Qu’est-ce qui attire aujourd’hui les géants technologiques vers le secteur des services financiers ?
Au cœur de ces mouvements, il y a la bataille de la donnée, ou plus précisément de l’accès aux informations sous-jacentes qui font leur richesse. En effet, si toutes les données ne se valent pas, celles collectées grâce aux paiements, par exemple, sont riches : elles fournissent des informations en temps réel sur la localisation du client, son environnement au moment de l’acte d’achat, son état d’esprit… Ceci explique, je pense, que les GAFA s’intéressent en premier lieu au domaine des paiements, et que l’on ne voit pas encore clairement quelle pourrait être leur stratégie bancaire.
Amazon serait toutefois intéressé par le lancement d’une offre de compte bancaire… Faut-il différencier les GAFA dans leur approche du secteur financier ?
À mon avis, le secteur financier reste et demeurera ancré dans une relation physique et un lien personnel avec le client qui se trouvent augmentés par la technologie. Parmi les acteurs technologiques, Amazon ou Alibaba en Chine sont ceux qui gardent le plus cet ancrage dans une réalité humaine et physique. Ceci explique, je pense, qu’ils se lancent dans le crédit aux entreprises et dans la gestion de l’épargne. Dans le cas d’Amazon, toutefois, la question de l’emprise sur le marché pourrait à terme se poser, au regard des lois sur la concurrence. Une contrainte qui ne se pose pas encore en Chine, qui est plutôt dans une logique d’inclusion financière et de consolidation de son système bancaire.
Entre une banque comme Société Générale et un GAFA, qui dispose de la plus grande quantité de données ou d’informations ?
Nous considérons qu’avec nos 31 millions de clients à travers le monde, le nombre de données mais surtout la quantité d’informations que nous hébergeons sont considérables. La donnée est un actif essentiel de nos clients, dont nous sommes un conservateur, un protecteur. Et au-delà de sa disponibilité, beaucoup de questions se posent autour de son utilisation. Le Règlement général européen sur la protection des données personnelles (RGPD) est à ce titre une rupture : c’est l’un des premiers textes européens à portée extraterritoriale. Le règlement s’appliquera donc aussi aux acteurs américains pour leurs utilisateurs européens, alors même que les États-Unis sont secoués par l’affaire Cambridge Analytica. Le RGPD institue de nouveaux droits dont un droit inaliénable de la personne sur ses données lui permettant de les transférer, de les supprimer… C’est aussi, pour le Groupe Société Générale, une formidable opportunité.
Pourquoi ce contexte européen est-il un atout pour les banques ?
L’atout premier des banques est qu’elles sont et demeurent perçues comme des tiers de confiance. Des sondages le montrent : lorsqu’on les interroge sur les acteurs les mieux à même de protéger leurs données, les Français placent les banques en tête, loin devant les GAFA. Elles sont historiquement dépositaires de l’argent et des titres de leurs clients, et donc des données sensibles qui y sont liées. Elles peuvent donc se positionner comme dépositaire-conservateur des données personnelles au sens large et proposer des services associés. Par exemple, le RGPD permet à chacun de récupérer auprès de ses fournisseurs, l’ensemble des données qui le concernent : mais comment transférer ces données et les stocker ? De même, le RGPD impose à chaque entreprise de nommer un Data Protection Officer : mais comment faire quand on est une PME ? Ce sont autant de nouveaux besoins auxquels il conviendra de répondre, à condition de trouver le bon business model.
La lourdeur des systèmes d’information historiques n’est-elle pas un lourd handicap pour les banques face aux GAFA ?
Les banques sont depuis toujours des entreprises technologiques. 15 à 25 % de leurs dépenses opérationnelles sont dédiés à l’IT. C’est plus que les opérateurs télécom, par exemple. Ces capacités technologiques existantes sont un réel atout pour le secteur bancaire, mais il est vrai que les GAFA, étant partis d’une page vierge, n’ont pas de problématique « legacy » à gérer. Chez Société Générale, nous avons renoncé à une stratégie de transformation de nos SI de type « big bang », longue et coûteuse à mettre en œuvre, avec un risque d’obsolescence au moment où la migration aurait été achevée. Nous lui avons préféré une transformation progressive de nos systèmes d’information fondée sur les
Quel montant d’investissement cela représente-t-il ?
42 % de notre dépense IT totale est dédiée à la transformation de nos systèmes, soit 1,6 milliard d’euros par an. Par rapport au secteur bancaire, c’est beaucoup ; par rapport aux GAFA, ça ne l’est pas. Mais le véritable enjeu de la transformation est celui de l’agilité. Depuis quatre ans, nous travaillons à la transformation du mode de livraison de nos projets IT. Dans la banque de grande clientèle, 40 à 50 % des développements sont menés en mode agile, où les équipes réunissent le métier, la voix du client et les développeurs. Cela améliore considérablement le temps d’accès au marché de nos nouveaux développements. En 2020, 50 % des projets IT du Groupe seront développés en « continuous delivery ». Garantir en permanence la meilleure expérience utilisateur possible au collaborateur est également une dimension essentielle de notre attractivité en tant qu’employeur, face aux GAFA. D’où l’ouverture de notre campus technologique des Dunes, dans l’est parisien, et le déploiement à grande échelle du télétravail (15 000 collaborateurs en France).
Cloud public, API ouvertes… Ces transformations ne soulèvent-elles pas des enjeux de sécurité ?
Ces évolutions technologiques mais aussi le renforcement de notre statut de tiers de confiance exigent en effet que nous soyons capables de sécuriser le plus possible nos systèmes. Or, dans l’environnement ouvert dans lequel nous évoluons désormais, la protection périmétrique de type « fire wall » n’est plus suffisante : il faut y adjoindre une protection de l’information au plus près de là où elle se trouve, en cryptant les données, en sécurisant les applications qui accèdent au système… À l’image d’un aéroport qui sait vérifier les bagages quelle que soit la zone où ils se trouvent.
Cet impératif de sécurité passe également par la veille et la prévention des attaques. Le risque cyber est l’un des principaux risques systémiques dans le monde. Société Générale s’est très tôt dotée d’un CERT (Computer Emergency Response Team), labélisé en 2009, pour surveiller en permanence les attaques venues de l’extérieur. Nous disposons par ailleurs d’un centre de sécurité opérationnel pour détecter les anomalies internes au système, pour déceler par exemple certaines attaques qui ne deviennent actives qu’après un délai. Des outils d’intelligence artificielle nous aident dans la détection de la fraude. Nous avons annoncé en novembre dernier l’investissement de 650 millions d’euros d’ici à 2020 dans la cybersécurité.
Les GAFA ne partagent-ils pas cet impératif de sécurité ?
Pour les GAFA, la sécurité relève avant tout du risque opérationnel : ils ne peuvent se permettre de ne plus fonctionner. Notre stratégie est différente : il s’agit de protéger le client et de préserver notre statut de tiers de confiance.
Travaillez-vous aujourd’hui avec les GAFA ?
Avant d’être de nouveaux entrants dans le secteur des services financiers, les GAFA sont d’abord de grands partenaires. Nous utilisons leurs technologies, dans le domaine marketing, bien entendu, mais pas seulement : Société Générale est une des premières banques européennes à avoir noué des partenariats avec les infrastructures cloud d’Amazon (AWS) et Microsoft (Azure), en stricte conformité avec la réglementation.
Qu’en est-il des services financiers eux-mêmes ? Êtes-vous plutôt en mode partenariat ou en concurrence frontale ?
Je suis convaincu que nous allons vers un monde de plus en plus partenarial : le bon partenaire, avec la bonne technologie, au bon moment. Nous sommes par exemple partenaire d’Apple pour distribuer Apple Pay.
Seriez-vous prêts à fournir des services bancaires, en marque blanche par exemple, à un GAFA ?
La question de fond est de savoir qui conserve la relation réelle avec le client, relation qui est à la fois digitale et physique. Je n’imagine pas que l’on perde cette relation. Les technologies sont pour nous le moyen de décupler les occasions de contact avec nos clients. Offrir des services en marque blanche n’est envisageable que si nous conservons la relation directe.
Utiliser les technologies d’assistance virtuelle des GAFA (chatbot sur Messenger ou Whatsapp, enceintes connectées de Google ou d’Amazon…) est-il dès lors exclu ?
Cela pourra faire partie de la dimension digitale de cette relation au client. Elle se développera probablement pour certains services mais seulement sur des sujets très précis : demander à son enceinte connectée de faire un virement oui, mais sans doute plus difficilement de financer l’achat d’une maison !
Les GAFA ne pourraient-ils pas profiter de la DSP 2 pour fournir certains services financiers, comme l’agrégation de compte ou l’initiation de paiement, sans avoir besoin de licence d’établissement de crédit ?
L’agrégation de comptes n’est pas un service nouveau : dès 2015, Société Générale avait racheté l’agrégateur Fiduceo et l’a déployé sur l’ensemble de ses réseaux. La DSP 2 donne effectivement à de nouveaux acteurs – y compris aux GAFA – l’opportunité d’accéder à la donnée de paiement. Le risque de désintermédiation existe donc, mais il ne me semble pas inéluctable. Nous le percevons et nous investissons en ce sens. L’enjeu est bien davantage sur la qualité de l’expérience client que vous offrez : cela doit rester notre obsession. La question du coût du service rendu rentrera aussi en ligne de compte, d’où l’accélération de notre transformation digitale. Enfin, même s’il est aujourd’hui faible, le niveau de conscience des clients quant aux risques liés à l’utilisation de leurs données va se renforcer. Tout reviendra donc à poser la question fondamentale : à qui le client fera-t-il confiance demain ? Aujourd’hui, 53 % des Français répondent : « aux
