Vous êtes ici : Accueil / Quoi de neuf ? / Actualités / L’écologie du RGPD

L’écologie du RGPD

Illustration de l'actualité - cliquer pour agrandir

Le RGPD est-il un frein ?

Beaucoup répondront par l’affirmative.

Votre DPO vous expliquera que ce n’est pas le cas, voire que le RGPD suscite la création innovante. Il faut toutefois faire la part des choses entre les objectifs opérationnels du quotidien, généralement matérialisés sur des délais très courts, et la réalisation des intérêts sociétaux qui portent sur plusieurs années. Il faut arriver à concilier les deux.

Le RGPD n’est pas qu’un texte juridique mais un contexte

Le RGPD n’est pas sorti un jour d’un chapeau de magicien. Il repose sur :

  • Une première Directive en la matière de 1995 (la Belgique l’avait transposée très fidèlement – la Loi sur la Vie Privée maintenant abrogée au moyen de la Loi -Cadre du 30 juillet 2018) ;
  • Une charte européenne des droits fondamentaux (cfr ses articles 7 et 8). Cela dit l’article 22 de la Constitution belge inclut le même principe : « chacun a le droit au respect de sa vie privée et familiale, sauf dans les cas et conditions fixés par la loi. La loi, le décret ou la règle visée à l'article 134 garantissent la protection de ce droit ». Et pourtant il n’y avait pas d’informatique en 1830 ;
  • Une pensée occidentale démocratique de la transparence en vue de poser les bases d’une bonne gouvernance tant du privé que du public (cfr. art. 41 de la Charte Européenne);
  • Une démarche économique européenne de la libre circulation des biens et services. La libre circulation touche également les données personnelles comme l’atteste le titre du règlement 2016/679.

Le RGPD est une vision commune et consolidée de plusieurs pays en matière de vie privée et de la protection des données personnelles traitées. Elle apporte son lot de nouveautés et d’obligations.
Cet instrument prend sa place et son sens dans un monde où la « data » est considérée comme le Graal à capturer pour garantir efficacité, prise de décision objective et équitabilité.

Une mauvaise presse, pourquoi ?

A côté du RGPD, il existe pourtant toute une série de textes légaux qui posent les mêmes obligations de transparence, respect des usagers et d’obligations sur le propriétaire des services (informatiques, de communication) déployés. En effet, il suffit de parcourir, par exemple :

  • Les différents textes qui protègent les consommateurs (ex : Directive relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs) ;
  • La Directive e-Privacy de 2012 (en passe de devenir un règlement) ;
  • La nouvelle directive Telecom (« EECC »), rentrée en vigueur le 20 décembre 2018 (récemment transposé en code belge le 21 décembre 2021 dernier), qui rappelle les obligations de protection du consommateur telecom.

Mais alors, pourquoi grince-t-on des dents devant le RGPD ?

Il existe plusieurs facteurs potentiels :

  • Le RGPD demande de justifier en amont ses actions de traitements de données, certes, jusque-là la liberté était totale ;
  • Du fait de son principe de minimisation tant au niveau des données personnelles traitées que du temps de rétention de ces mêmes données ou encore en vertu du droit à l’oubli, le RGPD est, d’une certaine manière, contre-intuitif dans une culture de la « mémoire », des archives, de la trace ;
  • Le RGPD est compliqué car il n’y a pas de grande recette standardisée de mise en opération des obligations, il s’applique plus que souvent au cas-par-cas.
  • La relation avec les personnes concernées n’est pas qu’économique. D’autres valeurs interviennent : le respect des libertés et des droits fondamentaux tel le droit à l’expression. Cette dimension éthique est souvent aux antipodes d’autres impératifs tant économiques, politiques que temporels.

Et pourtant un atout

Au-delà des droits conférés aux personnes concernées et des obligations imposées aux responsables du traitement, le RGPD est un instrument qui offre d’autres avantages.
Traiter des données a un coût tant économique qu’environnemental.

Le Laboratoire d'Innovation Numérique de la CNIL (LINC) cite les chiffres suivants : «53% des consommations énergétiques du numérique seraient le fait du stockage des données ». Le Monde annonce que deux requêtes sur le moteur de recherche Google représente en consommation de carbone l’équivalent de deux tasses de thé préparées avec une bouilloire. « Les données ont besoin d’une infrastructure physique pour être stockées, se déplacer et être interprétées. Des infrastructures qui impliquent de consommer des ressources de notre géosphère, comme l’eau, le pétrole, l’électricité, les minerais. » (RTBF – « L’ère des données »)

Le RGPD pose plusieurs principes légaux importants et inspirants :

  • La minimisation des données - Ne traiter que les données nécessaires aux objectifs déterminés (tout au long du cycle de vie) et temps de rétention ;
  • La sécurité de données personnelles - Freiner le vol de données et par la même occasion la duplication – si pas l’enrichissement - de données ;
  • Le privacy-by-design – Faire en sorte dès la conception (d’un site, d’un programme ou d’une base de données) que la vie privée et la protection des données soient assurées et intégrées. Concept qui peut paraître nébuleux et pourtant pratique. ENISA a mis à disposition un dossier/manuel qui décrit la mise en œuvre de ce concept.

Ces principes peuvent aussi contribuer à la sobriété numérique.

Les deux premiers principes s’expliquent d’eux-mêmes. On navigue dans des questions de volumes. En revanche le troisième nécessite d’étendre la simple définition RGPD du privacy-by-design, qui impose une attitude proactive et non-plus réactive à la protection des données personnelles et donc de la vie privée, pour inclure un comportement complémentaire ontologique de la sobriété, sobriety-by-design.

Ainsi, à titre d’exemples :

  • Dans le cadre de l’élaboration d’un formulaire, seuls les champs nécessaires et essentiels doivent être réalisés ;
  • S’il n’y a aucun besoin d’analyse de fréquentation sur le site web ou l’app, il n’y aura dès lors aucune nécessité d’installer des outils comme Google Analytics.
  • Il conviendra de développer une politique et une automatisation de la rétention des données stockées dans le Cloud ou sur des servers locaux.  
  • Les traitements de données superflus posés par les éditeurs de solutions seront identifiés et désactivés.

Pour conclure

Il ne faudrait pas non plus croire que le RGPD a pour vocation de sauver l’environnement. Le RGPD n’inscrit nulle part dans son texte ce genre de considération. Toutefois certaines mesures peuvent être lues, interprétées et réutilisées pour ces finalités écologiques.
Il est certain que le RGPD impose une discipline de gestion des données personnelles peu aisée pour ne pas dire rigoureuse. Mais peut-être, en se donnant un objectif complémentaire, qui sans être mirifique touche à la survie humaine, le RGPD sera-t-il mieux accepté et intégré ? L’écologie du RGPD est bénéfique. Le RGPD participe aussi à l’écoconception de nos systèmes de l’information.

Mots-clés associés : Catégories :