Yves Rocher : j’ai créé un doublon, et signé un formulaire RGPD sans le comprendre

A l’occasion d’un passage dans un magasin de la marque Yves Rocher, je n’ai pas eu d’autre choix que de créer un doublon dans leur base de données clients. Une vision à 360 degrés du client qui ne semble pas encore parfaite dans l’entreprise bretonne.
Quant au consentement sur l’usage RGPD des données, certes il est recueilli, mais le consommateur est-il pour autant bien informé ?

Les petites interactions quotidiennes avec une entreprise sont l’occasion de décrypter la manière dont l’entreprise gère ses données. Derrière chaque micro-action, il est question de gouvernance…


Parlons d’abord de qualité des données

Parmi les nombreux critères recensés pour évaluer la qualité d’une donnée, l’unicité. Cela consiste à vérifier qu’une donnée est unique : un produit, un client, un magasin… La gestion des doublons est un problème complexe, surtout a posteriori. Le meilleur moyen de ne pas avoir de doublon dans sa base de données est… de ne pas en créer.
Parfois le client est à l’origine de la création d’un doublon. Et il est dans ce cas très difficile à détecter (numéro de client oublié, changement de numéro de téléphone, déménagement…). Mais parfois c’est le fonctionnement en silos du système d’information de l’entreprise qui est lui-même créateur de doublons.
De passage en Espagne, entrant dans une boutique Yves Rocher, je présente ma carte de membre afin d’être identifié, de cumuler les points correspondants à mes achats, et de fournir plein de données à analyser à l’enseigne ! Malheureusement il semble que la base de données clients Yves Rocher ne soit pas internationale. La France et l’Espagne ont deux bases de données différentes, et deux programmes de fidélité. Si vous allez régulièrement dans l’une des deux boutiques de Biarritz, puis dans l’une des trois boutiques de San Sebastian (situé à moins de 50 kilomètres), vous devrez sans doute avoir deux cartes, deux numéros de clients, deux historiques d’achat. Pourquoi ? Certainement pour de bonnes raisons : l’organisation de l’entreprise, l’historique des systèmes d’information, etc. Mais en réalité, ce sont toutes de mauvaises raisons. L’effort n’a pas été suffisant pour décorréler la valeur des données, et les contraintes de l’organisation.

« Une base de données bien fondée est essentielle au succès à l’ère de la transformation numérique, de l'intelligence artificielle et de l'apprentissage automatique. Parce que les données sont le facteur concurrentiel central. Avec une base de données de haute qualité, de nouveaux modèles commerciaux peuvent être développés, de nouveaux marchés cibles peuvent être définis et la propre créativité entrepreneuriale peut être convertie en une croissance constante »… ce n’est pas moi qui le dit, mais Uniserv, dans un communiqué dans lequel l’éditeur de logiciel explique que Yves Rocher leur a renouvelé sa confiance, fin 2018, pour gérer la qualité des données.

Yves Rocher est également cité comme référence par Business & Decision, qui explique avoir mené pour le groupe un projet de référentiel : « Constituer un référentiel clientes unique Magasins et Vente à Distance, Construire la Timeline de toutes les interactions avec chacune des clientes (multicanal), Réaliser un algorithme multicanal pour proposer la meilleure offre à chacune des clientes. Business & Decision a accompagné le Groupe Rocher pour l'accompagnement sur l’architecture Data Science, sur le traitement des données, la mise en production (Scoring de 1400 produits / 2 millions de clients / chaque heure) et le traitement des KPI magasins : Construction d’un Data Lab Big Data sous Hadoop Cloudera ; Réalisation du référentiel Clients Unique sous Oracle alimentant le DataLab ; DataViz et réalisation des KPIs Magasins sur Microstrategy (temps de traitement divisé par 20) ; Mise en place d’un moteur de recommandation produits basé sur le Collaborative filtering (taux de transformation dès le premier test terrain multiplié par 1,5) ». Business & Decision ne donne pas de date concernant la réalisation de ce projet, mais il semble en tous cas qu’il ne soit pas à l’échelle du groupe.

Yves Rocher a par ailleurs été épinglé il y a quelques mois par vpnMentor, qui a découvert une faille ayant conduit à l’exposition, seulement pendant quelques heures, des données de 2,5 millions de clients, et de 6 millions de commandes détaillées. Ce n’est pas directement Yves Rocher qui était en faute dans ce cas, mais plutôt l’un de ses prestataires : Aliznet.

Ce que nous devons en retirer en matière de gouvernance des données : La base de données clients doit être unique : la création de silos par pays, par marque, par canal, doit être combattue car elle conduit à la création de doublons, et fait perdre de la valeur aux analyses. Comment dire au client qu’il est unique, quand le même client est obligé d’avoir plusieurs cartes de fidélité ?

Recueillir le consentement : attention aux mots employés !

Ayant donc créé mon doublon et demandé une carte de fidélité supplémentaire, une vendeuse du magasin me propose de remplir un formulaire, sur une tablette, et de fournir un certain nombre de données personnelles. Tout comme moi, vous sentez venir le RGPD…

Excellente nouvelle, Le dernier écran de l’application de collecte de données est consacré au recueil du consentement. Le client doit même signer de manière manuscrite sur l’écran, ce qui est une excellente preuve de recueil du consentement.

En revanche, gros problème sur la manière dont est présenté ce recueil de consentement. Notre vendeuse nous explique en effet que nous devons signer pour « la protection de nos données ». Recueil d’un consentement éclairé pour la collecte, la conservation et l’usage de données personnelles ; versus, recueil d’une signature pour « protéger nos données ». Qui ne signerait pas pour « protéger ses données » ?

La notion de « consentement éclairé » est importante. Le RGPD précise que le consentement donné doit être « libre, spécifique, éclairé et univoque ». Chacun de ces adjectifs est bien entendu sujet à interprétation. Mais on peut se poser la question : le recueil du consentement, debout dans un magasin, après avoir payé ses achats, après avoir rempli un formulaire complet, alors qu’on nous parle de « protection des données », est-il vraiment « libre, spécifique, éclairé et univoque ». Tout est dans l’interprétation bien sûr, mais à mon sens, l’usage du terme de « protection des données » pour justifier le recueil de la signature manuscrite de la personne est équivoque. Pas plus que dans une page web ou une application mobile, le nouveau client ne quittera pas le magasin en ayant réellement conscience de l’avenir des données personnelles qu’il vient de confier à Yves Rocher, et de leur utilisation. Il s’agit très certainement d’une pratique à revoir.

Une simple visite à l’improviste dans un magasin Yves Rocher permet juste de gratter la couche superficielle de la gouvernance de données et de la manière dont l’entreprise la gère. Certains autres aspects de la gouvernance des données sont certainement bien gérés par l’entreprise, mais en quelques minutes, au cours d’une seule interaction, la détection du problème des doublons, et le manque d’éclairage du consentement RGPD sont deux problèmes clairement identifiés.