Une épée de Damoclès suspendue au-dessus de l'entreprise digitale

Commerce en ligne, télétravail, télémédecine... La crise du Covid-19 s'est traduite par l'accélération de la digitalisation de l'économie, et in fine de la collecte de data. Ces données qui peuvent être source de nouveaux revenus doivent être protégées.

La crise du Covid ne fait qu’accélérer deux mouvements irréversibles, nés il y a plus de vingt ans avec l’internet : le basculement du commerce et de l’entreprise vers le digital, et les nécessaires refontes du parcours et du suivi du patient dans la santé.

Les sociétés de technologie sortiront renforcées de la crise, ce qu’atteste déjà l’écart de valorisation entre le Nasdaq d’une part et le Dow Jones et plus encore le Cac 40 d’autre part. Le premier a dépassé de 10% son niveau de début décembre alors que les deux autres marchés sont respectivement en baisse de 12% et de 20%. 

Les “pure players” du commerce en ligne ont vu leur demande exploser ces trois derniers mois pendant que les enseignes classiques leur laissaient le champ libre dans l’acquisition digitale de nouveaux clients, qui pour un grand nombre d’entre eux, ne reviendront à leurs anciennes habitudes. Les premières indications venues de Chine montrent en effet que cette tendance se poursuit en sortie de confinement.

Dans le commerce comme dans l’entreprise, les circuits vont non seulement se raccourcir, mais surtout s’automatiser et s’analyser dans le moindre détail. Les modèles de vente se digitaliser et le rapport au client se personnaliser.

Zoom ou Teams enfoncent quant à eux un peu plus le clou sur le cercueil du voyage d’affaires et des études récentes aux Etats-Unis montrent que le pourcentage de télétravail va passer de 14 % à 37% des heures de travail.

De la télémédecine au diagnostic assisté en passant par le suivi du patient tout au long de son parcours de soin, la révolution numérique souffle sur l’hôpital et la médecine de ville.

Les "gens de maintenant", comme disait Molière, venus du digital, ont gagné. Ils se montrent beaucoup plus résilients et plus flexibles que les "anciens" qui n’ont plus d’autre choix que de faire la course derrière.

Conséquence directe de cette victoire, il n’y aura plus de projets d’entreprise sans automatisation de ses process, sans utilisation de l’intelligence artificielle pour mieux comprendre et anticiper et surtout, sans prise de conscience du caractère unique des données qu’elle peut collecter et exploiter.

La maîtrise de ses données constitue pour toute organisation une double richesse :

  1.  Une source de nouveaux revenus, par exemple via le cross-selling dans une place de marché où excelle Amazon, ou par revente de la donnée à des tiers pour de la génération de prospects comme le font Facebook et Google,
  2. Un moyen d’optimiser l’allocation ou l’utilisation de ses ressources, comme par exemple dans l’hôpital, l’optimisation de son inventaire d’équipements médicaux. 

Dans tous les cas, ces données constituent une barrière à l’entrée d’autant plus forte si les organisations en sont propriétaires.

Hélas, tout rempart a ses brèches. En 2020, il est désormais estimé qu’une faille majeure dans le système de données d’une société cotée au Nasdaq coûterait en moyenne 150 millions de dollars, avec un coût à l’échelle mondiale estimé à 2,1 trillions de dollars. Sans parler des pénalités appliquées aux contrevenants à la réglementation RGPD (en Europe) ou CCPA (en Californie) qui peuvent s’élever jusqu'à 4% du chiffre d’affaires.

Nous voyons bien que l’avantage concurrentiel conféré par l’unicité de ces données et de leur exploitation ne peut plus s’envisager sans la protection de la confidentialité de leur contenu sous peine de dommages réputationnels très coûteux, voire irrémédiables pour l’entreprise. D'autant plus que la donnée est très souvent la convoitise de hackers à des fins malicieuses (rançonnement, accès à des comptes financiers...). En avril 2019, 540 millions de données liées à des comptes Facebook ont ainsi été rendues publiques. Plus récemment, 500 000 accès Zoom ont été piratés puis mis en vente sur le dark web, les données personnelles de 9 millions de client d'Easyjet ont été hackées et un ransomware visant un groupe hospitalier a récemment été détecté en République Tchèque.

La protection de ces données, lors de l’irréversible migration vers le cloud public voire privé, et a fortiori lorsqu’il s’agit d’un usage externe dans le cas d’une collaboration ou d’une revente d’information à un tiers, ne peut passer que par une parfaite anonymisation ou dé-identification de celles-ci. Mais ce n’est que le plus facile. Pour tirer le fil d’Ariane de la donnée, cette protection doit s’accompagner d’une triple promesse :

  1. générer des API qui permettent un accès intelligent aux données sensibles en fonction des requêtes,
  2. empêcher de reconstituer l’identité à la source par recroisement de données,
  3. ultimement pouvoir ré-identifier cette donnée par l’utilisateur autorisé.

La phase de protection automatisée qui peut être mise en œuvre par des solutions comme Privitar (entreprise dans laquelle nous avons investie) passe évidemment par une première étape d’inventaire des données sensibles dans l’entreprise. Ce que réalisent des plateformes comme BigID dans laquelle Bessemer a investi ou OneTrust financée par Insight Partners.

L’exploitation de la donnée sans protection de sa confidentialité est une épée de Damoclès suspendue au-dessus de l’entreprise “digitale”. Sa protection n’est paradoxalement pas un frein pour son développement mais une promesse de croissance.