EDITO
La donnée, nouvel or noir
La donnée serait-elle le nouvel or noir dans notre monde numérique ?
L’engouement pour la data est bien réel et légitime. La donnée aujourd’hui est non seulement quantitative, avec des possibilités de stockage phénoménales, mais aussi qualitative avec des informations de plus en plus pertinentes. Nous avons en plus accès à des outils très performants pour exploiter ces données. Résultat, les entreprises qui savent tirer profit des données augmentent leurs performances en offrant des propositions à plus forte valeur ajoutée.
Tous les secteurs sont concernés par cette révolution de la donnée. Le e-commerce bien sûr mais bien d’autres domaines comme la santé, l’humanitaire. Bien utilisées, les données permettent de créer de nouvelles offres de service. Il est devenu facile d’offrir des produits ou des services plus personnalisés et mettre en relation des personnes qui, sans le savoir, ont des intérêts communs.
L’utilisation de la donnée contribue ainsi à l’accroissement exponentiel de la proposition de valeur ajoutée. Mais cette révolution ne risque-t-elle pas de causer des dégâts collatéraux comme la perte, le détournement, le vol des données ou de nouvelles techniques de fraude ? Le législateur a cherché à anticiper certains dérapages en mettant en place des réglementations comme le RGPD.
Cela risque de se révéler tout aussi compliqué que ne l’a été l’exploitation du pétrole qui a engendré notamment des crises, des conflits et des pollutions. Il est donc nécessaire, comme pour tout matériau puissant, d’établir un cadre.
CASH MANAGEMENT
Le trésor inestimable des données clients
Les Fintech sont souvent considérées comme des concurrents disruptifs des banques. Cette perception omet les atouts et la complémentarité existante entre Fintech et banques, notamment sur les données clients.
Les banques sont concurrencées depuis plusieurs années maintenant par des Fintech, qui mettent en avant l’expérience client et la réponse à une pratique correspondant généralement à une niche. Le sentiment largement relayé consiste alors à conclure, un peu rapidement, que les banques vont avoir du mal à lutter et que la désintermédiation massive est en marche. Les banques disposent, cependant, d’atouts que les Fintech n’ont pas : une clientèle très nombreuse et les données clients liées.
Les banques s’adressent à des marchés différents : particuliers, professionnels, associations, entreprises (avec parfois une distinction pour les gros remettants), secteurs publics, institutionnels, etc., et leurs offres sont ciblées ou modulées pour répondre aux attentes caractéristiques de chaque marché. Il est possible d’étudier par marché les offres « utilisées » à partir des transactions passées sur les comptes et des abonnements aux différents services proposés, et de recueillir les attentes en termes d’évolution de ces offres.
L’exploitation des données sur les clients sert à construire des offres à valeur ajoutée, grâce auxquelles les banques peuvent être force de proposition et mieux accompagner leurs clients. Ainsi, des moteurs d’analyse, en temps réel ou a posteriori, bloquent des opérations atypiques ou présumées frauduleuses, aident à la gestion prédictive des soldes, analysent leur gestion par les clients pour leur suggérer des offres de placement ou de financement adéquates, proposent des offres davantage dématérialisées et plus sécurisées, etc. Des services sont également mis à disposition pour que le client gère lui-même des critères d’analyse, en selfcare. Une telle personnalisation ne peut que le satisfaire.
L’exploitation des données clients, dans le plus strict respect du Règlement Général de Protection des Données (RGPD), assure alors la satisfaction des clients (dont les données constituent un trésor qui reste à exploiter) et donc leur fidélisation.
RUBRIQUE GESTION DU RISQUE DE FRAUDE
Big data : une nouvelle législation pour éviter les dérapages ?
Si le big data est une opportunité d’amélioration de l’expérience client, les banques françaises devront y avancer avec prudence pour ne pas commettre les erreurs des pionniers de la collecte des données. Éthique et sécurité doivent être les maîtres mots pour que les banques n’y perdent pas au change et évitent l’illégalité ou l’altération de leur réputation.
Outre-Atlantique, le scandale de Cambridge Analytica qui a secoué Facebook montre à quel point un empire qui a bâti son modèle sur l’exploitation des données de ses usagers peut être rudement fragilisé. La faille du système repose sur l’absence de contrôle, par manque de législation sur la protection des données. En Europe, pour prévenir les dérapages dans l’utilisation des données collectées et manipulées, une nouvelle législation européenne sur la protection des données dite RGPD est entrée en vigueur le 25 mai 2018. Le Règlement Général sur la Protection des Données, révise la loi Informatique et Libertés de 1978, en instaurant, entre autres, la transparence sur l’utilisation des données, la majorité numérique à 16 ans, le droit à l’oubli, la portabilité des données et surtout la mise en place d’un arsenal juridique de recours, réparations et amendes. Les amendes étaient avant de l’ordre de 150 000 euros, soit 2 minutes de chiffre d’affaires de Google, elles seront désormais dissuasives, pouvant s’élever jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros.
Face aux mastodontes des GAFA, les banques françaises ont bien compris l’effet réseau qui profite à celui qui amasse, stocke et exploite le plus de données. En effet, Facebook (2,2 milliards d’utilisateurs) et Google (1,16 milliard d’utilisateurs) représentent en France chacun 34 millions d’utilisateurs actifs. Les GAFA, aspirateurs de données, excellent dans l’art du design addictif, qui attire et retient l’utilisateur dans son écosystème. Les acteurs des paiements collectent aussi les données de leurs clients, leur permettant d’ajuster leur offre de services et de capter plus de flux, tout en couvrant le risque de fraude et la lutte contre le blanchiment et le terrorisme. Pour rester dans l’arène, ces derniers misent sur l’alliance en développant des offres mobiles conjointes avec les communautés de type réseaux sociaux Facebook, twitter, ou usagers d’appli/ matériel, comme ApplePay ou SamsungPay.
La RGPD n’est pas qu’une contrainte, elle permet d’éviter des écueils et de bâtir une relation de confiance avec le client.
SYRTALS CARDS & BEYOND
Exploitation des données de paiement : mirage ou réalité ? Enjeux et opportunités ?
Comment miser sur la collecte des données dans le respect des règles et pour l’intérêt des clients ? Ne surestime-t-on pas parfois les usages réels de l’exploitation de ces fameuses données ? La sagacité et la sagesse des consommateurs ou bien des régulateurs éviteront-elles des dérives éventuelles ? Le RGPD réussira-t-il à contenir les ambitions des acteurs ayant une attitude « border line » et à mettre de l’ordre sur certaines pratiques ?
La bonne et juste utilisation des données disponibles/accessibles sur les prospects et clients est devenue un asset fondamental pour les entreprises de tout secteur dans le but d’optimiser leurs relations d’affaires » (dites-moi ce que vous achetez et je vous dirai qui vous êtes !). Cela permet par exemple : de faciliter la souscription à un bien ou service ; de lutter contre la fraude ; d’autoriser un achat comptant ou à crédit ; de gérer un programme d’avantages ou de promotions ; de cibler les segments de clientèle les plus appétents ; de proposer des offres personnalisées ; de limiter le churn ; d’accompagner les clients dans certains moments clés ; de lancer des produits ou services inédits ; d’anticiper/prédire des évènements…
Outre de la bonne volonté, cela suppose bien sûr une organisation ad hoc, des talents et des moyens d’autant plus conséquents que les quantités de données disponibles progressent de façon exponentielle. Cette opportunité est bien réelle, car aujourd’hui de nombreux ingrédients sont réunis pour autoriser une telle exploitation (la réglementation dans une certaine mesure ; des technologies aussi performantes que le big data, l’IA ou le machine learning ; des consommateurs en permanence connectés et leur appétence accrue pour des services personnalisés ; l’avènement des API…).
S’agit-il aussi d’un mirage quand l’excès de données tue la donnée réellement exploitable et crée un brouillard dont il n’est guère aisé de s’extraire malgré les compétences des meilleurs data scientists ?
Si l’on a le consentement ad hoc, si l’on garantit le respect de la vie privée et la transparence, si l’on applique le bon dosage de communication sans intrusion, on peut penser que les données de paiement permettent aux acteurs les plus astucieux d’enrichir et de renouveler l’expérience utilisateur et de décupler la valeur des propositions, au bénéfice des clients.
Parmi les acteurs, les établissements financiers peuvent sans aucun doute jouer un rôle central dans cette direction et doivent, à tout le moins, éviter par défaut d’actions que d’autres ne le fassent à leur place tôt ou tard. Le fait d’agiter l’épouvantail de la monétisation des données (toute pratique abusive est bien évidemment à bannir) ne suffira pas à les protéger des risques de disruption. Ce qui importe pour les acteurs en place dans la banque/finance, c’est de réussir à changer la donne, de se transformer sans renoncer à leurs valeurs.
La menace est en effet bien réelle quand on observe depuis quelques années la mutation dans la sphère des paiements, des services bancaires (multitude de néo-banques, montée en puissance de la blockchain…), du crowdlending et du PtoP…
Il est possible de procéder par étapes et quick wins successifs :
- tout d’abord, bien interpréter la réalité de son business grâce aux données disponibles ; faire le tri parmi tout ce qui est exploitable pour dénicher les données les plus pertinentes et utiles ; cerner les domaines d’application les plus appropriés et porteurs ;
- ensuite, en faire des outils de pilotage et de décision ;
- enfin, développer un éventail de services et de dispositifs de relations clients qui permettront, de façon flexible et économique, de satisfaire les attentes des clients parce qu’ils seront mieux entendus, reconnus et servis, quel que soit le canal d’interaction (ex : Card Linked Offer ; PFM ; avantages ciblés ; services géolocalisés ; développement d’offres non bancaires avec des partenaires…).
Aujourd’hui, même si certains peuvent se targuer d’être plus agiles ou d’avoir pris de l’avance, les jeux ne sont pas complètement faits. Il importe en tout cas que les établissements financiers, qui ont la légitimité et les moyens d’agir, embrassent à plein l’enjeu des données et en fasse un avantage compétitif durable conforté par une stratégie sans faille.
Bref, pas de money sans données !
NOUVEAUX SERVICES DE PAIEMENTS
Les nouvelles règles du jeu
Le Règlement européen sur la Protection Générale des Données (RGPD) intervient dans un souci de responsabilisation des acteurs de la collecte des données. Non content de protéger les utilisateurs, il provoque des questionnements et des réactions nécessaires chez ceux qui collectent des données ou qui interagissent avec eux.
La diversification des services en ligne s’est accompagnée d’une multiplication des techniques de collecte des informations relatives aux individus. Cette collecte accrue et massive des données à caractère personnel représente une source de menaces pour les utilisateurs, comme le montre le scandale de Cambridge Analytica, entreprise accusée d’avoir récupéré frauduleusement les données de millions d’utilisateurs Facebook.
Il convient, dans ce contexte de circulation et d’exploitation générale des données, de protéger les individus. L’essence même du RGPD est de préserver les droits des personnes par rapport au traitement de leurs données à caractère personnel, en fixant de nouvelles règles.
La logique de responsabilisation imposée par le RGPD est une innovation majeure du texte. En effet, le concept d’« accountability »[1] caractérise le changement du mécanisme des formalités préalables vers un mécanisme d’autocontrôle. Le régime d’autorisation sera ainsi remplacé par une nouvelle procédure, centrée sur l’étude d’impact sur la vie privée[2]. Le contrôle a priori de la conformité des traitements est désormais à la seule charge du responsable du traitement[3] et non plus de la CNIL.
L’objectif vise à responsabiliser les acteurs du traitement des données[4] en mettant à leur charge de nouvelles obligations de sécurité. Le but est de prendre en compte ce principe de protection dès la conception du système de traitement des données par l’application de nouveaux outils de conformité : certification des traitements, notification des failles, tenue d’un registre des traitements, réalisation d’études sur l’impact sur la vie privée, création d’un poste de délégué à la protection des données et adhésion à des codes de conduite.
De plus, avec le nouveau règlement il faudra revoir l’ensemble du processus de collaboration avec les sous-traitants. Ces derniers se trouvent désormais tenus d’aider le responsable de traitement à être conforme au règlement, et ils peuvent même être sanctionnés en cas de manquement à leurs obligations. Les contrats de prestations externalisées devront être adaptés en ce sens.
Autre innovation, celle relative au champ d’application territorial. Le Parlement européen et le Conseil ont élargi le champ d’application territorial du texte[5]. Le RGPD aura un impact pour toutes les entreprises qui mettent en œuvre des traitements de données personnelles, y compris pour celles situées en dehors de l’UE.
Pour que ces règles soient respectées, le règlement a prévu des sanctions pour le moins dissuasives. Il prévoit la possibilité de prononcer des amendes administratives qui peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre annuel mondial et non seulement de celui de l’État où l’infraction est commise.
Dans ce contexte réglementaire, l’entreprise devra être en mesure d’apporter la preuve de sa conformité avec le RGPD à la moindre requête de la CNIL. Si toutes les entreprises ne peuvent ignorer l’échéance du 25 mai 2018, nombre d’entre elles ne savent toujours pas de quelle manière procéder. Il va falloir identifier rapidement ce qu’il faut faire. C’est-à-dire procéder à une analyse des risques sur la situation actuelle et à un mapping des prérequis du RGPD, identifier les écarts importants en termes de sécurité et définir une stratégie d’implémentation. Vaste chantier pour lequel elles ont tout intérêt à se faire accompagner, car cela requiert une expertise bien spécifique.
[1]Article 24 du RGPD
[2]Le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé)
[3]La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement
[4]Responsables du traitement et sous-traitants
[5]Article 3 du RGPD
Trade Finance & BPO
La Blockchain pour sécuriser et optimiser les échanges
Le développement de la blockchain en trade finance annonce l’amélioration des conditions d’échanges commerciaux. Hors sa dimension digitale et innovante, on la vante de pouvoir aussi simplifier les dossiers administratifs et faire gagner du temps à chaque partie.
80 à 90 % des échanges commerciaux dans le monde reposent sur des flux de trade finance. Ainsi, chaque innovation dans le secteur des échanges est susceptible de révolutionner une grande partie du commerce mondial. Pour ces transactions, des contrats sont rédigés entre les parties. Et cela implique que de nombreux documents circulent, souvent trop lentement, et doivent être actualisés en permanence, au moindre « changement de virgule ». Ce processus ralentit le commerce et submerge les entreprises de documents. Cette surcharge documentaire pourrait trouver dans la blockchain une solution de taille : l’accumulation de papiers se verrait remplacer par un stockage numérique et actualisable selon les évolutions du contrat.
La gestion des données via des problématiques de dématérialisation au sens large et d’archivage devient donc plus que jamais un enjeu stratégique de compétitivité. Un seul exemplaire du contrat est gardé par toutes les parties qui sont tenues au courant de son évolution. De plus, le document peut être corrigé à tout moment, la technologie blockchain permet d’identifier la véracité du document et ses mises à jour. Bien plus qu’une avancée technologique, la blockchain, base de données transparente et sécurisée, résout un problème client car elle contient l’historique – sous forme de transactions – de tous les échanges effectués. Il ne s’agit pas seulement d’innovation, mais aussi d’allègement de la comptabilité, permettant des échanges plus rapides et plus sûrs entre les parties. Un document voyage bien plus vite via la blockchain qu’avec le courrier !
Même si nous n’en sommes encore qu’au stade expérimental, l’idée derrière la plateforme blockchain est de simplifier le processus de financement du commerce international en s’éloignant de la dépendance du financement sur les documents papier.
Plusieurs entreprises comme IBM et American Express s’investissent complètement dans la mise en œuvre d’une blockchain – via la plateforme Society for Worldwide Interbank Financial Telecommunication (SWIFT). D’autres comme R3 et les 80 banques et institutions financières du monde entier considèrent les blockchains comme une opportunité pour accélérer les échanges du commerce international. Elles sont les pionnières de l’application de la blockchain dans le trade finance.
DOSSIER
Interview de Fabien Bassereau, de Cozy Cloud
Fabien Bassereau nous livre son point de vue sur le RGPD.
Créé en 2012, Cozy Cloud permet de reprendre le contrôle des données personnelles (photos, relevés bancaires, factures, remboursements de santé, consommations électriques, historiques d’usages, …) dans un espace privé et sécurisé.
Cozy Cloud est un produit polymorphe : un cloud personnel pour redonner à l’utilisateur le pouvoir sur ses données ; un nouveau canal pour les marques qui peuvent proposer des interactions et solutions ultra-personnalisées à leurs clients sans pour autant avoir un accès effectif à leurs données personnelles.
1/ Quels sont les changements que le RGPD entraîne pour Cozy Cloud ? S’agit-il d’une menace ou d’une opportunité ?
Pour Cozy Cloud, c’est surtout l’occasion de montrer aux grands comptes européens comment transformer cette menace en opportunité ! Nous sommes particulièrement interpellés par l’article 20 du RGPD qui précise les nouveaux droits des utilisateurs concernant la portabilité de leurs données. Non seulement cet article leur permet de réclamer leurs données personnelles auprès de leurs fournisseurs, mais aussi de mandater une autre entreprise pour les récupérer.
Par exemple, pour recommander les livres les plus à même d’intéresser son lecteur, Amazon peut dorénavant lui demander le droit de récupérer directement auprès de la FNAC son historique d’achats et de notations. Et la FNAC devra s’exécuter… sans entrave et dans un format informatique.
Ce que permet le RGPD part d’une belle intention européenne, mais les GAFA semblent bien mieux armés pour rapidement en tirer profit aux dépens des entreprises plus « traditionnelles » françaises, ouvrant encore plus à la menace qu’ils représentent. Il faut mettre en place un plan d’action français !
Plutôt que de développer docilement la restitution des données, nous proposons aux entreprises de les déposer dans le « domicile numérique » de leur client, offert sous la forme d’un Cozy. Cela leur permet de ne pas être définitivement désintermédiés, mais au contraire d’accéder à davantage de données. Ainsi, dans notre exemple, le libraire français peut en retour lui aussi accéder aux données de son concurrent américain, aux habitudes de voyages, goûts sportifs, contexte familial, etc.
Le RGPD change tout le système, il permet avec l’article 20 de mettre fin à une captivité. Cela modifie la façon de se battre : les données, auparavant monopolisées, deviennent accessibles. Il faut donc proposer des services innovants pour se différencier.
2/ Quelles sont les attentes et préoccupations actuelles des clients sur la protection et le stockage de leurs données ? Comment la récupération des données peut-elle se dérouler avec éthique et respect du client ?
Il existe un paradigme quant à la récupération des donnés : personne ne veut livrer tant d’informations, mais tout le monde veut être guidé dans la rue par Google. Alors, on se soumet passivement à la récupération des données car c’est plus pratique…
Or l’individu veut être rassuré et garder la maîtrise de ses données. De même qu’il est prêt à manger mieux, même si la nourriture produite de manière responsable est un peu plus chère ou compliquée à obtenir, il est prêt à s’engager dans la construction de son domicile numérique si celle-ci lui permet les mêmes services, voire de meilleurs.
S’il peut inviter ses fournisseurs dans ce nouveau « chez lui » numérique sans qu’ils puissent repartir avec les meubles, alors la donne change. Je crois que c’est à cette seule condition que l’utilisateur quittera le marché presque diabolique des GAFA : il va rechercher les acteurs capables d’encore plus d’innovation et de contextualisation grâce à un accès presque exhaustif à ses données, mais… et c’est très important, sans pour autant devoir reconduire la contrainte imposée par les GAFA. S’il le peut, il ne laissera plus ces acteurs ramener chez eux et pour eux les données qu’ils ont utilisées. Les services doivent venir les exploiter, mais ne pas repartir avec. La récupération des données ne se fera que si elle est utile, que si l’entreprise est légitime à les demander. S’il n’y a pas de livraison, quel intérêt de donner son adresse ? L’entreprise repart alors les mains vides, mais riche de pouvoir rendre un service utile, pertinent et même éthique.
Dans une approche éthique, le législateur européen vient d’octroyer à l’individu un nouveau droit sur ses données. L’ouverture de la portabilité induit une baisse de la valeur de détenir les data, mais au contraire une augmentation de la valeur des services que les data permettent… pour ceux qui sauront les délivrer.
3/ Quels sont vos interactions avec des acteurs comme Syrtals ?
Syrtals conseille les entreprises dans le traitement des données et leur propose une approche optimisée à l’aide de plateformes communes. Participer à la création d’une prise de conscience par les acteurs européens permet de développer un axe d’alliance et d’innovation. En effet, ce changement ouvre l’opportunité extraordinaire d’une alliance des acteurs sous le coup du RGPD pour répondre au challenge porté par les nouveaux entrants numériques, le tout pour le bénéfice de, et aussi avec, leurs clients. Nous proposons, en créant ce « domicile numérique », une relation de proximité entre les entreprises et les utilisateurs, en les aidant à utiliser les données pour leur offrir un sens dans la relation client. Travailler avec Syrtals permettra d’offrir des solutions aux entreprises qui souhaitent se différencier par les données.
Retrouvez plus d’info sur notre site
www.syrtals.com
Société Syrtals SI France
6/8, rue du 4 Septembre Bat B
92130 Issy les Moulineaux
Tel : +33(0)1 46 48 91 53
Fax : +33(0)1 46 48 92 92
commercial@syrtals.com
administratif@syrtals.com
Payment, Cash & Clearing Consulting