Privacy by Design : gagner avant de commencer

[Paru le 17/10/2018 dans Les Echos] Respecter les données personnelles avant même d’écrire la première ligne de code est une nouvelle manière de travailler en équipe. Un exercice qui peut se révéler rentable.

Respecter le RGPD dès la conception d’un logiciel à développer, tel est l’enjeu du Privacy by Design. « La chose à ne surtout pas faire, c’est de développer d’abord le code pour le mettre ensuite en conformité », explique Jeremy Harroch, PDG de Quantmetry qui, depuis 2011, élabore des applications à base d’intelligence artificielle (prévision des ventes, agents conversationnels vocaux sur smartphone…). « Il y a deux grandes questions à se poser : a-t-on le droit d’utiliser telle donnée et comment sera-t-elle protégée ? », indique Morgan Marat, consultant chez Akerva, un cabinet de conseil en cybersécurité. Bien sûr, les acteurs du marketing digital ainsi que les commerciaux sont particulièrement dans la ligne de mire.

Eddie Abecassis est le directeur marketing stratégique, data science et innovation chez Swiss Life
© Agence TCA

Chez l’assureur Swiss Life, certains conseillers commerciaux avaient participé à un atelier de Design Thinking afin de concevoir de nouveaux outils numériques sur smartphone correspondant au mieux à leurs attentes. Parmi les membres de ce groupe de travail, figuraient un chef de projet, cinq développeurs ainsi qu’un directeur (CPO) et un délégué à la protection des données (DPO). « Nos conseillers voulaient optimiser leur temps d’itinérance. Notamment saisir vocalement leurs comptes-rendus sur smartphone, les convertir automatiquement en texte et les envoyer dans notre application centrale de gestion de la relation client (CRM), décrit Eddie Abecassis, directeur marketing stratégique, data science et innovation chez Swiss Life qui recourt au Voice Bot de Quantmetry. Ils voulaient aussi pouvoir interroger la fiche client du prochain rendez-vous. De même, en cas d’annulation de dernière minute, voir comment en profiter pour organiser une autre visite à proximité. »

Dans le cadre de ce projet, qui démarré en septembre 2017, l’assureur et la start-up se sont demandé comment minimiser les flux de données sensibles pour ne prendre que celles qui sont utiles. Et comment, dès la conception de l’application, protéger les données du client. « Après une analyse complète, nous nous sommes rendus compte qu’il n’était pas nécessaire de véhiculer certaines données comme les contrats des clients ou l’analyse des portefeuilles mais juste celles qui sont les plus utiles en mobilité. Entre autres, celles de leur localisation, reprend Eddie Abecassis. En revanche, il fallait appliquer à la mobilité un haut niveau d’exigence en matière de sécurité, à savoir un cryptage des données. » Au passage, qui dit moins de données à transporter, dit temps de chargement plus rapides. Développée en méthode agile, l’application est testée en grandeur réelle auprès d’une vingtaine de conseilleurs sur 400 depuis juin dernier. « Désormais, nous appliquerons cette méthode à tous nos prochains projets », confie Eddie Abecassis.

Développeurs et spécialistes de la protection des données sont appelés à travailler main dans la main. « Nous achetons l’accès à des données personnelles auprès d’une vingtaine d’éditeurs d’applications mobiles (actualités, météo…) qui, chacune, demandent à l’internaute mobile son consentement pour collecter ses données personnelles, décortique Mathilde Ferriol, une DPO qui travaille avec les développeurs et les experts en sécurité de Vectaury, une start-up créée en 2014, spécialisée dans les campagnes de marketing digital. Ensuite, notre technologie trie, agrège, nettoie, analyse ces données avant de se lancer les campagnes ou de vendre des études aux marques. » Point fort, les données sont « pseudonymisées » : chaque profil est réduit à un identifiant publicitaire et une géolocalisation. Outre les 180 mesures de sécurisation de son système d’information, Vectaury chiffre les données pseudonymisées avec un cadenas qu’elle est seule à détenir. « Dès le départ, notre modèle économique repose intégralement sur les données personnelles. Nous avons choisi d’avoir une approche éthique à ce sujet », souligne la DPO. Une stratégie de Privacy by Design qui gagne la confiance des annonceurs : la start-up vient de lever 20 millions d’euros.

Erick Haehnsen