Le Règlement général sur la protection des données (RGPD) est sur le banc des accusés. Dans un rapport sur la compétitivité de l'Europe remis le 9 septembre, commandé par la présidente de la Commission européenne, Mario Draghi ne mâche pas ses mots : "la sur-réglementation du RGPD par les Etats membres et le manque de cohérence dans son application alourdissent la charge administrative des entreprises de l'Union européenne".
Une fragmentation qui coûte cher
L'ex-Premier ministre italien et l'ancien président de la Banque centrale européenne cite deux exemples. Le premier concerne "la divergence de l'âge du consentement" entre les différents Etats membres créant "une incertitude dans l'application des droits à la protection des données pour les enfants dans le marché unique". Ce qui provoque également des coûts de mise en conformité élevés, "jusqu'à 500 000 euros pour les PME et jusqu'à 10 millions pour les grandes organisations".
Il prend également l'exemple de l'utilisation secondaire des données de santé dont le potentiel serait "inexploité" par les industriels à cause d'une fragmentation de l'application du RGPD. Il rappelle que ce texte autorise l'exploitation de ces informations sensibles à certaines conditions. Or, tous les Etats membres n'ont pas intégré ces possibilités dans leur droit interne, ce qui prive les industriels de ces données.
L'espace européen de données de santé, une première brique
Cette situation devra changer, espère-t-il, avec l'adoption du European Health Data Space (EHDS), l'espace européen des données de santé. Cette proposition a été adoptée par les États membres le 22 mars 2024, puis par le Parlement européen le 24 avril 2024. La publication du texte au journal officiel est attendue pour l’automne 2024. Cet espace de données, à l'image du Health Data Hub français, doit permettre de favoriser l'accès par les citoyens à leurs données de santé et d'accélérer l'utilisation des données de santé par les industriels grâce à la mise en place d'un cadre harmonisé.
"Ce qui m'a frappé, c'est le fait que le RGPD est quand même pas mal mentionné dans le rapport", réagit Isabelle Roccia, managing director Europe de l'International Association of Privacy Professionals (IAPP), une association représentante des professionnels de la confidentialité, sollicitée par L'Usine Digitale. Bien que le rapport soit "tranché", les constats établis sur l'application fragmentée du RGPD par le haut fonctionnaire italien sont "globalement partagés" par les membres de l'IAPP, ajoute-t-elle. Elle rappelle tout de même que ce rapport ne lie aucunement la Commission européenne qui jusque-là s'est montrée réticente à une révision du RGPD. "Ce que je peux dire, c'est que ce rapport fait beaucoup de bruit", rapporte-t-elle.
Les hyperscalers captent 65% du marché du cloud
Concernant la gestion et la protection des données, le rapport évoque évidemment le cloud. Sur ce point, le constat est sans appel et connu depuis de nombreuses années : les entreprises européennes sont écrasées par les hyperscalers américains qui captent près de "65% de ce marché". Autre constat : "les fournisseurs de l'Union européenne proposent des services [qui] dépendent principalement de l'hébergement ou la revente de PaaS des hyperscalers". Cette dépendance a des conséquences sur le développement de technologies telle que l'intelligence artificielle.
Or, la situation n'est pas prête de changer. Les coûts immobiliers et énergétiques sont "nettement plus élevés en Europe qu'aux Etats-Unis et au Moyen-Orient". Les alliances industrielles, telle que Gaia-X, ne constituent pas une alternative au vu de leurs résultats "minimes", poursuit le rapport. Rappelons que parmi ses membres, Gaia-X compte des entreprises américaines et chinoises.
Les offres hybrides, une bonne option
Face à ce constat, Mario Draghi appelle au développement d'une "politique européenne unique" qui exige "au minimum un contrôle souverain de l'Union européenne sur les éléments clés de la sécurité et du chiffrement". A cette fin, la construction de partenariats entre des entreprises européennes et des hyperscalers américains, tel que la co-entreprise S3NS entre Thales et Google, et est "aujourd'hui la deuxième meilleure option disponible en Europe en matière de sécurité des données et de souveraineté territoriale", juge Mario Draghi.
Le rapport recommande par ailleurs de "renforcer la coopération entre l'UE et les Etats-Unis" afin de "garantir l'accès aux marchés du cloud et des données". Ce qui est indispensable pour "garantir la sécurité de la chaîne d'approvisionnement" et "favoriser les opportunités industrielles et commerciales pour les entreprises technologiques européennes et américaines dans des conditions justes et équitables".
Comme sur le RGPD, il reste à voir les conséquences de cette position sur la politique européenne en matière de cloud. Domaine dans lequel les Etats membres ont beaucoup de mal à s'accorder à l'image des négociations actuelles sur le schéma européen de certification cloud (European Union Cybersecurity Certification Scheme for Cloud Services, EUCS) au niveau de l'Agence de l'Union européenne pour la cybersécurité (ENISA). Tandis que la France souhaite y intégrer des critères d'immunité aux lois extra-européennes, d'autres Etats tel que l'Allemagne plaident pour une approche beaucoup moins stricte. Cette seconde voie permettrait aux entreprises américaines d'accéder à des marchés pour héberger des données sensibles.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
