Les errements de la gouvernance publique en matière de Système Information

Par Bernard Laur

Le RGPD (le Règlement Général de la Protection des Données) était perçu lors de sa mise en place en mai 2018 comme un progrès important mais plus le temps passe plus on s’interroge sur sa lourdeur, sa complexité, son coût et son efficacité. Dans les entreprises les décideurs se demandent si on n’a pas fait fausse route ? En voulant bien faire n’a-t-on pas été trop loin et conçu de véritables usines à gaz ?

Cette volonté de réglementer le monde de l’informatique et des systèmes d’information est relativement récente. Pendant longtemps on s’est contenté de la Loi Informatique et Libertés de 1978 mais depuis quelques années on constate que les administrations européennes et notamment française s’intéressent de plus en plus à notre domaine et cherchent à le réguler. En soit, c’est plutôt une bonne idée. Elles ont, avec un certain retard, pris conscience de l’importance stratégique de ce secteur et elles se sont mises à produire un grand nombre de règlements, de lois et de décrets pour mieux maîtriser son développement. Malheureusement, la plupart de ces textes sont difficilement applicables voir totalement inapplicables. Cela peut parfois donner des résultats positifs mais souvent c'est la Bérézina !

Est-ce qu’en multipliant les règlements inapplicables la France et l’Europe pourront protéger le citoyen, ses données personnelles, et rattraperont leur retard sur les USA et la Chine ? Peut-on raisonnablement espérer qu’en multipliant ce genre de textes on va améliorer la gouvernance des systèmes d’information ? Y-a-t-il une martingale de l'échec ? On peut s'interroger sur la multiplication de ces "plantages". Peut-on y échapper ? Et comment ?

Lors d’une conférence du Club Européen de la Gouvernance des Système d’Information, qui s’est tenue le 13 avril 2022, Bernard Laur, expert largement reconnu pour sa vision large du secteur, a analysé les causes de ces errements. Il estime que c’est dû à la conjonction de 4 facteurs :

-        L’accumulation de textes mal rédigés et souvent bâclés rend leur application « kafkaïenne ». Autour du RGPD il y a plus de 20 lois et règlements produits par le législateur et les administrations concernées qui interfèrent. C’est une accumulation de règles sans véritable homogénéité car aucun travail d’harmonisation n’a été effectué à ce jour (slides 8 à 16).

-        Les personnes qui ont rédigé ces textes et qui sont chargées de les mettre en œuvre n’ont jamais effectué véritablement une analyse préalable de l’impact de leurs décisions sur les entreprises. La loi oblige bien dans certains cas à effectuer des analyses d’impact, mais il s’agit d’évaluer les risques pour l’individu s’il y a violation de ses données personnelles. L’impact sur l’entreprise, son organisation, ses processus, son système d’information, son formalisme juridique et les coûts induits a été superbement ignoré. (slides 17 à 23).

-        Il existe une surestimation « idéologique » des solutions envisageables et une méconnaissance totale des mécanismes de marché. En voulant lutter contre le poids des GAFAM on en arrive en matière d’investissements à des opérations qui n’ont pas la moindre chance d’aboutir et à préconiser des choix de processus, de logiciels ou de cloud « souverain » conduisant à des situations dommageables même pour les administrations (slides 24 à 29).

-        Il n’y a aucune anticipation de l’impact sur le marché des mesures prises notamment sur les freins à l’innovation, sur les métiers, sur les développements ou la disparition de secteurs d’activité, se concrétisant entre autres choses par la création d’activités innovantes en dehors de l’espace européen. Finalement l’Etat et les entreprises auront dépensé « un pognon de dingue » et continueront de le faire pour des résultats dérisoires (slides 30 à 35). 

 Lire ci-dessous le support de présentation de l’exposé de Bernard Laur : 

 J’ajouterais personnellement un cinquième point. Je suis frappé qu’aucun professionnel que je connaisse n’ait jamais été consulté par les personnes rédigeant ces lois et règlements. Je ne sais pas avec qui ils travaillent mais pas avec des personnes du métier que je pratique depuis des années et qui ont une bonne connaissance du domaine et de son contexte. En tout cas si certains ont collaboré ils ne s’en vantent pas.

 Maintenant, le vrai problème va être de sortir de cet embrouillamini. Il n’y a pas 36 solutions. Il faut revenir aux grands principes du management tel que les décrit Henri Fayol ([1]) dans L'Administration industrielle et générale. Un de ces principes de gouvernance qu’il a énoncé est d’écarter les incompétents, même si ce sont des amis fidèles. Dans notre domaine l’incompétence est patente et il faut confier une mission de remise en ordre à un professionnel compétent entouré par une équipe d’informaticiens, de managers et de juristes ayant faits leurs preuves. Cette situation perdure particulièrement en France mais c’est aussi vrai, je le crains, au niveau du Parlement et de la Commission Européenne. J’attends de lire les textes définitifs du DSA (Digital Services Act), du DMA (Digital Market Act) et la réglementation de l’usage de l’Intelligence Artificielle pour me faire une opinion mais je crains le pire. Est-ce que Thierry Breton sera capable de mettre un peu de pragmatisme et de bon sens dans ce monde d’ayatollahs ?

---

[1] - Henri Fayol a été le fondateur des théories du management. C’était un français. Il a été toute sa vie dirigeant d’entreprise et s’est efforcé, à la lumière de son expérience, de dégager les principes de la gouvernance d’entreprise. Il a publié en 1916 un ouvrage fondamental : L'Administration industrielle et générale. Très connu et apprécié aux USA et en Grande Bretagne il est ignoré en France. Ce livre est épuisé et n’est pas réédité depuis des décennies (Voir sa notice sur Wikipédia https://fr.wikipedia.org/wiki/Henri_Fayol)