Données clients, la prudence guide les banques

le 12/09/2013 L'AGEFI Hebdo

A l’heure où la protection des données est devenue un sujet grand public, les acteurs améliorent leurs outils d’exploitation mais veulent préserver la confiance.

fotolia

L’affaire Snowden et la révélation de l’existence de Prism ont alarmé les gouvernements et opinions publiques du monde entier. Et si Thierry Breton, PDG d’Atos, préconise « une sorte de Schengen des données », c’est bien qu’il est devenu urgent d’agir. Selon lui, il est nécessaire de « donner des règles à ce nouveau monde de l’information, qui soient arrêtées au niveau européen. Il faut ensuite pouvoir vérifier qu’on applique le corpus de règles ; c’est pourquoi nous allons demander que l’ensemble des données soient traitées uniquement sur le territoire européen ». La protection des données est un sujet de préoccupation. D’autant que d’autres événements ont jalonné la prise de conscience progressive d’un nouveau danger, comme le vol des données de 70 millions d’utilisateurs du réseau de jeu en ligne de Sony en 2011.

Un standard est devenu incontournable dans le domaine des paiements : la certification PCI-DSS (payment card industry - data security standards). Elle semble désormais indispensable contre le vol de données de cartes bancaires. Pour aider les marchands à mieux se protéger, Monext, filiale du Crédit Mutuel Arkéa, vient de lancer une nouvelle offre : PCI Trusted Services, qui permet d’éliminer les données sensibles de leurs systèmes d’information grâce à la « tokenisation » , c’est-à-dire le remplacement des données sensibles par un alias sécurisé qui en empêche la reconstitution. « PCI-DSS, ce sont 280 exigences et 900 points de contrôle à mettre en œuvre, souligne Thierry Le Forban, responsable de l’offre sécurité chez Monext. Les grands marchands ont attendu un peu avant de se mettre en conformité avec ces normes, mais la pression des banques et des réseaux Visa et Mastercard a accéléré leur adoption. Progressivement, PCI-DSS est devenu une réalité mais cela reste complexe à mettre en œuvre, nécessitant une connaissance pointue des systèmes de paiement, ce qui n’est évidemment pas le métier de base des commerçants. La solution de 'tokenisation' de Monext permet de gérer n’importe quelle donnée sensible comme une donnée de carte bancaire. » Un projet de règlement européen est d’ailleurs en cours d’élaboration (lire l'encadré).

La sécurité d'abord

Côté grand public, les opinions sont nuancées et parfois paradoxales. Selon une étude de Steria, 89 % des Français se disent favorables à l’utilisation de la biométrie pour identifier les criminels, 81 % sont pour son utilisation dans les cartes d’identité et les passeports, mais le chiffre tombe à 52 % lorsqu’il s’agit de remplacer les codes PIN des cartes bancaires par des données biométriques. « Les Français doutent parfois de leurs banques alors qu’elles font partie des plus sûres au monde », soulignent Florenz Skrabacz et Hervé Deschamps, responsables d’activité sécurité et banque chez Steria. Les banques, qui jouissent d’une réelle confiance dans leurs capacités à protéger les données sensibles (voir le graphique), ont donc intérêt à rester prudentes. Elles ne sont d’ailleurs pas à l’abri de certains rappels à l’ordre. La Cnil (Commission nationale de l'informatique et des libertés) a par exemple donné par deux fois un avertissement à BNP Paribas pour sa gestion du FICP, le fichier des incidents de remboursement des crédits aux particuliers : certains clients demeuraient enregistrés à tort dans ce fichier, selon L’informaticien.com. Sur un autre registre, la même banque a été autorisée par la Cnil à ficher les incivilités de ses clients, d’après 01net. Les informations devant néanmoins être anonymisées au bout d’un an.

Les établissements sont évidemment sous l’œil de la Cnil, mais aussi sous la coupe du régulateur qui les pousse à collecter de plus en plus de données et à les mettre à jour régulièrement. Le consentement des clients à l’exploitation de leurs données est recueilli lors de la signature de la convention de compte. Ce qui permet, par exemple, à des sociétés différentes de partager ces données. « Lorsqu’un client demande un crédit à la consommation, détaille Joseph Trojman, directeur stratégie, études et datamining de Société Générale Banque de détail, nous sommes autorisés à transmettre les données aux tiers impliqués dans l’opération, Franfinance pour un crédit à la consommation ou Crédit Logement pour un crédit immobilier, par exemple. L’exploitation statistique des données clients fait partie intégrante de notre métier. L’extériorisation des données à des tiers n’est pas répandue dans notre secteur en France. Elle ne peut s’envisager que dans le cadre d’avantages aux clients et de leur consentement. » Le sujet est sensible. Les banquiers sont assez scrupuleux et refusent de mettre en danger la relation client si longue et difficile à établir.

Au Crédit Agricole, où le projet Nice (refonte complète des systèmes d’information de distribution) devrait aboutir en 2015, on mise beaucoup sur l’analyse des données clients. Jean-Luc Catherine, directeur général de la caisse régionale Nord de France, est en charge de la partie liée au CRM (customer relationship management) : « Nous pouvons détenir jusqu’à 10.000 données par client avec l’historisation sur plusieurs années. L’enjeu est de développer de l’intelligence marketing en les exploitant pour personnaliser les propositions commerciales alors que, bien souvent, le client nous dit ressentir beaucoup plus l’intérêt de la banque que le sien quand il est sollicité par son conseiller. Nous observons le comportement bancaire de nos clients, leurs préférences en matière de multicanal, et il sera bientôt possible de capter d’autres informations à travers les applications mobiles bancaires ou les réseaux sociaux, c’est déjà énorme et très riche. Mais pour l’heure, nous nous interdisons de regarder les données de consommation. » Le but est d’abord de favoriser une relation bancaire de qualité en limitant la pression commerciale (trop de sollicitations agacent). Mais aussi en améliorant la performance commerciale des conseillers qui auront à terme un outil d’intelligence artificielle capable d’analyser et de restituer en une page la situation d’un client et les offres qui pourraient lui convenir.

Loin de ces positions traditionnelles, certains établissements anglo-saxons franchissent le pas. Barclays Bank, cité par Patrice Bernard dans son blog C’est pas mon idée, se réserve désormais le droit de combiner les informations détenues sur ses clients et leurs comptes pour créer des rapports qu’elle pourrait partager avec d’autres entreprises. Ce qui préfigure la création d’une activité de vente d’analyses et de statistiques sur les clients de la banque et sur leurs habitudes de consommation à partir d’une agrégation des transactions réalisées.

Des possibilités nouvelles

Autre exemple : American Express propose à ses clients de connecter leur profil Facebook à leurs comptes bancaires, une façon d’accéder à de nouvelles informations de comportement et de profil. Pour Nicolas Bertapelle, directeur de Jasmin, l’utilisation des données de paiement a un objectif clair : « Aider les commerçants et les entreprises à mieux cibler leurs clients en leur vendant des données sur leurs comportements d’achat. En France, les contraintes juridiques de la Cnil sont telles que les banques n’utilisent pas à des fins commerciales leurs données de paiement. Elles se contentent d’une utilisation en interne, sur un périmètre limité (…). Aux Etats-Unis, le cadre juridique est plus souple et les banques ont une longueur d’avance. Bank of America a par exemple déployé un service permettant à ses clients d’accéder à des offres promotionnelles basées sur leurs achats directement sur leur espace de banque en ligne. »

Si les pratiques ne sont pas encore affichées en France, les réflexions avancent notamment dans les établissements de paiement, mais pas seulement. « Les données bancaires (retraits, dépenses, revenus) de nos clients sont stockées sur serveurs sécurisés, expose Patrick Sommelet, directeur général adjoint de Boursorama Banque. Elles ne sont pas exploitées de façon commerciale, mais à partir de leur analyse, il serait possible de proposer à nos clients de bonnes affaires, à condition qu’ils aient approuvé ce dispositif au préalable. Le sujet est en perpétuelle évolution et nous y réfléchissons. En poussant cette logique, nous pourrions, grâce à notre outil d’agrégation bancaire MoneyCenter, connaître leur consommation et leur proposer des ‘deals’ auprès de commerçants partenaires grâce à la géolocalisation via leur ‘smartphone’. » De toute évidence, les banques disposent d’une immense richesse en données qu’elles pourraient valoriser auprès d’autres entreprises, mais tout dépendra du seuil d’acceptabilité des clients. Une donnée qui évolue rapidement, elle aussi.

A lire aussi