Exploitation des données personnelles : les banques sur un fil
Le secteur bancaire ne cesse d’être tiraillé par les évolutions technologiques et réglementaires. Ainsi, d’un côté, les banques sont dans l’obligation d’étoffer leurs moyens humains et financiers pour répondre aux nouvelles contraintes fixées par les législateurs. De l’autre côté, ces mises en conformité participent à la mutation de leurs activités, mais aussi de leurs processus et de leurs sources de revenus. Autre paradoxe : le RGPD. D’une part, les banques traditionnelles bénéficient d’une image positive de leur clientèle et de leur confiance comparativement aux géants du web. D’autre part, les établissements bancaires accumulent une masse de données clients qui se révèlent être une véritable mine d’or.
La confiance accordée par les Français vient justement du fait que les banques ne surfent pas sur l’exploitation des données personnelles. La tentation est pourtant bien réelle : exploiter la connaissance client (niveau de revenus, dépenses, habitudes de consommation, situation personnelle, familiale et patrimoniale, etc.) en gardant précieusement ce bon niveau de confiance. Or, elles ne peuvent engager ni la monétisation des données clients ni la facturation de services innovants amenés à devenir des fonctionnalités standards. L’un des chemins de crête consiste à générer de la valeur ajoutée pour le client en se positionnant dans leurs usages, et à les accompagner avec la bonne offre au bon moment.
Données clients : les banques déjà très vigilantes avant le RGPD
Une modification du cadre réglementaire suscite toujours deux types de réactions. Elle créé pour les uns des obstacles au développement économique et pour les autres des leviers d’opportunités à saisir. La mise en oeuvre du RGPD incite les banques à repenser leurs actions en tenant compte des droits renforcés des clients : droits d’accès, droit de rectification et droit à l’oubli. Toutefois, Lucas Naja, délégué à la protection des données du Crédit Mutuel Arkéa, rappelle que les banques n’ont pas « attendu le RGPD pour lutter contre la fraude et protéger les données, c’est un sujet prégnant dans toutes les banques depuis longtemps, et heureusement. ».
Le RGPD a des conséquences directes puisqu’il impose aux banques d’informer en toute transparence les usagers du volume et de la nature de l’exploitation de leurs données personnelles. Elles doivent notamment actualiser leurs conditions générales d’utilisation et demander aux clients leur autorisation pour utiliser telle ou telle donnée. Le RGPD met aussi en place un droit à la portabilité des données. Autrement dit : un client doit pouvoir obtenir la récupération des données fournies à sa banque dans le cadre d’un usage personnel ou dans l’optique d’un changement de banque. Mais le client ne dispose pas non plus de tous les droits. Par exemple, il ne peut solliciter le droit à l’oubli pour un incident de paiement, l’information étant utile à la banque dans l’évaluation du risque.
Banques françaises : les premières réponses des banques
L'intérêt évident des banques au sujet des données personnelles de leurs clients ne signifie pas pour autant qu'elles soient prêtes face à l’entrée en vigueur du RGPD. En réalité, le chantier est immense et s’amorce pour plusieurs années. Certaines réponses sont apportées avec des pages sur les sites web des banques consacrées au sujet, des points d’informations dans les agences et des conseillers bancaires formés. Ces derniers ont particulièrement été sensibilisés au risque d’usurpation d’identité afin de ne pas livrer des données à un escroc.
Le RGPD devrait aussi faire émerger de nouveaux services d’intelligence artificielle. La députée, Laure de La Raudière, membre de la commission des Affaires économiques à l’Assemblée nationale, souligne que la réglementation doit permettre aux banques de « procéder aux mêmes traitements que ceux qui sont exécutés par les Gafa (…) pour que la France puisse monter en compétence en matière d’innovation, et cela dans l’intérêt des consommateurs français ».
Arkéa ouvre un département Protection des Données Personnelles
Pour répondre aux problématiques du RGPD, le Crédit Mutuel Arkéa s’est doté d’un département dédié à la mise en conformité de la banque. Le communiqué précise que « le département Protection des Données Personnelles appuiera et conseillera les entités et les filiales du groupe en matière de protection des données personnelles, notamment celles des clients et des collaborateurs. ». Le poste de délégué à l’animation et à la supervision de cette tâche échoit à Lucas Naja.
Pour Ronan Le Moal, Directeur général du Crédit Mutuel Arkéa, la mise en place d'une entité dédiée au sein d'Arkéa confirme l’enjeu stratégique que représentent « la sécurisation et la protection des données personnelles de nos sociétaires, clients, collaborateurs et partenaires, dans le cadre de la relation de confiance que nous entretenons avec l'ensemble de nos parties prenantes ».
BPCE, l’exploitation de la data au service du parcours client
La BPCE a misé depuis fin 2016 sur les compétences d’Yves Tyrode pour concrétiser la transformation numérique des Banques Populaires et des Caisses d’Epargne. Parmi les sujets incontournables : la data, qui, pour des raisons d'homogénéisation, a requis l’instauration d’un « outillage assez lourd de mise en qualité ». La BPCE a notamment « créé un réseau de data managers (…) et des outils de traçabilité. ».
Yves Tyrode précise : « chaque data stratégique figure dans un dictionnaire et nous suivons la vie de la data client par client. Nous utilisons Collibra, un outil qui nous permet d'avoir une traçabilité totale de la data sur les mêmes définitions. ». Et de conclure « la data est une variable de cette équation, au sens où elle nourrit les process et les parcours clients. ».
Société Générale, des process cohérents de l’agence physique à la banque en ligne
Chez la Société Générale, cette fonction de DPO (Data Protection Officer) est remplie par Antoine Pichot depuis octobre 2017. Interrogé sur la mise en place du RGPD en début d’année, celui-ci soulignait que ce nouveau cadre réglementaire s’inscrivait « dans une gouvernance de protection, de qualité de la donnée et de développement des usages déjà existants. ». Là encore, le principal obstacle a été de donner de la cohérence à l’instauration du RGPD depuis l’agence locale jusqu’à la banque en ligne Boursorama.
Le DPO indique qu’il est essentiel de « basculer sur des stratégies de consentement contextualisé, c'est-à-dire demander le consentement au client au moment où nous lui proposons un service. Les clients percevront davantage la valeur. ». Justement, l’information à la clientèle sur la collecte, l’exploitation et le stockage de leurs données personnelles est renseignée sur une page dédiée au site de l’établissement bancaire, clip vidéo et FAQ à l’appui.
Le déploiement du RGPD est sans conteste une contrainte supplémentaire pour les banques mais les incite aussi à modifier leurs perspectives. Cela passe sans doute par l'innovation via l'intelligence artificielle, la formation et la sensibilisation du personnel, et la manière d'apporter une nouvelle valeur ajoutée aux services bancaires pour le client.