N°C3
Les données numériques :
quels enjeux ?
26
èmes
Rencontres du Risk Management | AMRAE 2018
1
2
PARTIE 1
QU’EST-CE QUE LA DATA SCIENCE ?
QUE FONT LES DATA SCIENTISTS ?
Denis Coutrot
Data Science VP at Transdev
denis.coutrot@transdev.com
Data science ?
3
Data science ?
4
[Big] Data science ?
5
Data science
@Transdev?
La gestion de la mobilité est un challenge
Data science
@Transdev?
Des milliards de données chaque jour
Data science
@Transdev ?
16/11/2017 8 La mobilité devient customer centric
La data: une transversale de l’entreprise
Le data scientist
un mouton à cinq pattes ?
16/11/2017 10
Cas: satisfaction client
SuperShuttle USA
Comprendre les attentes de
nos clients
•Des niveaux de satisfaction très élevés / une concurrence
féroce
•1 272 847 questionnaires de satisfaction pour
comprendre les + et les – du service
•Aller dans les détails grâce au Machine learning /
Random forest
•… et 48h de run
Résultats
16/11/2017
Organisation et
méthodes
16/11/2017
1. Business process & Reporting
2. Data collection to feed &
measure a process and improve
performance
A business question looking
for an answer
through data exploration
Data / Big data
BI (Business Intelligence) Data Science
Unstructured data
ex: Text, Facebook comments, real
time logs
Large volume of measured data
structured at low cost
ex: Km, liters, temperature
Few Data highly structured
with high cost of production
ex: Financial data, tasks, mgt model
16/11/2017 16
Ethique et risques
16/11/2017 17
Des données invasives
Accountability
(Not so) Open Data ?
Cyber securité
18
PARTIE 2
DATA & ASSURANCE
Paul Sterckx
AIG
Directeur des Risques Financiers et Responsabilités
Internet des Objets – Faciliter la Vie
19
Internet des objets
20
« The Journey »
Risque inconnu estimé - mutualisation Contrôlé du risque immédiat et connu
Réduire l’impact financier du sinistre Réduire la probabilité du sinistre
Product centric Customer centric
Insurer centric Network centric – Partenariats
Paiement des sinistres/Gestion Atténuation (mitigate) & prévention du
de la volatilité risque
21
Les challenges
a) Le mariage entre big data et assurance:
54% 50% 47% 47% 46% 36%
Source: Utilisation de nouvelles sources de données par secteur: E&Y, IoT in Insurance
b) La disruption par de nouveaux entrants:
1. Assurtech:
i) 43% des compagnies intègrent dans leur stratégie les assurtechs MAIS,
ii) seulement 28% ont investi dans des partenariats avec ces startups;
2. Les géants du numérique → nouveaux concurrents?:
i) Amazon Protect → garantie de dommage accidentel et vol des produits achetés disponible en ligne;
ii) Contrats GAFA? > les géants du digital & assurance.
Retail
Automotive
Transport Banques Télécom
Assurance
22
Les challenges (cont.)
c) Gouvernance des données: plusieurs enjeux
i) la qualité des données utilisées - l’interprétation des données – Trump vs. Clinton
ii) mesures de sécurité (cyber);
iii) utilisation transparente des données afin de garder la confiance des clients l’assureur BIG Brother;
iv) Respect des réglementations/lois définissant l’usage/le partage des données (ex.: GDPR);
d) La fin du modèle de mutualisation (pooling)?:
Plus d’informations sur le profil des assurés > ciblage des clients à faible risque?
Plus difficile de trouver une garantie pour certains segments de clients vulnérables (jeunes conducteurs (assurance auto)) →
risque de baisse du niveau de mutualisation et solidarité entre assurés.
23
Les opportunités
a) Les assureurs possèdent déjà la masse de données clients → atout maître → objets connectés + masse de données +
exploitation de ces données = nouveaux produits/services personnalisés (blockchain);
b) Création de nouveaux profils/rôles avec de nouvelles compétences: Directeur digital/ data scientiste;
c) Nouveau modèle relationnel avec les clients > nouveaux canaux automatisés pour développer une relation continue;
d) Un nouvel éco-système: partenariat avec des assurtechs ainsi qu’avec les acteurs de l’internet des objet > accepter qu’une
partie du know-how se trouve en externe;
e) Optimisation des opérations: nouveaux dispositifs (fitbit – boîtes noires (la télématique)) > nouvelles données > tarification
plus adaptée et efficace + une meilleure gestion/prévention des risques;
f) Meilleure gestion des sinistres: plus rapides – prioriser les sinistres selon leur complexité; meilleur « loss control »;
g) Segmentation plus fine > actions targeting plus ciblées;
24
Les Risques
a) Le respect de la vie privée:
b) La Question de la Responsabilité - Le dilemme éthique:
Durant les secondes précédant un accident, un véhicule autonome devrait- il faire
tout ce qu’il peut pour protéger ses passagers, même si cela implique de causer
du tort à d’autres automobilistes ou piétons ?
Responsabilité de QUI? Le constructeur automobile ?
Qui est responsable pour un risque de catastrophe en cas de défaillance de ces objets?
25
Les Risques
c) Le Cyber:
- De leur nature, les objets connectés et les données qu’ils produisent sont très susceptibles d’être l’objet d’une attaque cyber;
- L’impact d’un incident cyber sur le prix d’une action: une baisse en moyenne de 1,8%;
- 2/3 des entreprises victime d’un incident cyber > recul de leur cours boursier;
- Plan d’action:
a) Augmenter le budget sécurité cyber: actuellement à environ 5% en moyenne du budget total IT;
b) Vulgariser le risque cyber en tant que risque majeur auprès du Comex;
c) Considérer le risque comme un risque opérationnel ET organisationnel: pas uniquement un risque technique.
- Exemple d’un incident cyber impactant plusieurs polices d’assurance:
26
Cyber – Types de sinistres
27
Cyber – Segmentation par Industrie
28
29
PARTIE 3
Les données Numériques : quels
enjeux juridiques ?
Eric A. CAPRIOLI
Avocat au Barreau de Paris
Docteur en droit
Membre de la délégation française aux Nations Unies
Vice-Président du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN)
Données
confidentielles par nature
secret professionnel, secret
bancaire, secret des
données de santé, etc.
Données confidentielles du
fait de leur traitement
Données à caractère
personnel
Données confidentielles du
fait de leur valeur
Fichier client, savoir faire,
etc.
Informations protégées
Droits de propriété
intellectuelle
Confidentialité : élément
de la sécurité applicable
de l’émission de la
donnée jusqu’à son
archivage (ISO 27001)
Le patrimoine informationnel, c’est quoi ?
Données numériques : quels enjeux juridiques ? 08/02/2018 30
Fuite critique massive : espionnage ciblé, vol
organisé de supports… (ex : Advanced Persistent
Threats/APT)
Fuite critique volontaire : détournement
d’informations par un salarié, etc.
Fuite involontaire : session non fermée,
ouverture de mails ou de pièces jointes
contenant un malware, etc.
Quels sont les risques d’atteintes ?
Données numériques : quels enjeux juridiques ?
08/02/2018 31
Quels sont les risques d’atteintes ?
Secret
professionnel
Secret de
fabrique
Atteintes
aux STAD
Vol, recel
Abus de
confiance
Contrefaçon
Concurrence
déloyale
Usages des
ressources par
les salariés et
responsabilité de
l’employeur
Secret des
correspondances
Vie privée
Données numériques : quels enjeux juridiques ?
08/02/2018 32
•Consentement préalable
•Obligation pour le responsable de traitement d’assurer
la sécurité des DCP (art. 34)
Un sous-traitant qui doit présenter des garanties
suffisantes (art. 35)
•Une obligation de notification des violations DCP à la
charge des seuls opérateurs de communications
électroniques (art. 34 bis)
•Sanctions administratives (CNIL) Jusqu’à 3.000.000 €
depuis la loi pour une République numérique et pénales
(articles 226-17 et 226-17-1 du Code pénal)
•Loi du 6 janvier 1978 modifiée dite « Informatique et Libertés »
Protection des DCP : loi « Informatique et Libertés »
Données numériques : quels enjeux juridiques ?
08/02/2018 33
CA de Paris, le 12 mai 2016 a invalidé le licenciement disciplinaire d’un salarié qui avait,
en contradiction avec la charte informatique, adressé de son poste professionnel vers
son email personnel 3 messages contenant 5 pièces jointes non chiffrées des documents
professionnels classifiés « confidentiel ». Fuite découverte avec le DLP.
Le système n’avait pas seulement pour objet la sécurité du SI mais également le
contrôle de l'activité des salariés et qu’il s’agissait d'un « changement de finalité du
contrôle caractérisant une modification substantielle du filtrage et de la collecte
d'informations », changement nécessitant une déclaration modificative auprès de la
CNIL. En l’absence de cette déclaration et d’une information du comité d'entreprise, les
données collectées au moyen de cet outil constituent des preuves illicites qui doivent
être écartées des débats.
La charte informatique doit aussi prévoir l’utilisation de ce type d’outil
DLP : De la protection contre les fuites d’informations au contrôle de
l’activité des salariés
Données numériques : quels enjeux juridiques ?
08/02/2018 34
•Une obligation de sécurité
renforcée
Accountability
Politique de sécurité)
Analyse d’impact
La notification des
violations de DCP pour
tous les secteurs
•Des sous traitants impliqués
dans les exigences de sécurité
Données numériques : quels enjeux juridiques ?
Règlement européen :
les nouvelles obligations
08/02/2018 35
Les mesures à prendre : 3 axes
complémentaires
Communication
Juridique ET
Conformité
Technique/Sécurité
Organisation
Données numériques : quels enjeux juridiques ? 08/02/2018 36
•Le pouvoir de direction de l’employeur
•Le respect des critères « informatique
et liberté » : loyauté, transparence et
proportionnalité
•Une information des personnels
•Un formalisme à respecter
•Assurer effectivement la sécurité du SI
: Contrôle statistique vs. Contrôle
nominatif
Juridique : le contrôle de l’activité
A défaut, un contrôle et une sanction invalidée
Données numériques : quels enjeux juridiques ?
08/02/2018 37
•Le producteur de la base de données est protégé par le droit d’auteur (art.
L. 341-1 et suivants du CPI) :
–originalité de son organisation, classement, tri, extraction
–Droit sui generis : moyens humains et financiers pour la développer.
•Le producteur peut interdire (sauf exceptions) : l'extraction, par transfert permanent
ou temporaire de la totalité ou d'une partie qualitativement ou quantitativement substantielle du
contenu d'une base de données ; La réutilisation, par la mise à la disposition du public de la totalité
ou d'une partie qualitativement ou quantitativement substantielle du contenu de la base,
•La base est le contenant qui doit être distingué des données contenues,
lesquelles peuvent être (ou pas) protégées.
Protection des bases de données par le CPI
En cas de violation : action en contrefaçon (L.343-4 CPI)
Sanctions : 3 ans de prison et 300.000 € d’amende (plus élevée si en bande
organisée)
Données numériques : quels enjeux juridiques ?
08/02/2018 38
PSSI
Contrat de travail
Politiques (« informatique et
libertés », confidentialité, gestion
des logs, conservation des messages
électroniques, Gestion des accès,
etc.).
Règlement intérieur
Procédures écrites d’intervention
(intervention sur poste, accès aux
logs, transmission des droits,
d’information en cas d’usage
présumé non conforme, etc.).
Procédures d’alerte
Charte informatique
Données numériques : quels enjeux juridiques ?
Une stratégie globale, pluridisciplinaire
08/02/2018 39
Transposition anticipée : Une tentative
avortée avec la loi Macron
•L’échec des multiples propositions du
député Bernard Carayon
•Adoption de la directive le 8 juin 2016 sur la
protection des savoir-faire et des
informations commerciales non divulgués
(secrets d'affaires) contre l’obtention,
l'utilisation et la divulgation illicites.
•Les données protégées devront faire l’objet
d’un marquage.
•En attente de la transposition
Et demain, l’atteinte au secret des affaires
Données numériques : quels enjeux juridiques ?
08/02/2018 40
En synthèse
41
Et l’avenir ?
42
« Le monde de demain
sera gouverné par des
hommes qui s'appuieront
sur des analyses fines et
spécifiques de ce Big
data. Potentiellement,
celui d'après-demain
pourrait être gouverné
par des machines qui
auront créé assez de
data décisionnelle et de
retour d'expérience
étayé pour décider en
autonomie. »
Les Echos
Avez-vous des questions ?
?
?
?
?
?
?
?
?
08/02/2018 43
44
MERCI DE VOTRE ATTENTION !
AVANT DE PARTIR , N’OUBLIEZ PAS DE REMPLIR
L’EVALUATION !
Soit sur la feuille, à remettre à l’hôtesse à la sortie
Soit directement sur la WEB APPLI
Merci : vous participez à l’objectif ZERO PAPIER !
Les slides seront en ligne dès la semaine prochaine sur
www.amrae.fr
Atelier C3 : Les données numériques : quels enjeux ? - Février 2018
Atelier C3 : Les données numériques : quels enjeux ? - Février 2018