Protection des intérêts clients à l’ère digitale : quels traitements de données ? Une illustration par le cas du profilage

Différentes méthodes d’analyses des données peuvent répondre aux exigences de profilage des clients issues de la directive MiFID 2, qui entrera en vigueur début janvier 2018. Mais ces méthodes doivent aussi répondre à des exigences réglementaires de transparence vis-à-vis des clients.

L'auteur

  • Fabrice Moly
    • Protection of Clients' Interests / Digital
      BNP Paribas Group Compliance

Pour en savoir plus

* L’auteur tient à remercier les collaborateurs de l’équipe Protection des intérêts clients pour l’aide apportée à la réalisation de cet article.

Revue de l'article

La prise en compte du digital par les régulateurs est de plus en plus évidente, ainsi que l’illustre l’évolution des spécifications relatives au profilage investisseur (MiFID 2). Cet article présente succinctement quatre techniques, deux relevant des data analytics (clustering et analyse prédictive, v. Encadré 1), deux autres s’appuyant sur des avis d’experts (scores d’experts et arbres de décisions) que les prestataires de services d’investissement (PSI) peuvent utiliser pour « profiler » les clients, ainsi que les problématiques qu’elles soulèvent en termes de protection des intérêts des clients, dans la perspective de MiFID 2.

La prise en compte du digital par les régulateurs : le cas du profilage

L’accroissement des volumes de données et le développement des techniques de traitement ouvrent le champ à d’innombrables applications. Pleinement conscients de ces évolutions, les régulateurs savent que la protection des clients et de leurs intérêts passe nécessairement par celle de leurs données, ainsi que par la mise en œuvre de traitements respectueux de ces intérêts. La CNIL avait, dès 2009, abordé le sujet du marketing ciblé. Le Règlement général sur la protection des données (RGPD) [1], qui constitue une nouvelle étape majeure sur le sujet, traite entre autres sujets du profilage.

Du côté des régulateurs du secteur bancaire et financier, le changement principal est la prise en compte explicite du phénomène digital, notamment à travers plusieurs textes récents : la consultation ESMA sur le Big Data, la recommandation ACPR sur les médias sociaux ou le recueil de données ou encore, sur le même sujet, la recommandation/position de l’AMF.

Le profilage investisseur : ce que c’est et à quoi il sert

Même si le terme de « profilage » est absent en tant que tel du texte de la Directive MiFID 2, le concept y est clairement présent : le paragraphe 2 de l’article 25 de la Directive énumère ainsi les caractéristiques du client qui doivent être prises en compte a minima [2] dans le cadre de la fourniture de conseil en investissement ou du service de gestion de portefeuille, et ce pour « pouvoir lui recommander les services d’investissement et les instruments financiers qui lui conviennent ».

L’enjeu est donc clair : le profilage est l’étape intermédiaire entre la collecte de données sur le client et la fourniture du produit ou service. Les données (ou caractéristiques) seront collectées en vue de déterminer la catégorie de profil, qui elle-même sera utilisée pour cibler les produits et services qui conviennent au client. C’est la pierre angulaire du test d’adéquation.

Naturellement, et cela transparaît dans des textes ultérieurs, ce profilage est avant tout un procédé automatique – un algorithme –, même si son résultat peut être éventuellement modifié au cas par cas via une intervention humaine (justifiée).

Quelles techniques de traitement de données peuvent ou doivent être mises en œuvre pour concevoir cet algorithme ? C’est un choix qui appartient au PSI, lequel se doit d’être en mesure de l’expliquer aux régulateurs.

Quatre méthodes de profilage pour MiFID 2 et leurs implications

Le clustering dans un contexte Big Data

Il est très tentant d’utiliser la grande quantité de données disponibles, de sources diverses (certaines pouvant être publiques) et d’y appliquer les méthodes sophistiquées du Big Data pour obtenir une description fine des prospects et clients. Les méthodes de clustering, musclées par la recherche suite à l’explosion des données disponibles, peuvent être d’excellents candidats pour aborder la problématique du profilage.

Cependant, en plus de la difficulté à dire quel usage des données est licite ou pas, nous identifions trois écueils éventuels :

  • les données sont-elles fiables ?
  • les groupements de clients effectués par l’algorithme pourront-ils être utilisables pour déterminer les produits et/ou services qui conviennent ?
  • quel est le ressenti du client face à l’utilisation de ses données ?

Sur le premier point, la fiabilité des données provient, en partie, de leur exhaustivité – renforcée pour les PSI offrant des services en ligne par les données de navigation sur leurs propres sites ou applications. Les banques ne peuvent prétendre à cette exhaustivité que pour leurs clients mono-bancarisés ; à l’inverse, les agrégateurs [3] disposent, par construction, de données plus complètes sur chaque personne, mais sont limités par leur faible pénétration du marché.

Sur le second point, rien ne permet de répondre a priori : un algorithme, même très performant, peut identifier des groupes, certes, pertinents du point de vue de données fournies, mais inadaptés à la vente de produits financiers. Par exemple, les données peuvent faire apparaître des internautes du matin et des internautes du soir. Peut-on justifier la vente du produit A aux uns et du produit B aux autres ? Peut-être… mais rien n’est sûr.

De plus, pour que ces groupes de clients soient pertinents au regard du test d’adéquation [4], il faudra inclure des données en lien avec les caractéristiques à prendre en compte [5], telles que leur consommation de produits et de services financiers, leurs réactions en cas d’événements particuliers (retournement de marchés, pertes sur le portefeuille…) et sans doute d’autres types de données qui pourront être découverts au cours de la recherche.

Pour ce qui est du troisième point, relatif au ressenti du client, il est probable que celui-ci répondra plus volontiers à un questionnaire si on lui en a expliqué la finalité (MiFID requiert d’ailleurs qu’on lui fournisse cette explication), car il comprendra son intérêt. Mais quelle serait sa réaction en apprenant que les données relatives à ses comptes, ses paiements, voire ses habitudes de consommation pourront être utilisées pour tester la cohérence de ses déclarations et définir le produit ou le service dont nous, PSI, pensons qu’il lui conviendrait ? Est-ce que traiter ses données personnelles sans obtenir son consentement est la meilleure manière de protéger ses intérêts ?

Quant à utiliser des données publiques (issues par exemple d’annuaires professionnels ou de réseaux sociaux de type Linked In ou Viadeo), il se pourrait que le client soit, à bon droit, surpris. Même sentiment pour les données de navigation dont l’internaute n’est même pas conscient qu’il les fournit, via les cookies.

Notons au passage que tester la cohérence des données déclaratives est une exigence réglementaire, mais que les moyens à mettre en œuvre restent à la discrétion du PSI. La nouveauté et la difficulté de ces situations exigent de la prudence, un traitement au cas par cas, voire le partage de ce questionnement avec les régulateurs concernés.

Se préoccuper du ressenti du client pourrait sembler secondaire, au regard de l’application de la loi et des règlements. Je pense qu’il n’en est rien : c’est la prise en compte de ce ressenti qui permet d’établir un lien de confiance entre le banquier et son client, confiance qui est nécessaire au développement de l’un et à la sérénité de l’autre. Mais bien au-delà, tout client est en droit d’attendre que son ressenti soit écouté par son banquier ; en tant que banquier, je me dois donc d’être à l’écoute de mes clients.

L’analyse prédictive

Ces techniques sont connues depuis longtemps. Un scoring de risque de crédit n’est finalement rien d’autre : sur la base de deux types de données, descriptif de clients d’une part (variables explicatives), et existence d’incidents sur des prêts à ces clients d’autre part (variable à expliquer), on essaie d’établir un lien entre les deux pour évaluer le risque d’un incident lors de tout nouveau prêt.

Dans le cas du profilage, il s’agira de déterminer le profil du client, qui constituera donc la variable à expliquer. Le problème est que, contrairement à un incident de remboursement sur un crédit, cette variable n’est pas une donnée factuelle, observable ; elle n’existe pas a priori. L’analyse prédictive n’est donc applicable que si cette variable « Profil » est, d’une manière ou d’une autre, préexistante au sein des données. Elle pourrait être créée, soit par des techniques de Big Data (clustering), soit par des techniques plus simples (v. infra).

Comme pour le clustering, se pose la question de la licéité de l’utilisation des données disponibles. Rappelons au passage qu’un banquier est supposé traiter les informations à sa disposition dans le but pour lequel elles lui sont fournies.

De plus, l’analyse prédictive, tout comme le clustering, est difficilement explicable à l’ensemble des clients, en tout cas dans ses détails techniques. Dès lors, l’exigence réglementaire de transparence peut être vidée de son sens. Quelle est, en effet, la valeur d’une réponse de type « c’est un algorithme complexe qui vous a classé ainsi » ?

Le score d’experts

Contrairement aux analyses prédictives, le score d’expert ne vise pas à expliquer a posteriori une variable factuelle et observable, mais à en fixer a priori la construction, par le biais de scores attribués aux différentes données ou réponses collectées (prenant le cas échéant des mesures correctrices). C’est la note finale ainsi obtenue qui détermine la catégorie du client.

Les éléments essentiels de la constitution du score, à savoir les notes et les seuils, ne sont alors pas le résultat de traitements objectifs, mais de choix opérés par les personnes en charge d’élaborer le scoring : les experts.

La principale difficulté de cette approche est d’expliquer le pourquoi des pondérations ou seuils retenus par les experts. Alors même que le résultat au final est souvent cohérent (les individus les plus expérimentés et les plus riches peuvent accéder aux produits les plus risqués ou complexes), la justification est d’autant plus délicate que les paramètres sont nombreux.

Notons par ailleurs que des méthodes différentes aboutiraient probablement à des classifications comparables ; comparables mais non identiques, c’est justement l’argument que pourrait opposer un client qui s’estimerait mal classé.

L’arbre de décision

Comme le score d’experts, l’arbre de décision se base sur les avis d’experts. Il s’agit d’une succession de questions qui, selon les réponses fournies, se branchent de diverses manières, pour en arriver – comme dans l’analyse prédictive – à affecter une catégorie de profil à l’individu considéré : la valeur de la variable par rapport à un seuil (impliquant une réponse oui/non) décide du branchement aval de l’arbre, c’est-à-dire des questions ultérieures, et ainsi de suite à chaque nouvelle question, jusqu’à la catégorisation finale.

Ce processus est plus simple à exposer qu'un score d'expert : il n'y a qu'un seuil à chaque étape et donc, a priori, moins de paramètres numériques à justifier. Il est moins abstrait à expliquer qu'un algorithme de clustering en ce qu’il reproduit le cheminement de la pensée humaine.

Toutefois, c’est précisément cette caractéristique qui le rend susceptible de reproduire d’éventuels biais (idées préconçues) préexistants dans le savoir des experts.

Dans son choix de la méthode de profilage dans une perspective MiFID 2, le PSI doit évidemment s’assurer que cette méthode permet de collecter ou calculer l’ensemble des informations requises par MiFID 2, mais également qu’elle est aisément explicable et communicable : il semble en effet crucial, afin de protéger effectivement les intérêts des clients, d’être transparent à leur égard sur les données qui seront collectées, sur l’utilisation qui en sera faite, et d’obtenir leur assentiment.

Perspectives

La situation continuera à évoluer sur le plan technique, mais également sur le plan réglementaire, en particulier grâce à la finance comportementale. Celle-ci doit en partie son émergence à Internet, qui rend visibles de nombreux comportements de clients. Elle intéresse les régulateurs [6] et trouvera un champ d’application naturel dans le profilage.

Nous souhaitons ici proposer deux pistes pour améliorer les processus de profilage quels qu’ils soient :

  • la prise en compte de réclamations quand elles sont liées au profilage : les réglementations exigent déjà que les réclamations clients soient répertoriées et traitées. Certaines d’entre elles peuvent mettre en cause, directement ou non, les processus automatiques impactant les clients : à utiliser donc, pour l’amélioration des dits processus ;
  • l’amélioration des connaissances financières des clients : parmi toutes celles listées par la directive, c’est la variable la plus susceptible d’évoluer rapidement et à l’initiative du client : il suffit de se former [7]. De plus, on peut penser qu’un client qui se forme aura plus tendance à acheter les produits ou souscrire aux services sur lesquels il s’est documenté, et sera en situation d’améliorer son expérience.

Un besoin d’éthique

En conclusion, la mise en place de profilages répondant à des exigences réglementaires est une étape du dialogue sur le digital qui est en cours de développement entre les régulateurs et les acteurs du monde financier. Ce dialogue devrait couvrir l’ensemble des aspects digitaux de la relation client, sans s’y limiter, et impliquer les clients eux-mêmes, afin de renforcer la protection de leurs propres intérêts. Par ailleurs, à l'instar de toutes les avancées techniques qui ouvrent des possibilités et sont en avance sur la mise en place d'une norme détaillée, la digitalisation des profilages invite les banques à réfléchir sur leurs responsabilités vis-à-vis des clients et remet en lumière les principes moraux et le besoin d'éthique.

 

[1] Nouveau texte de référence européen qui renforce et unifie la protection des données pour les individus au sein de l'Union européenne, directement applicable au 25 mai 2018.

[2] Les caractéristiques du client ou client potentiel, listées par la directive sont : ses connaissances et son expérience (celles-ci étant mises en rapport avec le type spécifique de produit ou de service), sa situation financière, y compris sa capacité à subir des pertes, et ses objectifs d’investissement, y compris sa tolérance au risque. Pour les autres services d’investissement, la collecte des données peut être limitée à la connaissance et à l’expérience (cf. paragraphe 3 du même article).

[3] Un agrégateur est une FinTech proposant à ses clients d’accéder, avec leur accord, à l’ensemble de leurs données bancaires, éventuellement au sein de plusieurs établissements, afin de leur en fournir une vision exhaustive et agrégée.

[4] Tel que requis par MiFID 2.

[5] Pour mémoire : connaissances et expérience financières du client, sa situation financière (y compris sa capacité à subir des pertes), et ses objectifs d’investissement (y compris sa tolérance au risque).

[6] Cf annexe : la consultation du Joint Committee sur le Big Data et les Occasional Papers de la FCA.

[7] La situation financière, les objectifs, la tolérance au risque sont en comparaison des variables lentes.

 

Sur le même sujet