La CNIL contribue au référentiel général d’écoconception de services numériques (RGESN)

Rédigé par Régis Chatellier

 - 

09 octobre 2023


Dans le prolongement du Cahier IP « Données, empreinte et libertés », la CNIL a contribué au Référentiel général d’écoconception des services numériques (RGSEN), porté par l’Arcep et l’Arcom. Ce référentiel est ouvert à consultation publique jusqu'au 9 novembre.

 

Le Cahier IP 9 « Données, empreintes et libertés », publié en juillet 2023, propose une exploration des intersections entre protection des données et de l'environnement.

Dans sa dernière partie, il liste une série de recommandations, comme autant de pistes pour rapprocher protection des données et de l’environnement. Parmi celles-là, le Cahier appelle à renforcer, documenter et rendre interopérables les bonnes pratiques sectorielles, et notamment « articuler la Régulation environnementale des communications électroniques avec la protection des données ». La CNIL indique qu'elle pourrait « être plus directement associée à l’élaboration du Référentiel général d’écoconception des services numériques (RGSEN), et serait en capacité de l’articuler avec ses recommandations en matière de cybersécurité et de protection des données personnelles » (voir le texte complet en bas de page).

Cette recommandation a produit des effets. L’Arcep, invitée sur une table-ronde lors de l’événement de lancement du cahier, a proposé à la CNIL à contribuer à la rédaction de la première version du RGSEN, aujourd’hui ouvert à consultation publique. L’ADEME, la DINUM et l’Inria ont également contribué.

Le RGSEN est un document d'abord destiné aux experts et métiers du développement, de la conception et du design de services numériques, qui souhaitent s’engager dans une démarche d’écoconception, soit « l’intégration des caractéristiques environnementales dans la conception du produit en vue d’améliorer la performance environnementale du produit tout au long de son cycle de vie ».

 

91 critères et neuf catégories

Le référentiel rassemble 91 critères, répartis sur trois niveaux :

  • 20 critères de niveau « prioritaire »
  • 34 critères de niveau « recommandé »
  • 37 critères de niveau « modéré »

Chacun de ces critères correspond à une fiche qui en précise les objectifs, la mise en œuvre, les moyens de test et de contrôle. Des fiches qui sont classées dans neuf catégories :

  • Stratégie : permet de déterminer et de suivre la pertinence, les enjeux et le pilotage de la conception du service numérique.
  • Spécifications : regroupe les éléments de cadrage projet, les moyens mis en œuvre, les objectifs et contraintes du projet sur toute la durée de vie du service numérique.
  • Architecture : correspond à la stratégie de conception et l’articulation des composants applicatifs entre le frontend et le backend.
  • Expérience et interface utilisateur (UX/UI) : regroupe les étapes et méthodes de conception des services numériques pour définir les meilleures solutions d’interactions destinées aux utilisateurs.
  • Contenus : correspond aux documents et médias informatifs ajoutés au service numérique par des personnes contributrices et disponibles pour l’utilisateur final.
  • Frontend : recoupe l'ensemble des composants en opération sur un terminal utilisateur pour permettre l’utilisation d’un service numérique.
  • Backend : recoupe l'ensemble des composants en opération côté serveur pour permettre le fonctionnement d’un service numérique.
  • Hébergement : correspond à l'ensemble des moyens mis en œuvre côté serveur pour permettre la conception/développement, l’utilisation et si applicable l’entraînement d’un service numérique. Toute la chaîne d’hébergement mobilisée pour les fonctionnalités critiques du service (centres de données, Content Delivery Network, etc.) doit être prise en compte pour valider les critères de cette partie.
  • Apprentissage : désigne le processus par lequel un système réalise, à partir de données et via des modèles algorithmiques, des calculs afin de proposer des fonctionnalités. C’est un champ qui s’est développé avec les systèmes d’intelligence artificielle.

 

Score d’avancement

L’évaluateur du service numérique peut calculer un score d’avancement en fonction du nombre de critères applicables validés, qui prend en compte le niveau de priorisation de chaque critère. Un tableur d’auto-évaluation est proposé afin de faciliter ce calcul et sa publication (P.9).

 

Déclaration d’écoconception

En complément, le référentiel invite à rédiger une déclaration volontaire d’écoconception, dans un objectif de transparence. La publication est également un prérequis pour valider certains des critères définis par le référentiel. Elle peut être circonscrite au service numérique évalué ou s’inscrire dans une publication plus générale par exemple à l’échelle de l’organisation.

 

Consultation publique

La consultation publique lancée par l'Arcep est ouverte jusqu’au 9 novembre 2023, 23h59, heure de Paris. Elle vise à recueillir les réponses et les commentaires des acteurs intéressés sur le projet de référentiel. Les contributions doivent être transmises au moyen d'un formulaire disponible sur le site internet de l’Arcep.

 

N'hésitez pas à contribuer à cette consultation, et à « rapprocher protection des données et de l’environnement ».

 


Recommandation IP9 : Articuler la « Régulation environnementale des communications électroniques » avec la protection des données

 

L’article 25 de la loi visant à Réduire l’empreinte environnementale du numérique en France (REEN) complète le code des postes et des communications électroniques d’une section sur la « Régulation environnementale des communications électroniques ». Celle-ci prévoit, que l’Arcep, l’Arcom et l’ADEME « définissent le contenu d’un référentiel général de l’écoconception des services numériques », qui concernera « notamment l’affichage et la lecture des contenus multimédias pour permettre de limiter le recours aux stratégies de captation de l’attention des utilisateurs des services numériques. » Ce référentiel et ces critères d’écoconception pourrait intégrer explicitement les dispositions relatives à la protection des données qui rejoignent ce cadre, notamment la recommandation sur les cookies (voir « Des technologies et pratiques au tamis de l’environnement », p. 26), mais aussi les designs trompeurs – notamment sur les réseaux sociaux—qui incitent les utilisateurs à partager plus de données et génèrent des traitements parfois non voulus, etc. La CNIL pourrait ainsi être plus directement associée à l’élaboration du référentiel, et serait en capacité de l’articuler avec ses recommandations en matière de cybersécurité et de protection des données personnelles.

Cahier IP 9, Données, empreinte et libertés, page 62 (pdf)


Article rédigé par Régis Chatellier , Chargé des études prospectives