La prise en compte du digital par les régulateurs est de plus en plus évidente, ainsi que l’illustre l’évolution des spécifications relatives au profilage investisseur (MiFID 2). Cet article présente succinctement quatre techniques, deux relevant des data analytics (clustering et analyse prédictive, v. Encadré 1), deux autres s’appuyant sur des avis d’experts (scores d’experts et arbres de décisions) que les prestataires de services d’investissement (PSI) peuvent utiliser pour « profiler » les clients, ainsi que les problématiques qu’elles soulèvent en termes de protection des intérêts des clients, dans la perspective de MiFID 2.
La prise en compte du digital par les régulateurs : le cas du profilage
L’accroissement des volumes de données et le développement des techniques de traitement ouvrent le champ à d’innombrables applications. Pleinement conscients de ces évolutions, les régulateurs savent que la protection des clients et de leurs intérêts passe nécessairement par celle de leurs données, ainsi que par la mise en œuvre de traitements respectueux de ces intérêts. La CNIL avait, dès 2009, abordé le sujet du marketing ciblé. Le Règlement général sur la protection des données
Du côté des régulateurs du secteur bancaire et financier, le changement principal est la prise en compte explicite du phénomène digital, notamment à travers plusieurs textes récents : la consultation ESMA sur le Big Data, la recommandation ACPR sur les médias sociaux ou le recueil de données ou encore, sur le même sujet, la recommandation/position de l’AMF.
Le profilage investisseur : ce que c’est et à quoi il sert
Même si le terme de « profilage » est absent en tant que tel du texte de la Directive MiFID 2, le concept y est clairement présent : le paragraphe 2 de l’article 25 de la Directive énumère ainsi les caractéristiques du client qui doivent être prises en compte a
L’enjeu est donc clair : le profilage est l’étape intermédiaire entre la collecte de données sur le client et la fourniture du produit ou service. Les données (ou caractéristiques) seront collectées en vue de déterminer la catégorie de profil, qui elle-même sera utilisée pour cibler les produits et services qui conviennent au client. C’est la pierre angulaire du test d’adéquation.
Naturellement, et cela transparaît dans des textes ultérieurs, ce profilage est avant tout un procédé automatique – un algorithme –, même si son résultat peut être éventuellement modifié au cas par cas via une intervention humaine (justifiée).
Quelles techniques de traitement de données peuvent ou doivent être mises en œuvre pour concevoir cet algorithme ? C’est un choix qui appartient au PSI, lequel se doit d’être en mesure de l’expliquer aux régulateurs.
Quatre méthodes de profilage pour MiFID 2 et leurs implications
Le clustering dans un contexte Big Data
Il est très tentant d’utiliser la grande quantité de données disponibles, de sources diverses (certaines pouvant être publiques) et d’y appliquer les méthodes sophistiquées du Big Data pour obtenir une description fine des prospects et clients. Les méthodes de clustering, musclées par la recherche suite à l’explosion des données disponibles, peuvent être d’excellents candidats pour aborder la problématique du profilage.
Cependant, en plus de la difficulté à dire quel usage des données est licite ou pas, nous identifions trois écueils éventuels :
- les données sont-elles fiables ?
- les groupements de clients effectués par l’algorithme pourront-ils être utilisables pour déterminer les produits et/ou services qui conviennent ?
- quel est le ressenti du client face à l’utilisation de ses données ?
Sur le second point, rien ne permet de répondre a priori : un algorithme, même très performant, peut identifier des groupes, certes, pertinents du point de vue de données fournies, mais inadaptés à la vente de produits financiers. Par exemple, les données peuvent faire apparaître des internautes du matin et des internautes du soir. Peut-on justifier la vente du produit A aux uns et du produit B aux autres ? Peut-être… mais rien n’est sûr.
De plus, pour que ces groupes de clients soient pertinents au regard du test
Pour ce qui est du troisième point, relatif au ressenti du client, il est probable que celui-ci répondra plus volontiers à un questionnaire si on lui en a expliqué la finalité (MiFID requiert d’ailleurs qu’on lui fournisse cette explication), car il comprendra son intérêt. Mais quelle serait sa réaction en apprenant que les données relatives à ses comptes, ses paiements, voire ses habitudes de consommation pourront être utilisées pour tester la cohérence de ses déclarations et définir le produit ou le service dont nous, PSI, pensons qu’il lui conviendrait ? Est-ce que traiter ses données personnelles sans obtenir son consentement est la meilleure manière de protéger ses intérêts ?
Quant à utiliser des données publiques (issues par exemple d’annuaires professionnels ou de réseaux sociaux de type Linked In ou Viadeo), il se pourrait que le client soit, à bon droit, surpris. Même sentiment pour les données de navigation dont l’internaute n’est même pas conscient qu’il les fournit, via les cookies.
Notons au passage que tester la cohérence des données déclaratives est une exigence réglementaire, mais que les moyens à mettre en œuvre restent à la discrétion du PSI. La nouveauté et la difficulté de ces situations exigent de la prudence, un traitement au cas par cas, voire le partage de ce questionnement avec les régulateurs concernés.
Se préoccuper du ressenti du client pourrait sembler secondaire, au regard de l’application de la loi et des règlements. Je pense qu’il n’en est rien : c’est la prise en compte de ce ressenti qui permet d’établir un lien de confiance entre le banquier et son client, confiance qui est nécessaire au développement de l’un et à la sérénité de l’autre. Mais bien au-delà, tout client est en droit d’attendre que son ressenti soit écouté par son banquier ; en tant que banquier, je me dois donc d’être à l’écoute de mes clients.
L’analyse prédictive
Ces techniques sont connues depuis longtemps. Un scoring de risque de crédit n’est finalement rien d’autre : sur la base de deux types de données, descriptif de clients d’une part (variables explicatives), et existence d’incidents sur des prêts à ces clients d’autre part (variable à expliquer), on essaie d’établir un lien entre les deux pour évaluer le risque d’un incident lors de tout nouveau prêt.
Dans le cas du profilage, il s’agira de déterminer le profil du client, qui constituera donc la variable à expliquer. Le problème est que, contrairement à un incident de remboursement sur un crédit, cette variable n’est pas une donnée factuelle, observable ; elle n’existe pas a priori. L’analyse prédictive n’est donc applicable que si cette variable « Profil » est, d’une manière ou d’une autre, préexistante au sein des données. Elle pourrait être créée, soit par des techniques de Big Data (clustering), soit par des techniques plus simples (v. infra).
Comme pour le clustering, se pose la question de la licéité de l’utilisation des données disponibles. Rappelons au passage qu’un banquier est supposé traiter les informations à sa disposition dans le but pour lequel elles lui sont fournies.
De plus, l’analyse prédictive, tout comme le clustering, est difficilement explicable à l’ensemble des clients, en tout cas dans ses détails techniques. Dès lors, l’exigence réglementaire de transparence peut être vidée de son sens. Quelle est, en effet, la valeur d’une réponse de type « c’est un algorithme complexe qui vous a classé ainsi » ?
Le score d’experts
Contrairement aux analyses prédictives, le score d’expert ne vise pas à expliquer a posteriori une variable factuelle et observable, mais à en fixer a priori la construction, par le biais de scores attribués aux différentes données ou réponses collectées (prenant le cas échéant des mesures correctrices). C’est la note finale ainsi obtenue qui détermine la catégorie du client.
Les éléments essentiels de la constitution du score, à savoir les notes et les seuils, ne sont alors pas le résultat de traitements objectifs, mais de choix opérés par les personnes en charge d’élaborer le scoring : les experts.
La principale difficulté de cette approche est d’expliquer le pourquoi des pondérations ou seuils retenus par les experts. Alors même que le résultat au final est souvent cohérent (les individus les plus expérimentés et les plus riches peuvent accéder aux produits les plus risqués ou complexes), la justification est d’autant plus délicate que les paramètres sont nombreux.
Notons par ailleurs que des méthodes différentes aboutiraient probablement à des classifications comparables ; comparables mais non identiques, c’est justement l’argument que pourrait opposer un client qui s’estimerait mal classé.
L’arbre de décision
Comme le score d’experts, l’arbre de décision se base sur les avis d’experts. Il s’agit d’une succession de questions qui, selon les réponses fournies, se branchent de diverses manières, pour en arriver – comme dans l’analyse prédictive – à affecter une catégorie de profil à l’individu considéré : la valeur de la variable par rapport à un seuil (impliquant une réponse oui/non) décide du branchement aval de l’arbre, c’est-à-dire des questions ultérieures, et ainsi de suite à chaque nouvelle question, jusqu’à la catégorisation finale.
Ce processus est plus simple à exposer qu'un score d'expert : il n'y a qu'un seuil à chaque étape et donc, a priori, moins de paramètres numériques à justifier. Il est moins abstrait à expliquer qu'un algorithme de clustering en ce qu’il reproduit le cheminement de la pensée humaine.
Toutefois, c’est précisément cette caractéristique qui le rend susceptible de reproduire d’éventuels biais (idées préconçues) préexistants dans le savoir des experts.
Dans son choix de la méthode de profilage dans une perspective MiFID 2, le PSI doit évidemment s’assurer que cette méthode permet de collecter ou calculer l’ensemble des informations requises par MiFID 2, mais également qu’elle est aisément explicable et communicable : il semble en effet crucial, afin de protéger effectivement les intérêts des clients, d’être transparent à leur égard sur les données qui seront collectées, sur l’utilisation qui en sera faite, et d’obtenir leur assentiment.
Perspectives
La situation continuera à évoluer sur le plan technique, mais également sur le plan réglementaire, en particulier grâce à la finance comportementale. Celle-ci doit en partie son émergence à Internet, qui rend visibles de nombreux comportements de clients. Elle intéresse les
Nous souhaitons ici proposer deux pistes pour améliorer les processus de profilage quels qu’ils soient :
- la prise en compte de réclamations quand elles sont liées au profilage : les réglementations exigent déjà que les réclamations clients soient répertoriées et traitées. Certaines d’entre elles peuvent mettre en cause, directement ou non, les processus automatiques impactant les clients : à utiliser donc, pour l’amélioration des dits processus ;
- l’amélioration des connaissances financières des clients : parmi toutes celles listées par la directive, c’est la variable la plus susceptible d’évoluer rapidement et à l’initiative du client : il suffit de se
former . De plus, on peut penser qu’un client qui se forme aura plus tendance à acheter les produits ou souscrire aux services sur lesquels il s’est documenté, et sera en situation d’améliorer son expérience.[7]
Un besoin d’éthique
En conclusion, la mise en place de profilages répondant à des exigences réglementaires est une étape du dialogue sur le digital qui est en cours de développement entre les régulateurs et les acteurs du monde financier. Ce dialogue devrait couvrir l’ensemble des aspects digitaux de la relation client, sans s’y limiter, et impliquer les clients eux-mêmes, afin de renforcer la protection de leurs propres intérêts. Par ailleurs, à l'instar de toutes les avancées techniques qui ouvrent des possibilités et sont en avance sur la mise en place d'une norme détaillée, la digitalisation des profilages invite les banques à réfléchir sur leurs responsabilités vis-à-vis des clients et remet en lumière les principes moraux et le besoin d'éthique.