RGPD (ou GDPR en anglais) est un acronyme casse-tête depuis des mois pour de nombreux grands groupes de tous secteurs qui doivent se mettre en conformité avec le nouveau Règlement général sur la protection des données, qui entrera en vigueur le 25 mai 2018 au sein de l'espace européen. Ce texte rend, entre autres, obligatoire la désignation d'un Data Protection Officer (DPO) chez les entreprises et administrations ayant recours à des données personnelles. La Société Générale vient d'annoncer la nomination de son DPO, délégué à la protection des données en français, Antoine Pichot.
Ce pur produit maison, entré à la Soc Gen en 1996, était depuis 2015 co-directeur de la stratégie, du digital et de la relation client dans la banque de détail en France. Il est désormais rattaché à la direction de la conformité du groupe.
« Le banquier du village discute de choses très intimes et personnelles avec son client. Cela fait partie historiquement de la culture d'une banque de traiter de données personnelles et de ne pas les divulguer. Nous manipulons des masses de données depuis des années et nous avons développé un savoir-faire en matière de sécurité. Nous devons faire évoluer notre protection des données pas seulement pour nous mettre en conformité avec RGPD mais avant tout pour répondre aux interrogations de clients, dont le régulateur se fait le porte-voix. C'est un enjeu stratégique majeur pour la Société Générale », a-t-il fait valoir lors d'une rencontre avec la presse ce mardi.
Un actif stratégique encore peu exploité
Le nouveau gardien des données, qui sera l'interlocuteur privilégié de la Commission informatique et libertés (Cnil), aura pour mission d'aider les différentes entités métiers à décliner la politique de la donnée et à se l'approprier très en amont, dans la conception même des produits ou services, qui devront être conformes au RGPD par défaut.
« Le RGPD crée des droits nouveaux ou renforcés pour le client, le droit d'accès aux données, de les corriger, la portabilité, le droit à l'oubli, et des responsabilités nouvelles pour la banque. Il faut un consentement éclairé, explicite, sans équivoque : ce n'est pas "qui ne dit mot consent", la case pré-cochée, ce n'est pas conforme ! », a-t-il expliqué.
Le nouveau règlement européen impose également un devoir d'alerte en cas de fuite de données, auprès du régulateur, dans un maximum de 72 heures (ce délai n'existait pas jusqu'ici) et auprès des clients en fonction de la gravité des données compromises.
La mise en conformité avec RGPD « coûte des dizaines de millions d'euros » a indiqué Bernardo Sanchez Incera, le directeur général délégué du groupe Société Générale. La banque n'a pas vraiment le choix et ne veut pas laisser le champ libre aux GAFA (Google, Amazon, Facebook, Apple) sur ce trésor de données qu'elle possède et exploite encore peu.
« La gestion de la donnée est dans l'ADN de Société Générale depuis toujours. Nous nous transformons en profondeur pour mieux valoriser et protéger cet actif stratégique pour le groupe » a déclaré le dirigeant, qui supervise la banque de détail.
La banque de La Défense affirme employer « 500 data experts », dont près d'un tiers de data scientists, et dispose d'un « data lake de plusieurs pétaoctets de données » (une plateforme de données de plusieurs millions de milliards d'octets), a indiqué Xavier Lofficial, le directeur de la transformation, des processus et des systèmes d'information. La Société Générale teste différents cas d'usage de la data : par exemple en analysant l'historique de navigation de ses clients sur ses sites Web pour identifier les plus susceptibles de changer de banque. Un test anti-attrition que se serait révélé très probant. Autres cas d'usage : l'analyse plus fine du risque pour l'octroi de crédit à la consommation ou l'envoi de propositions ciblées plus pertinentes directement dans l'application mobile. Le responsable de la stratégie, du digital et de la relation client dans la banque de détail Bertrand Cozzarolo a résumé l'approche : « nous voulons devenir un e-commerçant. »