D'après un sondage mené par l'association autrichienne Noyb, 74% des spécialistes de la data protection ont déclaré que les autorités compétentes trouveraient des "violations pertinentes" si elles contrôlaient les entreprises traitant des données personnelles. C'est un chiffre assez élevé alors que le Règlement général sur la protection des données personnelles (RGPD) existe quand même depuis bientôt six ans. Que doit-on en conclure ?
Isabelle Roccia –L'application du RGPD reste un sujet à travers plein de secteurs différents et pour des organisations de taille et de maturité très différentes. La question de l'implémentation se pose ainsi sous des formes différentes. C'est un texte qui reste très complexe et qui évolue sans cesse. On voit les lignes directrices des régulateurs qui sortent régulièrement, les décisions des cours de justice qui peuvent être assez impactantes sur l'interprétation du texte et puis la technologie évolue. Ce qui pose des défis aux équipes "vie privée" des organisations.
Est-ce qu'il y a des sujets plus sensibles où la mise en conformité s'avère plus compliquée pour les organisations ?
IR – Oui. Ce sont des sujets sur lesquels nous n'avons pas eu forcément l'occasion de réellement se pencher jusqu'à présent. Je pense notamment à la publicité en ligne où cette année nous avons vu des pratiques de confidentialité assez bien établies dans ce secteur ébranlées par des enquêtes et des décisions de régulateurs. Ce qui pose la question suivante : à quoi ressemble une vraie conformité ?
Autre sujet de préoccupation pour 2024 : le RGPD opère de moins en moins en isolement du cadre législatif. Il y a tout un package de législations européennes : le DSA, le DMA, le DSA, le DA, l'AI Act… Sa corrélation avec les autres textes va à nouveau soulever énormément de questions de compliance. C'est un niveau de complexité qui préoccupe beaucoup les professionnels de la vie privée. Ils vont devoir comprendre le nouvel environnement législatif et réglementaire et savoir en tirer les conclusions appropriées en matière de gouvernance.
Avec l'intelligence artificielle, les entreprises ont besoin de manipuler de grands volumes de données. Le RGPD limite cette capacité. Comment faire pour que le respect de texte devienne un avantage concurrentiel plutôt qu'une contrainte ?
Le DPO est un rôle mandaté par le RGPD donc il vient avec des tâches clairement définis. Par défaut, il a ce rôle de mettre en lumière des possibles problèmes avec l'usage de la donnée mais pas que. Le rôle évolue énormément aujourd'hui. Il y a une vraie prise de conscience ces derniers temps : la donnée est de moins en moins vue comme une source de liability mais de plus en plus comme un asset, quelque chose qui a de la valeur. C'est un changement stratégique que l'on observe évidemment chez les entreprises les plus matures, les plus grandes ou les plus régulées mais également à travers tout l'écosystème.
Cela est à confronter avec le fait qu'il y ait une vraie complexité du domaine juridique et que c'est aussi un équilibre à trouver en fonction du profil de risque des entreprises et de leur business model. Cette question de la valorisation de la donnée devient un enjeu de concurrence et de compétitivité à travers tous les secteurs. Ce qui n'était pas forcément le cas il y a cinq ou six ans. Aujourd'hui, on voit des secteurs telle que l'agriculture pour qui les sujets de protection et de transferts de données devient des sujets importants.
Avec l'arrivée de toute cette législation européenne, pensez-vous que cela va pousser les différentes directions des entreprises à davantage discuter entre elles ? Le DPO avec le chief data officer, le CDO avec le responsable sécurité des systèmes d'information...
C'est exactement ce qui ressort des discussions avec nos membres. L'année dernière, il y a eu l'enjeu de politique publique et de développement législatif. L'enjeu cette année c'est un enjeu de gouvernance, de mise en pratique. Du point de vue des membres de l'IAPP, c'est d'arriver à avoir autour de la table tous les acteurs pour mettre en place des structures de gouvernance durables et ayant du sens. Mais c'est aussi arriver à continuer à ce que les équipes, au-delà des équipes de gouvernance, soient informées, formées et sensibles à ces sujets. Le gros point d'interrogation aujourd'hui est quelles sont les structures de gouvernance qu'il faut mettre en place. On le voit dans le secteur privé mais aussi au sein des régulateurs. En France, la Commission nationale de l'informatique et des libertés (Cnil) et l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) se positionnent sur l'IA, par exemple.
Il faut donc identifier toutes ces fonctions et réussir à créer une coopération et une collaboration qui aient du sens. Au niveau des régulateurs, sur les sujets européens, cela va être quelque chose de très important à suivre.
Sur l'AI Act, y-a-t-il besoin de créer au sein des entreprises une nouvelle équipe dédiée chargée de gérer son application ?
Aujourd'hui, il y a autant de modèles de gouvernance que de type d'organisations. Vous pouvez avoir des entreprises très matures qui ont déjà des structures en place assez claires, d'autres qui sont en train de chercher quelle structure de gouvernance mettre en place. Sur le dernier texte fuité de l'AI Act, il n'y a pas de provision qui oblige à mettre en place une fonction, telle qu'on a le DPO dans le RGPD. Cela dit, il y a beaucoup d'endroits dans le texte qui recommandent voire qui mandatent cette notion de compétence, d'information, de formation sur l'IA en termes technologique et législatif. L'expertise va donc être extrêmement importante à la gouvernance de l'IA.
Quelle que soit la structure de gouvernance qui va être mise en place, l'IAPP considère qu'il va falloir des personnes qui soient formées, voire certifiées, à cette gouvernance car elle est multidisciplinaire et extrêmement évolutive. Le défi est celui de la formation des professionnels dans la gouvernance de l'intelligence et leur disponibilité sur le marché. Il y a une urgence à créer une profession de la gouvernance IA pour répondre aux défis qui se présentent.
Comment répondre à ce besoin accru de professionnels ?
Construire une gouvernance de l'IA sur la base de ce qui est fait en matière de vie privée peut déjà mettre les organisations dans une position plus sereine. D'après une étude menée par l'IAPP, il y a une grande majorité des entreprises aujourd'hui qui voient les fonctions "vie privée" comme étant une base solide pour construire une gouvernance de l'IA. Les équipes privacy ont des outils qui sont tout à fait transférables au sujet de gouvernance de l'IA. Dans l'AI Act, on a des obligations de transparence, d'étude d'impact… Ce sont des choses que les équipes ont l'habitude de faire quotidiennement.
Pour combler ce manque, est-il intéressant de recourir à un logiciel qui automatise la mise en conformité aux réglementations en vigueur ? On observe une explosion sur ces solutions.
Nous voyons également une réelle émergence de ces fournisseurs. C'est assez anecdotique, mais nous le voyons notamment dans les demandes pour être exposés dans le hall de nos salles de conférences. Je ne me positionnerais pas sur lesquelles sont bonnes et lesquelles sont moins bonnes.
Là aussi, il y a un besoin d'étude de chaque organisation de voir quel est son profil de risque, pourquoi la donnée, à quoi elle sert, est-ce purement de l'opérationnel ou y a-t-il vraiment un besoin de la donnée au sens du business model. C'est essentiel d'avoir une approche individualisée car sur les questions de mise en conformité du RGPD, il y a énormément de provisions dans le texte qui dépendent du type de données, la finalité… En d'autres termes, c'est une solution intéressante pour les entreprises mais cela ne peut pas être la seule réponse.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
