Retour du VAD CONEXT : E-marketing, e-business... et la sécurité dans tout ça ?

Sécurité de l'information
Retour du VAD CONEXT : E-marketing, e-business... et la sécurité dans tout ça ?

Un nouvel écosystème est en train de se créer autour de la donnée, comme le confirme ma visite au dernier salon VAD CONEXT à Lille, courant octobre.

J'ai donc profité de ma présence à ce salon pour découvrir les nouveaux acteurs : Des web agency, des spécialistes de la relation client, du CRM, de la fidélisation, du marketing direct, de l'affiliation, du digital, de la Data, des régies publicitaires, des "retargetteurs", des animateurs de réseaux sociaux... Tous ont des solutions innovantes à proposer que ce soit pour collecter, pour traiter, pour analyser, pour partager les données.

Après l'euphorie du Web, l'eldorado de la donnée ?

D'après les dernières statistiques de la FEVAD, les marchés de la VAD (Vente à distance) et du e-commerce  en France ont progressé de plus de 12% sur 2013. Preuve que les projets autour du e-business sont plus que jamais d'actualité. Et ils ne concernent pas que les experts du Web et du e-commerce, mais également les commerçants les plus traditionnels.

Ce dynamisme vient bien sûr des géants du web que sont les GAFA : Google, Amazon, Facebook et Apple. Ces acteurs ont désormais compris l'intérêt d'exploiter tout un potentiel disponible à portée de main ou plus précisément à portée de clavier, à portée de smartphone, sans compter aussi les objets connectés que vous aurez tout prochainement au pied de votre sapin.

Ces services qui nous sont offerts gratuitement, ou pour des sommes modiques, ont pour objectif de collecter de la donnée, soit via la barre de recherche de nos navigateurs préférés, soit via des cookies, soit via des tags, soit via les fonctions de localisation numérique... je pourrais encore citer plusieurs techniques de collecte de données plus ou moins légales. Nos amis US classent les donées collectées en "First-party data" et "Third-party data". Les premières sont collectées par la société qui a mis en oeuvre l'application et les secondes sont collectées et exploitées directement par des sociétés partenaires qui procéderont à l'analyse, à l'exploitation ou à de la revente tout simplement. Sur certains sites Web, vous pourrez avoir plus d'une vingtaine de sociétés différentes captant des informations sur votre navigation, vos achats, vos comportements.

Comme le confirment les principaux cabinets d'étude que sont le Gartner, Ernst and Young, le World Economics Forum... la donnée sera le prochain eldorado.

Après l'ère des réseaux avec Internet, après l'ère de l'information avec les moteurs de recherche, après l'ère des réseaux sociaux avec les Facebook et compagnie, l'ère actuelle serait bien celle de la donnée.

Ces gros acteurs attirés par les énormes revenus qu'ils peuvent générer grâce à l'exploitation des données ont permis de faire avancer la technologie comme notamment le Big data, le NoSQL, le RTB... Ces nouveaux moyens technologiques vous permettent de recevoir une offre ciblée sur votre navigateur après analyse de votre profil en moins de 100ms !

Le métier du marketing s'est enrichi de tout un nouveau vocabulaire : tag management, DSP, trading desk, DMP, VRM, rich, display... avec les nouveaux logiciels et services qui vont avec.

Les données à caractère personnel : personnel, vraiment ?

En posant quelques questions autour de la sécurité de l'information et de la conformité règlementaire lors du salon, j'ai eu l'impression que certains éléments étaient omis.

La donnée dont je vous parle depuis le début, c'est la donnée à caractère personnel telle que définie par la loi Informatique et Libertés. Ce sont des données sur vous, votre famille, vos biens, vos activités, vos moeurs, vos soucis, vos achats,... votre vie !

Celles-ci circulent entre toute une chaine d'acteurs, très librement voir trop librement, parfois sans aucune règle. Elles sont stockées on ne sait où, ni chez qui, ni comment, ni pendant combien de temps, avec des risques de vol, d'usage abusif, de non respect des principes de la loi Informatique et Libertés et prochainement du futur Règlement Européen sur les données à caractère personnel.

Le Règlement Européen sera le même pour l'ensemble des pays européens, et ce sans transposition comme l'a été la loi Informatique et Libertés. Le pouvoir de la CNIL sera renforcé, les citoyens verront leur droit à l'oubli renforcé, les responsables de traitement devront mettre en oeuvre le "Privacy by design" et procéder à des études d'impact pour tous les projets traitant des données à caractère personnel. Ce sont quelques unes des nouvelles obligations induites par ce règlement.

Le montant des sanctions du futur règlement (jusqu'à plusieurs millions d'euros puisque l'amende sera désormais indexé sur le chiffre d'affaires et non plafonné à un montant que certains géants pourraient considérer comme négligeable...), l'obligation de notifier les failles de sécurité, ainsi que la possibilité de déclencher des actions de groupe pourraient avoir des impacts majeurs sur certaines de ces nouvelles pépites mais aussi sur les donneurs d'ordre.

Très attirée par les nombreuses opportunités de ces nouvelles solutions, la majorité des acteurs de cet écosystème ont peut-être "zappé" certaines choses. Elles peuvent se retrouver à devoir gérer des problèmes juridiques ou, plus tard, des problèmes de sécurité.

Alors quelles leçons en tirer ?

Commerçants, vendeurs en ligne ou fournisseurs de service autour de la donnée : chacun va devoir faire face à de nouveaux enjeux. Le premier sera de veiller à la conformité règlementaire mais il faudra surtout assurer la protection des données à caractère personnel.

Intégrer la problématique dès le début des projets ("privacy by design"), formaliser clairement les responsabilités de la chaine de traitement et d'analyse des données, informer les clients et les internautes de leurs droits... autant de chantiers à prendre en compte au quotidien !

Au même titre que le secteur du marketing a fait évoluer son vocabulaire et surtout ses pratiques, le microcosme de la sécurité de l'information va aussi devoir s'adapter et proposer des réponses adaptées à ces problématiques.

Attention à ne pas reproduire le rêve de Perrette et de son pot au lait... car tout le monde n'a pas les moyens des GAFA.

Bruno Ober, Consultant Sécurité, Advens