IZIRO est un logiciel RGPD conçu pour les établissements bancaires, intégrant nativement la gestion des durées de conservation contradictoires entre le RGPD (minimisation) et le Code monétaire et financier (Art. L561-12 : 5 ans de conservation des données KYC après fin de relation), les fiches AIPD pré-calibrées pour le scoring crédit (Art. 22 RGPD + délibération CNIL n° 2018-326), et le registre croisé sous-traitants RGPD / prestataires essentiels externalisés EBA — à partir de 28 €/mois, sans engagement.
La France compte environ 340 établissements de crédit (source : Fédération bancaire française), auxquels s'ajoutent les établissements de paiement, les entreprises d'investissement et les néobanques. Depuis janvier 2025, le règlement DORA impose une troisième couche réglementaire de documentation des prestataires TIC tiers, qui s'ajoute au registre RGPD Art. 30 et au registre PSEE EBA.
Gagnez 80 % de temps sur votre mise en conformité. Accédez directement depuis notre logiciel de gestion RGPD à une bibliothèque de traitements standards spécifiquement conçue pour les exigences des DPO bancaires, responsables conformité ACPR et RCSI. Avec 486,8 M€ d'amendes prononcées en 2025 — neuf fois le montant de 2024 — la CNIL cible explicitement le secteur financier (Rapport annuel CNIL 2025). La conformité RGPD établissement crédit obligations ACPR n'est plus un sujet juridique isolé : c'est un risque opérationnel coté au même titre que le risque de marché.
Le DPO d'un établissement bancaire opère sous une contrainte unique : le RGPD exige de minimiser les données, tandis que les régulateurs financiers (ACPR, Tracfin, AMF) exigent de tout conserver et de tout tracer. Ce conflit normatif se résout traitement par traitement, pas par une politique globale.
Les durées de conservation contradictoires : L'article L561-12 du Code monétaire et financier impose la conservation des données KYC (Know Your Customer) pendant 5 ans après la fin de la relation d'affaires au titre de la lutte anti-blanchiment (LAB-FT). La 4e directive anti-blanchiment (Directive 2015/849) autorise même une extension à 10 ans sur demande d'une autorité compétente. Ces durées réglementaires dérogent au principe de minimisation RGPD — la base légale applicable est l'obligation légale (Art. 6§1c), pas le consentement. Un logiciel RGPD bancaire doit gérer ces exceptions par fiche de traitement, avec la source normative associée. La CNIL a sanctionné des filiales de grands groupes bancaires français pour non-respect du droit d'opposition en matière de prospection commerciale — le droit opposition prospection commerciale bancaire démarchage est un point de contrôle récurrent.
Le secret bancaire face au droit d'accès RGPD : L'article L511-33 du CMF limite la communication de données à des tiers. L'article L561-19 interdit d'informer le client de l'existence d'une déclaration de soupçon Tracfin. Ces obligations de confidentialité coexistent avec le droit d'accès du client (Art. 15 RGPD) et le droit à la portabilité (Art. 20). La protection données bancaires clients secret bancaire RGPD exige un cloisonnement fin des exports : les données du client lui sont communicables, mais les notes internes d'analyse de risque, les alertes Tracfin et les échanges entre analystes crédit ne le sont pas.
L'écosystème de sous-traitants réglementés : Chaque banque partage des données avec des prestataires soumis à des régulateurs distincts : agrégateurs de comptes DSP2 (Linxo, Budget Insight, Bankin'), organismes de caution (Crédit Logement, CAMCA), assureurs emprunteur, opérateurs de paiement. Les guidelines EDPB 06/2020 précisent que les agrégateurs de comptes (AISP) sont responsables de traitement indépendants, pas sous-traitants de la banque — le registre traitements données financières banque Art 30 doit documenter un transfert de données, pas un DPA. IZIRO centralise la documentation de l'ensemble de ces flux avec la qualification juridique exacte de chaque acteur. Les [compagnies d'assurance](https://iziro.fr/logiciel-rgpd/logiciel-rgpd-assurance) font face à des enjeux similaires de croisement RGPD/réglementation sectorielle.
IZIRO intègre nativement un référentiel de traitements standards pour les établissements bancaires. Chaque fiche est pré-paramétrée avec les finalités, bases légales, durées de conservation sectorielles et mesures de sécurité alignées sur les exigences croisées CNIL, ACPR, AMF et EBA.
Modèles validés conformes aux délibérations CNIL, au Code monétaire et financier et aux guidelines EBA sur l'externalisation.
Exemples de traitements inclus dans la plateforme :
🟡 Scoring d'octroi de crédit et profilage automatisé — AIPD scoring crédit profilage automatisé décision bancaire pré-calibrée conformément à l'Art. 22 RGPD, la délibération CNIL n° 2018-326 et les guidelines CEPD WP251.
🟡 Gestion KYC et vigilance LAB-FT — Fiches avec durées de conservation Art. L561-12 CMF (5 ans post-relation) et documentation des obligations de déclaration Tracfin (Art. L561-19).
🟡 Partage de données open banking DSP2 — Documentation des transferts vers les agrégateurs AISP/PISP qualifiés comme responsables de traitement indépendants (guidelines EDPB 06/2020), pas comme sous-traitants.
🟡 Gestion des ressources humaines établissement bancaire — Fiches adaptées aux spécificités RH du secteur (habilitations, contrôle d'honorabilité, formation réglementaire).
Le RGPD crédit immobilier traitement données emprunteur solvabilité est le traitement le plus complexe d'un établissement de crédit : il croise l'Art. 22 RGPD (décision automatisée), l'obligation d'AIPD (Art. 35 + délibération CNIL n° 2018-326), et la future classification AI Act Annexe III point 5.b (système IA à haut risque pour le scoring crédit). Les guidelines CEPD WP251 exigent une intervention humaine significative dans le processus d'octroi — un simple bouton de validation par l'analyste ne suffit pas.
Finalité pré-rédigée : Évaluation de la solvabilité et du risque de défaut de l'emprunteur pour l'octroi d'un crédit immobilier.
Base légale : Mesures précontractuelles (Art. 6§1b) + obligation légale (Art. L312-1 du Code de la consommation).
AIPD requise : Oui — délibération CNIL n° 2018-326 (profilage à grande échelle) + futur AI Act Annexe III point 5.b (systèmes IA de scoring crédit classés « haut risque »).
Données collectées : Revenus et charges du ménage, historique FICP/FCC (Banque de France), situation patrimoniale, données d'emploi et d'ancienneté, taux d'endettement calculé.
Durée de conservation : Durée du prêt + 2 ans (prescription) pour les données de solvabilité ; effacement FICP après régularisation de l'incident de paiement.
Destinataires : Analyste crédit, comité d'engagement, organisme de caution (Crédit Logement, CAMCA), assureur emprunteur.
Mesures Art. 22 : Intervention humaine significative documentée (guidelines CEPD WP251), droit du client à contester la décision et à obtenir une explication du scoring.
Importez cette fiche, ajustez les destinataires à votre organisation interne, et votre registre couvre le traitement le plus scruté par la CNIL et l'ACPR.
Une banque régionale mutualiste de 45 agences, 1 200 collaborateurs, soumise aux contrôles ACPR et disposant d'un DPO mutualisé avec la caisse régionale, sans plateforme GRC dédiée.
Le défi : Le RCSI (Responsable de la Conformité et du Contrôle Interne) devait présenter à l'ACPR un registre des traitements couvrant les obligations croisées RGPD, LAB-FT et EBA sur l'externalisation. Le registre Excel existant ne distinguait pas les durées de conservation par régulateur et ne documentait pas les AIPD des modèles de scoring crédit. Un contrôle CNIL ciblant la prospection commerciale était annoncé en parallèle.
La solution : Activation du module banque sur IZIRO. Import des fiches pré-paramétrées : KYC/LAB-FT, scoring crédit (avec AIPD), déclarations Tracfin, enregistrements MiFID II, prospection commerciale. Configuration du triple registre sous-traitants (RGPD Art. 28 + PSEE EBA + prestataires TIC DORA). Qualification des agrégateurs DSP2 comme responsables de traitement indépendants.
Le résultat chiffré : Registre des activités de traitement généré à 90 % automatiquement pour l'ensemble du réseau. 3 AIPD scoring (crédit immobilier, crédit consommation, détection fraude) documentées en 5 jours. Export au double format ACPR + CNIL produit en un clic.
« On passait des semaines à recouper notre registre Excel avec les demandes de l'ACPR et de la CNIL — chaque audit imposait un format différent. Avec IZIRO, le registre distingue les durées LAB-FT des durées RGPD pour chaque traitement. Quand l'ACPR a demandé le registre PSEE, on l'a extrait du même outil. C'est la première fois que le DPO et le RCSI travaillent sur une base commune. » — Nicolas, DPO et Responsable conformité, banque régionale.
Un logiciel RGPD adapté au secteur bancaire comme IZIRO démarre à 28 €/mois. Ce coût couvre le registre des traitements, la gestion des AIPD (indispensables pour le scoring crédit et le profilage automatisé) et le suivi des DPA avec les prestataires fintech. Comparé au coût d'un audit externe ponctuel (15 000 à 40 000 €) ou au risque d'amende CNIL — la BNP a été sanctionnée de 10 millions d'euros en 2022 pour manquements liés à la prospection commerciale — l'investissement dans un outil de pilotage permanent est négligeable. Pour un groupe bancaire multi-agences, le modèle multi-entités permet de mutualiser le coût tout en cloisonnant les registres par entité juridique.
Difficilement sans paramétrage métier avancé. Le secteur bancaire impose des durées de conservation contradictoires : le RGPD exige la minimisation, mais la réglementation LAB-FT (lutte anti-blanchiment) impose la conservation des données KYC pendant 5 ans après la fin de la relation d'affaires, et le Code monétaire et financier (Art. L561-12) peut étendre cette durée. Un logiciel RGPD doit gérer ces exceptions par fiche de traitement, en documentant la base légale 'obligation légale' distincte du consentement. IZIRO permet de créer des durées de conservation sur mesure avec la source réglementaire associée (RGPD, CMF, LAB-FT), évitant le piège d'une suppression automatique qui violerait les obligations prudentielles ACPR.
Oui pour tout traitement impliquant une décision automatisée produisant des effets juridiques (Art. 22 RGPD + lignes directrices CEPD WP251). Concrètement, cela couvre le scoring d'octroi de crédit immobilier et consommation, la détection de fraude par algorithme, le profilage pour la tarification d'assurance emprunteur, et les modèles de segmentation client pour le cross-selling. La CNIL a inscrit le profilage à grande échelle dans sa liste des traitements nécessitant une AIPD (délibération n° 2018-326). IZIRO intègre un module AIPD avec une matrice de risques pré-calibrée pour le secteur financier, permettant au DPO bancaire de documenter chaque algorithme de scoring sans repartir d'une page blanche.
Le secret bancaire (Art. L511-33 du Code monétaire et financier) ne fait pas obstacle au droit d'accès RGPD du client à ses propres données — ce sont ses données, pas celles de la banque. En revanche, le secret bancaire limite ce que la banque peut communiquer à des tiers, y compris dans le cadre d'un contrôle CNIL. Le logiciel RGPD doit permettre de générer un export des données du client (portabilité Art. 20) sans exposer les notes internes d'analyse de risque, les échanges entre analystes crédit, ni les alertes Tracfin couvertes par l'obligation de non-divulgation.
Six traitements critiques manquent dans les registres généralistes : la déclaration de soupçon Tracfin (données LAB-FT avec interdiction d'informer le client, Art. L561-19 CMF), le filtrage des listes de sanctions internationales (gel des avoirs, personnes politiquement exposées), l'enregistrement des conversations téléphoniques des salles de marché (directive MiFID II, conservation 5 à 7 ans), le scoring comportemental anti-fraude en temps réel sur les transactions carte, la vidéosurveillance des zones automates/coffres avec reconnaissance faciale optionnelle, et le traitement des données biométriques pour l'authentification forte DSP2. IZIRO inclut ces fiches pré-rédigées dans son pack Banque avec les bases légales et durées de conservation spécifiques à chaque régulateur (ACPR, AMF, CNIL).
Oui, à périmètre de traitements souvent supérieur. Une néobanque (agrément établissement de paiement ou établissement de crédit) cumule les obligations RGPD classiques avec des spécificités liées au tout-digital : collecte de données biométriques pour le KYC à distance (vérification d'identité par selfie vidéo), géolocalisation des transactions en temps réel, profilage comportemental massif pour la détection de fraude, et partage de données avec des partenaires BaaS (Banking as a Service) agissant comme sous-traitants ou responsables conjoints. Le volume de traitements automatisés est plus élevé et chacun nécessite une AIPD. IZIRO s'adapte aux deux modèles — banque de réseau multi-agences et néobanque full-digital — via des packs de fiches de traitement sectoriels distincts.
Contenu mis à jour en avril 2026. Rédigé par l'équipe IZIRO, spécialiste conformité RGPD secteur financier. Cet article ne se substitue pas aux instructions de votre ACPR, de votre service de conformité interne ou de votre DPO. Pour les obligations spécifiques à votre catégorie d'agrément (établissement de crédit, établissement de paiement, entreprise d'investissement), consultez votre RCSI ou votre régulateur. IZIRO est hébergé en France et conforme aux exigences de souveraineté des données financières.