Quelles sont les règles misent en place par les pouvoirs publics concernant la data responsable ? 

Sommaire

1. La protection des données et de la vie privée
2. Un partage sécurisé des données entre les organisations 
3. La responsabilisation et la transparence des usages 
4. La publication d’informations extra-financières  
5. La mesure du bilan carbone pour réduire l’impact environnemental 
6. Une réglementation pour un numérique sobre et inclusif 
7. Les règles du guide pratique Néosoft pour une Data Responsable 

L’impact environnemental est un thème central dans une démarche Numérique Responsable, mais comme évoqué plus haut, d’autres aspects sont à considérer pour s’inscrire dans une approche globale : 

• protection de la vie privée des citoyens, 
• éthique de la démarche et transparence des usages, 
• inclusion et accessibilité au numérique pour les populations, 
• ouverture, partage et mise en commun. 

Les réglementations qui couvrent ces enjeux sont nombreuses et plus particulièrement dans la Data. En effet, nous bénéficions des législations françaises et européennes qui viennent se compléter à différents niveaux.  

Actuellement, la France est en avance par rapport aux autres pays sur les réglementations permettant d’accélérer la transition écologique via, notamment, certains textes liés au GreenIT qui n’ont pas d’équivalence ailleurs. Au niveau européen, le retard initial sur la réglementation liée au Digital est sur le point d’être rattrapé. La Commission européenne s’est également saisie du thème de la durabilité des entreprises : 

• la réglementation européenne apporte un cadre pour l’exploitation des données dans les organisations afin de faciliter son usage tout en respectant la vie privée des citoyens. Le premier texte connu est le RGPD7, applicable depuis 2018 et relatif aux données personnelles. Cette réglementation sera bientôt complétée par la Data Act8 qui entrera en vigueur le 1ᵉʳ janvier 2025
• la Commission européenne a adopté en 2022 la directive sur la publication d’informations non financières et de durabilité, aussi appelée CSRD9. Ce texte vient compléter les obligations de reporting des entreprises sur les éléments financiers afin d’apporter un éclairage nouveau sur la prise en compte des sujets sociaux, sociétaux et environnementaux.

De façon plus ciblée, la loi française apporte une obligation de reporting avec le bilan carbone des organisations, ce qui permettra de prioriser les actions d’amélioration à entreprendre en s’adaptant au contexte et au secteur d’activité. 

Afin d’améliorer les pratiques et favoriser un numérique responsable le France s’est également dotée de la loi de Régulation Environnementale du Numérique (REEN). 

Dans ce guide pratique pour une Data Responsable nous n’allons pas détailler l’ensemble de ces réglementations mais celles-ci sont présentées dans différents articles de notre blog. 

La protection des données et de la vie privée

Le RGPD, ou règlement général sur la protection des données, est une réglementation européenne entrée en vigueur en 2018. Elle vise à renforcer la protection des données personnelles et de la vie privée des individus au sein de l’Union européenne.  

Cette réglementation s’est traduite par certaines obligations pour les entreprises : 

• la nomination d’un Délégué à la Protection des Données (DPO),
• la cartographie et la protection des données personnelles dans le système d’information,
• la mise en place de registres des traitements permettant de vérifier leur légitimité,
• l’identification des responsables du traitement de la donnée,
• la mise en place d’un recueil du consentement basé sur une information claire des utilisateurs,
• la mise en place d’un processus d’accès et d’effacement des données personnelles.

Afin de mieux comprendre quelles sont les données concernées et comment les protéger, vous trouverez dans notre guide pratique une aide à la classification de ces données. 

Un partage sécurisé des données entre les organisations 

La réglementation DataAct¹² propose de faciliter l’accès aux données détenues par les entreprises, les administrations publiques et d’autres organisations. Cela inclut la possibilité pour les utilisateurs de récupérer leurs données personnelles et de les transférer facilement d’un fournisseur de services à un autre. Cette proposition permet ainsi de faciliter la portabilité d’un service numérique vers un tiers et limite ainsi la dépendance liée à un fournisseur de service. 

La proposition vise à encourager le partage sécurisé et volontaire des données entre les entreprises, les secteurs publics et les chercheurs, tout en garantissant le respect de la vie privée et de la protection des données. En effet, l’absence de directive sur le sujet implique à l’heure actuelle que ce partage se fasse au travers d’accords spécifiques entre les entreprises. La particularité de ces contrats, qui se doivent de respecter les réglementations liées à la protection des données, peut décourager les initiatives et limiter le partage entre organisations. 

A noter que l’application de cette directive dans le droit français est portée par le projet de loi SREN¹³, visant à Sécuriser et Réguler l’Espace Numérique. 

La responsabilisation et la transparence des usages 

La DataAct prévoit des mesures pour renforcer la responsabilité des organisations dans la gestion des données. Ce texte implique une meilleure traçabilité des données et des usages ce qui n’est pas sans rappeler des exigences déjà mises en œuvre dans la réglementation sur les données personnelles – RGPD – mais aussi celles sur les réglementations financières – Solvency, Bale. 

Ainsi, comme pour le RGPD, il sera notamment demandé aux responsables du traitement des données de faire preuve de transparence en informant les personnes concernées de la finalité du traitement de leurs données, de la catégorie de données traitées et de la durée de conservation des données. En revanche, la portée du texte ne se limite pas aux données à caractère personnel mais bien à l’ensemble des données : parcours utilisateur, historique d’achats, etc. 

De fait, les organisations seront également responsabilisées sur le respect des différents principes qui régissent la protection de données. Le premier impact concerne la gouvernance de vos données qui pourra donc s’élargir à l’ensemble du Système d’Information pour s’assurer du respect des règles de protection, de la mise en place des mesures d’archivage, de suppression ou d’effacement des données. 

Enfin, le texte prévoit que le responsable du traitement mette en place les mesures techniques et organisationnelles appropriées pour garantir la conformité des usages de la donnée, la limitation de la finalité et la minimisation des données. Ces principes auront une influence directe dans la gestion quotidienne du patrimoine de donnée. En effet, la validation de ces critères se fera dans les phases amont du projet : recueil des besoins, définition des users story, conception et modélisation. 

En complément du ce livre blanc : nous avons produit des fiches détaillées présentant les principes à appliquer par les entreprises. Les obligations présentées dans ce chapitre sont reprises dans la fiche : « La légitimité des cas d’usages et des données »

La publication d’informations extra-financières  

La directive Corporate Sustainability Reporting Directive¹⁴, ou CSRD, est une directive européenne, applicable en janvier 2024, qui fixe de nouvelle normes et obligations de reporting extra-financier pour les grandes entreprises et les PME cotées en bourse.  

Cette directive répond à la limite de la notation purement financière. En effet, les critères de notation se basent historiquement sur la santé financière : chiffre d’affaires, rentabilité, trésorerie, … Mais la performance d’une entreprise nécessite de prendre en compte d’autres critères, souvent délaissés : empreinte carbone, gestion des déchets, condition de travail et diversité des salariés, politique sociale et mécanismes de contrôles, etc. 

L’objectif de cette directive est donc d’établir des règles de transparence sur des éléments clés permettant d’évaluer la performance en évitant les zones d’ombre liées à l’absence d’indicateurs. Pour exemple, grâce à cette directive, il sera possible d’identifier plus facilement les entreprises améliorant leur rentabilité au détriment de l’environnement ou des conditions de travail. 

Les informations communiquées auront bien évidemment un impact sur la communication de l’entreprise, son image auprès des clients mais aussi sur les acteurs financiers. En effet, les critères ESG – critères Environnementaux, Sociaux et de Gouvernance – sont aujourd’hui pris en compte dans la stratégie des actionnaires pour définir leur portefeuille d‘investissement. 

En complément du livre blanc : nous avons produit des fiches détaillées présentant les cas d’usages du guide. Elles contiennent une liste non exhaustive d’indicateurs à mettre en place pour contribuer aux reporting extra-financier de votre organisation : « Mesurer l’impact environnemental (hors GES) l’organisation » ; « Evaluer le bilan social de mon organisation » ; « Evaluer la gouvernance de mon organisation »

La mesure du bilan carbone pour réduire l’impact environnemental 

Sur le thème du reporting, le décret n°2022-982 du 1er juillet 2022 impose la publication d’un bilan des émissions de gaz à effet de serre en France. Pour rappel, ces publications s’imposent : 

• tous les 3 ans pour les services de l’Etat, les collectivités de plus de 50 000 habitants et les établissements publics et autres personnes morales de droit public de plus 250 agents ;
• tous les 4 ans pour les personnes morales de droit privé employant plus de 500 personnes en métropole et 250 personnes dans les Outre-mer.

Afin d’établir ce bilan, la méthodologie la plus commune est celle s’appuyant sur le protocole GHG. Elle propose d’établir le bilan en 3 scopes : 

• Le scope 1 représente les émissions directes de gaz à effet de serre, à l’instar de l’empreinte des véhicules utilisés par l’entreprise (véhicules de services, véhicules de fonction, …) ou de l’empreinte des équipements internes
• Le scope 2 représente les émissions indirectes liées à la consommation d’énergie. Il s’agit notamment des émissions de GES liées au fonctionnement d’une climatisation ou d’un système de chauffage.
• Le scope 3 représente les émissions indirectes qui ne sont pas sous le contrôle de l’entreprise. Dans cette dernière catégorie, les émissions sont classées en fonction des activités amont liées à nos fournisseurs (ex : émissions de GES pour l’approvisionnement de marchandise) et les activités avales liées à la consommation de nos produits ou services (ex : émissions de GES liées à l’utilisation d’un produit par le client).

Pour chaque poste, l’objectif sera de collecter des métriques permettant d’en évaluer l’impact précis (ex : nombre de kilomètres parcourus). Ces mesures peuvent ensuite être converties en émissions de gaz à effet de serre pour quantifier le poids de chaque activité de l’entreprise.

Le guide pratique Néosoft pour une Data Responsable détaille ces éléments de mesure au niveau de la fiche pratique « Evaluer les émissions de gaz à effet de serre (GES) de mon organisation ».

Pour faciliter l’établissement de ce bilan l’ADEME, l’AFNOR mais aussi l’Association pour la transition Bas Carbone proposent des outils et procédures adaptées : 

• Etablir le bilan carbone d’une entreprise par le Ministère de l’Économie, 
• Présentation de la Méthodologie des Bilan GES par l’ADEME, 
• Base Empreinte® qui publient les facteurs d’émission et de jeux de données d’inventaire, 
• Bilan Produit® qui est un outil simplifié d’évaluation de l’empreinte environnementale. 
• La norme ISO 14064²² définit les lignes directrices de l’évaluation, les exigences pour la quantification des émissions, les spécifications pour l’élaboration du rapport et les règles permettant la vérification et la validation des déclarations 

Le bilan carbone doit permettre aux organisations d’établir un diagnostic de son activité pour enclencher une stratégie de réduction de son empreinte environnementale en identifiant les leviers d’actions les plus importants la concernant. En effet, selon le secteur d’activité, la part des émissions peut varier fortement sur un même poste. Par exemple, une entreprise dont le cœur d’activité repose sur des outils digitaux (Assurance, Banque, Service Financier), la réduction de l’empreinte carbone passera en premier lieu par un numérique plus sobre. 

Une réglementation pour un numérique sobre et inclusif 

Portée par le Sénat, la loi de Régulation Environnementale du Numérique (REEN) a été adoptée à l’Assemblée nationale en 2021. Cette loi reprend les recommandations du rapport d’information sur l’empreinte environnementale du numérique. Elle traite des questions de formations, d’amélioration des pratiques et de l’allongement de la durée de vie des équipements : 

• Faire prendre conscience aux utilisateurs de l’impact environnemental du numérique au travers de l’observation des pratiques, de la sensibilisation, de la formation,
• Limiter le renouvellement des terminaux en luttant contre l’obsolescence logicielle et matérielle et en imposant une meilleure information des utilisateurs,
• Faire émerger et développer des usages du numérique écologiquement vertueux en proposant un référentiel général d’écoconception des services numériques,
• Promouvoir des centres de données et des réseaux moins énergivores en incitant à la mise en place d’un système de management de l’énergie et en contribuant à des programmes de mutualisation des données pratiques énergétiques,
• Promouvoir une stratégie numérique responsable pour les collectivités de plus de 50 000 habitants afin de réduire l’empreinte environnemental du numérique, de s’inscrire dans une stratégie de développement durable.

Concernant la définition du référentiel général de l’écoconception des services numériques, celui-ci s’appuiera sur la définition prévue dans la directive 2009/125/CE du Parlement européen. En complément un observatoire des impacts environnementaux du numérique sera placé auprès de l’ADEME et de l’ARCEP. Cette entité aura la possibilité d’analyser les données collectées par l’ARCEP afin de proposer des améliorations des pratiques. Enfin, pour déployer ce référentiel, une formation à l’écoconception sera incluse dans les formations d’ingénieur en informatique. En revanche, la formation des salariés restera à la charge des entreprises. 

Les règles du guide pratique Néosoft pour une Data Responsable 

Les enjeux économiques liés à l’exploitation des données ont bien été perçus par l’Union européenne. Les réglementations portées par la Commission européenne permettent aujourd’hui : 

• De définir un cadre de coopération permettant de tirer profit des données disponibles,  
• Tout en assurant une transparence dans les usages qui en sont fait, 
• Et en conservant la maitrise pour en assurer la protection. 

Mais ces textes ne se limitent pas à définir un cadre d’utilisation. En Europe et plus particulièrement en France, de nouvelles obligations vont s’appliquer aux entreprises et nécessiteront la valorisation de leurs données afin de : 

• Publier des indicateurs extra-financier et des indicateurs de durabilité,
• Justifier des efforts et investissements réalisés en vue d’améliorer leur impact,
• Communiquer sur leur empreinte environnementale.

Une fois ce contexte réglementaire posé, de nouvelles questions émergent rapidement :  

• Comment répondre à ces obligations ?
• Avons-nous d’autres pistes à explorer pour tirer des bénéfices extra-financier de ces données ?
• Comment les données peuvent-elle contribuer à la transition écologique ?
• Sommes-nous obligés d’attendre une réglementation pour améliorer la situation ?

Ce sont ces problématiques que nous allons aborder dans le chapitre suivant.