Logo - Les Affaires
Logo - Les Affaires

La «révolution» en quatre temps des données clients

Philippe Jean Poirier|Publié le 28 Décembre 2021

La «révolution» en quatre temps des données clients

Jean-Philippe Racine, président du Groupe CyberSwat, une firme de cybersécurité qui accompagne des PME dans leur démarche de conformité à la Loi 64. (Photo: courtoisie)

Au cours des prochaines années, les entreprises devront entièrement revoir leur manière de manipuler les données client. D’une part, le cadre législatif québécois est appelé à changer et d’autre part, les géants du Web ont commencé à faire preuve d’une plus grande sensibilité envers la vie privée des citoyens. Dans ce contexte, voici quatre grands changements à venir en matière de données client.
 
1. La fin des « témoins tiers »
En juillet dernier, Google Chrome a réaffirmé son intention de mettre fin à l’utilisation des « témoins tiers » (third-party cookies) traquant l’historique individuel de navigation des utilisateurs, au cours de l’année 2023. Le but annoncé est un plus grand respect de la vie privée, une tendance mondiale. « Ce n’est qu’une question de temps avant que tous les GAFA de ce monde abolissent les témoins tiers », a annoncé Roger Kamena, vice-président en analytique et science des données de l’agence de marketing numérique Adviso, lors de Connexion, le sommet de la transformation numérique organisé par les Évènements Les Affaires en septembre.
Dramatiquement baptisée « l’apocalypse des cookies tiers » par l’industrie du marketing, cette modification des pratiques aura un impact majeur sur les entreprises qui dépendent des données publicitaires de Google et de Facebook — justement obtenues par de tels témoins — pour atteindre leur clientèle. Il ne sera éventuellement plus possible de faire du « reciblage publicitaire » si profitable aux entreprises — présenter une publicité de voiture à un internaute qui vient d’écrire le mot « voiture » dans un moteur de recherche, par exemple.
Roger Kamena y voit « un mal pour un bien ». « Les entreprises devront travailler un peu plus fort pour aller chercher la donnée client, mais elles seront ensuite plus autonomes pour l’exploiter », fait-il valoir. 
2. Anonymisation des données
Ceux qui développent une base de données client en interne ne seront pas exemptés de défis pour autant. La nouvelle loi québécoise sur la protection des renseignements personnels (Loi 64) votée en septembre dernier encadrera plus strictement l’exploitation des données client. 
Les entreprises qui voudront utiliser les renseignements personnels de leur clientèle pour dégager des tendances et, plus largement, y incorporer de l’intelligence d’affaires (IA), devront donc d’abord anonymiser ces renseignements. La Loi 64 précise que cette anonymisation doit être « irréversible », ce qui peut s’avérer plus compliqué qu’il n’y paraît.
« Des études montrent que l’on peut réidentifier une personne, parfois à partir de six ou sept points de données », explique Jean-Philippe Racine, président du Groupe CyberSwat, une firme de cybersécurité qui accompagne des PME dans leur démarche de conformité à la Loi 64. Des chercheurs de l’Université catholique de Louvain, en Belgique, sont effectivement parvenus à réidentifier des Américains avec une précision de 99,98 % en utilisant 15 points de données. Lors d’un projet en ligne demandant aux visiteurs d’inscrire leur genre, leur date de naissance et leur code postal, ils y sont parvenus avec 83 % de précision en utilisant ces trois points de données. 
Jean-Philippe Racine rappelle également qu’«il faut garder en tête qu’une base de données d’entreprise peut être recoupée avec des informations présentes dans une base de données externe». Il conseille donc aux entreprises de procéder à l’anonymisation des données avec l’aide d’un fournisseur en technologie de l’information et d’un avocat spécialisé en protection des renseignements personnels. 
3. Encadrement des projets d’intelligence artificielle (IA)
La Loi 64 place quelques garde-fous autour de l’utilisation de l’IA pour prendre des décisions d’affaires concernant des individus. Ainsi, son article 12.1 stipule qu’à partir du 22 septembre 2023, une entreprise qui utilise des renseignements personnels « afin que soit rendue une décision fondée exclusivement sur un traitement automatisé » devra « en informer la personne concernée ». Ensuite, l’entreprise devra accorder à son client « l’occasion de présenter ses observations à un membre du personnel de l’entreprise en mesure de réviser la décision ».  
Chantal Bernier, avocate-conseil et responsable du groupe de pratique canadien Cybersécurité et protection de la vie privée à la firme Dentons, donne l’exemple d’une banque qui fonderait sa décision d’accorder une carte de crédit à un client exclusivement sur des algorithmes d’IA, sans intervention humaine. « Ce client aura le droit de savoir quels renseignements personnels ont été utilisés pour prendre cette décision, explique-t-elle. Et il aura aussi le droit de fournir des observations, afin de soumettre la décision en révision. » 
4. Portabilité des données
À sa troisième année d’entrée en vigueur, soit à partir du 22 septembre 2024, la Loi 64 introduira le concept de « droit à la portabilité des données ». Cela signifie qu’un client pourra demander à une entreprise une « copie » des renseignements personnels que cette dernière possède sur lui. 
« Le défi sera de présenter ces données dans un format compréhensible et réutilisable dans un autre contexte », note Jean-Philippe Racine, qui rappelle que l’objectif d’une telle demande est habituellement d’amener ses données « chez le compétiteur ». 
« Les entreprises devront aussi départager ce qu’elles considèrent être leur propriété de celle du client. » La cote de crédit développé par une banque appartient-elle à l’individu ou l’entreprise, se questionne par exemple l’expert. 
De nombreuses réflexions en perspective.

Au cours des prochaines années, les entreprises devront entièrement revoir leur manière de manipuler les données client. D’une part, le cadre législatif québécois est appelé à changer et d’autre part, les géants du Web ont commencé à faire preuve d’une plus grande sensibilité envers la vie privée des citoyens. Dans ce contexte, voici quatre grands changements à venir en matière de données client.

 

1. La fin des « témoins tiers »

En juillet dernier, Google Chrome a réaffirmé son intention de mettre fin à l’utilisation des « témoins tiers » (third-party cookies) traquant l’historique individuel de navigation des utilisateurs, au cours de l’année 2023. Le but annoncé est un plus grand respect de la vie privée, une tendance mondiale. « Ce n’est qu’une question de temps avant que tous les GAFA de ce monde abolissent les témoins tiers », a annoncé Roger Kamena, vice-président en analytique et science des données de l’agence de marketing numérique Adviso, lors de Connexion, le sommet de la transformation numérique organisé par les Évènements Les Affaires en septembre.

Dramatiquement baptisée « l’apocalypse des cookies tiers » par l’industrie du marketing, cette modification des pratiques aura un impact majeur sur les entreprises qui dépendent des données publicitaires de Google et de Facebook — justement obtenues par de tels témoins — pour atteindre leur clientèle. Il ne sera éventuellement plus possible de faire du « reciblage publicitaire » si profitable aux entreprises — présenter une publicité de voiture à un internaute qui vient d’écrire le mot « voiture » dans un moteur de recherche, par exemple.

Roger Kamena y voit « un mal pour un bien ». « Les entreprises devront travailler un peu plus fort pour aller chercher la donnée client, mais elles seront ensuite plus autonomes pour l’exploiter », fait-il valoir. 

 

2. Anonymisation des données

Ceux qui développent une base de données client en interne ne seront pas exemptés de défis pour autant. La nouvelle loi québécoise sur la protection des renseignements personnels (Loi 64) votée en septembre dernier encadrera plus strictement l’exploitation des données client. 

Les entreprises qui voudront utiliser les renseignements personnels de leur clientèle pour dégager des tendances et, plus largement, y incorporer de l’intelligence d’affaires (IA), devront donc d’abord anonymiser ces renseignements. La Loi 64 précise que cette anonymisation doit être « irréversible », ce qui peut s’avérer plus compliqué qu’il n’y paraît.

« Des études montrent que l’on peut réidentifier une personne, parfois à partir de six ou sept points de données », explique Jean-Philippe Racine, président du Groupe CyberSwat, une firme de cybersécurité qui accompagne des PME dans leur démarche de conformité à la Loi 64. Des chercheurs de l’Université catholique de Louvain, en Belgique, sont effectivement parvenus à réidentifier des Américains avec une précision de 99,98 % en utilisant 15 points de données. Lors d’un projet en ligne demandant aux visiteurs d’inscrire leur genre, leur date de naissance et leur code postal, ils y sont parvenus avec 83 % de précision en utilisant ces trois points de données. 

Jean-Philippe Racine rappelle également qu’«il faut garder en tête qu’une base de données d’entreprise peut être recoupée avec des informations présentes dans une base de données externe». Il conseille donc aux entreprises de procéder à l’anonymisation des données avec l’aide d’un fournisseur en technologie de l’information et d’un avocat spécialisé en protection des renseignements personnels. 

 

3. Encadrement des projets d’intelligence artificielle (IA)

La Loi 64 place quelques garde-fous autour de l’utilisation de l’IA pour prendre des décisions d’affaires concernant des individus. Ainsi, son article 12.1 stipule qu’à partir du 22 septembre 2023, une entreprise qui utilise des renseignements personnels « afin que soit rendue une décision fondée exclusivement sur un traitement automatisé » devra « en informer la personne concernée ». Ensuite, l’entreprise devra accorder à son client « l’occasion de présenter ses observations à un membre du personnel de l’entreprise en mesure de réviser la décision ».  

Chantal Bernier, avocate-conseil et responsable du groupe de pratique canadien Cybersécurité et protection de la vie privée à la firme Dentons, donne l’exemple d’une banque qui fonderait sa décision d’accorder une carte de crédit à un client exclusivement sur des algorithmes d’IA, sans intervention humaine. « Ce client aura le droit de savoir quels renseignements personnels ont été utilisés pour prendre cette décision, explique-t-elle. Et il aura aussi le droit de fournir des observations, afin de soumettre la décision en révision. » 

 

4. Portabilité des données

À sa troisième année d’entrée en vigueur, soit à partir du 22 septembre 2024, la Loi 64 introduira le concept de « droit à la portabilité des données ». Cela signifie qu’un client pourra demander à une entreprise une « copie » des renseignements personnels que cette dernière possède sur lui. 

« Le défi sera de présenter ces données dans un format compréhensible et réutilisable dans un autre contexte », note Jean-Philippe Racine, qui rappelle que l’objectif d’une telle demande est habituellement d’amener ses données « chez le compétiteur ». 

« Les entreprises devront aussi départager ce qu’elles considèrent être leur propriété de celle du client. » La cote de crédit développé par une banque appartient-elle à l’individu ou l’entreprise, se questionne par exemple l’expert. 

De nombreuses réflexions en perspective.