Réglementation des données, licences logicielles et IA Act

Identifier les données réglementées, les obligations du responsable de traitement, les droits des personnes, les licences logicielles et les enjeux de l’IA Act.

Objectifs d’apprentissage

À l’issue de cette leçon, vous devez être capable de :

  • identifier dans le système d’information les données assujetties à la réglementation ;
  • vérifier la mise en œuvre des principaux textes réglementaires applicables à l’utilisation et à la conservation des données ainsi qu’à l’usage des outils numériques ;
  • identifier les principales catégories de licences de logiciels et les droits généraux qui y sont associés ;
  • identifier l’impact de l’utilisation des outils numériques sur la protection des données ;
  • comprendre pourquoi la sécurité et la durabilité du système d’information impliquent aussi une approche réglementaire et éthique ;
  • situer l’IA Act dans l’environnement réglementaire des organisations.

Cette leçon prolonge les notions vues dans les leçons précédentes sur le système d’information, notamment la qualité de l’information, les acteurs du SI, les solutions numériques, les processus et les technologies émergentes. Ici, l’angle est différent : il ne s’agit plus seulement de comprendre comment fonctionne un système d’information, mais dans quelles limites juridiques et éthiques il doit être utilisé.


1. Pourquoi la réglementation des données est devenue centrale

Le système d’information collecte, traite, stocke, diffuse et sécurise des informations. Or, toutes les données manipulées par une organisation n’ont pas le même statut juridique. Certaines sont banales, d’autres sont sensibles, d’autres encore engagent fortement la responsabilité de l’organisation.

La réglementation répond à plusieurs objectifs :

  • protéger les personnes dont les données sont collectées ;
  • encadrer les usages des outils numériques ;
  • responsabiliser l’organisation qui décide des traitements ;
  • limiter les risques d’atteinte à la vie privée, de détournement, de fuite ou d’usage abusif ;
  • favoriser une utilisation éthique de la technologie.

Autrement dit, la conformité n’est pas un simple formalisme. Elle sert à maintenir la confiance entre l’organisation et ses parties prenantes : salariés, clients, fournisseurs, partenaires, administrations.

1.1. Une exigence juridique, mais aussi managériale et éthique

Dans une organisation, les outils numériques permettent des gains importants : rapidité, automatisation, partage d’information, pilotage plus fin, meilleure traçabilité. Mais ces avantages s’accompagnent de risques :

  • collecte excessive de données ;
  • conservation trop longue ;
  • accès non autorisés ;
  • réutilisation non prévue ;
  • décisions automatisées insuffisamment maîtrisées ;
  • dépendance à des outils ou à des éditeurs ;
  • exposition accrue des données lorsqu’un outil d’IA est utilisé.

Utiliser la technologie de manière éthique en tant qu’outil signifie donc :

  • ne pas faire techniquement tout ce qui est possible si cela n’est pas légitime ;
  • respecter les droits des personnes ;
  • choisir des outils adaptés au besoin réel ;
  • limiter les traitements à ce qui est nécessaire ;
  • informer clairement les personnes concernées ;
  • intégrer la protection des données dès la conception et dans les usages quotidiens.

L’éthique complète le droit : le droit fixe un cadre minimal ; l’éthique conduit à s’interroger sur la pertinence, la proportionnalité et les conséquences des usages numériques.


2. Identifier dans le système d’information les données assujetties à la réglementation

La première compétence attendue est de savoir repérer les données concernées par les règles de protection.

2.1. Donnée à caractère personnel et donnée sensible

Dans le cadre réglementaire européen et français, certaines données sont particulièrement protégées.

A. La donnée à caractère personnel

Une donnée à caractère personnel est une donnée qui permet d’identifier, directement ou indirectement, une personne physique.

Exemples fréquents dans une organisation :

  • nom, prénom ;
  • adresse postale ;
  • adresse électronique nominative ;
  • numéro de téléphone ;
  • identifiant interne ;
  • photographie d’un salarié ;
  • données de connexion associées à une personne ;
  • numéro de client si ce numéro permet de rattacher l’information à une personne identifiée.

Le point essentiel est le suivant : une donnée n’a pas besoin d’être nominative pour être protégée. Si, par recoupement, elle permet d’identifier une personne, elle entre dans le champ de la réglementation.

B. Les données sensibles

Certaines données appellent une vigilance renforcée. Le programme demande d’identifier les données sensibles sans entrer dans tout le détail technique ou contentieux.

L’idée à retenir est qu’il s’agit de données dont l’utilisation peut porter une atteinte particulièrement grave aux droits et libertés des personnes.

Dans une logique d’identification au sein du SI, on doit être particulièrement attentif aux traitements portant, par exemple, sur des informations très intimes, très personnelles ou potentiellement discriminantes.

2.2. Où se trouvent ces données dans le système d’information ?

Les données assujetties ne se trouvent pas seulement dans une base de données clients. Elles peuvent apparaître dans de nombreux composants du SI :

  • fichiers de gestion commerciale ;
  • dossiers du personnel ;
  • bulletins de salaire dématérialisés ;
  • outils de relation client ;
  • messagerie électronique ;
  • espaces collaboratifs ;
  • progiciels métier ;
  • journaux de connexion ;
  • applications mobiles ;
  • plateformes d’IA générative ;
  • sauvegardes et archives.

2.3. Méthode pratique pour identifier les données assujetties

Pour une organisation, identifier les données réglementées suppose une démarche structurée.

Étape 1 : recenser les traitements

Un traitement correspond à une opération sur des données : collecte, enregistrement, classement, conservation, consultation, transmission, suppression, etc.

Étape 2 : repérer les données liées à des personnes physiques

On se demande :

  • la donnée permet-elle d’identifier une personne ?
  • directement ?
  • indirectement ?
  • par rapprochement avec d’autres données ?

Étape 3 : qualifier les données sensibles ou particulièrement exposées

Il faut distinguer :

  • les données ordinaires ;
  • les données sensibles ;
  • les données dont la diffusion ou la perte aurait un impact fort.

Étape 4 : localiser les données

Où sont-elles stockées ?

  • poste local ;
  • serveur interne ;
  • informatique en nuage ;
  • application d’un prestataire ;
  • outil d’IA externe ;
  • support d’archivage.

Étape 5 : vérifier qui y accède

Il faut identifier :

  • les utilisateurs internes ;
  • les prestataires ;
  • les partenaires ;
  • les applications interconnectées.

2.4. Exemple simple

Une PME utilise :

  • un logiciel de paie ;
  • un outil de gestion commerciale ;
  • une messagerie collaborative ;
  • un outil d’IA pour reformuler des courriels.

Données assujetties identifiables :

  • dans la paie : identité, coordonnées, rémunération, informations sociales ;
  • dans la gestion commerciale : identité des clients particuliers, historique d’achats, coordonnées ;
  • dans la messagerie : échanges professionnels contenant parfois des données personnelles ;
  • dans l’outil d’IA : risque d’envoi de données personnelles si les utilisateurs copient-collent des contenus nominatifs.

L’identification ne doit donc pas être limitée aux applications “officielles” : les usages réels comptent autant que l’architecture formelle du SI.


3. Vérifier la mise en œuvre des principaux textes réglementaires

Le programme demande de vérifier la mise en œuvre des principaux textes réglementaires relatifs :

  • à l’utilisation et à la conservation des données ;
  • à l’utilisation des outils numériques.

Il ne s’agit pas ici de faire une étude exhaustive de tout le droit du numérique, mais de savoir contrôler les grandes obligations.

3.1. Le rôle de l’autorité nationale de protection des données

En France, l’autorité nationale de référence est la CNIL. Son rôle est central :

  • informer et orienter ;
  • accompagner les organisations ;
  • contrôler le respect des règles ;
  • protéger les droits des personnes.

Pour le DCG, l’essentiel est de comprendre qu’une organisation ne gère pas librement les données personnelles : elle agit dans un cadre surveillé, avec des obligations précises.

3.2. Les obligations du responsable de traitement

L’une des notions fondamentales est celle de responsable du traitement. C’est l’entité qui détermine les finalités et les moyens essentiels du traitement.

Autrement dit, c’est elle qui décide :

  • pourquoi les données sont collectées ;
  • quelles données sont nécessaires ;
  • comment elles seront utilisées ;
  • combien de temps elles seront conservées ;
  • qui pourra y accéder.

Principales obligations à retenir

Le responsable du traitement doit notamment :

  • traiter les données de manière licite ;
  • définir une finalité claire ;
  • ne collecter que les données nécessaires ;
  • veiller à l’exactitude des données ;
  • limiter la durée de conservation ;
  • protéger les données contre les accès non autorisés, pertes ou altérations ;
  • être capable de démontrer sa conformité.

3.3. Les droits des personnes concernées

Les personnes dont les données sont collectées disposent de droits. C’est un point majeur car la réglementation n’est pas pensée seulement pour l’organisation, mais d’abord pour la personne.

Les droits à connaître, dans leur logique générale, sont :

  • droit à l’information ;
  • droit d’accès ;
  • droit de rectification ;
  • droit d’opposition dans certains cas ;
  • droit à l’effacement dans certaines situations ;
  • plus généralement, droit à la maîtrise de leurs données.

L’enjeu pratique est simple : une organisation doit être capable de répondre correctement à une demande d’une personne concernée.

3.4. Vérifier la conformité : une grille de contrôle simple

Pour vérifier la mise en œuvre des textes, on peut utiliser une grille en cinq questions.

1. Les données collectées sont-elles nécessaires ?

Exemple : un formulaire de contact demande-t-il uniquement les informations utiles ?

2. La personne est-elle correctement informée ?

L’organisation explique-t-elle clairement :

  • la finalité ;
  • l’usage ;
  • la durée de conservation ;
  • les droits de la personne ?

3. Les accès sont-ils limités ?

Tout le monde ne doit pas pouvoir consulter toutes les données.

4. La conservation est-elle encadrée ?

Les données ne doivent pas être gardées indéfiniment sans justification.

5. Les outils utilisés présentent-ils des garanties suffisantes ?

Cela inclut les prestataires, les applications en ligne et les outils d’IA.

3.5. Utilisation et conservation des données

Le programme vise expressément la vérification des textes sur l’utilisation et la conservation des données.

A. Utilisation

Une donnée ne peut pas être utilisée n’importe comment. Il faut que l’usage soit cohérent avec la finalité annoncée.

Exemple :

  • si une entreprise collecte une adresse électronique pour envoyer une facture, elle ne peut pas automatiquement l’utiliser pour toute autre finalité sans cadre approprié.

B. Conservation

La conservation doit être :

  • justifiée ;
  • limitée dans le temps ;
  • sécurisée ;
  • cohérente avec les obligations légales et les besoins de gestion.

Le point important n’est pas de mémoriser tous les délais selon tous les domaines, mais de comprendre la logique : on conserve parce qu’on a une raison légitime, pas par habitude.

3.6. Utilisation des outils numériques

Le programme demande aussi de vérifier les textes sur l’utilisation des outils numériques.

Cela signifie qu’il faut s’interroger non seulement sur les données, mais aussi sur les outils eux-mêmes :

  • logiciel installé localement ;
  • solution en ligne ;
  • plateforme collaborative ;
  • outil d’IA ;
  • application mobile ;
  • service d’hébergement.

Les questions à se poser sont les suivantes :

  • quelles données l’outil traite-t-il ?
  • où sont-elles stockées ?
  • qui y a accès ?
  • l’éditeur réutilise-t-il les données ?
  • les conditions d’utilisation sont-elles compatibles avec les obligations de l’organisation ?

4. L’impact de l’utilisation des outils numériques sur la protection des données

Cette partie est essentielle : un outil numérique n’est jamais neutre. Son choix et son usage ont un impact direct sur la protection des données.

4.1. Pourquoi l’outil influence la conformité

Un même besoin peut être satisfait par plusieurs solutions techniques, mais toutes ne présentent pas le même niveau de protection.

Exemples :

  • un fichier local partagé par courriel est plus risqué qu’un espace sécurisé avec gestion des droits ;
  • un outil gratuit peut financer son modèle par la réutilisation de données ;
  • une application mal paramétrée peut rendre visibles des données à des utilisateurs non autorisés ;
  • un outil d’IA peut conserver les contenus saisis pour améliorer son service.

4.2. Principaux impacts à identifier

A. Multiplication des copies

Les outils collaboratifs, synchronisations, sauvegardes et exports créent des copies multiples. Cela complique :

  • la maîtrise de la diffusion ;
  • la suppression ;
  • la mise à jour ;
  • la confidentialité.

B. Extension des accès

Le numérique facilite l’accès à distance, mais cela augmente le risque d’accès inapproprié si les habilitations sont mal définies.

C. Externalisation des traitements

Quand l’organisation utilise une solution en ligne, une partie du traitement est confiée à un prestataire. Cela ne supprime pas sa responsabilité de vigilance.

D. Traçabilité accrue

C’est un avantage, car on peut suivre les opérations. Mais c’est aussi un sujet réglementaire, car les traces peuvent elles-mêmes contenir des données personnelles.

E. Réutilisation invisible des données

Certains outils peuvent analyser les usages, les contenus ou les comportements des utilisateurs. Il faut donc lire attentivement les conditions d’utilisation et les engagements du fournisseur.

4.3. Cas particulier des outils d’intelligence artificielle

Les outils d’IA ont un impact spécifique sur la protection des données car ils peuvent :

  • recevoir en entrée des données personnelles ;
  • produire des résultats à partir de données sensibles ;
  • réutiliser les contenus saisis selon leurs conditions d’usage ;
  • rendre plus difficile l’explication de certaines décisions ;
  • accroître les risques de biais, d’erreur ou de divulgation.

Exemple

Un salarié copie dans un assistant conversationnel :

  • un projet de contrat ;
  • un extrait de dossier client ;
  • un tableau RH.

Même si l’intention est simplement de reformuler un texte, il peut y avoir :

  • divulgation de données personnelles ;
  • violation d’une obligation de confidentialité ;
  • transfert vers un service non validé par l’organisation.

4.4. Bonnes pratiques organisationnelles

Pour limiter l’impact des outils numériques sur la protection des données, l’organisation doit :

  • définir des règles d’usage ;
  • limiter les accès selon les besoins ;
  • sensibiliser les utilisateurs ;
  • vérifier les engagements des prestataires ;
  • éviter l’usage d’outils non validés pour des données sensibles ;
  • documenter les traitements importants.

5. Identifier les principales catégories de licences de logiciels

Le programme demande d’identifier les principales catégories de licences de logiciels et les droits généraux qui y sont associés.

Il ne s’agit pas d’entrer dans l’analyse juridique détaillée des contrats complexes, mais de savoir distinguer les grandes familles.

5.1. Pourquoi les licences sont importantes

Un logiciel ne s’utilise pas librement du seul fait qu’il est techniquement accessible. Son usage dépend d’une licence, c’est-à-dire d’un cadre juridique qui précise les droits accordés à l’utilisateur.

La licence détermine notamment :

  • le droit d’installer le logiciel ;
  • le nombre d’utilisateurs autorisés ;
  • la possibilité de copier ;
  • la possibilité de modifier ;
  • les conditions de diffusion ;
  • les responsabilités respectives de l’éditeur et de l’utilisateur.

5.2. Grandes catégories à connaître

A. Logiciel propriétaire

Dans ce modèle, l’éditeur conserve un contrôle fort sur le logiciel.

Caractéristiques générales :

  • le code source n’est généralement pas accessible ;
  • l’utilisation est encadrée par le contrat de licence ;
  • la copie, la modification et la redistribution sont limitées ;
  • l’utilisateur dispose d’un droit d’usage, pas d’un droit de propriété sur le logiciel.

Exemple de logique : l’entreprise paie pour utiliser un logiciel de paie ou de comptabilité selon des conditions précises.

B. Logiciel libre / open source

L’idée générale est que la licence accorde des libertés plus larges, notamment concernant l’accès au code source et certaines possibilités de modification ou de redistribution.

À retenir au niveau DCG :

  • l’utilisateur peut disposer de droits plus étendus ;
  • ces droits restent encadrés par la licence ;
  • “gratuit” et “libre” ne sont pas synonymes.

Un logiciel libre peut être gratuit ou payant ; ce qui compte, c’est la nature des droits accordés.

C. Logiciel gratuit d’utilisation

Certains logiciels sont fournis sans paiement direct, mais cela ne signifie pas que tous les droits sont ouverts.

Il faut distinguer :

  • gratuité d’usage ;
  • liberté de modification ;
  • liberté de redistribution.

Un logiciel peut être gratuit tout en restant propriétaire.

D. Logiciel en mode service

Dans les usages actuels, de nombreux outils sont utilisés via un abonnement en ligne. Juridiquement, l’organisation n’acquiert pas un logiciel au sens traditionnel ; elle bénéficie d’un service dans un cadre contractuel.

Cela soulève des questions spécifiques :

  • accès aux données ;
  • réversibilité ;
  • sous-traitance ;
  • disponibilité du service ;
  • sécurité ;
  • conformité réglementaire.

5.3. Comment raisonner face à une licence

Pour identifier la catégorie de licence et ses conséquences, il faut se poser plusieurs questions :

  1. Le logiciel est-il propriétaire ou libre ?
  2. Le code source est-il accessible ?
  3. Peut-on modifier le logiciel ?
  4. Peut-on le redistribuer ?
  5. L’usage est-il limité à certains postes, utilisateurs ou durées ?
  6. L’éditeur peut-il collecter des données d’usage ?
  7. L’utilisation implique-t-elle une connexion à un service externe ?

5.4. Exemples d’analyse

Exemple 1 : logiciel propriétaire de gestion commerciale

  • droit d’usage limité aux postes autorisés ;
  • mises à jour contrôlées par l’éditeur ;
  • pas de modification libre ;
  • dépendance contractuelle forte.

Exemple 2 : solution open source installée en interne

  • plus grande maîtrise technique ;
  • nécessité de compétences internes ou d’un prestataire ;
  • obligations liées à la licence en cas de modification ou diffusion.

Exemple 3 : outil en ligne gratuit

  • faible coût apparent ;
  • vigilance sur les données traitées ;
  • attention aux conditions d’utilisation et à la réutilisation possible des contenus.

6. L’IA Act : comprendre l’encadrement de l’intelligence artificielle

Le programme mentionne le règlement de l’Union Européenne sur l’utilisation de l’intelligence artificielle (IA Act). L’objectif n’est pas d’en faire une étude exhaustive, mais d’en comprendre la logique et les enjeux.

6.1. Pourquoi un encadrement spécifique de l’IA ?

L’intelligence artificielle modifie profondément les usages numériques :

  • automatisation de tâches ;
  • assistance à la décision ;
  • génération de contenus ;
  • détection de fraudes ;
  • analyse comportementale ;
  • traitement massif de données.

Mais elle crée aussi des risques particuliers :

  • opacité des traitements ;
  • biais ;
  • erreurs à grande échelle ;
  • atteintes aux droits fondamentaux ;
  • réutilisation incontrôlée de données ;
  • difficulté à attribuer les responsabilités.

L’IA Act vise donc à encadrer l’utilisation de l’IA selon une logique de maîtrise des risques.

6.2. L’idée centrale : une approche par le risque

L’esprit du texte est de ne pas traiter tous les systèmes d’IA de la même manière. Plus un usage présente de risques pour les personnes, plus les exigences sont élevées.

Pour le DCG, il faut surtout retenir :

  • certains usages sont fortement encadrés ;
  • la transparence devient un enjeu majeur ;
  • les organisations doivent être vigilantes lorsqu’elles utilisent ou intègrent des outils d’IA ;
  • la conformité ne concerne pas seulement le fournisseur de l’outil, mais aussi l’organisation qui l’utilise.

6.3. Ce que cela change pour les organisations

L’IA Act conduit les organisations à se poser des questions nouvelles avant de déployer un outil d’IA :

  • quel est l’usage exact de l’outil ?
  • quelles données sont introduites ?
  • quelles conséquences pour les personnes ?
  • l’outil produit-il une aide, une recommandation ou une décision ?
  • les utilisateurs comprennent-ils les limites du système ?
  • l’usage est-il documenté et contrôlé ?

6.4. Enjeux concrets dans le système d’information

L’IA Act a un impact sur :

  • le choix des outils ;
  • la documentation des usages ;
  • la formation des utilisateurs ;
  • la protection des données ;
  • la transparence vis-à-vis des personnes ;
  • la gouvernance des projets numériques.

6.5. Exemple simple

Une entreprise souhaite utiliser une IA pour présélectionner des candidatures.

Questions à se poser :

  • quelles données de candidats sont utilisées ?
  • l’outil peut-il générer un biais ?
  • existe-t-il un contrôle humain ?
  • les candidats sont-ils informés ?
  • la décision finale est-elle expliquable ?

On voit ici que l’IA Act ne se réduit pas à un sujet technique : il touche directement le management, les ressources humaines, la conformité et la responsabilité.


7. Utiliser la technologie de manière éthique en tant qu’outil

Cette formulation du programme est importante. Elle rappelle que le numérique est un moyen, pas une fin.

7.1. Les grands principes d’une utilisation éthique

Utiliser la technologie de manière éthique, c’est notamment :

  • respecter la dignité et les droits des personnes ;
  • éviter la collecte excessive ;
  • ne pas détourner les données de leur finalité ;
  • garantir une information claire ;
  • ne pas masquer les limites d’un outil ;
  • conserver une capacité de contrôle humain ;
  • prendre en compte les effets indirects des outils numériques.

7.2. Pourquoi l’éthique est indispensable même en cas de conformité formelle

Une organisation peut parfois être juridiquement couverte sur certains points tout en adoptant des pratiques discutables. Par exemple :

  • multiplier les demandes d’informations “au cas où” ;
  • imposer des outils intrusifs ;
  • utiliser une IA sans expliquer son rôle réel ;
  • conserver des données inutilement parce que “cela peut toujours servir”.

L’éthique conduit à se demander :

  • est-ce proportionné ?
  • est-ce loyal ?
  • est-ce compréhensible par la personne concernée ?
  • l’organisation accepterait-elle d’être elle-même traitée ainsi ?

7.3. Application pratique en entreprise

Quelques règles simples peuvent traduire cette exigence éthique :

  • éviter de saisir des données personnelles dans un outil non validé ;
  • anonymiser quand cela est possible ;
  • limiter les exports ;
  • paramétrer les accès au strict nécessaire ;
  • sensibiliser les équipes aux bons usages ;
  • documenter les usages de l’IA ;
  • privilégier des solutions compatibles avec la sécurité et la durabilité du SI.

8. Réglementation, sécurité et durabilité du système d’information

Cette leçon s’inscrit dans la partie du programme consacrée à la sécurité et la durabilité du système d’information. Même si la sécurité et la durabilité feront l’objet d’autres développements, il faut déjà comprendre leur lien avec la réglementation.

8.1. Le lien entre réglementation et sécurité

La protection des données suppose un niveau suffisant de sécurité. Sans sécurité :

  • les droits des personnes deviennent théoriques ;
  • les données peuvent être altérées, perdues ou divulguées ;
  • la responsabilité de l’organisation peut être engagée.

La réglementation pousse donc l’organisation à :

  • contrôler les accès ;
  • sécuriser les supports ;
  • encadrer les échanges ;
  • choisir des outils adaptés ;
  • former les utilisateurs.

8.2. Le lien entre réglementation et durabilité

La durabilité du système d’information ne concerne pas seulement l’environnement ; elle renvoie aussi à un usage raisonné, maîtrisé et responsable des ressources numériques.

Du point de vue réglementaire et éthique, cela implique :

  • éviter la prolifération d’outils non maîtrisés ;
  • limiter les traitements inutiles ;
  • réduire les duplications de données ;
  • choisir des solutions cohérentes avec les besoins réels ;
  • intégrer la conformité dans la durée.

Un SI durable est aussi un SI que l’organisation peut gouverner correctement, sans multiplier les zones grises juridiques et techniques.


9. Cas pratiques d’application

Cas 1 : outil d’IA générative pour rédiger des courriels

Une entreprise autorise ses salariés à utiliser un assistant d’IA en ligne pour reformuler des messages.

Analyse

  • Données assujetties ? Oui, si les messages contiennent des noms, coordonnées, informations RH ou clients.
  • Impact de l’outil numérique ? Risque de transfert de données vers un service externe.
  • Vérification réglementaire ? Il faut vérifier les conditions d’utilisation, les données réutilisées, les règles internes, l’information des utilisateurs.
  • Dimension éthique ? Ne pas saisir d’informations personnelles ou confidentielles sans cadre validé.

Conclusion

L’usage ne doit pas être libre et spontané sans encadrement. Une règle interne et une validation de l’outil sont nécessaires.

Cas 2 : logiciel gratuit de partage de fichiers

Une PME choisit une solution gratuite pour partager des documents avec ses clients.

Analyse

  • Licence logicielle ? Gratuité d’usage ne signifie pas absence de conditions.
  • Protection des données ? Il faut vérifier où sont hébergés les fichiers, qui y accède, si le fournisseur analyse les contenus.
  • Texte réglementaire ? L’organisation doit s’assurer que l’utilisation de l’outil est compatible avec ses obligations de protection des données.

Conclusion

Le coût nul apparent ne dispense jamais d’une analyse juridique et organisationnelle.

Cas 3 : base RH contenant des informations personnelles

Le service RH conserve sur un espace partagé des dossiers de salariés accessibles à plusieurs managers.

Analyse

  • Données assujetties ? Oui, clairement.
  • Vérification de la conformité ? Les accès doivent être limités aux personnes habilitées.
  • Impact de l’outil numérique ? L’espace partagé, s’il est mal paramétré, augmente le risque de diffusion non autorisée.

Conclusion

La conformité passe ici par la gestion des droits d’accès, la limitation des copies et l’organisation des espaces de stockage.


10. Méthode de raisonnement pour traiter une situation

Dans une situation professionnelle, vous pouvez suivre cette méthode en cinq temps.

Étape 1 : identifier les données

  • Y a-t-il des données à caractère personnel ?
  • Sont-elles sensibles ou particulièrement exposées ?

Étape 2 : identifier l’outil

  • De quel outil s’agit-il ?
  • Est-il interne, externe, en ligne, gratuit, sous abonnement, doté d’IA ?

Étape 3 : repérer les obligations

  • information des personnes ;
  • limitation de la collecte ;
  • limitation des accès ;
  • conservation encadrée ;
  • vigilance sur le prestataire ;
  • respect des droits des personnes.

Étape 4 : qualifier la licence si nécessaire

  • logiciel propriétaire ;
  • logiciel libre / open source ;
  • logiciel gratuit ;
  • service en ligne.

Étape 5 : conclure sur les risques et les actions à mener

  • outil autorisable ou non ;
  • paramétrages à revoir ;
  • données à supprimer ou à anonymiser ;
  • information à compléter ;
  • règles internes à formaliser.

11. Mémo de synthèse

À retenir absolument

  • La réglementation sur les données vise à protéger les personnes et à responsabiliser les organisations.
  • Il faut savoir identifier dans le système d’information les données assujetties, notamment les données à caractère personnel et les données sensibles.
  • Le responsable du traitement détermine la finalité et les moyens essentiels du traitement ; il supporte des obligations importantes.
  • Les personnes disposent de droits : information, accès, rectification, etc.
  • Vérifier la conformité, c’est contrôler :
    • la finalité,
    • la nécessité des données,
    • l’information donnée,
    • les accès,
    • la conservation,
    • la sécurité,
    • le choix des outils.
  • Les outils numériques ont un impact direct sur la protection des données : stockage, accès, copie, transfert, réutilisation.
  • Les outils d’IA demandent une vigilance renforcée, en lien avec l’IA Act.
  • Les licences logicielles déterminent les droits d’usage : propriétaire, libre / open source, gratuit, service en ligne.
  • Utiliser la technologie de manière éthique signifie employer les outils numériques de façon proportionnée, loyale, transparente et respectueuse des droits des personnes.

Formule de raisonnement utile

Face à un outil numérique, posez toujours quatre questions :

  1. Quelles données traite-t-il ?
  2. Quels droits ont les personnes concernées ?
  3. Quelles garanties offre l’outil et son fournisseur ?
  4. L’usage est-il juridiquement conforme et éthiquement acceptable ?

Conclusion

La réglementation des données n’est pas une contrainte isolée du reste du système d’information. Elle est au croisement de plusieurs enjeux :

  • la sécurité, car des données mal protégées exposent l’organisation et les personnes ;
  • la durabilité, car un SI maîtrisé évite les usages dispersés et les traitements inutiles ;
  • la gouvernance, car il faut répartir clairement les responsabilités ;
  • l’éthique, car le numérique ne doit pas conduire à traiter les personnes comme de simples sources de données.

Dans la pratique, la bonne approche n’est pas seulement de “respecter un texte”, mais de construire un usage maîtrisé, justifié et responsable des données et des outils numériques. C’est précisément ce qui est attendu d’un futur professionnel de gestion confronté à des logiciels, des plateformes collaboratives, des prestataires cloud et des outils d’intelligence artificielle dans la vie quotidienne des organisations.