Illustration : Sébastien Thibault

Même si son objectif est dabord et avant tout de protéger les renseignements personnels des Québécois, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) risque davoir un autre effet sur les entreprises dici : diminuer leur boulimie numérique.

La Loi 25, dont les dispositions les plus importantes sont entrées en vigueur à l’automne 2023, vise à adapter la protection des renseignements personnels au Québec aux nouveaux défis que pose l’environnement numérique et technologique actuel.

Au cœur de cette loi se trouvent les données personnelles comme celles touchant les employés des entreprises, mais aussi leurs clients, physiques et numériques. «Avant la Loi 25, les entreprises avaient tendance à capturer toutes les données possibles, juste au cas où elles leur serviraient un jour. C’était l’inverse de la sobriété numérique», explique Jean-François Renaud, cofondateur de la firme de stratégie et marketing numérique Adviso et professeur associé au Département de marketing de HEC Montréal.

Au cours des 20 dernières années, surtout depuis l’avènement de l’infonuagique, les coûts liés à l’espace de stockage ont chuté, de sorte que les entreprises avaient beau jeu d’amasser de plus en plus de données. Une telle boulimie numérique entraîne toutefois son lot de problèmes.

«Tout d’abord, cela augmente les risques en ce qui concerne la cybersécurité», note Imran Ahmad, associé et chef canadien de la Division des technologies, qui est aussi cochef canadien de la Division de la gouvernance de l’information, de la protection des renseignements personnels et de la cybersécurité chez Norton Rose Fulbright Canada.

Selon une étude d’IBM publiée au début de l’année 2023, les violations de données coûtent en moyenne 7,05 millions de dollars par incident au Canada. Or, il va de soi que plus les données personnelles volées sont nombreuses, plus les risques sont élevés, et plus les répercussions d’un incident sont importantes.

«Ce que les entreprises et les gens en général ne réalisent pas, c’est qu’il y a aussi un coût environnemental associé à l’accumulation, au transfert et au stockage de toutes ces données», ajoute Sylvain Sénécal, professeur titulaire au Département de marketing de HEC Montréal et titulaire de la Chaire de commerce électronique RBC Groupe Financier.

Des SSD polluants

Le bilan carbone des puces de mémoire SSD (de l’anglais solid state drive) sur lesquelles les données des entreprises sont de plus en plus souvent stockées est particulièrement lourd. Une étude de l’Université de la Colombie-Britannique publiée en 2023 estime d’ailleurs que 38% des émissions carbone liées à la fabrication d’un ordinateur de bureau proviennent des disques SSD (même pour un modèle de 512 Go seulement), loin devant la carte-mère (17%), la carte graphique (11%) et la mémoire vive (9%).

Ce que change la Loi 25

La Loi 25 marque la fin de la récréation pour ce qui est de l’accumulation de données personnelles à outrance. «Cette loi oblige les entreprises à mener une réflexion par rapport à ce qu’elles amassent comme données et à l’usage qu’elles en font», explique Jean-François Renaud.

Les organisations peuvent encore emmagasiner de grandes quantités de données personnelles, mais elles doivent expliquer à leurs utilisateurs pourquoi elles le font et obtenir leur consentement. Elles doivent aussi dire à l’avance pendant combien de temps les données seront enregistrées et les détruire à la fin de cette période.

«Ce qu’on observe, c’est que les organisations profitent de cette occasion pour faire le ménage dans ce qu’elles accumulent, note Imran Ahmad. C’est d’ailleurs aussi ce qui est arrivé en Europe, avec le Règlement général sur la protection des données (RGPD).»

Les effets positifs de la loi ne se limiteront pas aux données québécoises. «Le Québec est le premier endroit en Amérique du Nord à instaurer une loi pour protéger les données personnelles, mais cela se fera aussi ailleurs. Tout le travail qui est effectué ici pourra servir aux autres juridictions», ajoute Jean-François Renaud.

Et les autres données?

Les données personnelles ne sont évidemment qu’une partie de toutes les informations qu’une organisation peut accumuler. Même si la Loi 25 ne concerne que ces données personnelles, les efforts investis dans la cartographie des informations récoltées et dans la réflexion par rapport à leur utilisation pourront profiter plus largement aux entreprises.

«J’ai beaucoup discuté avec de grandes organisations au cours des derniers mois, et ce qu’elles disent toutes, c’est qu’elles veulent en profiter pour bien faire les choses», note Jean-François Renaud.

Imran Ahmad voit d’ailleurs un parallèle entre les tendances actuelles en gouvernance de données et un mouvement qui a eu cours dans les années 1990. «Pendant cette période, les entreprises ont beaucoup travaillé à minimiser tous les types de données qu’elles accumulaient dans de grands classeurs, afin de libérer de l’espace. On est un peu dans la même situation, estime-t-il. Aujourd’hui, quand on fait la cartographie des données personnelles avec nos clients, ceux-ci nous demandent souvent si on peut poursuivre le travail et tenter de diminuer les autres données accumulées, par rapport à la propriété intellectuelle, par exemple.»

Sylvain Sénécal voit cette tendance d’un bon œil. «D’une manière générale, les entreprises accumulent trop de données. En pratique, on gère un service avec un nombre limité d’indicateurs. Le reste est superflu, explique-t-il. Une organisation peut évaluer ce dont elle a vraiment besoin en analysant rétrospectivement comment elle a utilisé les données au cours des trois ou cinq dernières années. Plusieurs se rendent alors compte que de nombreuses informations accumulées n’ont jamais été utilisées. Si on souhaite être plus sobre numériquement, c’est le genre de données qu’on doit cesser d’amasser», conclut-il.

Article publié dans l’édition Printemps 2024 de Gestion