Diverses motivations peuvent amener une entreprise à ouvrir ses données métier à l’extérieur : recherche de revenus, création ou renforcement de partenariats, contribution à l’OpenData, participation à l’intérêt général (et à l’image de l’entreprise) et, dans les cas extrêmes, renversement du modèle économique par auto-ubérisation. Porteur d’opportunités, un tel projet n’est néanmoins pas exempt d’écueils. Quatre questions et orientations pour gagner du temps et mieux cadrer le débat.

Ouverture des données vers l’extérieur de l’entreprise : 4 questions clés

Payant ou gratuit ? Quelle contrepartie pour l’entreprise ?

Le modèle payant a certes des attraits, transformant le capital Data d’une entreprise en espèces sonnantes et trébuchantes. Il suppose néanmoins de trouver des clients prêts à payer ce nouveau service. La proposition de l’entreprise peut varier entre une offre de données brutes, de données qualifiées, de données croisées et aller jusqu’à un service intégré. La question fondamentale est donc le marché que l’entreprise va trouver : qui va acheter ce nouveau service (et rentabiliser son investissement) ?

Le modèle gratuit propose un certain nombre d’avantages indirects : une meilleure identification du client final, l’ouverture d’un nouveau canal de communication avec lui (on se connait bien, je suis dans ta poche), une meilleure connaissance du client à travers ses comportements de consommation de la donnée, une valorisation de l’image de l’entreprise, une modernisation de l’image du métier et/ou du secteur.

Un dernier critère d’arbitrage payant/gratuit : le ticket d’entrée psychologique tout comme l’exigence de service (disponibilité notamment) sera toujours moins fort sur une offre gratuite que sur une offre payante.

Faire appel à un Tiers ?

L’usage (et donc la valeur) d’une donnée brute est limité par la capacité du consommateur final à l’exploiter. Une bonne façon de valoriser la donnée à moindre coût, tout en limitant le risque, consiste à la mettre à disposition d’un Tiers, voire de plusieurs Tiers qui la valoriseront pour la remettre « clé en main » au consommateur final. C’est par exemple le modèle des agrégateurs de comptes bancaires, qui « consomment » la donnée des différents comptes bancaires d’un client pour lui réexposer l’ensemble des informations dans une seule application, valorisée à travers des services complémentaires (alertes sur seuil avant découvert, classement automatique des opérations).

Le principal avantage pour l’entreprise est de faire porter les coûts (et risques) de développement d’un nouveau service par un tiers externe, dont le cœur de métier et le business model est orienté autour de ce service. Un professionnel de la donnée, surtout en mode start-up, a plus de chances de faire mieux et plus vite qu’une entreprise industrielle.

Le principal risque de cette externalisation est une perte de lien direct avec le client, une désintermédiation qui peut être contrôlée de différentes manières : connexion du client final validé par l’entreprise (qui sait donc qui utilise quoi à quel moment), affichage et valorisation de l’image de la société dans l’application tierce, retransmission d’information par le Tiers…

Quand bien même les contrats avec les tiers seraient bien ficelés, l’entreprise n’aura néanmoins pas pris le temps de développer ses propres compétences internes sur les services de la donnée, premier pas pour devenir « Data driven ».

Tiers de Confiance : jusqu’à quel point ?

La confiance n’exclut pas le contrôle (Lenine). En fait le contrôle exclut la confiance, mais parfois il faut s’y résoudre. Je veux bien ouvrir mes données, mais je dois dans le même temps me prémunir d’une utilisation « abusive » de ces données par des concurrents (espionnage industriel) ou à des fins contreproductives pour mon activité (attaque juridique). La sécurisation de ce risque passe par un encadrement juridique (contrat avec le Tiers), mais aussi par un contrôle opérationnel : authentification des consommateurs de données (utilisateurs ou SI), monitoring des consommations de données pour limiter les risques de scraping par des robots, veille sur la communication réalisée par les tiers…

Et la Privacy dans tout ça ?

Le Règlement Général sur la Protection des Données Personnelles (RGPD), promulgué par la communauté européenne pour une application en mai 2018, a remis au cœur du débat la question de la Privacy. L’entreprise reste responsable, lorsqu’elle ouvre ses données métier à l’extérieur, des principes de respect de la vie privée, et doit donc s’en assurer selon deux cas de figure distincts :

– données destinées à être consultées par le client final : l’entreprise doit s’assurer que c’est bien lui qui consulte les données et/ou qu’il a le droit de le faire, par identification (login/mot de passe) ou vérification d’informations que seul lui peut connaître (Nom + numéro de contrat + autre caractéristique propre)

– données consultées par des tiers (données de masse pour études statistiques) : l’entreprise doit s’assurer que ces données ne comportent pas d’information directement identifiantes (Nom, email, téléphone, adresse en zone d’habitat individuel) ou même indirectement identifiantes (recoupement d’information dans des zones à faible densité de population, « cas de la Creuse »).

Ces risques doivent être étudiés en amont de l’ouverture du service par une démarche de type Privacy Impact Assesment (PIA), permettant d’ouvrir le bon niveau de données dans les bonnes conditions.

En conclusion

A l’ère de la société de la connaissance, la donnée devient le prochain terrain de bataille économique. L’Union européenne pose un cadre, immédiatement plus contraignant, pour réguler un marché émergent. A chaque entreprise de déterminer son envie de développer son chiffre d’affaires sur son propre capital immatériel ou de laisser d’autres le faire à sa place, voire à son détriment.