Paul-Olivier Gibert, président de l’AFCDP – L’Association Française des Correspondants à la protection des Données à caractère Personnel – fête les 20 ans de l’association des DPO (Data Protection Officer) à la Maison de la Chimie de Paris cette semaine.
Avec quelque 6 500 adhérents impliqués dans la mise en œuvre de règlementations comme le RGPD, et prochainement l’AI Act (Artificial Intelligence Act), il dresse un bilan d’étape sur l’évolution de la protection des données dans les entreprises et évoque le prochain défi du traitement des données à l’ère de l’intelligence artificielle générative.
Paul-Olivier Gibert : La problématique de protection des données personnelles est apparue à la fin des années 70 et au début des années 80. Elle s’est développée, a changé de forme et d’importance au fil des évolutions technologiques.
C’est le cas notamment avec le passage d’une informatique pilotée par les traitements à une informatique pilotée par les données, puis avec l’externalisation des infrastructures et des services vers le cloud et, plus récemment, avec le développement rapide de l’Intelligence Artificielle.
Nous assistons, à travers la donnée personnelle, à la rencontre d’évolutions technologiques, sociétales et d’usages en lien avec la protection des droits et des personnes. Depuis la réglementation européenne du RGPD, en vigueur depuis mai 2018, d’autres réglementations connexes se destinent à réguler l’utilisation des données à caractère privé, sans oublier ce qui est en train de se préparer autour de l’IA. Les délégués à la protection des données s’adaptent vite et se préparent à déployer des traitements d’IA dignes de confiance, éthiques, inclusifs, durables, tournés vers l’humain.
Paul-Olivier Gibert : Le nombre de personnes avec qui chacun de nous interagit est passé de quelques dizaines de clients et collègues dans les années 1980 à plusieurs milliers de personnes à présent. La séparation des sphères privées et publiques est beaucoup moins nette depuis 20 ans, même si elle était déjà perturbée par l’ordinateur portable puis par le téléphone mobile.
Avant le RGPD, l’AFCDP accompagnait la fonction antérieure du DPO, le CIL, Correspondant Informatique et Libertés. Ces professionnels ont dû évoluer face à des changements profonds de captation, d’analyse et de diffusion croissantes d’informations, pas seulement aux mises en conformité règlementaire.
Les missions du DPO, telles qu’elles sont définies dans le RGPD consistent à conseiller de manière indépendante les responsables de traitements et à garantir le respect du RGPD dans toute l’organisation. Les problématiques et les enjeux sont différents depuis 20 ans, tout comme les règles à respecter pour protéger les données à caractère privé.
Paul-Olivier Gibert : Ces deux sujets ne peuvent plus être négligés par les DPO.
L’AI Act est une nouvelle modalité de traitement des données qui peut impacter directement l’utilisation des données personnelles. Le DPO doit vérifier comment fonctionnent ses raisonnements.
Quant à la cloudifcation, c’est une tendance lourde qui touche à l’organisation des infrastructures informatiques. Elle pose des problématiques importantes de co-responsabilité entre différents acteurs. Auparavant, l’équipe informatique devait tout faire, héberger, développer et constituer.
À présent, c’est fini ; il faut gérer un archipel de prestations de services, incluant des hébergeurs, des éditeurs et des ESN qui doivent travailler ensemble. Il devient essentiel de vérifier la responsabilité des uns et des autres.
Paul-Olivier Gibert : Les défis sont nombreux. Il y a eu des préoccupations en lien avec la surveillance des salariés durant leurs activités au bureau, puis des problématiques liées à l’automatisation.
Avec la crise Covid, le télétravail est devenu la norme. On travaille partout à présent, y compris chez soi. Les DPO ont dû et doivent encore se poser des questions en lien avec le RSSI. Une collaboration naturelle, mécanique s’est imposée. D’autres coopérations prennent place selon la taille et l’organisation des structures. En fait, un des enjeux pour l’entreprise, tant en interne qu’en externe, est d’être en mesure de dire qu’on peut lui faire confiance et qu’en travaillant avec elle on n’aura pas de grosses difficultés à traiter.
C’est un enjeu majeur qui rapproche le DPO, le RSSI, la DSI et les équipes marketing.
Paul-Olivier Gibert : Il y a plusieurs questions à se poser cette année. La directive NIS 2 sera mise en application en France en octobre 2024 au plus tard, avec ses règlementations orientées sécurité. Des questions seront réactivées quant à l’utilisation de données personnelles, notamment lors de transferts de données transatlantiques.
L’utilisation d’équipements de communication non européens pourrait générer aussi des accès aux données personnelles par des autorités étrangères, dont le cadre juridique diffère du cadre européen. Enfin, l’articulation entre régulations européennes et nationales reste un sujet important pour le DPO.
Paul-Olivier Gibert : Un sujet progresse chez les DPO, c’est le sentiment d’être mieux écoutés, d’être en conformité grâce à une stratégie de protection des données personnelles agile (44% des répondants en janvier 2024 contre 37% en octobre 2023). Mais il reste beaucoup à faire.
Selon la taille de l’entreprise, la nature des chantiers varie.
Le DPO note des enjeux de protection des données personnelles et des sanctions plus fortes sur les grandes entreprises, ainsi que des sanctions très désagréables aussi sur les PME.
Les usages évoluent, les enjeux et les technologies évoluent. Le DPO doit donc adapter régulièrement sa stratégie de protection des données à caractère personnel.
De nombreux professionnels sont impliqués lors des quelque 100 réunions de travail que nous organisons chaque année, et où se produit un aguerrissement des DPO et de leur écosystème.
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
