Ce billet m’est inspiré par deux mésaventures arrivées cet été à des entreprises à propos de la gestion de leurs données. Les deux malheureuses sociétés sont un distributeur spécialisé français et un site de rencontres américain incitant aux relations hors mariage. C’est l’occasion pour moi de me pencher à nouveau sur les enjeux de la bonne gestion des données.
La zone ultra-sensible des commentaires
Le 23 juillet dernier la société Boulanger est mise en demeure par la Commission nationale informatique et libertés (CNIL) au sujet de propos figurant dans la zone libre de commentaires de ses fichiers. Après extraction de la base de données du distributeur, 5.828 commentaires litigieux sont recensés. Parmi eux, le qualificatif de « grosse connasse qui se croit tout permis » à propos d’une cliente qui a découvert le contenu de sa fiche après en avoir fait la demande, comme la Loi l’y autorise, en février dernier. C’est elle qui va mettre le feu aux poudres et donner lieu à de nombreux articles dans la presse.
« N’a pas de cerveau », « folle », « Cliente de confession juive », « client à fort accent africain », « alcoolique », « casse couilles », « très chiant », autant de noms fleuris ou inadéquats pour qualifier des clients figurant dans les fichiers du distributeur et rendus publics…
Les conséquences immédiates pour Boulanger sont de l’ordre de l’image, étant donné que la CNIL ne sanctionne pas mais rend publique la mise en demeure et lui laisse trois mois pour se mettre en conformité avec la Loi. Le représentant de la CNIL, cité par le journal Le Monde, rappelle : « Si le recours à l’utilisation d’une zone de commentaires libres n’est pas interdit, « il convient qu’elle soit utilisée de façon objective, dans le seul but d’avoir un suivi de dossiers des clients » ».
Boulanger a réagit immédiatement et de façon exemplaire : le Directeur Général a présenté ses excuses (qui figurent sur la page presse du site) et publié son plan d’action : 100% des commentaires supprimés dès le 28 juillet, transparence des informations saisies qui seront rendues visibles, formation des 800 collaborateurs des équipes SAV aux bonnes pratiques et engagement à l’exemplarité dans le domaine. D’autres distributeurs feraient bien de s’en inspirer.
Le soin essentiel à apporter à la gestion des fichiers
Dès lors qu’on laisse la main à des personnes non qualifiées pour enrichir des données client, il faut s’attendre à ce que celles-ci ne soient pas conformes. D’expérience, s’agissant de la conformité simple de l’adresse par exemple, il faut s’attendre à au moins 50% d’erreurs de saisie si celle-ci est faite par une personne ne connaissant pas les règles élémentaires, ou ne disposant pas d’outils d’aide à la saisie.
Concernant les commentaires, c’est plus subtil et je dois avouer que pour avoir travaillé dans 3 entreprises de distribution ayant un SAV ou un service livraison autorisé à laisser des commentaires, la tâche est ardue. Je me souviens avoir découvert dans mes fichiers et supprimé des qualificatifs que la bienséance m’interdit de citer, Boulanger n’est donc pas un cas unique. Tout au moins, je peux vous dire que mon équipe à l’époque s’est posée beaucoup de questions en lisant des commentaires du type « frappez fort je suis sourd » ou encore « client qui ne laisse pas de pourboire ».
Sensibiliser les collaborateurs est une action essentielle, mais elle doit se doubler de la mise en place d’outils de vérification des mots saisis ou encore mieux d’un menu proposant des appréciations objectives pour qualifier le client. Ces actions mises en place, il faut s’assurer que dans l’entreprise on compte des personnes en charge de la mise à jour de ces outils qui soient qualifiées et aptes à faire des arbitrages. Ce n’est pas toujours le cas malheureusement, et les entreprises ne doivent pas sous-estimer le coût, la charge de travail et la subtilité de la mission. Car si les personnes en charge de la base de données au niveau central sont malins, les opérateurs peuvent l’être aussi. J’ai le souvenir que les livreurs d’une société dont j’étais le directeur marketing avaient contourné les règles et s’étaient entendus pour transformer « ne laisse pas de pourboire » en un acronyme PDP pour « pas de pourboire »…
L’indispensable sécurité des données
Quinze jours après l’incident de Boulanger, c’est le site de rencontres Ashley Madison qui se faisait pirater ses données (quelques mois après un autre site Adult FriendFinder). Des pirates informatiques ont publié l’identité, les préférences sexuelles, fantasmes et autres détails des 32 millions d’utilisateurs (dont 260.000 français) sensibles à la promesse de « rencontres discrètes » du site internet.
Ce piratage n’est pas le plus important de l’histoire. Play station avait été piraté en 2011 et 77 millions de données bancaires de joueurs avait été révélées, Target, l’enseigne de distribution américaine, avait elle aussi été victime d’une attaque, et plus de 100 millions de clients ont vu le compte de la carte de l’enseigne pillé, ouvrant une période de baisse du chiffre d’affaires significative dans les mois qui ont suivi, doublé d’un scandale très médiatisé.
Alors qu’un des dirigeants d’Ashley Madison annonçait crânement il y a quelque temps que « La protection des données personnelles est notre plus important et plus critique facteur de succès », les pirates n’ont pas hésité à reprendre la formule sur la page d’accueil du site transformé par leurs soins.
Les « hacktivistes » comme on les nomme (mélange de hacker/pirate et activiste) ont des motifs originaux. Ils n’ont en effet pas piraté les données pour rançonner les utilisateurs mais bien pour nuire au site et montrer leur opposition morale au principe d’un site de rencontres extra-conjugales.
La leçon de cette aventure est que la sécurité des données est essentielle pour une entreprise. Que les pirates soient des brigands, des moralisateurs ou des concurrents ne change rien, les conséquences sur l’activité de l’entreprise sont considérables.
Dans une étude de 2014 publiée par CSA pour Orange, on apprenait que 81% des Français se disent préoccupés par la protection des données personnelles en général (et 25% « très préoccupés », une proportion qui monte à 37% dès lors qu’il s’agit des données sur internet). Seuls 17% d’entre les personnes interrogées considèrent que leurs données sont mieux protégées qu’auparavant. Enfin, 8 Français sur 10 ont peur de se faire voler leurs données bancaires.
Du côté des entreprises, une étude EMC révèle que les Directions des systèmes d’information françaises ne se distinguent pas par leur politique de protection des données. La France se classe à la 21ème place dans le classement des pays les plus matures dans leur politique de protection des données, la Chine étant en tête du classement… Selon EMC, le coût des interruptions de services et des pertes de données représenterait en France environ 41 milliards d’euros.
Il est fort à parier que ces incidents et ces piratages vont se développer dans le futur. Les entreprises doivent préserver le savoir-faire de la gestion des bases de données client en interne (cf l’exemple de Boulanger), se faire aider par des prestataires avisés, et s’assurer que la sécurité est la priorité des DSI, faute de quoi, elles risquent de voir leur image écornée et la confiance des clients s’éroder. Les clients veulent des engagements, de la transparence et être certains que dans les domaines dans lesquels ils ne sont pas experts, l’entreprise met tout en oeuvre pour les protéger. Les nouvelles technologies et le Big Data nous ont apporté de nouveaux défis relatifs à la confiance du client, il faut savoir les relever.
Pour poursuivre la lecture à ce sujet, découvrez :
Billet écrit par Thierry Spencer, auteur du blog Sens du client et Directeur Associé de l’Académie du service.
