La zone ultra-sensible des commentaires
Le 23 juillet dernier la société Boulanger est mise en demeure par la Commission nationale informatique et libertés (CNIL) au sujet de propos figurant dans la zone libre de commentaires de ses fichiers. Après extraction de la base de données du distributeur, 5.828 commentaires litigieux sont recensés. Parmi eux, le qualificatif de "grosse connasse qui se croit tout permis" à propos d'une cliente qui a découvert le contenu de sa fiche après en avoir fait la demande, comme la Loi l'y autorise, en février dernier. C'est elle qui va mettre le feu aux poudres et donner lieu à de nombreux articles dans la presse.
"N’a pas de cerveau", "folle", "Cliente de confession juive", "client à fort accent africain", "alcoolique", "casse couilles", "très chiant", autant de noms fleuris ou inadéquats pour qualifier des clients figurant dans les fichiers du distributeur et rendus publics...
Les conséquences immédiates pour Boulanger sont de l'ordre de l'image, étant donné que la CNIL ne sanctionne pas mais rend publique la mise en demeure et lui laisse trois mois pour se mettre en conformité avec la Loi. Le représentant de la CNIL, cité par le journal Le Monde, rappelle : "Si le recours à l’utilisation d’une zone de commentaires libres n’est pas interdit, « il convient qu’elle soit utilisée de façon objective, dans le seul but d’avoir un suivi de dossiers des clients »".
Boulanger a réagit immédiatement et de façon exemplaire : le Directeur Général a présenté ses excuses (qui figurent sur la page presse du site) et publié son plan d'action : 100% des commentaires supprimés dès le 28 juillet, transparence des informations saisies qui seront rendues visibles, formation des 800 collaborateurs des équipes SAV aux bonnes pratiques et engagement à l'exemplarité dans le domaine. D'autres distributeurs feraient bien de s'en inspirer.
Le soin essentiel à apporter à la gestion des fichiers
Dès lors qu'on laisse la main à des personnes non qualifiées pour enrichir des données client, il faut s'attendre à ce que celles-ci ne soient pas conformes. D'expérience, s'agissant de la conformité simple de l'adresse par exemple, il faut s'attendre à au moins 50% d'erreurs de saisie si celle-ci est faite par une personne ne connaissant pas les règles élémentaires, ou ne disposant pas d'outils d'aide à la saisie.
Concernant les commentaires, c'est plus subtil et je dois avouer que pour avoir travaillé dans 3 entreprises de distribution ayant un SAV ou un service livraison autorisé à laisser des commentaires, la tâche est ardue. Je me souviens avoir découvert dans mes fichiers et supprimé des qualificatifs que la bienséance m'interdit de citer, Boulanger n'est donc pas un cas unique. Tout au moins, je peux vous dire que mon équipe à l'époque s'est posée beaucoup de questions en lisant des commentaires du type "frappez fort je suis sourd" ou encore "client qui ne laisse pas de pourboire".
Sensibiliser les collaborateurs est une action essentielle, mais elle doit se doubler de la mise en place d'outils de vérification des mots saisis ou encore mieux d'un menu proposant des appréciations objectives pour qualifier le client. Ces actions mises en place, il faut s'assurer que dans l'entreprise on compte des personnes en charge de la mise à jour de ces outils qui soient qualifiées et aptes à faire des arbitrages. Ce n'est pas toujours le cas malheureusement, et les entreprises ne doivent pas sous-estimer le coût, la charge de travail et la subtilité de la mission. Car si les personnes en charge de la base de données au niveau central sont malins, les opérateurs peuvent l'être aussi. J'ai le souvenir que les livreurs d'une société dont j'étais le directeur marketing avaient contourné les règles et s'étaient entendus pour transformer "ne laisse pas de pourboire" en un acronyme PDP pour "pas de pourboire"...
L'indispensable sécurité des données
Quinze jours après l'incident de Boulanger, c'est le site de rencontres Ashley Madison qui se faisait pirater ses données (quelques mois après un autre site Adult FriendFinder). Des pirates informatiques ont publié l'identité, les préférences sexuelles, fantasmes et autres détails des 32 millions d'utilisateurs (dont 260.000 français) sensibles à la promesse de "rencontres discrètes" du site internet.
Ce piratage n'est pas le plus important de l'histoire. Play station avait été piraté en 2011 et 77 millions de données bancaires de joueurs avait été révélées, Target, l'enseigne de distribution américaine, avait elle aussi été victime d'une attaque, et plus de 100 millions de clients ont vu le compte de la carte de l'enseigne pillé, ouvrant une période de baisse du chiffre d'affaires significative dans les mois qui ont suivi, doublé d'un scandale très médiatisé.
Alors qu'un des dirigeants d'Ashley Madison annonçait crânement il y a quelque temps que "La protection des données personnelles est notre plus important et plus critique facteur de succès", les pirates n'ont pas hésité à reprendre la formule sur la page d'accueil du site transformé par leurs soins.
Les "hacktivistes" comme on les nomme (mélange de hacker/pirate et activiste) ont des motifs originaux. Ils n'ont en effet pas piraté les données pour rançonner les utilisateurs mais bien pour nuire au site et montrer leur opposition morale au principe d'un site de rencontres extra-conjugales.
La leçon de cette aventure est que la sécurité des données est essentielle pour une entreprise. Que les pirates soient des brigands, des moralisateurs ou des concurrents ne change rien, les conséquences sur l'activité de l'entreprise sont considérables.
Dans une étude de 2014 publiée par CSA pour Orange, on apprenait que 81% des Français se disent préoccupés par la protection des données personnelles en général (et 25% "très préoccupés", une proportion qui monte à 37% dès lors qu'il s'agit des données sur internet). Seuls 17% d’entre les personnes interrogées considèrent que leurs données sont mieux protégées qu’auparavant. Enfin, 8 Français sur 10 ont peur de se faire voler leurs données bancaires.
Du côté des entreprises, une étude EMC révèle que les Directions des systèmes d'information françaises ne se distinguent pas par leur politique de protection des données. La France se classe à la 21ème place dans le classement des pays les plus matures dans leur politique de protection des données, la Chine étant en tête du classement... Selon EMC, le coût des interruptions de services et des pertes de données représenterait en France environ 41 milliards d’euros.
Il est fort à parier que ces incidents et ces piratages vont se développer dans le futur. Les entreprises doivent préserver le savoir-faire de la gestion des bases de données client en interne (cf l'exemple de Boulanger), se faire aider par des prestataires avisés, et s'assurer que la sécurité est la priorité des DSI, faute de quoi, elles risquent de voir leur image écornée et la confiance des clients s'éroder. Les clients veulent des engagements, de la transparence et être certains que dans les domaines dans lesquels ils ne sont pas experts, l'entreprise met tout en oeuvre pour les protéger. Les nouvelles technologies et le Big Data nous ont apporté de nouveaux défis relatifs à la confiance du client, il faut savoir les relever.
Pour poursuivre la lecture à ce sujet, découvrez :
1 commentaire:
Bonjour Thierry,
Le problème que tu soulèves n’est pas que le fruit d’employés peu formés ou mal intentionné mais aussi des saisies spontanées sur des sites web.
Ceux réalisant des livraisons ou intervenant chez le client :
Un classique est de retrouver dans les lignes 2 et 3 des adresses des choses délicates (Codes de porte, périodes de présence, emplacement d'une clé,…).
Comme ceux, dont l’objectif est de se constituer des bases de données et qui contraignent les personnes à s’identifier et à donner leur adresse avant même d’avoir délivré le moindre service :
Echaudés par les innombrables propositions commerciales qui suivent immanquablement le dépôt de coordonnées sur un site, nombre de nos concitoyens mettent en place des parades et deviennent très « créatifs ».
On retrouve sur la ligne 1 des patronymes inventés et peu enviables. Cela va du jeu de madame et monsieur ont un fils à des propos injurieux destinés à l’habitant de l’adresse, en passant par le traditionnel « celaneteregardepas » ou l’usurpation d’identité d’un personnage célèbre.
Comme nombre de ces sites sont désormais équipés de solutions de validation de l’adresse. Les éléments des lignes 4 et suivantes sont bien souvent crédibles. Et si cette adresse correspond à un habitat individuel, la plupart du temps, le courrier sera distribué. L’image de votre marque sera impactée potentiellement nationalement.
La lutte contre les mots injurieux, discriminants ou relevant de la simple confidentialité doit donc s’étendre le plus largement possible en rappelant :
Aux consommateurs qu’on ne saisit pas d’informations confidentielles sur un site ;
Aux collaborateurs que tous les propos saisis doivent être mesurés, courtois et sans ambiguïté,..
Aux responsables des bases de données, qu’il est de leur devoir de protéger leur marque et les clients en mettant en oeuvre des routines de recherche de mots interdits,..
Au CIL, si votre société en dispose, qu’il faut coordonner ces actions…
Au plaisir,
Serge LB
Publier un commentaire