Big data : les banques craignent le casse du siècle
▻http://www.lemonde.fr/economie/article/2016/03/17/big-data-les-banques-craignent-le-casse-du-siecle_4884295_3234.html
Imaginez une start-up spécialisée dans l’agrégation de comptes, comme il en pullule aujourd’hui. Vous lui avez communiqué vos coordonnées bancaires pour pouvoir consulter l’état de vos finances depuis votre mobile. Et, patatras, des hackers attaquent la plate-forme, récupèrent toutes vos informations et vident vos comptes. La faute à qui ? Pas aux banques, clament ces dernières qui ne veulent pas régler la facture.
Ce message, les établissements bancaires l’ont fait passer lors du Salon professionnel de la monétique et des moyens de paiement, les mercredi 16 et jeudi 17 mars à Paris. « Les cybercriminels s’attaqueront au maillon le plus faible, mais une fois qu’ils auront trouvé une faille, le problème sera systémique », alerte Marie-Anne Barbat-Layani, directrice générale de la Fédération bancaire française (FBF). « Les clients veulent une plus grande intégration des services financiers à leur mobilité quotidienne mais ne perçoivent pas la hausse des risques liés à de telles évolutions. Que se passe-t-il si je fais tomber mon smartphone alors que je suis en train de faire une transaction ? », interroge Didier Descombes, associé chez KPMG.
Les banques sont « naturellement » le réceptacle de toutes nos informations personnelles : identité, âge, salaires,...
Le temps des lingots est révolu. Les banques, qui investissent des millions d’euros en cybersécurité, sont désormais des « coffres-forts de données » dont elles entendent bien garder la clé face à l’offensive des nouveaux entrants.
Ces dernières sont « naturellement » le réceptacle de toutes nos informations personnelles : pour ouvrir un compte ou obtenir un crédit, chacun d’entre nous doit prouver son identité, donner son âge, celui de ses enfants, ses antécédents médicaux, ses relevés de salaire, son avis d’imposition, jusqu’à son poids dans certains cas... Les banques ont besoin de ces informations pour calculer le profil de risque de chacun.
D’autres informations, encore plus courues, figurent dans les ordinateurs de nos banquiers : il s’agit des données récupérées lors des transactions (paiements en carte bleue, virements, prélèvements, chèques). Elles disent où nous allons, quand et comment nous dépensons notre argent. Autant d’éléments qui permettent de deviner ce que nous sommes susceptibles d’acheter demain.
« Le recours aux services bancaires et financiers donne lieu à la production et à l’utilisation d’une masse de données qui révèlent très précisément les habitudes de vie mais aussi la situation personnelle de chacun », écrivait la Commission nationale de l’informatique et des libertés (CNIL) dans son rapport annuel 2014.
« Les seules choses qui nous manquent sont le contenu du caddie et les déplacements à la minute », admet Frédéric Jacob-Peron, directeur commercial et marketing France de la Société générale.
Une affaire morale
Longtemps, cette mine d’or de données est restée à l’abri des convoitises, enfouie dans les systèmes d’information des banques. La brèche a été ouverte par la deuxième directive européenne sur les services de paiements (DSP2), adoptée en octobre 2015. Elle permet à des tiers non bancaires d’accéder aux comptes des clients, d’opérer des transactions, et donc de récupérer les données associées. Une porte qu’entendent bien franchir les acteurs de la nouvelle économie numérique, qu’il s’agisse des GAFA (Google, Apple, Facebook, Amazon), des géants des télécoms ou des start-up de la Fintech. Leur modèle repose sur l’acquisition et l’exploitation de données personnelles. Plus on en sait sur un utilisateur, plus on a de chances de lui vendre un produit qui lui correspond.
Contrairement à ce que l’on pourrait penser, la loi n’interdit pas d’utiliser les données bancaires. Du moment que le client en est informé et donne son accord, tout est possible. Par ailleurs, on peut se passer de l’accord du client et vendre les données à un tiers, si elles sont agrégées et anonymisées de manière irréversible.
« Une donnée anonymisée n’est, par définition, plus corrélée à une personne. Ce n’est donc plus une donnée à caractère personnel, et elle n’est alors pas encadrée par la loi informatique et libertés », explique Stéphane Grégoire, chef du service des affaires économiques de la CNIL.
Aujourd’hui, en Europe, la plupart des banques utilisent les données de leurs clients – sans les revendre – dans le but de leur vendre des produits maison. Vous avez consulté une offre d’assurance sur le site Internet de votre banque ? Un conseiller vous rappelle. « Il s’agit d’identifier les sous-groupes de clients sur lesquels une action marketing sera efficace, par exemple les individus dont le contrat a moins d’un an et qui n’ont pas été contactés depuis plus de trois mois », précise Guillaume Bourdon, cofondateur de Quinten, cabinet spécialisé dans le big data.
« Les clients voient bien que les mails commerciaux qu’ils reçoivent correspondent à leurs attentes, et heureusement », ajoute Frédéric Jacob-Peron, à la Société générale. « La hausse de vos dépenses chez le garagiste, la marque de votre voiture et votre capacité d’épargne permettent d’avoir une idée du moment où vous pouvez avoir envie de changer de voiture et de vous proposer un crédit auto pertinent », renchérit Marguerite Bérard-Andrieu, directrice générale adjointe de BPCE. Ce groupe, associé à la chaire ParisTech, développe également, pour prévenir le surendettement, des modèles prédictifs qui détectent la fragilité financière dix-huit mois à l’avance, en prenant en compte plus de 15 variables.
Les banques font de la préservation des données de leurs clients une affaire morale. Pas question donc de les vendre à des prestataires extérieurs. « Quand vous préparez votre retraite, l’avenir de vos enfants, c’est normal que cela reste dans l’intimité de la relation de confiance que vous avez nouée avec votre banque, et de vous-même », insiste Mme Barbat-Layani, à la FBF.
Ce sont les mêmes problématiques que pour les données de santé. « Si vous allez voir un psy chaque semaine, vous ne serez pas content de recevoir une offre de thalasso qui vous dise “en ce moment vous n’allez pas bien” », souligne un banquier qui ajoute plus prosaïquement et ironiquement : « On ne permettra pas à Darty de vous vendre des tringles à rideaux. »
L’Europe n’est pas prête
Sans aller jusqu’à dévoiler les données aux commerçants, la banque peut néanmoins démarcher à leur place, en tant qu’intermédiaire. Bank of America propose à ses clients anglo-saxons d’analyser leurs transactions pour leur faire bénéficier d’offres commerciales
adaptées : par exemple, un bon de réduction pour retourner dans ce restaurant où vous avez dîné le mois dernier.
Le marché européen ne semble pas (encore) prêt. La Banque hollandaise ING l’a appris à ses dépens (/economie/article/2014/03/11/la-banque-ing-prete-a-tout-devoiler-de-ses-clients_4381105_3234.html) . Voulant partager les données de ses clients avec des entreprises extérieures, notamment des supermarchés, elle a été accusée, par des consommateurs et des députés, de menacer la vie privée.
« Si le client se braque, l’établissement risque de perdre sa confiance. On n’est pas à l’abri d’un data gate, si la banque va trop loin, joue à l’apprenti sorcier et que ça se sait », prévient Jean-Philippe Poisson, associé chez Elia Consulting.
Pas sûr que les revenus tirés de la monétisation des données, largement inférieurs à ceux que la banque réalise dans son cœur de métier, valent ce risque.
Malgré tout, les banques planchent sur le sujet, ne serait-ce que pour être prêtes à répondre à la concurrence. « Si on devait un jour se lancer dans l’exploitation des données de carte bancaire, on ne peut pas mettre ça en petits caractères, déclare M. Jacob-Peron, de la Société générale. Si le client nous en donne l’autorisation, on le fera, dans le respect de ses intérêts et de la réglementation. » Il faudra composer avec le nouveau règlement européen sur les données personnelles, qui met l’accent sur l’information et le consentement des citoyens.
Usant de la possibilité d’anonymiser les données, des sociétés financières monétisent déjà les informations récoltées auprès de leur clientèle.
« Nous pouvons dire à une enseigne de la grande distribution : 18 % de nos porteurs de carte qui sortent de chez vous vont ensuite à la boulangerie en face : pourquoi ne mettez-vous pas une boulangerie dans votre magasin ? », témoigne Grégoire de Lestapis, directeur général de la banque espagnole BBVA en France.
Et d’ajouter : « Je suis surpris que les trois grandes banques françaises, aussi puissantes, aient une stratégie digitale aussi peu développée avec ce retard accumulé dans leur transformation culturelle ».
Même offre de services chez MasterCard, qui analyse 6 millions de transactions anonymes par heure. « Les consommateurs attendent des commerçants qu’ils anticipent leurs besoins, ils en ont assez de recevoir des offres qui ne leur correspondent pas », affirme Arnaud Grauzam, directeur MasterCard Advisors Europe de l’Ouest.
« La banque vit dans un monde propriétaire, critique Hugues Le Bret, fondateur du Compte-Nickel, alors que la philosophie du peuple, c’est le partage d’informations. »
Au risque de voir sa vie exposée dans tous les fichiers clients du monde... « Certaines générations n’ont pas encore conscience des traces qu’elles laissent, regrette Mme Bérard-Andrieu, de BPCE. Vous avez par exemple des Fintechs qui cherchent à développer des modèles de risques sur les petites entreprises, en regardant à quelle heure du jour ou de la nuit l’entrepreneur est connecté – sous-entendu, a-t-il une vie équilibrée ? – ou qui il a dans son réseau Facebook. » Enthousiasmant ou glaçant.
