Restez connecté à l'univers CDLK

Pourquoi les banques peinent à faire parler les données de leurs clients

Pourquoi les banques peinent à faire parler les données de leurs clients

Tags : Banque Big Data Fintech GDPR

Mai 2018

Article paru dans  Les Echos le 24 mai 2018

Les banques disposent d'une foule de données sur leurs clients, mais leur qualité reste assez inégale.

L'entrée en vigueur du  règlement général sur la protection des données personnelles (RGPD) demandera certes une rigueur inédite aux banques dans la gestion des données de leurs clients, mais elle ne les privera pas d'en faire usage. Encore faut-il qu'elles en aient la capacité.

Voir plus

Que ce soit pour proposer des services très personnalisés ou pour optimiser leurs techniques de vente, les banques tentent déjà de « faire parler » leurs données : « 84 % des banquiers estiment qu'ils utilisent de plus en plus de données dans leurs processus de décision traditionnels ou automatisés », indique Marc Monpeurt, directeur exécutif chez Accenture, qui cite les résultats d'une étude récemment menée par le cabinet auprès de 800 banquiers dans 25 pays.

Il faut dire que ces données sont le principal carburant des outils d'intelligence artificielle censés venir révolutionner les produits financiers et la manière de les vendre. Mais si les banques disposent d'une masse de données considérable, elles sont encore loin d'en optimiser l'exploitation comme le font les licornes de la tech.

« Quand on interroge les banquiers sur leurs données, on s'aperçoit qu'environ la moitié d'entre eux ne prennent pas les mesures suffisantes pour s'assurer de leur qualité : 16 % d'entre eux tentent de vérifier leur qualité mais ne peuvent pas la garantir, 11 % pensent que leurs données sont fiables mais ne le vérifient pas et 24 % reconnaissent devoir mobiliser plus de moyens pour s'assurer de leur qualité », indique encore Accenture.

Concrètement, la collecte des données n'est pas toujours standardisée : l'adresse d'un client collectée lors de la souscription d'un crédit peut par exemple se révéler différente de celle collectée lors de l'ouverture d'un compte... Il faut dire que les banques n'ont pas conçu leurs systèmes informatiques pour mobiliser ces données de façon transverse.

Les nouvelles réglementations - la deuxième directive européenne sur les services de paiement ou aujourd'hui le RGPD - les incitent à changer de logique : « on voit de plus en plus d'établissements qui mettent en place des équipes de data intelligence chargées de fiabiliser leurs données et de casser leurs silos informatiques », indique Marc Monpeurt.

Le sujet est d'autant plus crucial que les banques s'équipent d'outils de plus en plus automatisés : selon Accenture, 78 % des banquiers estiment que ces systèmes embarquent de nouveaux risques de piratage via l'intrusion de données frauduleuses.

Fermer

2018 signera-t-elle l'obsolescence des banques ?

2018 signera-t-elle l'obsolescence des banques ?

Tags : Banque GDPR Innovation

Janvier 2018

Article paru dans  Les Echos le 04 janvier 2018

Sous l'impulsion de deux législations européennes posant les bases d'un marché digital unique pour 2020, l'année qui arrive est susceptible d'apporter beaucoup de changement au secteur bancaire et financier.

Voir plus

Une année charnière pour les banques ?

Le 13 janvier marquera la mise en application de la directive sur les services de paiement révisés (PSD2) dans toute l'UE. Elle va multiplier les possibilités en matière de mode de paiement et introduire ce que l'on appelle l'open banking. 

Fin mai, ça sera au tour du règlement général sur la protection des données (GDPR) d'entrer en vigueur. Instauré pour mieux protéger les individus, le GDPR unifie la réglementation relative à la protection des données pour tous les utilisateurs au sein de l'UE. Il ouvre, de fait, l'accès aux données à des sociétés tiers. 

Ces deux réglementations signent clairement la fin du contrôle exclusif des banques sur les données financières de leurs clients. 

Quels changements pour le consommateur ?

Pour le consommateur, ce changement va se ressentir lors d'un achat en ligne, du paiement d'une facture ou d'un virement. Il pourra donner au commerçant son accord pour qu'il accède directement à ses comptes bancaires et procède aux opérations. Plus besoin de rentrer ses numéros de carte bancaire ou de passer par différents intermédiaires. 

Les lignes s'estompent encore plus lors du passage en caisse puisque rapidement n'importe quel objet connecté comme un téléphone, une montre et même une voiture pourra servir de moyen de paiement ! Nous allons assister à une explosion du nombre de points de contact, chacun avec ses spécificités, mais sur lesquels les banques devront être présentes si elles entendent conserver leurs parts de marché. D'autant plus qu'à court terme, Google,  Facebook, Amazon pour ne citer qu'eux, pourront proposer plus facilement leurs services financiers. 

 

Repenser son parcours et son expérience client.

Dorénavant, n'importe quelle entreprise pourra proposer des services équivalents aux banques pour ce qui est du paiement. L'exigence des consommateurs doit, par conséquent, pousser les institutions financières à fournir des services d'une qualité supérieure, toujours plus sûrs et surtout plus pratiques. Si elles souhaitent rester compétitives, les banques devront tirer tout le potentiel de la data dont elles disposent, mais pas seulement puisque les changements réglementaires à venir élargissent le parcours client à une multitude de fournisseurs tiers. 

De ce fait, en plus des données qu'elles collectent déjà, elles devront se concentrer sur l'interaction de leurs clients avec ces entreprises extérieures à leur écosystème et utiliser la data pour booster leur expérience client et étendre la portée de leurs offres avec des programmes de fidélisation, des conseils financiers personnalisés, une réactivité et une plus grande rapidité dans les opérations, etc. Les possibilités sont vastes et il faut dorénavant se donner sérieusement les moyens de saisir ces opportunités, car d'autres acteurs entrent sur le terrain : opérateur téléphonique (Orange Bank), grande distribution (C-zam de Carrefour) et même tour operator (Sumo par Thomas Cook). 

Faut-il s'allier pour éviter de périr ?

La rapidité et la complexité des changements que connaît l'industrie bancaire sont considérables. Ils ne peuvent être appréhendés que par ceux qui utilisent la technologie et concentrent leurs ressources sur la réorganisation de leur parcours client. Les institutions financières axées sur le progrès et la croissance ont déjà noué des partenariats avec des sociétés qui possèdent une connaissance approfondie en matière de création d'expériences client. 

Les banques doivent avoir les compétences techniques, mais aussi culturelles pour construire ces nouvelles expériences client et ces nouvelles offres. Des partenariats entre les banques et des entreprises comme les GAFA ou des fintechs et des géants du commerce peuvent être une partie de la solution. 

Ces derniers excellent dans l'analyse du parcours client et du comportement des utilisateurs ; ils offriront aux banques un accès à des technologies d'analyse de données de pointe, leur permettant d'extraire du parcours client les informations les plus pertinentes pour la construction de leur nouvelle stratégie commerciale. 

PSD2 et GDPR mettent donc les banques face à de nouveaux défis et si elles ne réagissent pas correctement elles risquent de perdre brutalement et durablement du terrain. Mais c'est aussi une opportunité pour se renouveler en trouvant dans une évolution vers une logique d'économie de plateforme la source de nouveaux profits et d'une meilleure fidélisation du client.

Fermer

GDPR : Une mise en place pour mai 2018 ?

GDPR : Une mise en place pour mai 2018 ?

Tags : Big Data CNIL GDPR

Mai 2017

Isabelle Falque-Pierrotin, la présidente de la Cnil demande aux entreprises d'être prêtes pour l'entrée en vigueur du règlement européen sur les données personnelles (GDPR) qui sera applicable à compter du 25 mai 2018. Reste à savoir comment des acteurs qui gèrent des millions de données personnelles pourront être opérationnels à date tant les nouvelles règles restent complexes à mettre en oeuvre.

Voir plus

De nouvelles contraintes avec un impact opérationnel

Outre les dispositions déjà présentes dans la loi informatique et liberté du 6 janvier 1978, le GDPR comporte des mesures qui obligent les organisations à modifier leurs modes de gouvernance et à refondre leurs systèmes  de sécurité. Ainsi elles devront s'engager dans une démarche de "privacy by design" : incorporer des mesures techniques et organisationnelles de protection dès la conception du produit et service afin de se trouver en mesure de démontrer la conformité au règlement. De plus  le client doit pouvoir bénéficier du plus haut niveau de protection possible, ce qu'on appelle "privacy by default". Par exemple en cas d'utilisation de nouvelles technologies, la protection doit être activée par défaut. Un mécanisme d'auto-contrôle ou "accountability" au sein de la société est également requis.

L'autre nouveauté réside dans l'étude d'impact sur la vie privée (EIVP ou PIA) auquel est tenu le responsable de traitement.

La mise en place d'un DPO (Délégué à la protection des données)

L'une des nouvelles mesures phares du règlement donne pour obligation au responsable des traitements de documenter, démontrer la conformité des traitements (accountability) et de gérer les risques", explique Florence Bonnet, directrice du cabinet d'expertise en protection des données CIL Consulting by TNP. "Alors que le GDPR devrait être un sujet prioritaire sur l'ordre du jour du COMEX, les CIL /DPO ont souvent le plus grand mal à sensibiliser la direction aux enjeux liés à la protection des données et à obtenir les ressources nécessaires. Il faudra sans doute attendre le prononcé et la publication des premières sanctions pour prendre la mesure de leur impact à la fois sur le plan financier et économique mais aussi sur la réputation de l'organisation", estime Florence Bonnet.

Revoir la sécurité des systèmes

Le règlement exige également une déclaration des failles de sécurité de manière détaillée et documentées à l'autorité de contrôle (et au consommateur) "dans les meilleurs délais", et si possible 72 heures au plus tard après la prise de connaissance de l'événement. Le nouveau droit à la portabilité des données risque également de compliquer la tâche au responsable de traitement car il permet à l'assuré de récupérer les données pour les transmettre à un tiers. "La portabilité représente un chantier de mise en conformité important car elle suppose l'intemporalité des systèmes pour les rendre compatibles", décrit Isabelle Cantero, avocate associée au cabinet Caprioli.

Des outils pour faire face aux nouvelles dispositions

Une chose est d'avoir à respecter des règles inédites, une autre est de trouver les moyens de le faire. "Avec une multiplicité des parties prenantes comme les clients et les sous-traitants, le règlement sera plus difficile à gérer pour les grosses structures ... Consciente du problème, la Cnil  a élaboré un plan d'information et de communication structuré en vue d'aider les organisations à appréhender le règlement. Elle vient de publier une méthodologie en 6 étapes pour se préparer au règlement : désigner un pilote, cartographier les traitements, prioriser les actions, gérer les risques, organiser les processus internes et les documenter.

La certification entre dans le champ de la conformité

La certification reste un moyen de se mettre en conformité avec ses obligations en matière de protection des données. Le règlement oblige les organisations à labelliser leurs process. Actuellement la Cnil délivre quatre labels : audit de traitements, formations, gouvernance et coffre-fort. En ce qui concerne la sécurité des systèmes, la norme  internationale ISO 27001 représente un gage de conformité. Par ailleurs les éditeurs de logiciels ont anticipé les changements et proposent désormais des outils conformes au GDPR.

Un calendrier difficilement tenable

"Le règlement ne peut souffrir d'aucun retard", a prévenu Isabelle Falque-Pierrotin lors de la présentation du rapport d'activité 2016 de la Cnil le 27 mars dernier. Elle a ajouté que "les entreprises doivent absolument se mettre en marche". Seulement, l'impossibilité pour elles d'être prêtes le 25 mai 2018 fait quasiment l'unanimité auprès des professionnels. La Cnil a néanmoins reconnu que le Medef lui avait signifié qu'à ce jour, seules 10% des entreprises sont susceptibles d'être opérationnelles en 2018. "Même si nous assistons à un changement d'attitude sur la protection des données personnelles, il sera difficile pour les organisations de se mettre totalement en conformité en mai 2018", affirme Paul-Olivier Gibert. Pour autant, la Cnil veut croire que tout sera prêt en 2018. Elle a néanmoins concédé que pour les acteurs qui feront défaut en 2018, "nous adopterons une courbe de montée en charge en fonction de la taille de l'entreprise."

Sources : Article et données recueillies par  mind Fintech.

Fermer