Question 2 : Les évolutions technologiques sont-elles exemptes de risques pour l'organisation ?

Le développement des technologies numériques fait émerger de nouveaux modes de fonctionnement au sein des organisations qui bouleversent la place, le rôle et l’identité sociale des individus. L’intégration croissante du numérique dans les activités humaines, la numérisation généralisée des données suscitent des transformations culturelles, socio-économiques, juridiques et politiques profondes.

I. TIC et conditions de travail

A. Les transformations du travail

Le centre d'analyse stratégique (institution française d'expertise et d'aide à la décision rattachée au Premier ministre) met en évidence en 2012 les 5 principaux risques liés aux Technologies de l’Information et de la Communication (TIC) concernant les conditions de travail :

Une augmentation du rythme et de l'intensité du travail (réagir aux sollicitations multiples, information en temps réel, être piloté par le workflow...) ;
Un renforcement du contrôle de l'activité pouvant réduire l'autonomie des salariés (le SI produit des indicateurs de performance à disposition du manager ; les TIC ne sont pas en elles-mêmes déterminantes, mais c'est plutôt le mode de management qui accroîtra ou réduira l'autonomie) ;
Un affaiblissement des relations interpersonnelles et/ou des collectifs de travail ;
Le brouillage des frontières spatiales et temporelles entre travail et vie privée (avec le télétravail, les technologies mobiles, la joignabilité permanente) ;
Une surcharge informationnelle (infobésité).

B. Le télétravail

Le télétravail consiste à réaliser son activité professionnelle hors des locaux de l'organisation : depuis le domicile, un télécentre (espace d'accès à des TIC pour des travaillleurs), ou de manière nomade.

La mise en place du télétravail revêt de nombreux aspects :

technique : l'ouverture du SI vers l'extérieur nécessite des mesures de sécurité ;
managérial : le manager peut craindre une perte de contrôle, il adaptera son mode de management ou deviendra un animateur du travail, il peut espérer en contrepartie une implication et une fidélisation des salariés ;
juridique : le télétravail salarié est régi par des textes de droit européens et nationaux dont le Code du travail (approfondiropen_in_new) ;
financier : l'équipement, les frais (abonnement, énergie du domicile) peuvent être tout ou partie pris en charge par l'employeur ;
social : maintien d'un lien avec les autres membres de l'organisation ;
formatif : il faut former et même "éduquer" les télétravailleurs et manageurs aux bons usages des outils.

II. Dimension environnementale des SI

A. Les principaux impacts des TIC sur l'environnement

Consommation électrique et émissions de gaz à effet de serre

Les TIC représentent 13,5% de la facture électrique française. On estime que les postes de travail informatiques professionnels et les centres de données représenteraient respectivement 18% et 7% de cette facture en 2008. Quant aux gaz à effet de serre générés par la production et la consommation énergétique des TIC, ils représenteraient 5% des émissions françaises (près de 4% des émissions mondiales). Un chiffre qui peut sembler relativement modeste mais la tendance est plus inquiétante.

Épuisement des ressources non renouvelables

La fabrication des composants électroniques qui constituent les éléments de base d’un ordinateur nécessite d’importantes quantités de métaux précieux, terres rares, et minerais (comme le terbium, l’hafnium, l’argent, l’or, le zinc, le coltan, etc.), dont les gisements connus seront épuisés d’ici 2 à 30 ans. Or, la quantité de puces électroniques produites chaque année ne cesse d’augmenter à mesure que les produits de la vie courante deviennent « intelligents ».

Pollution par des substances toxiques

Les TIC concentrent de nombreuses substances chimiques nocives pour l’environnement et la santé. Les impacts se situent essentiellement lors de la fabrication et la fin de vie des appareils (voir tableau ci-dessous).

B. Responsabilité environnementale des organisations

Les technologies des SI ont donc diverses conséquences écologiques que l'on peut représenter en suivant une analyse du cycle de vie (ACV) :

Extraction de matières premières	Par exemple, les terres rares sont des métaux dont l'extraction est polluante et dont le contrôle peut-être en arrière plan de conflits
Fabrication	Par exemple, la fabrication d’une puce électronique de 2 grammes nécessite environ 2 kg de matières premières et 30 litres d’eau
Transport	Consommation d'énergie (émission de gaz à effet de serre notamment)
Utilisation
Fin de vie	Tri, recyclage, destruction (émission de polluants), abandon (pollution environnementale)

L'écoconception consiste à prendre en compte l'ensemble des étapes du cycle de vie dès la conception afin d'en réduire les impacts sur l'environnement.

C. Réduire l’impact négatif des TIC sur l’environnement

1°) Les postes de travail et terminaux mobiles des utilisateurs

Principales nocivitées	Actions à mener pour réduire l'impact environnementale
Les ordinateurs concentrent une part prépondérante de l’empreinte du SI, tant en terme d’utilisation de ressources naturelles non renouvelables, de pollutions, de consommation électrique, que de coût. Le nombre de téléphones portables et l’augmentation de leurs fonctionnalités induisent aussi des impacts très importants	Prolonger la durée de vie du matériel existant ; Éteindre ordinateurs et écrans (configurer la mise en veille prolongée ou utiliser un logiciel de gestion du parc informatique permettant d’éteindre et d’allumer les ordinateurs à une heure préprogrammée) ; Acheter responsable (privilégier les éco-labels et les appareils ayant les meilleures performances environnementales)

Principales nocivitées

Actions à mener pour réduire l'impact environnementale

Les ordinateurs concentrent une part prépondérante de l’empreinte du SI, tant en terme d’utilisation de ressources naturelles non renouvelables, de pollutions, de consommation électrique, que de coût.

Le nombre de téléphones portables et l’augmentation de leurs fonctionnalités induisent aussi des impacts très importants

Prolonger la durée de vie du matériel existant ;
Éteindre ordinateurs et écrans (configurer la mise en veille prolongée ou utiliser un logiciel de gestion du parc informatique permettant d’éteindre et d’allumer les ordinateurs à une heure préprogrammée) ;
Acheter responsable (privilégier les éco-labels et les appareils ayant les meilleures performances environnementales)

2°) Les serveurs et centres de données (data centers ou « fermes de données »)

Principales nocivitées	Actions à mener pour réduire l'impact environnementale
Contrairement à la plupart des autres domaines du SI, un centre de données consomme plus d’énergie lors de la phase d’utilisation que celle nécessaire à sa fabrication	Si l’allongement de la durée de vie du matériel et la gestion des déchets restent importants, ce sont surtout les économies d’énergie à l’usage qu’il faut privilégier

3°) Les logiciels

Principales nocivitées	Actions à mener pour réduire l'impact environnementale
Les besoins des logiciels – mémoire, puissance processeur, espace disque – et leur fréquence de mise à jour conditionnent la durée d’utilisation du matériel informatique	Ne pas mettre systématiquement à jour les logiciels (à l’exception des MAJ sécurité) ; Pour les développements internes, utiliser des patrons de conception, algorithmes, architecture du code, etc., qui réduisent les besoins en ressources matérielles

4°) Les impressions

Principales nocivitées	Actions à mener pour réduire l'impact environnementale
L’empreinte environnementale de l’impression se concentre sur la phase d’utilisation, au niveau des consommables : encre et papier. L’utilisateur est le seul à pouvoir réduire ces impacts, mais la DSI peut l’accompagner au quotidien	Imprimez uniquement si nécessaire ; Imprimer sur du papier responsable, 100% recyclé ou FSC ; Mettre en place un circuit de recyclage du papier et du toner

Principales nocivitées

Actions à mener pour réduire l'impact environnementale

L’empreinte environnementale de l’impression se concentre sur la phase d’utilisation, au niveau des consommables : encre et papier.

L’utilisateur est le seul à pouvoir réduire ces impacts, mais la DSI peut l’accompagner au quotidien

Imprimez uniquement si nécessaire ;
Imprimer sur du papier responsable, 100% recyclé ou FSC ;
Mettre en place un circuit de recyclage du papier et du toner

Approfondir la dimension environnementale des SI avec le Guide pour un système d’information éco-responsableopen_in_new de l'ONG WWF datant de 2011.

III. Identité et traces numériques

L'identité numérique est un lien technologique entre :

une entité réelle (personne, organisation),
et une entité virtuelle : un site, un blog, un compte d'utilisateur sur une application (intranet, forum, réseau social...) donnant lieu à un profil, une adresse de messagerie, un pseudonyme, un avatar...

A. e-réputation

La réputation d'une organisation ou d'une personne est un avis du public qui se forme en fonction des informations disponibles sur elle.

B. Gestion de l'e-réputation

Le web participatif (web 2.0) permet à chacun de diffuser des informations (éventuellement subjectives) qui seront visibles de tous. Cela permet un retour direct mais démultiplie l'impact de ces retours.

La gestion de l'e-réputation consiste donc à :

surveiller les contenus diffusés (sur les réseaux sociaux, les blogs, les forums, la presse électronique...) et réagir si nécessaire ;
diffuser du contenu positif, bien référencé (anticiper : agir plutôt que réagir).

C. Traces numériques

Les traces numériques concernant un internaute peuvent se caractériser en fonction de leur lieu de conservation et de leur source de diffusion :

Lieu de conservation	Source de diffusion
Sur l'équipement de l'internaute : le navigateur conserve l'historique (des sites visités, des téléchargements...) et des cookies implantés par les sites (avec un consentement préalable de l'utilisateur selon la réglementation européenne). Ces données peuvent ne pas être collectées (navigation privée) ou être effacées ; Chez les fournisseurs d'accès Internet (FAI) : conservation pendant un an des connexions, transmission possible à la justice ; Sur les serveurs des sites consultés : données stockées dans des bases, informations publiées, requêtes effectuées	Laissées par l'internaute lui-même : les traces déclaratives (informations publiées) sont a priori intentionnelles et conscientes. Les traces agissantes (navigation, requêtes...) sont moins conscientes et donc plus inintentionnelles. L'internaute peut maîtriser ces traces par ses actions et son mode de navigation ; Laissées par d'autres internautes : maîtriser ces traces est plus difficile car l'internaute ne peut pas agir directement sur elles ou ne peut pas en avoir conscience (articles, commentaires de blog, photos taguées, mise en relation demandée...) ; Calculées : le croisement de ces traces, chacune peu porteuses d'information, permet de profiler de façon fine et assez sûre l'internaute (même anonyme) : âge, sexe, activités, goûts...

Lieu de conservation

Source de diffusion

Sur l'équipement de l'internaute : le navigateur conserve l'historique (des sites visités, des téléchargements...) et des cookies implantés par les sites (avec un consentement préalable de l'utilisateur selon la réglementation européenne).
Ces données peuvent ne pas être collectées (navigation privée) ou être effacées ;
Chez les fournisseurs d'accès Internet (FAI) : conservation pendant un an des connexions, transmission possible à la justice ;
Sur les serveurs des sites consultés : données stockées dans des bases, informations publiées, requêtes effectuées

Laissées par l'internaute lui-même : les traces déclaratives (informations publiées) sont a priori intentionnelles et conscientes.
Les traces agissantes (navigation, requêtes...) sont moins conscientes et donc plus inintentionnelles.
L'internaute peut maîtriser ces traces par ses actions et son mode de navigation ;
Laissées par d'autres internautes : maîtriser ces traces est plus difficile car l'internaute ne peut pas agir directement sur elles ou ne peut pas en avoir conscience (articles, commentaires de blog, photos taguées, mise en relation demandée...) ;
Calculées : le croisement de ces traces, chacune peu porteuses d'information, permet de profiler de façon fine et assez sûre l'internaute (même anonyme) : âge, sexe, activités, goûts...

Une partie des traces collectées sont associées à l'adresse IP de l'équipement utilisé pour se connecter. Même si une adresse IP peut être associée à plusieurs personnes physiques (famille, organisation), les techniques de profilage se perfectionnent afin de pouvoir les distinguer par recoupement avec d'autres données. L'adresse IP est donc considérée comme une donnée à caractère personnel (voir données à caractère personnel).

Le passage par un serveur proxy peut permettre de « masquer » l'adresse IP d'origine derrière celle du serveur proxy afin de réduire les traces de navigation laissées aux trois lieux de conservation mentionnés.

Les traces numériques étant porteuses d'identité, il faut espérer qu'elles sont conservées de façon sécurisée (contrôle d'accès, chiffrement) afin de limiter les risques d'atteinte à la vie privée.

Les traces numériques déclaratives participent à l'e-réputation. Complétées par les traces agissantes et calculées, elles permettent un profilage comportemental (ciblage publicitaire, surveillance sécuritaire...).

IV. Protection des données personnelles

A. Données à caractère personnel

On désigne comme donnée à caractère personnel toute donnée pouvant permettre une identification directe (nom, prénom, biométrique, courriel...) ou indirecte (par exemple une adresse IP) d'une personne.

La numérisation des données personnelles et les réseaux facilitent :

leur duplication et leur circulation, y compris transnationale,
la recherche d'informations personnelles et leur persistance,
leur traitement automatique (profilage par exemple).

Cela présente des risques quant à la protection de la vie privée et des libertés. Les données, en tant que fondement des informations, ont une valeur monétisable.

B. Loi Informatique et Libertés

La loi « Informatique et Libertés » (I&L) est destinée à protéger les libertés individuelles liées au stockage et à l'utilisation des données à caractère personnel dans des fichiers informatiques.

Les principaux textes juridiques

La loi française du 6 janvier 1978 (I&L) a créé la CNIL (Commission Nationale de l'Informatique et des Libertés) et a inspiré des lois similaires dans le monde ;
La directive européenne du 24 octobre 1995 vise à harmoniser, par transposition, les lois nationales (cette directive est abrogée par le RGPD);
La loi du 6 août 2004 modifie la loi Informatique et Libertés pour transposer la directive européenne ;
Le réglement général sur la protection des données (RGPD) en application depuis le 25 mai 2018 (à l'ensemble des pays de l'UE) et nécessitant une nouvelle loi I&L. Cette réforme de la protection des données poursuit 3 objectifs :
1. Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) tout en allégeant leurs démarches administratives ;
3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

C. Les droits des individus

La loi I&L ainsi que le RGPD garantissent des droits spécifiques. Il est possible - dans la plupart des cas - de faire valoir ces droits soi-même.

Droits	Explications
d'Information	Pas de collecte à l'insu de l'individu, qui doit être informé de la finalité (les données collectées n'excédant pas cette finalité) et d'éventuels transferts à d'autres organismes	Aller plus loinopen_in_new
d'Opposition	S'opposer pour des raisons légitimes à une collecte de données personnelles
d'Accès	Demander à un organisme s'il détient des données sur soi et les consulter ; pour certains fichiers (sécurité, justice...), l'accès est indirect (confié à un intermédiaire, la CNIL)
de Rectification	Faire rectifier des données personnelles stockées inexactes ou incomplètes
d'Oubli (ou effacement)	Demander la suppression de données personnelles stockées	Aller plus loinopen_in_new
de Portabilité	Récupérer les données à caractère personnel fournies sous une forme aisément réutilisable et le cas échéant, transférer ces données à un tiers	Aller plus loinopen_in_new

D. Les obligations

Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué (DPO : délégué à la protection des données ou data protection officer) :

s’ils appartiennent au secteur public,
si leurs activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.