Collecter des données sur ses clients, c’est bien, les exploiter, c’est mieux

L’étude Gemalto présente des résultats à la fois intéressants et relativement inquiétants, bien que non surprenants. Il s’agit de la dernière édition (2018) du « Data Security Confidence Index », menée auprès de 10 500 internautes (clients d’entreprise) et de 1 050 décideurs IT (Information Technology) issus de 11 pays : Australie, Belgique, Brésil, France, Allemagne, Inde, Japon, Pays-Bas, Arabie Saoudite, Afrique du Sud, Emirats arabes unis, Royaume-Uni et Etats-Unis. On y apprend en particulier que :

• 65% des entreprises n’arrivent pas à analyser ou catégoriser toutes les données clients auxquelles elles ont accès.
• A peine plus de la moitié des entreprises (54%) savent où sont stockées leurs données sensibles.
• 25% seulement des entreprises pensent que ceux qui devraient avoir accès aux données ont effectivement cet accès.
• 91% des décideurs IT pensent qu’ils pourraient et devraient être mieux préparés pour mieux tirer profit du volume croissant de données à disposition.

Tous ces chiffres révèlent de graves défauts au niveau de la gouvernance des données clients des entreprises – en tous cas de certaines d’entre elles. Pourtant, 89% des décideurs informatiques interrogés par Gemalto s’accordent sur le fait que la capacité à analyser ses données offre un avantage compétitif certain.

Gemalto, et c’est logique, s’est surtout concentré sur les questions de sécurité des données. On apprend beaucoup de choses intéressantes sur ce sujet, notamment que :

• Seulement 55% des décideurs IT estiment que leur entreprise est conforme au GDPR.
• Dans le même temps, ils sont 82% à estimer que rester conforme aux législations de Data Protection est compliqué.
• 68% reconnaissent que leur entreprise ne parvient pas à appliquer toutes les procédures exigées par les lois de protection des données personnelles.
• Ils sont 27% à admettre que leur entreprise a été l’objet de failles de sécurité au cours des 12 derniers mois. 76% reconnaissent que leur organisation n’a pas rapporté leur plus récent data breach (violation des données) aux autorités de contrôle – 68% si l’on s’intéresse uniquement aux répondants français.
• 68% des décideurs interrogés pensent que des utilisateurs non-autorisés sont en capacité d’accéder aux réseaux de leur entreprise.
• Seulement 57% pensent que les données sensibles concernant l’entreprise sont sécurisées. Et seulement 51% des décideurs IT français estiment que leur entreprise a mis en place des procédures pour assurer la sécurité des données sensibles.

Source : Gemalto

Gemalto s’est également intéressé à l’opinion et au ressenti des clients, des internautes, des consommateurs, de ceux qui confient leurs données à des entreprises. Les résultats, là aussi, sont intéressants. On apprend par exemple qu’un peu plus de la moitié (52%) des clients ont confiance dans la manière dont les entreprises gèrent les données les concernant. Ils sont moins nombreux (41%) à accorder leur confiance aux établissements financiers concernant la sécurité de leurs données sensibles. 54% des clients savent ce que signifie le « chiffrement » (l’encryptage) des données. L’écrasante majorité (90%) des internautes interrogés pense qu’il est important que les entreprises se conforment aux législations sur la protection des données. 65% reconnaissent l’impact important du GDPR sur les entreprises. Tous ces chiffres révèlent la vraie prise de conscience des consommateurs à l’égard des enjeux autour de la protection des données personnelles et du rôle dévolu aux entreprises à ce sujet.

Le principal constat que l’on peut tirer de cette étude, c’est que beaucoup d’entreprises n’ont pas encore mis en place une politique de données en phase avec les exigences règlementaires. Autrement dit, il y a encore du travail à faire ! Ce qui était possible hier ne l’est plus aujourd’hui : la sécurisation des données (à caractère personnel : DCP, c’est-à-dire les données clients) est une obligation à laquelle les entreprises ne peuvent plus se soustraire. Or, pour avoir un contrôle sur ses données et leur sécurité, encore faut-il avoir une vision claire de son système d’information, de ses sources de données, de ses bases, de ses applications, de ses flux.

Charge aux entreprises de mettre en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (article 32 du règlement GDPR). Ce qui passe, concrètement, par un travail de sensibilisation des utilisateurs, une analyse des risques technologiques associés au traitement des données, une analyse des écarts entre les pratiques actuelles et les exigences réglementaires, la réalisation d’audits de sécurité sur les bases, les applications, les flux, les réseaux, les postes de travail informatiques, une analyse des règles d’archivage / désarchivage, de cryptage et de pseudonymisation des données, la mise en place de tests d’intrusion en vue d’une identification des failles, la construction de procédures en cas de violation…

Ici, notre objet n’est pas de détailler les chantiers à mettre en œuvre pour atteindre un niveau de sécurité conforme aux exigences du RGPD. Ce sont des sujets que nous avons déjà traités sur notre site. Nous vous renvoyons à l’article « Réaliser le diagnostic des données, des traitements et de la sécurité dans le cadre du GDPR » ainsi qu’aux différents articles publiés sur notre blog sur le thème.

L’important est de rappeler qu’une mauvaise gouvernance des données n’est plus acceptable et créé des risques juridiques potentiellement considérables pour les entreprises concernées. Le règlement général sur la protection des données personnelles est entré en vigueur le 25 mai 2018. Les autorités de contrôle sont parfaitement conscientes de la complexité du processus de mise en conformité. Si le règlement est d’ores et déjà entré en application, les risques de sanctions ne portent que sur les organisations qui n’ont pas encore entrepris une démarche sérieuse de mise en conformité.

Il n’est donc pas trop tard pour réaliser sa mise en conformité, mais cela doit être considéré comme un chantier prioritaire.

Le manque de contrôle sur les données clients a plusieurs causes. La plus évidente est bien entendu liée à l’explosion du volume de données clients ingéré dans les systèmes d’information des entreprises. Les entreprises n’ont jamais disposé d’autant de données qu’à ce jour. Ensuite, une large partie des données, aujourd’hui à disposition des organisations, sont des données non structurées qui, pour être exploitables, nécessitent des traitements, des nettoyages, un formatage, en clair : un vrai travail, des procédures solides.

Une autre des causes réside dans la complexification des architectures IT et l’explosion du paysage applicatif. Les entreprises utilisent de plus en plus d’outils de collecte, de stockage et d’activation des données. Les flux qui relient ces outils ne sont pas toujours efficaces, ils sont même parfois inexistants. Résultat : les données sont éparpillées dans une myriade d’outils, sont organisées en silos, ne circulent pas ou peu. Cela n’aide pas à acquérir une vision claire des données clients, des lieux de stockage, des modes de circulation de ces données dans le système, etc.

Un exemple d’architecture IT

Comme nous le disions en introduction, collecter des données clients est sans intérêt si ces données sont mal ou pas exploitées. Pire, cela paralyse l’entreprise, qui finit par ne plus s’y retrouver parmi la quantité de données stockées. Au-delà des problématiques de sécurité mises en avant par l’étude de Gemalto, ce trop-plein de données conduit à une impuissance opérationnelle. Pour sortir de cette situation regrettable, trois chantiers prioritaires doivent être déployés.

Il faut tout d’abord réaliser un diagnostic des données. Quelles sont les données clients dont dispose l’entreprise ? D’où viennent-elles ? Comment sont-elles collectées ? Où sont-elles stockées ? Comment circulent-elles entre les bases et les applicatifs ? Comment sont-elles utilisées, si elles le sont ? Pour quelles finalités ?

Ce qui nous amène au deuxième chantier, qui consiste à identifier les données cibles, celles dont l’entreprise a besoin, celles qui sont activables, et à supprimer les données inutiles. Pour identifier les données cibles, il faut savoir ce que l’on veut faire : quelle Relation Clients souhaite-t-on offrir ? Quelles stratégies marketing souhaite-t-on mettre en place ? Quels programmes relationnels ? Cela suppose un travail de fond sur les objectifs CRM et marketing de l’entreprise, souvent précédé d’un travail de compréhension des parcours clients.

Une fois les objectifs définis, il devient possible de construire le plan relationnel et de décliner les différents programmes que l’on souhaite mettre en place. C’est à cette occasion que l’on est en mesure d’identifier les données cibles, celles qui permettront de faire vivre ces programmes. Les données que l’on sait inutiles doivent sortir du système d’information. Elles représentent un risque juridique inutile pour l’organisation.

Un troisième chantier est souvent nécessaire. Il consiste à repenser l’architecture IT qui, force est de le constater, est parfois bancale. Ce chantier s’appuie sur les résultats du diagnostic IT et consiste, entre autres, à faire évoluer les outils, les bases et flux données, les procédures existants pour permettre l’exploitation des programmes relationnels, renforcer la sécurité des données et, plus globalement, avoir un meilleur contrôle sur ses données. La désorganisation des données et leur éparpillement sont, on l’a vu, une des causes d’une mauvaise gestion des données.

L’objectif de ces différents chantiers est de permettre à l’entreprise d’améliorer durablement ses performances marketing et commerciales, d’optimiser son dialogue client. La réussite du marketing client repose sur une maîtrise des données. Une bonne gouvernance des données permet à la fois de respecter les obligations juridiques en matière de traitement des données mais aussi d’améliorer les performances de l’entreprise. Raison de plus pour que cela devienne une priorité pour les entreprises.