Comment les données clients sont-elles protégées ?

Usage durant les missions, destruction ou stockage en fin de projet, réutilisation dans des engagements ultérieurs : les cabinets livrent les règles auxquelles ils s’astreignent pour veiller sur les données des clients.

Benjamin Polle
28 Jan. 2022 à 13:00
Comment les données clients sont-elles protégées ?
Adobe Stock.

Dans le conseil en stratégie, on ne rigole pas avec les données des clients. Les failles mettent violemment à mal la promesse de confidentialité que les cabinets font à leurs clients. Les antécédents sont peu nombreux, mais ils existent.

Les leaks qui font tâche

C'est le cas de Deloitte, dont The Guardian révélait le 25 septembre 2017 qu’un hacker avait pu s’introduire dans les cinq millions de mails de ses 240 000 collaborateurs stockés sur des serveurs fournis par Microsoft, via un simple compte administrateur.

Quelques semaines plus tard, au tour d’Accenture de devoir reconnaître que certaines données confidentielles de ses clients étaient accessibles sur des serveurs fournis par Amazon, téléchargeables sans mot de passe pour tout détenteur de l’URL non protégée.

Interrogés par la commission d’enquête du Sénat (voir nos articles) sur la manière dont ils protègent la confidentialité des données de leurs clients, plusieurs partners de McKinsey, de Roland Berger et du Boston Consulting Group ont décrit les mesures qu’ils déploient pour prévenir toute fuite.

Comment les consultants organisent-ils l’accès aux données projet par projet et client par client ?

« L'utilisation des données est au cœur de la relation de confiance que nous entretenons avec nos clients. Si ceux-ci avaient le moindre doute sur l'usage que nous faisons de leurs données, nous n'aurions plus de clients ! », a indiqué Karim Tadjeddine, partner en charge du secteur public chez McKinsey en France.

Premier principe évoqué par les cabinets interrogés : comment l’accès aux données des clients est-il organisé client par client et projet par projet ? « Les mêmes règles régissent la gestion des données dans le secteur public et dans le secteur privé. On est souvent soumis aux chartes de sécurité qui sont imposées par nos clients pour garantir la sécurité des données qui nous sont confiées dans le temps des projets. Elles ne sont accessibles qu’aux seuls membres de l’équipe à partir du moment où elles sont pertinentes pour ce qu’ils ont à faire », a par exemple indiqué Jean-Christophe Gard, senior partner du BCG à Paris, en charge notamment du secteur public.

De son côté, Karim Tadjeddine indique que McKinsey utilise en France la technologie « Box » pour gérer les données de ses clients. « Il y a un nombre limité de personnes qui peuvent avoir accès à ces données et donc à ces espaces de stockage interne. Seule l'équipe habilitée, dont la liste est validée en début de projet par le commanditaire, peut avoir accès à ces données. Nous pouvons suivre et tracer qui y a accès ou non », a-t-il indiqué.

Dans un certain nombre de cas aussi, les cabinets ne sont pas habilités ou ne souhaitent pas copier les données des clients. « Les données sont propriétés de nos clients et il n’y a pas de règles – il peut arriver que les clients nous convient dans des salles, dites war rooms, où les données sont mises à notre disposition sans que nous puissions les copier », a par exemple expliqué Laurent Benarousse, depuis peu managing partner de Roland Berger en France.

Même son de cloche chez McKinsey : « Il y a des données extrêmement sensibles : nous ne souhaitons pas les héberger sur notre système. Nous demandons donc à travailler sur les ordinateurs du client pour que les données restent hébergées chez lui », a assuré Karim Tadjeddine.

à lire aussi

02/05/18
Illustration-cybersecurite

 

Dans un cabinet de la place, ce sont deux recrutements dont on garde un souvenir modérément réjoui. Par deux fois, des consultants, issus de cabinets concurrents à Paris, ont fait acte de candidature et ont été recrutés… avant de repartir au bout de quelques mois dans leur cabinet d’origine.

 

Destruction, restitution, conservation : quand les projets s’achèvent

Autre question abordée par la commission du Sénat : qu’advient-il de ces données une fois les projets achevés ? « Les données sont détruites en fin de mission ou remises aux clients qui nous les ont confiées. Ce qui est gardé, ce sont les livrables, les rapports issus de nos travaux, exclusivement les rapports et pas la donnée qui a permis de les constituer. Ces livrables sont gardées sur un système informatique dont le serveur est localisé en Allemagne », a déclaré Jean-Christophe Gard sur ce point.

Du côté de chez McKinsey, on explique que, dans le public ou le privé, les règles changent d’une mission à l’autre. « Dans certains contrats, on nous demande de détruire l'ensemble des données au bout de deux, trois ou cinq ans. Dans d'autres cas, on nous demande parfois de conserver une copie des livrables. C'est ce qui est mis en place à travers ces boîtes dans lesquelles l'ensemble des données liées à un projet sont traitées », a précisé Karim Tadjeddine.

Et que ce soit durant ou après les missions, au BCG et chez Roland Berger, les données sont stockées sur des serveurs qui sont la propriété des cabinets, en France pour Roland Berger et en Allemagne pour le BCG. « L’ensemble des données que nous conservons sur nos serveurs sont encryptées. Nous sommes les seuls détenteurs de ces clés », a appuyé Jean-Christophe Gard au Boston Consulting Group.

Dernier sujet, peut-être le plus pressant de la représentation nationale vis-à-vis de la gestion des données par les cabinets de conseil en stratégie : les cabinets réutilisent-ils les données glanées dans le secteur public auprès d’autres clients par la suite ? Ces cabinets sont en effet fréquemment mandatés pour établir des comparatifs internationaux, des comparatifs sectoriels, pour lesquels ils sont souvent taxés d’utiliser les données acquises au fil de leur mission pour alimenter leur base de données.

Réfutation en règle des intéressés au Sénat. « Nous n'utilisons pas les données confidentielles des clients pour concevoir nos benchmarks. Nous nous basons sur nos données propriétaires, issues de nos recherches internes financées sur nos ressources propres, sur les données publiques, en particulier en langues locales, et sur des entretiens conduits dans le cadre des travaux de benchmarking, dont la vocation est toujours explicitée auprès de nos interlocuteurs. Ces règles sont explicites et formalisées », a détaillé Karim Tadjeddine.

Même position au BCG où on défend « trois sources » de données pour établir des benchmarks. Dixit Jean-Christophe Gard : « Des données qui sont publiques que nous pouvons exploiter. Des données qui sont propriétaires, qui sont générées par nos enquêtes, typiquement des enquêtes que nous ferions auprès de consommateurs, ou des données qui sont assemblées par certains acteurs avec l’objectif de les partager entre eux. Le cas échéant nous pouvons être un tiers de confiance pour récolter certains indicateurs auprès d’acteurs pour les restituer de manière anonyme. »

C’est par exemple ce que le BCG fait actuellement dans le rapprochement entre TF1 et M6 (relire notre article).

0
tuyau

Un tuyau intéressant à partager ?

Vous avez une information dont le monde devrait entendre parler ? Une rumeur de fusion en cours ? Nous voulons savoir !

écrivez en direct à la rédaction !

commentaire (0)

Soyez le premier à réagir à cette information

1024 caractère(s) restant(s).

signaler le commentaire

1024 caractère(s) restant(s).

France

  • McKinsey : perquisition judiciaire au bureau de Paris
    24/05/22

    Mardi 24 mai, une perquisition judiciaire était en cours au siège du cabinet à Paris. 

  • Cinquième cabinet pour la nouvelle associée énergie de Bain
    23/05/22

    Safia Limousin, 49 ans, vient d’arriver chez Bain & Company en tant qu’associée rattachée à la practice énergie et ressources naturelles. Auparavant chez Kearney depuis 2018, la senior partner était aussi leader monde power & utilities du cabinet et était la 2e femme, après Delphine Bourrilly, à intégrer le partnership en France.

  • Conflit ouvert aux prud’hommes entre Bain et un partner
    20/05/22

    C’est une information de Bloomberg du 18 mai 2022 : Stéphane Charvériat, un partner du BCG arrivé en septembre 2019 de Bain, poursuit aux prud’hommes son ancien employeur. Une audience s’est tenue le mardi 17 mai. Une décision doit intervenir le 11 juillet.

  • Les réserves de la HATVP sur un pantouflage au cabinet d’Olivier Véran
    18/05/22

    Dans une délibération du 3 mai, la Haute Autorité pour la transparence de la vie publique a rendu un avis de compatibilité, avec des réserves visant à prévenir tout conflit d’intérêts, sur le recrutement par une entreprise de conseil d’un membre du cabinet du ministre sortant de la Santé Olivier Véran.

  • Le boss du BCG en opération séduction
    13/05/22

    Après la patronne de McKinsey France en décembre dernier, c’est au tour du chef du bureau parisien du Boston Consulting Group, Guillaume Charlin, de s’exprimer dans les colonnes du Figaro (édition du 9 mai).

  • Législatives : quatre anciens consultants en lice
    11/05/22

    Ils sont au moins quatre anciens du sérail du conseil en stratégie à se présenter ou se représenter aux élections législatives de juin prochain, dont trois en Île-de-France. Trois d’entre eux sont des piliers de la macronie et se présentent sous la bannière #Ensemble du triumvirat Macron-Philippe-Bayrou.

  • SKP s’implante en région : nouveau filon de recrutement ?
    10/05/22

    Le bureau français de Simon-Kucher & Partners a décidé de réaliser un bêta test en posant ses valises à Lyon et à Bordeaux. À l’heure de la relocalisation et du télétravail, ces antennes répondent à la fois à un système économique nécessairement plus décentralisé et à de nouvelles opportunités RH, dans un contexte général de recrutement extrêmement tendu.

  • Une associée retail pour Singulier
    10/05/22

    Consultante chez Singulier depuis sa création en 2017, Justine Przyswa, 35 ans, a été promue associée à Paris aux côtés des associés fondateurs, Rémi Pesseguier (ex-McKinsey) et Mathieu Férel, mais aussi de l’associé basé à Londres, Kitson Symes (lui aussi un ancien « Mac »).

  • Destination Toronto pour un associé parisien d’Oliver Wyman
    06/05/22

    Damien Renaudeau, partner parisien des services financiers d’Oliver Wyman depuis 2018, est parti renforcer les troupes du cabinet à Toronto, l’un des 70 bureaux du cabinet dont la maison mère est le groupe US Marsh McLennan. Le Canada et ses trois bureaux, Montréal, Calgary et Toronto (le plus gros), comptent une centaine de consultants.

Benjamin Solano
France
data, confidentialite, donnees, clients, securite, cybersecurite, data, secret des affaires
10283
Boston Consulting Group McKinsey Roland Berger
Jean-Christophe Gard Karim Tadjeddine Laurent Benarousse
2022-01-30 20:58:38
0
Non