?
Ce consentement est-il facile à obtenir ?
Tout dépend, au final, de la forme du consentement. Le flou est encore présent, je vous l’accorde. Il n’est pas clairement précisé si l’accord doit être explicite ou s’il peut également être implicite. Mais il y a d’autres points problématiques. La question du statut des données des anciens clients, que les institutions sont tenues de conserver, est délicate. En effet, il ne sera pas toujours facile d’obtenir un accord auprès de ces clients. Il faut pouvoir gérer ces aspects. A défaut de ne pouvoir obtenir de consentement de tous les clients, l’une des pistes envisagées réside dans le maintien d’une infrastructure et des systèmes dédiés pour les données des clients existants au Luxembourg, et de profiter des nouvelles opportunités d’outsourcing pour les activités futures.
Au final, quels sont les nouvelles opportunités, pour les institutions bancaires au Luxembourg, avec ce nouveau cadre réglementaire ?
L’évolution de la réglementation en matière d’externalisation tient à l’adoption de ce texte de loi relative au secret professionnel, mais aussi à l’établissement de nouvelles circulaires par le CSSF visant à encadrer l’externalisation des services et le recours à des services cloud. Il faut bien avoir conscience que les circulaires et le texte de loi sont indépendants. Autrement dit, la circulaire cloud n’exempte pas les acteurs de l’obligation de respecter les obligations définies au niveau de la nouvelle loi
Plus généralement, les acteurs qui parviendront à obtenir l’accord du client bénéficieront d’une plus grande flexibilité, en ayant la possibilité de plus facilement consolider leur IT à l’échelle du groupe par exemple, en profitant de services plus accessibles. Il y a tout un nouveau champ de possibilités qui s’ouvre à eux.
L’autre enjeu réside dans l’accueil au Luxembourg de nouveaux acteurs…
Il y a deux volets derrière ce changement législatif. Le premier, déjà évoqué, est de pouvoir offrir plus de flexibilité à diverses institutions financières déjà établies au Luxembourg, sans quoi il devenait de moins en moins intéressant pour d’y maintenir leurs activités. Tout du moins, c’est le message qu’elles faisaient passer. L’autre volet a trait à la possibilité d’accueillir au Luxembourg de acteurs de la FinTech ou d’autres acteurs étrangers dans le domaine de la finance qui désirent accéder au marché unique, dans un contexte de Brexit par exemple, sans avoir à déplacer leur infrastructure ou leur back-office avec eux.
Peut-on s’attendre à des mouvements dans les mois à venir ?
Très certainement. Nous devrions effectivement voir la migration de services vers des prestataires IT étrangers. Des acteurs vont aussi pouvoir profiter de solutions auxquelles ils n’avaient pas accès jusqu’alors. Actuellement, en tant que conseillers juridiques, nous accompagnons des groupes technologiques comme des institutions financières face à ces nouveaux enjeux. Il y a de réelles nouvelles opportunités, pour les clients comme pour les acteurs IT. Rappelons que si la CSSF a facilité l’accès au cloud et, de manière générale à l’outsourcing, elle continue à accorder un rôle important aux PSF de support dans ce contexte. Ces acteurs particuliers ont un rôle clé à jouer dans la transformation des groupes financiers au Luxembourg, dans la mise en place de plateformes IT hétérogènes, répondant à aux nouveaux enjeux réglementaires. En effet, des institutions financières qui ont un recours à un PSF de support continueront à bénéficier d’un traitement réglementaire plus favorable .
Copyright@IT Nation
