Arnaud Jeansen & Sébastien Raguet (Rakuten France) : « L’immobilisme ne peut pas être une option concernant l’IA »

Quinze ans après son rachat, Rakuten France s’appuie toujours sur la stack technique historique de PriceMinister. Une trajectoire assumée pour coller aux besoins locaux, nourrie d’une gestion maîtrisée de la dette technique et d’une adoption résolue mais raisonnée de l’intelligence artificielle. Rencontre avec Arnaud Jeansen (à gauche) et Sébastien Raguet, aux commandes de l’IT et de la sécurité.

---

Entretien avec Arnaud Jeansen, CTO Rakuten France
et Sébastien Raguet, CISO Rakuten France

---

Qu’est devenu Rakuten France aujourd’hui, quinze ans après le rachat de PriceMinister ?

ARNAUD JEANSEN : Nous avons désormais une triple activité. D’abord, l’historique, à savoir la vente entre particuliers, le C to C. Ensuite le B to C, donc de la vente aux particuliers cette fois, de la part d’un large éventail de marchands qui vont de l’hyper-spécialiste aux grandes enseignes nationales comme Darty ou Boulanger. Et puis, plus récemment, du reconditionné garanti. Le tout est soutenu par une offre de fulfillment pour apporter de la valeur sur la livraison. La filiale française compte environ 200 collaborateurs dont une cinquantaine de développeurs, dix autres à l’assurance qualité, une dizaine encore à l’infrastructure. Sébastien s’occupe pour sa part de la sécurité et à la compliance.

L’organisation du groupe dépend de Tokyo ?

ARNAUD JEANSEN : Le siège de Rakuten est effectivement au Japon et c’est de là que partent les grandes orientations. Mais le groupe, qui emploie environ 30 000 personnes, compte de nombreuses filiales dans le monde. Concrètement, pour ce qui est de la partie IT, nous dépendons plutôt de Rakuten International qui est implanté aux USA.

Vous auriez pu uniformiser votre plateforme à partir d’un modèle international. Cela n’a pas été le cas, pourquoi ?

ARNAUD JEANSEN : Nous avons gardé la stack technique de PriceMinister. Elle a commencé il y a 25 ans. Nous avons encore l’historique des commits de fin 2000 sur notre base. Elle renferme donc tout un héritage, adapté au marché français. Ce patrimoine est un actif à conserver. Cela n’aurait pas beaucoup de sens d’arriver en imposant une approche japonaise ou nord-américaine.

Par contre, nous recherchons des synergies, notamment sur les parties les plus expertes en termes de sécurité, la gestion de comptes par exemple. Sur le plan fonctionnel aussi : ainsi, notre programme de cashback, le Club R, permet de gagner des récompenses n’importe où en France sur ses achats, et de les utiliser auprès d’autres filiales du groupe.

Vous nous parlez de dette technique en fait ?

ARNAUD JEANSEN : Au cours de mes expériences, j’en ai toujours rencontré, même sur des socles refaits deux ans auparavant. Ici, cette base de code de 25 ans, nous la maîtrisons plutôt bien et nous avons une vision pour la faire évoluer dans la bonne direction. Mais c’est toujours très intéressant de partir de quelque chose qui marche pour ensuite se projeter, plutôt que de se jeter dans le vide.

Sur 25 ans, il y a aussi la dette de sécurité informatique à gérer ?

SÉBASTIEN RAGUET : Bien sûr. Nous étions une start-up et grâce au rachat par un grand groupe, nous avons fait un bond en avant sur ces sujets. Le travail n’est pas terminé, mais nous avançons ensemble pour mettre en place des standards, respecter les règles de l’art, les réglementations aussi, et ce dans tous les pays où nous sommes présents.

Comment une entreprise habituée à une IT qui délivre de la nouveauté dans chaque version ou presque, accepte-t-elle de devoir investir pour réduire une dette, sans attendre de nouvelles fonctionnalités en échange ?

SÉBASTIEN RAGUET : Il faut balancer, évidemment, la partie business avec les ajustements nécessaires sur le plan technique. On parlera de rationalisation plutôt que de révolution, mais il faut l’intégrer dans le plan de développement. Cela fait partie de nos échanges avec Arnaud, pour nous assurer que la réduction de la dette de sécurité est prise en compte dans sa partie technique. Nous avons aussi la chance d’avoir des dirigeants qui nous écoutent.

ARNAUD JEANSEN : Cédric [Dufour, le CEO France, NDLR] est notre responsable direct. Il fait confiance à ses équipes. Donc, à partir du moment où Sébastien et moi sommes alignés pour dire où nous voulons mettre le curseur sur la sécurité, il nous suit. C’est très appréciable. Et c’est très différent des entreprises où la DSI ou le CISO doivent se battre en permanence. Mais Rakuten France fait dans l’e-commerce, et notre IT constitue notre proposition de valeur pour les personnes qui se connectent, qui veulent acheter en toute confiance, avec des paiements sécurisés, des livraisons et un suivi.

Parlons un peu de vos développements, au coeur de cette proposition de valeur. Comment recrutez-vous et quels profils ?

ARNAUD JEANSEN : Nous ciblons plutôt des juniors et des stagiaires en fin d’études tous les semestres. Parfois, avec l’attrition naturelle, lors de départs, nous saisissons l’opportunité d’embaucher un stagiaire avec qui nous avons apprécié travailler. Sinon, nous recrutons aussi des gens avec trois à cinq ans d’expérience, avec des profils de développeurs intermédiaires très motivés pour progresser. Nous avons une organisation en huit ou neuf équipes fonctionnelles. Soit sur le parcours utilisateur, soit sur les parties techniques… Le responsable produit fait le lien entre les demandes utilisateurs, celles des business owners, etc., pour s’assurer de suivre les bonnes priorités et ensuite travailler sur ces sujets avec les développeurs.

À quel rythme est mise à jour la plateforme ?

ARNAUD JEANSEN : Elle compte environ 80 composants techniques. Certains sont mis à jour sur un rythme mensuel, d’autres deux fois par jour. Au final, la moyenne, c’est trois mises en production quotidiennes.

Avec des tests de sécurité à chaque fois ?

SÉBASTIEN RAGUET : Pas nécessairement. Beaucoup de décisions concernant la sécurité se prennent en amont, lors de la conception projets . Il n’y a des revues de sécurité que sur les plus gros. La partie développement sécurisé est intégrée dans la chaîne CI/CD et dans nos pratiques DevOps. La formation des développeurs aux enjeux sécuritaires revêt donc une grande importance. Mais c’est aussi et avant tout un état d’esprit.

Vous avez commencé à intégrer l’IA dans vos pratiques. Qu’en attendez-vous et quels résultats avez-vous déjà obtenus ?

ARNAUD JEANSEN : C’est un sujet majeur dans le groupe. Il a été décidé qu’elle serait déployée, de façon bien sûr intelligente et raisonnée, en se posant à chaque occasion possible les questions : puis-je aller plus vite avec l’IA et comment puis-je devenir plus efficace ? Il y a l’espoir d’y gagner des avantages concurrentiels, mais le minimum, c’est de rester compétitifs face à nos concurrents justement. L’immobilisme n’est pas une option sur l’IA.

À notre niveau chez Rakuten France, nous bénéficions de conseils du groupe et de retours d’expérience. Il y a des filiales comme Rakuten Kobo ou Rakuten Rewards, implantées au Canada ou aux États-Unis, qui sont encore plus immergées dans les cultures de l’IA et du prompting.

Pour un pure-player comme Rakuten France, l’IA n’est-elle pas porteuse d’une disruption aussi importante que celle de l’internet ?

ARNAUD JEANSEN : Vaste sujet. Effectivement, nous voyons avec les agents notamment des initiatives qui pourraient aboutir à ce que les achats sur internet ne passent plus par les plateformes ou les sites des enseignes traditionnelles. Mais je nous pense bien armés pour y résister car notre marque est connue et que nous avons la confiance des Français depuis des années. En fait, nous proposons déjà une vision agrégée des produits disponibles, avec la possibilité de comparer les prix entre différents vendeurs. Et ce en toute sécurité, alors que beaucoup de choses restent à régler, sur le plan du droit ou des risques, chez les nouveaux arrivants.

Qu’espérez-vous de l’introduction de l’IA au niveau de vos équipes ?

ARNAUD JEANSEN : Dès maintenant, tous nos développeurs ont, pendant qu’ils codent, une IA qui leur propose de terminer leur phrase, leur ligne de code, leur bloc de lignes. Elle interagit aussi avec eux pour définir de nouvelles fonctionnalités, analyser des comportements de bugs et les faire corriger avec une partie en mode agent. Chez nous, GitHub Copilot est donc intégré à l’environnement de développement. Pour ceux qui travaillent plutôt sur le front-end, nous avons retenu Cursor.

La productivité d’un développeur est difficile à mesurer. Les études externes parlent de 10 à 30 % de gains. Notre estimation interne avoisine les 20 %.

Et la qualité du code produit ?

ARNAUD JEANSEN : Formellement, l’IA ne produit pas de code chez nous. Elle assiste sa production. Peut-être y viendrons-nous, mais il faudra gagner en maturité sur l’utilisation des agents. En attendant, et pour améliorer la qualité, tout changement de code reste revu par un autre développeur, et aujourd’hui cet autre développeur n’est pas une IA. Celle-ci va surtout servir pour rajouter des tests et améliorer les fonctionnalités.

N’êtes-vous pas inquiet de voir l’apprentissage, au début de la carrière du développeur, bouleversée par ces nouvelles pratiques ? Avec des conséquences sur la solidité des acquis ?

ARNAUD JEANSEN : Je pense que cela dépend de la manière dont on utilise l’IA. Si elle n’est qu’une exécutante, sans regard sur ce qu’elle fait, il y a effectivement un vrai problème et il est sociétal, au-delà de l’IT. Mais si on l’utilise comme un mentor, cela peut contribuer à accélérer justement les progressions des juniors, comme avec un développeur senior présent physiquement sur le plateau.

En termes de sécurité, l’IA multiplie aussi les dangers ?

SÉBASTIEN RAGUET : Effectivement, nous commençons à voir des attaques de plus en plus sophistiquées. Mais grâce à l’IA, nous pouvons aussi mieux nous défendre. Les attaquants n’utilisent pas encore ces techniques à fond, ce qui nous laisse du temps pour nous préparer. Mais nous ne voulons pas tout automatiser. Nous gardons une place pour l’humain, à la fois pour des raisons éthiques et de conformité, mais aussi d’efficacité pour lutter aussi contre les hallucinations de l’IA.

L’appartenance à un grand groupe nous est très utile. La coopération s’incarne par exemple dans des CISO Summits, tous les ans au Japon. Les deux derniers ont évidemment mis l’IA au centre des sujets. Rakuten France bénéficie ici des expertises de spécialistes, internes comme externes. Sans l’appui du groupe, ce serait plus compliqué. Il y a une taille critique pour pouvoir suivre ces sujets d’IA et de sécurité, encore très émergents.

Quelle architecture sera la plus adaptée pour soutenir vos efforts en matière d’IA ?

ARNAUD JEANSEN : Nous avons deux fournisseurs de cloud privé en région parisienne pour notre haute disponibilité. Et nous sommes de plus en plus sur le cloud public, notamment pour l’IA parce que si, comme dans certains cas, nous voulons utiliser nos propres modèles, il nous faut des GPU. Nous investissons donc sur GCP.

Au risque de perdre en maîtrise, voire en « souveraineté » ?

SÉBASTIEN RAGUET : La position du groupe a évolué. Aujourd’hui, il est évident qu’il faut travailler avec les players les plus importants. Peu importe le fournisseur, mais il faut qu’il y ait les mêmes règles, que tout soit contrôlé à l’identique. Nous avons tellement d’entités et de besoins dans le groupe que toutes les solutions sont utilisées quelque part.

ARNAUD JEANSEN : Il faut donc des architectures multi-cloud très poussées. Car la dépendance à un fournisseur qui augmenterait ses prix de façon trop importante est toujours un danger. Il faut garder la possibilité de bouger très vite.

Un autre risque émergent concerne les partenaires ou fournisseurs avec lesquels vous interopérez et qui peuvent être des points d’entrée. Comment combattez-vous ce danger ? .

SÉBASTIEN RAGUET : Déjà en cartographiant complètement les données dont nous sommes responsables, et dont nous avons besoin pour fonctionner. Avec les partenaires, nous faisons des revues, des validations, à la fois sur le plan de la privacy et sur celui de la cyber, pour nous assurer qu’ils travaillent selon nos règles. Nous n’avons certes pas les moyens de les auditer, mais nous pouvons nous assurer que nous partageons les mêmes exigences.

Vous rapportez tous les deux au DG. Il n’y a pas souvent de DSI dans le e-commerce ?

ARNAUD JEANSEN : C’est très rare mais c’est surtout à cause de leur histoire de start-up ou leur statut de petite entreprise. Notre rôle est plutôt de travailler sur la plateforme et d’amener une proposition de valeur pour qu’elle fonctionne au mieux. C’est vrai que pour gérer notre facturation interne par exemple, nous allons plutôt rechercher des outils sur étagère. Parce que là, nous n’avons pas de valeur ajoutée à développer.

Propos recueillis par FRANÇOIS JEANNE / Photos MAŸLIS DEVAUX