Mardi 19 septembre. Hall Freyssinet, autrement appelée Station F : plusieurs centaines de développeurs se mêlent à une foule dense dans le hall principal de l’incubateur de startups fondé par Xavier Niel. Ils viennent de quitter la « Master Stage » où ont été annoncés les résultats des trois épreuves algorithmiques sur lesquelles ils ont planché tout l’après-midi. À l’issue d’un final consistant à trouver le nombre maximal de portes susceptibles d’être franchies par un kayakiste au fil de son parcours (à savoir, un algorithme d’une complexité aux alentours de 0(N^2)), le jury a sacré Stéphane Leroy, de l’écurie Criteo, Meilleur Dev de France 2017, un chèque de 10.000 euros et un sacré accélérateur de carrière à la clé. C’est la deuxième fois en trois ans que Criteo décroche la timbale.

Nouvelle édition du séminaire Explor’Action consacré au Datanomics

L’Institut de Développement des Dirigeants du Groupe Crédit Agricole a souhaité rendre visite à cette perle de l’industrie française. Bien installés au 7ème étage du siège parisien du spécialiste du ciblage publicitaire Criteo, les dix Présidents et Directeurs généraux ont savouré cette seconde édition du séminaire Explora’action consacré au Datanomics.

Le modèle Criteo

Le modèle de Criteo fonctionne ainsi : il faut tout d’abord rappeler que l’affichage de bannières publicitaires sur nos ordinateurs et applications mobiles est entièrement personnalisé : chacun d’entre nous voit des publicités différentes, adaptées en fonction de ses centres d’intérêts supposés au moment considéré. Criteo, en exploitant nos traces numériques, se fait fort d’identifier au mieux nos centres d’intérêt et ainsi de permettre à des e-commerçants de cibler au mieux les achats d’espaces publicitaires.

La réussite de Criteo tient, bien sûr, à la pertinence de ses algorithmes, qui sont constamment améliorés par l’usage, mais aussi à deux autres facteurs :

– La robustesse de ses installations techniques (notamment de ses propres serveurs puisque, dans le délai de 100 millisecondes imparti pour enchérir, il serait trop long de recourir à un hébergement « cloud », vu le temps de connexion aller et retour vers le cloud) ;

Les mesures prises pour respecter la vie privée des utilisateurs : seules sont utilisées, pour un client e-commerçant donné, les traces de navigation laissées par l’internaute précisément sur le site marchand de ce e-commerçant ; faculté donnée aux internautes de connaître les raisons pour lesquelles ils sont ciblés et de se désinscrire du ciblage (en cliquant sur l’icône « i » affichée sur la bannière publicitaire) ; conservation des données limitées à 13 mois. Criteo a pris les devants pour être d’ores et déjà en conformité avec le règlement européen sur la protection des données personnelles (RGPD, voir plus bas).

Explor'Action : données personnelles

Explor'Action : données personnelles

Le phénomène de la donnée

Pour Henri Isaac, professeur à l’université Paris Dauphine, nous vivons actuellement un double phénomène de mise en données (« data-ification ») et de mise en réseau du monde. La mise en données n’est pas nouvelle : c’est elle qui a inspiré l’essor de la statistique publique au XIXème siècle ; mais ce qui est nouveau c’est qu’elle n’est plus seulement à l’initiative de la puissance publique, mais tous azimuts. La mise en réseau rend les données accessibles et actionnables en tout lieu et en tout temps.

Il en résulte des déplacements considérables de la valeur. Ainsi Babolat, entreprise née au XIXème siècle dans la triperie, est devenue au XXème siècle un fabricant de raquettes de tennis. Désormais les raquettes sont connectées et équipées de multiples capteurs, et demain elles deviendront professeurs de tennis de leurs utilisateurs. La valeur créée par la raquette aura alors augmenté, mais surtout elle se sera déplacée de l’objet au service associé.

Les données n’ont pas toutes la même valeur :

Les données dynamiques (représentatives d’une situation en temps réel) ont généralement beaucoup plus de valeur que les données statiques (représentatives d’une situation acquise une fois pour toutes).

– Les données ne valent pas grand-chose sans leurs méta-données, c’est-à-dire les descripteurs qui permettent de les indexer selon différents critères.

– De la même manière, les données ont peu d’utilité sans des API (application programming interfaces) qui automatisent l’accès à ces données pour permettre leur traitement.

– Enfin les données ont souvent peu de sens si elles ne sont pas combinées avec d’autres jeux de données décrivant d’autres éléments du contexte ou de la situation d’usage. D’où l’importance du décloisonnement des sources de données et de leur mise en relation.

Ceci étant posé, les données peuvent servir à diverses utilisations, avec une promesse de valeur croissante au fil de cette liste :

Collecter des paramètres d’information

Surveiller (le bon fonctionnement d’une installation, par exemple)

Contrôler (régler à distance l’installation en question)

– Poser un diagnostic (identifier la cause d’un dérèglement de l’installation)

– Poser un pronostic (anticiper un dérèglement futur)

Autonomiser (permettre à l’installation d’ajuster toute seule son fonctionnement)

Quand on réfléchit à des business models fondés sur la donnée, il faut toujours se poser deux questions : comment collecter la donnée ? Et comment monétiser la donnée ?

La réponse à ces deux questions réside souvent dans des modèles bi-face : une face du modèle destinée à collecter la donnée (par exemple, Google en tant que moteur de recherche, qui attire beaucoup d’utilisateurs et recueille des données sur leurs centres d’intérêt), et une autre face destinée à monétiser la donnée (Google en tant que vendeur d’espace publicitaire pour les annonceurs). Une erreur fréquente consiste à confondre les deux faces.

Explor'Action : données personnelles

La future RGPD (Règlement général sur la protection des données)

L’exploitation des données par les entreprises s’inscrit dans un cadre juridique destiné à protéger la vie privée des citoyens. Ce cadre, historiquement fondé en France sur la loi Informatique et Liberté de 1978, va être profondément rénové par le règlement général sur la protection des données (RGPD), adopté par l’Union européenne en 2016 et qui sera d’application obligatoire à partir du 25 mai 2018.

Ce règlement introduit plusieurs changements majeurs par rapport au régime antérieur :

Une augmentation considérable des sanctions, qui pourront désormais représenter jusqu’à 4% du chiffre d’affaires mondial de l’entreprise au cours de l’exercice précédent, là où les sanctions de la CNIL ne dépassaient pas 150.000 euros ;

– Un changement de mentalité : précédemment les entreprises s’estimaient en conformité dès lors qu’elles avaient accompli les formalités de déclaration préalable auprès de la CNIL. Désormais, il n’y a plus d’obligation déclarative ; en revanche, les entreprises sont responsables au titre de trois principes : privacy by design, security by default et accountability. Autrement dit, elles doivent être en mesure de démontrer à tout moment qu’elles ont veillé à ne collecter que le minimum de données personnelles strictement indispensables à l’accomplissement du service, qu’elles ont pris toutes les mesures destinées à conserver en sécurité les données collectées et enfin qu’elles peuvent rendre compte précisément de tous les traitements effectués.

– De nouveaux droits pour les personnes dont les données sont collectées : portabilité des données, droit à l’oubli, possibilité de déclencher une action de groupe pour faire valoir ses droits

– De nouvelles obligations pour les entreprises responsables de traitements : nomination d’un délégué à la protection des données (avec des obligations comparables à un chief compliance officer), obligation de notifier aux intéressés toute faille de sécurité ainsi que toute violation des données qui pourraient survenir.

Responsabilité étendue à l’action des sous-traitants. Une entreprise pourrait être tenue pour responsable d’une défaillance de son hébergeur, de son prestataire de e-mailing, de son éditeur de logiciel as a service, …

Toutefois, à un an de l’échéance, seulement 9 % des entreprises françaises se déclaraient conformes au règlement européen sur la protection des données personnelles. Plus grave, plus de quatre sociétés sur dix prenaient seulement conscience de l’existence du RGPD. Quant aux entreprises qui ont déjà engagé un projet de conformité, elles sont 19 % à prévoir de l’achever d’ici la fin de l’année et 30 % en 2018. Ce retard constitue le principal enseignement d’une étude menée par IDC, en mai et juin dernier, auprès de 150 entreprises de plus de 500 salariés évoluant dans tous les secteurs d’activité.

Guillaume PENICAUT, Chargé de mission pédagogique