Quelle réalité pour les entreprises face au Big Data ?
La Convention CIL1, organisée par le Groupe La Poste en septembre, a rassemblé plusieurs personnalités autour du thème : « L’innovation est-elle soluble dans le Loi Informatique et Libertés ? ».
Face au phénomène Big Data, les entreprises n’ont plus le choix : elles doivent réussir à tirer de la valeur des données qu’elles collectent, stockent et gèrent. Mais elles doivent également faire face à diverses contradictions.
Marie-Noëlle Gibon, CIL du Groupe La Poste, a précisé : « Il y a trois réalités contradictoires :
– celle des entreprises qui souhaitent accumuler un maximum de données personnelles pour optimiser leurs services et produits ;
– celle des consommateurs qui souhaitent avoir un service personnalisé tout en gardant le contrôle sur leurs données ;
-celle de l’Etat qui entend restreindre l’utilisation et la collecte de ces données ».
Face à cette réalité complexe, comment les entreprises peuvent et doivent-elles s’organiser pour tirer profit des données, innover tout en respectant la réglementation sur la protection des données personnelles ?
Quelques messages clés pour tirer profit des données…
Le message porté par l’ensemble des intervenants est positif et riche en conseils. Mais il faut d’abord se défaire de quelques lieux communs sur l’impossible compatibilité entre innovation et protection des données personnelles.
- Penser les risques en amont de l’innovation n’est pas synonyme de frilosité ou d’improductivité, mais bien plutôt de lucidité et de réussite !
- Respecter la protection des données personnelles ne suffit pas à respecter le client dans son intégrité et à gagner sa confiance, il faut également protéger son intimité !
- Respecter la législation au travers d’une gouvernance adaptée et d’une déontologie associée sont des facteurs de différenciation sur le marché de la confiance !
Pourquoi s’organiser a priori et non a posteriori pour innover ?
La législation est trop souvent perçue comme une contrainte qui freine l’innovation. Les Etats-Unis seraient-ils l’eldorado du Test and Learn et les champions de la régulation a posteriori tandis que la France serait l’enfer du « Learn and Test » et de la régulation a priori ?
Et si on en finissait avec cet adage pernicieux pour le retourner à notre avantage ? Pourquoi est-ce si important de s’organiser a priori pour innover, et en quoi cela deviendrait-il un avantage concurrentiel ?
Prendre en compte les risques associés avant qu’il ne soit trop tard
Hubert Tournier, Adjoint DOSI du Groupement des Mousquetaires et DG Adjoint de la STIME, identifie trois risques majeurs :
- Le risque concurrentiel
Internet est une arme de désintermédiation massive. Or, les données peuvent être l’outil de cette désintermédiation. - Le risque commercial
De nombreux mouvements de résistance se forment chez les internautes : les gens se défendent. Par exemple, il existe un outil de discussion qui permet de crypter les discussions de Facebook. - Le risque légal et réglementaire
Le projet de règlement européen sur la protection des données prévoit des amendes colossales.
Une fois ces risques maîtrisés et une prise de conscience généralisée, de nombreuses et nouvelles opportunités se créent : « Oui, on peut mettre les données sous contrôle et cela peut devenir un élément différenciant pour l’entreprise, qui se positionne sur le marché de manière différente » conclut Hubert Tournier.
Protéger les données personnelles ne suffit pas, il faut également protéger l’intimité des clients !
On pense souvent qu’il suffit de protéger les données personnelles pour que le client accorde sa confiance, car en protégeant ses données, on protègerait son intimité. Mais la réalité est plus complexe. « Protection des données personnelles » et « protection de l’intimité » sont deux choses distinctes et répondent à deux démarchent différentes :
- La protection des données suppose une démarche technique (supervision, sécurité, cryptage…) ;
- Tandis que la protection de l’intimité suppose de prendre en compte l’individu dans son intégrité et de le traiter en tant que tel. Cela suppose d’éviter les publicités intrusives, les ciblages intempestifs qui donnent au client l’impression d’être traqué en permanence.
La protection des données personnelles et la protection de l’intimité sont deux choses distinctes mais tout aussi importante. On ne prend pas assez en compte aujourd’hui la nécessité de protéger l’individu du phénomène d’intrusion dans son intimité.
Eviter la rupture avec le client
Or, ces procédés dits « intrusifs » sont improductifs car ils peuvent « braquer » le client et lui faire passer l’envie de consommer. Les mouvements de résistance sont d’ailleurs de plus en plus répandus sur le web et témoignent du scepticisme des internautes. Ceux-ci cherchent à se protéger eux-mêmes, via des outils adaptés, des techniques de tracking et des ciblages perçus comme intrusifs. « Aujourd’hui, on rentre par défaut dans notre intimité » remarque Elise Bruillon, Director Security policies à Orange. Elle rappelle : « l’actif essentiel à protéger devient la combinaison : données personnelles + intimité du client ».
La déontologie du Big Data comme argument de confiance et de différenciation commerciale
Définir une déontologie : pourquoi ?
La législation est un élément fondamental de définition des obligations et des interdictions. Mais il reste toujours difficile de certifier la conformité ou la probité d’un employé. La déontologie ou l’éthique, qui sont « supra-légales » selon Alain Bensoussan, Avocat, vont permettre de mettre en accord les comportements des individus avec la loi ou avec les valeurs de l’entreprise.
Contrôler les données est un élément qui permet de se positionner différemment sur le marché. Miser sur la confiance est un atout majeur, surtout pour les entreprises qui se positionnent sur le « marché de la confiance » comme par exemple La Poste, précise Hubert Tournier.
Pour mettre en place cette confiance, Elise Bruillon rappelle deux impératifs :
• Favoriser le consentement éclairé du client : « Le client ne mettra pas un droit à l’opposition s’il sait à quoi il consent. Ceci est un argument fort de confiance commerciale ! ». Pour cela, il faudrait :
– Opter pour l’opt-in2 ;
– Faire en sorte que les informations soient transparentes tout au long du cycle de vie de la donnée / modalités d’opposition simples et faciles ;
– Opter pour le VRM : redonner la main au client, c’est lui qui gère ses données.
• Autour d’une forteresse technique qui certifie :
– La localisation des données ;
– Le ou les responsable(s) du traitement ;
– L’identification de tous les destinataires des données ;
– Le contrôle des lancements des requêtes ;
– L’anonymisation : les données qu’on transmet aux tiers doivent être cryptées.
Pourquoi élaborer une gouvernance adaptée au Big Data ?
Les outils d’analyse ne suffisent pas à « faire du Big Data ». Il faut également constituer une véritable gouvernance « chargée de la cohérence, de la performance et de la conformité ».
Pour Elise Bruillon, le Big Data rassemble tout le monde autour de la table, de la RSE au marketing. Il faut une gouvernance décentralisée qui favorise la transversalité et le partage des décisions car tout le monde est partie prenante. Chaque membre du personnel a une part de responsabilité à assumer dans la chaîne de création de valeur et de gestion des données.
Une conviction : Innovation et Réglementation sur la protection des données ne sont pas incompatibles
Pour conclure, les intervenants de la Convention CIL partagent une conviction : l’innovation et la réglementation sur la protection des données personnelles ne sont pas incompatibles. Innover en s’adaptant à la réglementation suppose une autre manière de s’organiser et de prendre en compte les risques en amont, une nouvelle gouvernance et une déontologie adaptée.
Ne faut-il pas faire de ce modèle un nouvel atout et un facteur de différenciation ?
Flora FISCHER
Doctorante, « Éthique & Numérique »
Cette contribution s’appuie sur les notes prises pendant cet événement avec tous les risques d’interprétation que cela induit, il n’engage pas les personnes citées.
____________________________
1 Convention Informatique et Libertés
2 L’internaute doit volontairement cocher une case ou faire défiler un menu déroulant pour que son adresse (ou d’autres données) soient utilisées ultérieurement à des fins commerciales. Avec l’opt-in, l’accord de l’internaute est explicite.