Du RGPD à la Data Compliance…

Il y a 5 ans entrait en vigueur le RGPD qui mettait en lumière de nouvelles exigences relatives aux traitements opérés sur les données personnelles.

En 2022, le Digital Market Act est venu imposer aux plateformes en ligne et aux réseaux sociaux de nouvelles règles visant à prévenir les abus de position dominante, et ainsi éviter que seuls quelques acteurs aspirent les données des acteurs économiques, permettant ainsi de redonner à ces derniers plus de maîtrise sur leurs données.

Toujours en 2022, le Digital Services Act visait à rendre illicite en ligne ce qui est illicite hors ligne pour tout ce qui a trait aux contenus ou produits illégaux, mais aussi à rendre plus transparents les algorithmes (par exemple publicitaires) utilisant nos données.

Le Data Governance Act en 2022 a favorisé le partage des données personnelles et non personnelles, notamment dans le secteur public.

L’IA Act, adopté en juin 2023 permet de réguler l’utilisation de l’intelligence artificielle et des données utilisées dans ces modèles.

Le Data Act, dont les discussions avancent bien à Bruxelles, a pour objectif d’assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée, notamment liées à l’utilisation des objets connectés et au développement de l’Internet des objets.

Dans ce nouveau schéma de conformité qui se met en place, plusieurs acteurs (et toujours les mêmes) sont sollicités : le DPO, le RSSI, le Compliance Officer, les équipes projet de la DSI et la Direction juridique.

Parmi eux, le DPO occupe une place centrale et légitime pour adresser toutes ces problématiques.

Dans chacune de ces réglementations se cache du RGPD, entre autres sur les sujets de consentement, de privacy by design, de sécurité des données, de conservation et des droits liés aux données personnelles. Le DPO peut capitaliser sur ses relations établies avec le RSSI, ainsi que sur les process et procédures mises en place : la privacy by design applicable à toutes les réglementations, son réseau de correspondants, ses outils de gestion et de pilotage de la conformité, son positionnement dans la gouvernance de l’entreprise. Mais aussi sa légitimité acquise ces dernières années.

Ce positionnement est d’ailleurs renforcé par la posture même des régulateurs français et européens. En effet, pour certaines réglementations, comme le Digital Market Act, le régulateur européen, le CEPD (Comité Européen pour la Protection des Données) est le même que pour le RGPD. Pour certaines autres réglementations, la CNIL se positionne très clairement pour devenir le régulateur français, c’est le cas pour l’IA Act et probablement pour le Data Governance Act.

Enfin, la réalité de la data en entreprise vient aussi militer pour un rôle élargi du DPO.

En effet, en entreprise, la notion de données personnelles, ces dernières pouvant en outre prendre des formes très variées, n’a pas de sens économique ou organisationnel. L’entreprise produit, génère, gère des données parmi lesquelles il se trouve des données personnelles. La notion de données personnelles ou non personnelles n’a pas de réelle matérialité dans les systèmes de gestion de l’entreprise. Il n’y a pas, d’un côté, les données personnelles, et de l’autre, les données non personnelles.

Aussi, l’approche qui vise à partir de la conformité de la donnée et du digital pour adresser chacune de ses composantes, issues des différentes, réglementations nous semble la plus pertinente.

La mise en place assez intense sur ces deux dernières années de ce schéma de conformité autour de la Data compliance vient challenger la gouvernance interne des entreprises, et invite les DPO à saisir l’opportunité qui leur est offerte de se positionner comme le pivot de la conformité relative à la donnée, et par extension aux sujets touchant au digital.

Ils sont invités à faire évoluer leur poste du Data Protection Officer au Data Compliance Officer.