"Nous sommes plutôt dans une logique de continuum ainsi que d'une évolution profonde et de long terme autour de plusieurs choses : plus de données et plus de traitements. Ce qui commence à s'infléchir un petit peu c'est plus de règlementations", résume Paul-Olivier Gibert, le président de l'Association française des correspondants à la protection des données à caractère personnel (AFCDP), à propos de l'année 2023.
Les flux de données vers les US, un sujet d'inquiétude
Celui qui représente les délégués à la protection des données (DPO), cette figure centrale du Règlement général sur la protection des données (RGDP), explique que le RGPD a laissé "un certain nombre de sujets encore ouverts" dont les transferts de données transatlantiques. Il cite le fameux Data Privacy Framework (DPF), ce texte qui remplace le Privacy Shield lui-même remplaçant le Safe Harbor ; tous deux annulés par la justice européenne à l'issue d'une contestation menée par le militant Max Schrems, président d'honneur de l'association autrichienne Noyb.
Ce texte a déjà été attaqué par le député MoDem Philippe Latombe. Recours rejeté par la Cour de justice de l'Union européenne. Une décision sur le fond est désormais attendue. "Il y a donc encore des incertitudes sur la fragilité ou la solidité des échanges des données entre les Etats-Unis et l'Europe, explique Paul-Olivier Gibert. Il y a une bonne partie des capacités de traitement des données qui sont d'origine américaine." Pour les membres de l'association, "c'est un sujet d'inquiétude et de vigilance". Près d'un tiers avait qualifié de "fragile" ce texte, d'après la 9ème édition du baromètre trimestriel de l'AFCDP. L'occasion également de rappeler que le DPF ne garantit pas la conformité globale des traitements effectués aux Etats-Unis. En effet, il ne concerne que les entreprises qui s'engagent dans la procédure d'auto-certification. Il n'est donc pas certain que l'année 2024 permette de mettre un terme à ce flou juridique.
Une application plus homogène du RGPD
Second sujet : "la montée en puissance du régulateur européen". "En travaillant sur l'application du RGPD, nous sommes de plus en plus dans une logique d'application homogène au niveau, ce qui était le but avec le règlement", indique Paul-Olivier Gibert. Ainsi, dans certains cas, la Commission nationale de l'informatique et des libertés (Cnil) a été obligée de revoir le quantum de ses sanctions à la suite d'une demande du European Data Protection Board (EDPB), ajoute-t-il. Cette tendance devrait donc se poursuivre en 2024, bien qu'il reste encore des points d'amélioration. Les relations entre la Data Protection Commission, l'autorité irlandaise de la protection des données, avec ses consœurs sont relativement tendues.
Le président de l'association cite également "un changement d'environnement" : "avant, nous avions le RGPD à côté de règlementations soit générales, soit sectorielles qui n'étaient pas autour de la donnée. Là, nous avons eu le Digital Services Act (DSA) et le Digital Markets Act (DMA) qui sont arrivés et qui ne sont sans impact sur les data et donc le RGPD". Ce qui représente un changement important pour les DPO qui "doivent s'approprier" ces nouveaux sujets "de façon à ce que l'articulation entre les différents types de textes soit bien réalisée". Là encore, c'est un sujet de vigilance pour les DPO. Sur le DSA/DMA, "nous ne pouvons pas avoir la maturité que nous avons pour le RGPD car ils sont tout neufs".
Les problèmes soulevés par l'IA
Pour finir, Paul-Olivier Gibert cite l'intelligence artificielle et en particulier l'intelligence artificielle générative. "S'agissant de traitement de l'intelligence artificielle, il doit se faire en respectant le RGPD, explique-t-il. Il y a un risque réel de voir les organisations débordées par leurs innovations et se retrouver avec des résultats dangereux à exploiter". Il cite notamment le problème des hallucinations, définies comme étant une réponse fausse présentée comme un fait certain par un algorithme.
Sur la régulation, après plusieurs jours d'intenses échanges, les Etats membres et le Parlement européen ont finalement réussi à s'accorder sur l'Artificial Intelligence Act le 9 décembre dernier. "C'est plus un problème qui est devant nous : le texte ne sera rédigé et ne pourra être regardé de près que dans quelques semaines et le temps qu'il soit mis en application, nous avons des mois voire des années", indique le président. Certaines dispositions du texte concernent la protection des données personnelles. Par exemple, il interdit l'extraction non ciblée d'images faciales sur Internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale, à la manière de Clearview AI. "Il y a des points d'adhésion entre le RGPD, donc l'activité du DPO, et cette réglementation", ajoute-t-il.
Fin des cookies tiers, SecNumCloud...
Les sujets touchant la protection des données pour 2024 sont encore nombreux. On peut citer la fin progressive des cookies tiers dans Chrome, remplacés par des technologies censées être davantage respectueuses de la vie privée, ainsi que l'attribution du visa de sécurité SecNumCloud aux offres franco-américaines de cloud. S3NS, co-entreprise entre Thales et Google Cloud, vise le quatrième trimestre 2024.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
