Copies des questions de l'examen de février dernier, module protection des données.


Partie 1. Lire attentivement le cas d'application ci-après.

Paul possède un compte dans la base de données d'un magasin de vente de vêtements en ligne. Dans son compte, l'on y trouve entre autres noms, prénoms, adresse de livraison et des informations de paiement.

Paul a déjà effectué trois commandes via ce magasin. Dans les trois cas, les commandes étaient d'un montant légèrement supérieur à chf200.- (190euros) et dans les trois cas, il s'agissait d'une commande de chemises. Le compte de Paul contient, en plus des données qu'il a saisies lors de son inscription, un historique de ses commandes passées. Du point de vue des efforts de marketing, Paul est jusque-là un client qui reçoit un prospectus électronique tous les trois mois, par e-mail.

Convaincu par les nombreux articles publiés dans la presse informatique, vantant l'énorme potentiel du "big data", le Directeur de l'enseigne, engage un spécialiste de l'analyste de données. Six mois plus tard, le profil de Paul a subi quelques modifications, que nous allons examiner ci-après.

Paul n'est plus "un client", une simple entrée dans la base de données "clients" du magasin. Il est désormais un homme, âgé entre 35 et 40 ans, habitant la périphérie de Genève dans une localité classée 4ème dans le rang des salaires médians du Canton de Genève. Le panier moyen de Paul est de 200 francs et comporte trois articles, chacun d'un montant moyen de 66 francs. L'écart-moyen déduit dans les variations des montants dépensés dans chacune de ses commandes est quasi-nul, le profil de Paul est donc affublé des attributs: PPHP, pour "prix panier à haute prédictibilité" et APHP pour "articles panier à haute prédictibilité". La nature des chemises qu'il a commandées lors de ses récents achats lui a également valu d'obtenir l'attribut BP, pour "business profile", comme tous les clients de l'enseigne qui achètent généralement des vêtements destinés à l'usage professionnel.

Depuis l'arrivée de l'analyste, plus de 340 attributs comportementaux ont été créés. L'attribut "HSRP-3", pour high stimulus response rate - phase 3, indique que le client a tendance à répondre positivement à des actions promotionnelles lors de la phase de navigation dans le site. Les profils HSRP-1 sont captés grâce à des publicités placées en dehors du site du magasin, sur les réseaux sociaux et autres. Les profils HSRP-2 ont tendance à cliquer sur les offres promotionnelles affichées sur la page d'accueil du magasin. Les profils HSRP-3, eux, ont tendance à réagir aux offres proposées lors de l'affichage du premier récapitulatif de la commande. Paul a en effet réagi positivement à la campagne HSRP-3/2014Q4/HPSA, qui proposait une réduction de 50% sur l'achat d'un 3ème article de catégorie similaire lorsque la commande contient au moins 2 articles de catégorie identique. Traduction: il a ajouté une 4ème chemise à son panier lors de la finalisation de la commande, elle lui était proposée à 50% de son prix habituel.

D'un point de vue du magasin, l'opération est un succès: Paul a augmenté le montant moyen de son panier (ACT = 233 francs au lieu de 200 francs l'année précédente) en échange d'une baisse sur la marge opérationnelle relativement moindre pour le magasin. Paul a bien mérité d'être promu HSRP-3. D'ailleurs, plus de 3'000 clients ont obtenu cet attribut depuis l'arrivée du spécialiste de données.

Un gros succès de cette année 2015 a été l'opération commerciale "MPV2015", acronyme de "My Precious Valentine - 2015". En corrélant les données de géolocalisation, les adresses IP de provenance des commandes et les analyses d'adéquation vêtement-acheteur, l'analyste a remarqué que dans environ 3% des ménages localisés dans la région suisse romande, madame effectue également des achats pour monsieur. Toutes les clientes affublées de l'attribut MPV2015 se sont donc vues proposer lors de leur visite une offre spéciale "Saint-Valentin" composée d'une liste d'articles à prix réduit pour monsieur, livraison "emballage cadeau" offerte. 11% du groupe ont augmenté leur panier avec un article "Saint-Valentin", c'est un énorme succès de dépasser les 10% de conversion lors d'une campagne en ligne, le Directeur a offert une bouteille du célèbre millésime du Domaine des Molards à son analyste.

En plus des données fournies lors de son inscription et de ses diverses commandes, le profil de Paul possède une multitude d'informations supplémentaires:
- sa tranche d'âge
- l'historique des emplacements géographiques depuis lesquels il a passé ses commandes
- il séjourne dans une zone à revenus supérieurs à la médiane de la région
- il est célibataire
- il réagit positivement à 7 catégories de campagnes promotionnelles
- il lui faut en moyenne une réduction de 40% sur le prix d'un article pour l'ajouter à son panier
- sa prochaine commande est attendue dans environ 42 jours, elle atteindra probablement le montant de 203.-
- 14 profils de consommation sont associés à son compte
- ses commandes ont généralement lieu peu avant les heures de repas, son profil a été inscrit pour participer à un essai de campagnes promotionnelles visant spécifiquement des profils ayant faim au moment d'effectuer leurs achats (une étude a récemment relevé que les hommes sont plus réceptifs aux encarts publicitaires de catégorie "3 pour le prix de 2" lorsqu'ils ont faim).
- la campagne HSRP-3 ne marche pas à tous les coups sur les profils comme celui de Paul. L'analyste a remarqué une corrélation avec l'heure à laquelle la commande a lieu et le succès de l'opération promotionnelle. D'autres options sont en cours d'investigation.


Partie 2. Questions sur le cas d'application "Paul" (max. une demi-page par réponse)

1) De quelles données se compose le profil client de Paul?
(pour chaque donnée, précisez s'il s'agit d'une donnée collectée de la source, une donnée collectée de contexte, ou d'une donnée dérivée)

2) Donnez un exemple de traitement effectué sur les données personnelles de Paul.
(Précisez quelles données ont été utilisées et quelles données ont été créées)

3) En vous basant sur votre réponse à la question 1, quelles données du profil de Paul sont-elles soumises à la Loi sur la Protection des Données?

4) Votre liste fournie en réponse à la question 3 sera-t-elle différente dans le cadre d'un contexte réglementaire basé sur la directive 95/46 de l'Union Européenne? Argumentez.

5) En vous basant sur votre réponse à la question 1, quelles données l'enseigne devrait-elle remettre à Paul s'il y demande un accès?

6) En vous basant sur votre réponse à la question 1, quelles données l'enseigne devra-t-elle supprimer si Paul demande une suppression de son fichier?

7) Lisez les conditions générales de vente (copie disponible en annexe). Commentez ensuite sur les affirmations suivantes:
- La collecte de données personnelles de Paul est licite.
- Le traitement des données personnelles de Paul est licite.
- La transmission des données à des partenaires commerciaux est licite.

8) L'enseigne a déterminé que Paul est célibataire. Pourtant, Paul est marié. Cette information constitue-t-elle une donnée privée, une donnée dérivée ou aucun des deux? (argumentez)


Temps disponible: 3 heures.