Données personnelles : comment SFBX cherche à rétablir la confiance

Take Off Emmanuelle Dubourg données personnelles

[L’interview Take Off] Basée à Bordeaux, SFBX est intéressante à plus d’un titre. La jeune entreprise, créée en 2017, travaille sur le sujet des données personnelles. Editrice d’une plateforme de recueil du consentement des utilisateurs, elle rejette le qualificatif de startup et défend une vision à très long terme, mâtinée de pédagogie. Ce long format d’entretien permet à Emmanuelle Dubourg, cofondatrice de SFBX, d’aborder un large éventail de sujet : la méconnaissance du sujet des données personnelles par le grand public, le début de prise de conscience occasionné par les confinements, la maturité encore incomplète du marché…

Dès lors que l’on parle de données personnelles, il est difficile d’éviter les discours très tranchés. Cette tension cristallisée autour des cookies publicitaires a été, à nouveau, mise en lumière récemment. En avril, avec la fin de la tolérance de la CNIL française, des internautes ont vu avec stupeur des « cookies wall » s’afficher sur certains de leurs sites web préférés. Au choix : débourser deux euros ou accepter de livrer ses données personnelles. Cet épisode illustre encore les tâtonnements autour du sujet. A Bordeaux, une jeune entreprise s’est emparée du sujet. Créée en 2017 sous le nom de Chandago par Emmanuelle Dubourg et Bruno Delcombel-Delbos, elle s’est depuis rebaptisée en SFBX (pour safebox). Sa mission : proposer des outils permettant aux éditeurs de contenu de « rétablir la confiance » avec leurs utilisateurs.
SFBX ne ménage pas sa peine pour faire évoluer le marché, érigeant en vertus cardinales la pédagogie, la sensibilisation et l’expérience utilisateur au service de la compréhension. Sans angélisme ni volonté de stigmatiser, Emmanuelle Dubourg dresse dans cette interview le portrait d’un marché qui apprend, tout simplement. 

Vos clients sont très différents : de Bouygues au Gorafi en passant par La Chaîne Météo. Comment se positionne SFBX ?

Emmanuelle Dubourg : Trois ans et demi après la création de la société, nous sommes 13 au sein de SFBX. Notre premier produit est BtoB, il s’agit d’une consent management platform pour gérer le recueil du consentement des internautes, des mobinautes et aussi des utilisateurs de box TV, de manière transparente et sécurisée via une blockchain. Il faut savoir que le Règlement européen pour la protection des données (RGPD) ne s’applique pas qu’aux sites internet, il concerne aussi les applications mobiles, les objets connectés, les plateformes d’échanges de dossiers médicaux… et aussi aux box TB. Tous les canaux digitaux qui collectent de la donnée personnelle, et toutes les données personnelles, sont concernées, pas uniquement celles qui ont une utilisation publicitaire. 

En 2018, la consent management platform s’adressait principalement aux grands comptes et notamment aux médias. Ce sont eux qui ont le plus gros trafic utilisateurs et ce sont eux aussi qui sont les plus gros consommateurs de données personnelles puisque leur modèle économique depuis dix ans n’est plus celui de l’abonnement – ce qui est très bien- mais celui de la publicité, et plus particulièrement la publicité ciblée. Pourquoi je dis que c’est très bien ? Parce que dans les années 90, pour avoir un panel d’informations assez large, il fallait acheter plusieurs journaux ou s’y abonner, et tout le monde n’en avait pas les moyens. Avec Internet l’accès à l’information s’est démocratisée et a réduit les inégalités. Il ne faut pas le sous-estimer, et c’est un sujet très important pour SFBX : l’égalité face à l’information, ou face au service. 

Vous plaidez pour un vrai dialogue entre toutes les parties ?

Notre positionnement n’est pas de travailler à maintenir les revenus du marché, ou d’asséner à l’utilisateur : « faites attention, les cookies c’est méchant ». Il est de dire que les différents acteurs ne peuvent pas vivre les uns sans les autres. Il y a le régulateur, il y a le marché qui utilise les données, mais il y a aussi l’utilisateur qui s’est habitué depuis 20 ans à avoir une qualité de service importante. Le RGPD n’est pas là pour qu’on se regarde en chiens de faïence mais au contraire pour rétablir le dialogue et la confiance entre ces trois acteurs.

Il est illusoire de croire que l’utilisateur pourra régler tous les services dont il a besoin. Tout le monde ne pourrait pas se payer une boîte mail à 15 euros par mois, par exemple. Internet a permis une égalité d’accès aux services. En face, le média a besoin d’audience pour vendre ses espaces de pub, maintenir ses revenus et créer du contenu de qualité. Sans le consentement de l’utilisateur, il devra dégrader le service proposé, ce que l’utilisateur ne comprendrait pas. Le RGPD n’est pas une loi contraignante mais un outil pour que chacun puisse se responsabiliser et se respecter. Un des effets bénéfiques a été de ramener les médias vers plus de qualité. 

« Il faut arrêter de dissocier vie réelle et vie digitale »

Pourquoi SFBX s’est-elle aussi tournée vers les commerçants ?

Aujourd’hui, le sujet a dépassé le seul cadre des médias et des grandes entreprises. Un exemple : lorsque les commerces ont mis en place le click & collect lors du premier confinement, beaucoup se sont rendu compte qu’il était facile de créer un site. En revanche, ils ont pu appréhender le RGPD comme quelque chose de compliqué. Tout notre positionnement, c’est au contraire d’expliquer que non, ce n’est pas difficile à mettre en place. Mieux : la protection des données personnelles peut être un véritable atout, montrant que l’enseigne respecte ses clients en boutique comme sur le web. Le premier confinement nous a donc amené à réaliser un petit pivot avec le lancement d’un second produit, destinés à ces commerces. Sans abandonner notre offre grands comptes bien sûr.

Qu’as-tu jugé signifiant lors de ce premier confinement ? Quelles étaient les inquiétudes de ces commerçants ?

L’inquiétude était double et il a fallu beaucoup rassurer. Certains commerçants se disaient qu’ils n’avaient pas les moyens de faire face à une amende de la CNIL s’ils contrevenaient au RGPD. Nous avons aussi relevé la notion de réputation, très importante aux yeux de nombreux commerçants. Leur réflexion était la suivante : je propose un service très qualitatif en magasin, je dois donc proposer le même respect de la clientèle sur mon site internet, sans décalage. Au sein de SFBX, nous maintenons qu’il faut arrêter de dissocier vie réelle et vie digitale. C’était possible dans les années 90 puis 2000, ce n’est plus possible aujourd’hui. Il y a une grande porosité, il faut donc sensibiliser les gens à cela. La sanction ne sert à rien seule, sans explications. 

AppConsent, la plateforme de recueil de consentement développée par SFBX, s’adapte à tous les cas d’utilisation

Qu’est-ce qui différencie SFBX de ses concurrents ?

Une vision très long terme et un attachement fort à l’expérience utilisateur. Cette dernière est primordiale à nos yeux. Nous sommes sur des sujets complexes qui nécessitent beaucoup de pédagogie et de sensibilisation. L’expérience utilisateur, ce n’est pas juste définir les dimensions d’un bouton et sa couleur : c’est aussi savoir expliquer, sans faire peur avec une masse de texte affichée frontalement, par exemple. Tous nos produits ont été conçus ainsi, de même que notre technologie. Si nous avons choisi la blockchain, ce n’est pas parce que c’est un sujet à la mode mais parce qu’elle amène, de par sa nature, une relation de confiance. 

Il faut bien comprendre que le consentement n’est pas clair pour beaucoup. Les gens ne comprennent pas ce qu’il implique réellement ou n’ont pas l’impression qu’il est vraiment respecté. Pour eux, il y a toujours de la pub : ciblée, pas ciblée, ils n’ont pas l’impression qu’elle leur parle. Ils ont seulement le sentiment qu’elle les agresse, exactement comme dans les années 90 où les gens se sentaient agressés par les panneaux en 4×3 partout dans les villes et qui constituaient une pollution visuelle. La blockchain nous permet de prouver, démontrer et permet donc de rétablir la confiance.

L’autre aspect qui nous différencie, c’est l’impact environnemental. Nous sommes en 2021 : on ne peut pas construire un outil, une plateforme technologique, comme on le faisait il y a 10 ou 20 ans. La blockchain comme nos produits ont donc été montés en minimisant leur impact environnemental et énergétique. Collecter de la donnée, oui, mais le minimum nécessaire, diminuant ainsi le coût du stockage et son empreinte. On sort de la stratégie de la boulimie de la donnée, qui a été le modèle dominant pendant plusieurs années.

« Les générations connectées utilisent machinalement les outils digitaux sans se poser la question des implications »

La « culture générale » autour de la donnée reste à construire dans l’esprit de tous les citoyens. Vois-tu des progrès ou le sujet reste-t-il trop vague ?

On pourrait avoir l’impression que les générations connectées ont une culture de la donnée plus forte. En fait, c’est faux : elles utilisent machinalement ces outils digitaux, sans se poser la question des implications. La génération née avant Internet voit ça différemment : à l’opposé, elle a appris à protéger ses données, elle est un peu parano, mais sans bien comprendre le système. Dans les deux cas, on constate des peurs et une perte de confiance.

La génération qui a grandi avec les réseaux sociaux fait un amalgame autour de la vie privée. Dans la vie réelle, elle demande à ce que sa vie privée soit respectée mais dans le même temps, elle livre énormément d’informations sur les réseaux sociaux qui sont poussées à la vue des autres internautes. A chacun de limiter ce qu’il dit, ce qu’il publie, dans la vie réelle comme sur le web. L’utilisateur veut qu’on lui parle, correctement, sans qu’il ait à tout révéler sur lui. Dans la vie réelle, il a appris à protéger certaines informations personnelles : il doit apprendre à faire de même dans la vie digitale.

SFBX a calibré sa stratégie pour s’inscrire dans un temps long. Aussi noble qu’il soit, ce choix génère rarement des retombées économiques rapides, pourtant nécessaires. Dans le même temps, l’entreprise consacre beaucoup de temps à faire de la pédagogie. Comment conciliez-vous ces différents aspects ?

Le modèle économique et la stratégie financière de l’entreprise doivent être montés différemment si on est sur un mode startup avec une prise de marché très rapide ou si l’on mise sur le temps long et le respect de ses valeurs, de sa propre éthique. Souvent, on nous dit que SFBX a manqué le marché de la content management platform parce qu’un de nos concurrents français a grappillé beaucoup de grands comptes. C’est vrai, mais avec un positionnement très court-termiste et sans inclure le tryptique régulateur / marché / utilisateurs. De notre côté, on a fait le choix d’une certaine exigence, quitte à refuser des clients quand nous n’étions pas alignés. C’était prévu et inclus dans notre stratégie financière initiale.

Nous avons levé un montant assez important, 4 millions d’euros, très tôt dans l’histoire de SFBX pour pouvoir soutenir cette idée de temps long et d’éducation. Sur ce sujet, on ne peut changer ni d’opinion, ni de stratégie tous les cinq ans. Rétablir la confiance entre toutes les parties prenantes prendra du temps : ce n’est pas en entretenant de mauvaises pratiques de marché qu’on y arrivera et l’internaute gardera le sentiment d’être une vache à lait. 

Les gens, dans leur immense majorité, ne comprennent pas ce qu’est une donnée personnelle. Lorsqu’ils font une recherche sur Google, ils ne savent pas que cet acte, recoupé avec d’autres éléments, devient une donnée personnelle, par exemple. Si Google, Amazon ou Facebook sont devenus si gros, c’est parce qu’on leur a donné beaucoup d’informations ainsi. Google connaît mieux votre vie en un mois, que la personne que vous venez de rencontrer même si vous la voyez tous les soirs ! Faire peur ne sert à rien, il faut encourager la connaissance et la responsabilisation.

Le consentement, c’est autant dire oui que dire non

Au-delà du RGPD, la CNIL a publié en octobre 2020 des lignes directrices sur les cookies et traceurs. Depuis le 1er avril, sites et applications doivent s’être mis en conformité. Quel bilan tires-tu de ces initiatives ?

Déjà, il faut rappeler que le consentement existe depuis la loi Informatique et Libertés de 1978, le RGPD n’a fait que le recontextualiser avec les nouveaux usages. Pendant 20 ans, le marché n’a pas été très contraint, la CNIL intervenait peu. Le RGPD a permis une harmonisation européenne en 2018, mais ce n’est que le début, il doit être complété par le texte « e-privacy » porté par le Portugal et d’autres pays européens, qui est en cours de signature. Cela montre bien que la protection des données personnelles est devenue un sujet géopolitique et pas juste un problème de publicité et de revenus.

Les bases posées par le RGPD, la CNIL n’a fait qu’appuyer des préceptes que le marché avait du mal à accepter. Pas par mauvaise volonté mais parce que ça bousculait fortement leur modèle économique, déjà fragilisé par le Covid. On a tendance à penser qu’un média est riche : ce n’est pas vrai. Créer du contenu de qualité, ça coûte très cher et ce n’est pas l’abonnement qui compensera, seul, le travail d’un journaliste. La CNIL imposait de mettre au même niveau les boutons Accepter et Refuser les cookies, puisque le RGPD stipule qu’on doit pouvoir donner comme retirer son consentement avec la même facilité.

Ce qu’on oublie dans la vraie vie et qu’on oublie aussi sur le web, c’est que le consentement, c’est autant dire oui que dire non ! Je pense même que dire non est plus important que dire oui. Pourquoi l’internaute a dit non ? Parce qu’il n’a pas compris ? Parce qu’il n’a pas confiance en ma marque, mon positionnement, auquel cas je dois les revoir ? Parce que le service ne l’intéresse pas du tout et qu’il dit non à tout ?

Certaines entreprises ont fait le choix du « non » rapidement. Elles ont installé le bouton « Tout refuser » très rapidement et ont voulu apprendre. Oui, ça baisse à court terme le taux de consentement mais c’est pour mieux le remonter plus tard et fidéliser mon audience.

La 2e école, c’est celle du cookies wall. Elle considère que son contenu est assez qualitatif et que sa relation avec l’utilisateur est assez présente pour que l’utilisateur n’ait pas d’autre choix que de dire oui. Pourtant, le RGPD exclut le cookies wall. Le réglement dit que le choix de l’internaute détermine ensuite l’utilisation ou non de cookies et traceurs, mais ne doit pas conduire à dégrader l’expérience utilisateur si le non est choisi. Et le texte sur l’e-privacy porté par le Portugal l’interdit.

Certains acteurs français de cette « 2e école » ont mis en place un cookies wall laissant deux choix : accéder à leur site sans cookie publicitaire (mais avec malgré tout des publicités) pour 2 euros pendant un mois, ou accéder au site gratuitement en acceptant les cookies publicitaires. Cette initiative a été très mal accueillie…

Parce qu’elle est disproportionnée. D’autant plus que certains avaient toujours proposé des services gratuits. Votre donnée ne vaut pas deux euros.

Capture d’écran du site Allociné, qui impose un « cookies wall »

C’est du cynisme de leur part ? Ou une confiance inébranlable en le fait que beaucoup d’entre nous se sont habitués à cliquer sur le bouton Accepter sans réfléchir, simplement pour obtenir le service recherché le plus rapidement possible ?

Il y a de ça. Il y a aussi une distance entre les sociétés qui créent ce type de cookies wall et leur audience. Ils ne se comprennent pas car il n’y a plus de boîte de dialogue. L’utilisateur attend un contenu qualitatif et gratuit, je suis d’accord. Les producteurs de contenu se sont habitués à avoir beaucoup d’audience, peu importe la qualité de leur contenu. Il faut juste retrouver le bon équilibre entre les attentes des uns et des autres. Ces cookies wall sont pour le moment tolérés par la France. On va voir prochainement s’ils sont considérés comme disproportionnés par la CNIL, auquel cas il y aura des sanctions, et quelle sera la réaction des internautes, qui n’aiment pas être contraints et qui pourraient arrêter de visiter ces sites. Ce qui leur coûtera le plus cher, probablement, ce sera les dégâts sur leur réputation et les investissements nécessaires en communication pour rétablir une relation de confiance.

« Apporter des explications ne suffit pas : il faut montrer aux utilisateurs des cas d’usages »

Vu de l’extérieur, la France me semblait assez isolée au niveau européen. Mais ton avis est différent ?

Les médias français parlent essentiellement de ce qui se passe avec la CNIL en France parce que ça les préoccupe, et parce que chaque CNIL en Europe a autorité en local pour mettre en place les modalités d’application dans son pays. Il y a des sensibilités différentes à l’intérieur de chaque pays, même si le RGPD est au final appliqué partout. Historiquement, la France est un pays qui soutient énormément ses médias, et le sujet RGPD lui a été intimement lié. L’Allemagne est plus attachée au thème de la donnée personnelle sur les réseaux sociaux, dont le travail de la CNIL allemande est plus tournée vers ce domaine. L’Italie et l’Espagne se sont plus tournées vers le respect des données personnelles des collaborateurs au sein même des entreprises. Le Portugal, lui, se fait fer de lance du rétablissement de la relation de confiance.

On a l’impression que chaque pays joue pour lui mais non, il y a une vraie harmonisation européenne et cette vision commence à être partagée ailleurs. Le Canada est en train d’adopter un texte similaire au RGPD, la Californie, le Japon, le Brésil s’en inspirent pour mettre en place une économie mondiale de la donnée.

Grâce au dashboard intégré à AppConsent, les taux d’acceptation, refus ou mixte sont visibles en temps réel, par site, par application, par finalité

Au sein de SFBX, vous aviez envisagé le lancement d’un produit ouvert au public, avant de freiner au regard du contexte sanitaire. Pourquoi avoir différé ?

Nous avons effectivement développé une plateforme de centralisation des données personnelles permettant à l’utilisateur de tout regrouper et de choisir avec qui il partage de la donnée, quel type de donnée et pour quel usage, durant quelle temporalité, etc. Elle va dans le sens de la responsabilisation des internautes. Lorsqu’on a commencé à développer cette plateforme, on s’est rendu compte comme dit tout à l’heure, en faisant beaucoup de tests utilisateurs, que les plus jeunes générations maîtrisaient les outils numériques mais pas les rouages, les conséquences. On les pensait, à tort, beaucoup plus matures et responsables sur le sujet. On imaginait aussi qu’avec la mise en place du RGPD, la communication du gouvernement serait plus présente et que la sensibilisation serait davantage prise à bras le corps, notamment dans les écoles.

Créer l’application correspondant au niveau de maturité des utilisateurs potentiels nous a donc pris beaucoup plus de temps. Il nous a fallu y inclure beaucoup plus de pédagogie que prévu avec aussi un gros travail sur l’expérience utilisateur. Apporter des explications ne suffit pas, dans ce cas de figure : il faut montrer aux utilisateurs des cas d’usages, réaliser des supports pédagogiques… Nous avons donc complètement repensé notre outil. Quand nous l’avons sorti en 2019, la crise du Covid est arrivée et il y a eu un amalgame énorme entre les données de santé, les données personnelles, les données publicitaires, le traçage, la géolocalisation et tous types de données finalement. En fin de compte, nous ne laissons pas tomber, au contraire. Mais nous avons différé pour poursuivre la création d’éléments informatifs et mettre en place également des outils BtoB de sensibilisation. 

« Gardons à l’esprit que le marché de la donnée est en train de se structurer »

Vous aviez trouvé un modèle économique pour cette plateforme BtoC ? Car faire de la pédagogie, ça coûte cher…

Une application payante pour l’utilisateur, au regard du sujet, c’est inenvisageable. Ce serait un frein au téléchargement. Nous avons donc choisi de passer par le BtoB pour continuer à sensibiliser les utilisateurs. Si les gens comprennent quels sont les enjeux grâce aux bandeaux de consentement sur les sites, ce sera une belle avancée. On l’a vu lors du premier confinement. Beaucoup de sites se sont dits qu’ils n’appliqueraient pas le RGPD, sauf que ce sont les utilisateurs qui ont passé plus de temps devant leur ordinateur et qui ont fini par se dire : je ne comprends pas tout mais je saisis bien qu’il y a un sujet avec mes données personnelles. C’est le premier pas vers la compréhension et la responsabilisation.

Le modèle que nous envisageons à terme est le suivant : l’utilisateur de l’application décide ce qu’il partage et avec qui. C’est l’annonceur ou le publicitaire qui, en face, a besoin de la donnée qui paiera SFBX. Nous, nous serons l’unique intermédiaire qui les mettrons en contact. En soi, c’est déjà une petite révolution car aujourd’hui, il y a de nombreux intermédiaires entre le visiteur d’un site et l’annonceur. Il faut ré-inclure dans la chaîne de valeur celui qui fournit sa donnée et lui reverser une partie de la valeur créée. On ne parle pas forcément de gains financiers : la rétribution, ce peut être du service ou du contenu supplémentaire par exemple.

Il reste une question qui n’est pas encore réglée, c’est celle de la paternité de la donnée. Mais c’est un des sujets de travail de la CNIL en 2021. Gardons à l’esprit que le marché de la donnée est en train de se structurer. Entre l’apparition de la voiture grand public, le Code de la route et la ceinture de sécurité obligatoire, il s’est passé 30 ans. On vit la même chose actuellement.

Contrairement à de nombreuses startups, SFBX a toujours été très discrète, en particulier dans les médias. Vous vous tenez à l’écart des stratégies de growth hacking. Quelle est votre stratégie ?

On ne s’assimile pas à une startup, pour commencer. Communiquer pour communiquer, ça ne nous intéresse pas : la finalité est de communiquer intelligemment. Notre stratégie a été de cibler de très gros clients dès le début, ce qui nécessite un gros effort de qualité et d’engagement. Nous voulons nous positionner comme référent de façon à faire changer les comportements de chacun par la pédagogie. Quand on communique, c’est sur un retour d’expérience prouvable, démontrable, qui pourra faire avancer le marché. 

« Une levée de fonds est un acte qui peut être plus détériorant que constructif »

Cibler des gros clients, faire puis prouver sont deux ingrédients de votre recette. Quels sont les autres enseignements, les réussites ou les échecs que vous pourriez partager ?

Mon associé Bruno et moi étions au début très confiants dans notre positionnement et dans l’impact rapide du RGPD. Trop, sans doute. Nous n’avons pas su appréhender dès le début les peurs et la maturité lente du marché. Comme on n’est ni bons communicants, ni bons commerciaux, cela nous a sans amené à bousculer le marché. Aujourd’hui, les clients du début mais aussi ceux qui nous avaient répondu non nous disent qu’on avait une certaine forme de radicalité, et qu’on avait sans doute raison un peu trop tôt. En levant 4 millions d’euros au début de l’histoire de l’entreprise (prise de participation majoritaire de Maurice Lévy, ancien président du directoire de Publicis, NDLR), on s’était dit qu’on ne ferait pas de concessions. Faire une levée de fonds de ce type dès la première année amène le confort de pouvoir suivre sa stratégie mais il y a toujours la pression de démontrer derrière. Lever si rapidement peut être un boulet : « Vous aviez 4 millions dans les mains dès le début, qu’est-ce que vous en avez fait ? »

Il faut faire très attention aux levées de fonds car pour quelqu’un qui n’est pas assez bien dans son projet, pas assez structuré, c’est un acte qui peut être plus détériorant que constructif. Ce n’est pas un achèvement, c’est une étape qui doit amener à passer des paliers. Ce n’est pas non plus de l’argent dans les poches des fondateurs. On a eu ce problème au début, même en interne : la levée est mal comprise. Il a fallu expliquer que les fonds allaient dans les caisses dans l’entreprise pour la structurer, et que ce n’était pas un enrichissement des dirigeants. C’est de l’investissement, qui permet de créer des emplois, de développer des entreprises qui paient des impôts… 

SFBX est une société innovante mais pas une startup ?

Monter une société ou une startup, ce n’est pour nous pas la même chose. Pour Bruno et pour moi, SFBX, c’est un projet d’une vie, un projet de 20 ans. Ce n’est pas la même vision que celle d’un serial entrepreneur qui va monter une entreprise, la faire monter très vite puis la revendre pour créer une autre société. Je ne dis pas qu’un système est mieux que l’autre : ça dépend des attentes du créateur.


Les précédentes interviews Take Off

Take Off Ghost

Comment Geosat concilie hyper croissance, prudence et audace

donnée_data_analytics

Pourquoi AT Internet fusionne avec Piano

Lucine

Lucine : « Le nombres d’acteurs des thérapies digitales explosent »

Après avoir levé 20 M€, quel futur pour Tehtris ?

Treefrog Therapeutics, la philosophie derrière la rupture technologique (Jean-Luc Treillou, Maxime Feyeux et Kevin Alessandri)

« Les réseaux sociaux vont vers une guerre de la précision de la donnée » (Stéphanie Laporte, Otta)

Synapse Medicine lève 7 M€ pour contrer les risques médicamenteux (Clément Goehrs, CEO de Synapse Medicine)