Alors que le premier trimestre 2025 touche à sa fin, CRANIUM a compilé les principales évolutions que les DPD doivent surveiller.
Cette année s’inscrit dans la continuité des dernières années avec l’entrée en vigueur de nouvelles règles. Pensons notamment à l’entrée en vigueur des deux premiers chapitres de la loi sur l’IA le 2 février 2025 et de la loi européenne sur les données plus tard cette année, ainsi qu’aux changements survenus sur la scène internationale avec l’arrivée d’un nouveau président américain à la Maison-Blanche.
Avec ces bouleversements majeurs à l’horizon, cet article met en lumière les points clés que les DPD et, plus généralement, les professionnels de la protection de la vie privée doivent connaître.
La loi sur les données entrera en vigueur en septembre 2025[1]
En septembre 2025, les règles de la loi européenne sur les données entreront en vigueur, établissant des règles qui autorisent et encadrent le partage et la mobilité des données liées aux produits connectés. Bien que ces informations ne soient pas uniquement applicables aux données personnelles et ne relèvent donc pas uniquement de la responsabilité du DPD de superviser leur mise en œuvre, elles feront partie des flux de données que la loi sur les données vise à ouvrir.
Il est donc impératif que les DPD et les professionnels de la vie privée comprennent les règles de ce nouvel instrument, car la mise en œuvre de la loi sur les données affectera sûrement les droits à la protection des données en vertu du RGPD. Les changements notables que les DPD et les professionnels de la protection de la vie privée doivent connaître sont :
1. Portabilité,partage et accès des données améloirés.
La loi sur les données introduit de nouvelles règles et renforce les règles existantes, garantissant ainsi que les données des produits et services connectés soient facilement partagées et accessibles. Bien que les DPD ne soient pas spécifiquement visés par la loi sur les données, tous les professionnels de la protection de la vie privée doivent s’assurer que les accords de partage de données utilisant cette portabilité améliorée respectent les principes du RGPD. La loi sur les données crée un droit pour les utilisateurs d’accéder aux données générées par les produits connectés, et les DPD et les professionnels de la vie privée doivent donc être informés à tout moment lorsque des données personnelles sont impliquées.
2. Les déséquilibres contractuels sont corrigés.
Les DPD devront être conscients des déséquilibres de pouvoir qui peuvent exister entre les détenteurs de données et les parties souhaitant accéder aux données qu’ils détiennent. La loi sur les données introduit des garanties contre ces déséquilibres de pouvoir par le biais d’exigences minimales, mais des garanties supplémentaires devraient être introduites lorsque des données personnelles sont concernées.
3. Le secteur public peut accéder aux données en cas d’urgence.
En cas d’urgence publique, comme une catastrophe naturelle, les organismes publics auront le droit d’accéder aux données du secteur privé, qui peuvent inclure des données personnelles. Bien que dans des circonstances exceptionnelles, les DPD et les professionnels de la protection de la vie privée joueront un rôle important dans le suivi de l’exercice de ce droit et dans la garantie de sa conformité au RGPD.
Impact de la loi sur l’IA[2]
Avec l’entrée en vigueur des deux premiers chapitres de la loi sur l’IA en février et l’entrée en vigueur des règles relatives aux obligations des fournisseurs d’IA à usage général en août 2025, le travail des professionnels de la protection de la vie privée sera également impacté, et il sera important qu’ils soient conscients de ces changements. L’entraînement des modèles d’IA nécessite des données, dont certaines peuvent être des données personnelles. Ainsi, la loi sur l’IA influençant le processus de développement de l’IA dans l’UE, les DPD et les professionnels de la protection de la vie privée devront comprendre ces règles afin de se préparer à leur rôle.
Les chapitres 1 et 2 de la loi AI, applicables le 2 février 2025, exigent ce qui suit :
-
Les fournisseurs doivent superviser la formation obligatoire de connaissances en IA pour tout le personnel impliqué dans les systèmes d’IA afin de s’assurer qu’ils comprennent les risques liés à l’IA. La formation de sensibilisation aux questions de protection des données étant l’un des rôles assumés par les DPD et les professionnels de la vie privée, il peut être conseillé qu’ils soient impliqués dans ces sessions et veillent également à ce que la sensibilisation à la protection des données dans ces systèmes soit également respectée.
-
L’interdiction de certaines pratiques d’IA, telles que la reconnaissance faciale illégale, peut constituer un autre outil utilisé par le DPD pour argumenter contre le traitement à haut risque des données personnelles.
Les règles relatives à l’IA à usage général, applicables à compter du 2 août 2025, exigent ce qui suit, ce qui est pertinent pour les professionnels de la protection de la vie privée : des évaluations des risques et une documentation appropriée seront requises pour les modèles d’IA à risque systémique.
Les professionnels de la confidentialité, en tant que centre de connaissances en matière de protection des données dans de nombreuses organisations, joueront un rôle dans l’évaluation des risques liés à la confidentialité et des problèmes de sécurité potentiels au fur et à mesure de ces évaluations.
Aurons-nous un Schrems III avec Trump au pouvoir ?[3]
Au milieu des réformes et des actions dans les relations entre l’UE et les États-Unis, à l’aube du deuxième mandat du président Donald Trump, l’avenir du cadre transatlantique de confidentialité des données (DPF) est remis en question. Ce cadre est à la base de la décision d’adéquation de la Commission concernant les États-Unis, autorisant les transferts internationaux de données de l’UE vers les États-Unis en vertu du RGPD. Suite au limogeage de membres démocrates clés du Conseil de surveillance de la vie privée et des libertés civiles (PCLOB), l’un des principaux mécanismes de surveillance du DPF est potentiellement devenu inopérant, ou du moins, des questions pourraient se poser quant à son degré d’indépendance. Si cela menace la protection des données personnelles transférées vers les États-Unis, les responsables du traitement de l’UE pourraient ne plus pouvoir s’appuyer sur la décision d’adéquation actuelle pour transférer des données vers les États-Unis.
Les DPD et les professionnels de la protection de la vie privée doivent être conscients du risque que les transferts de données, notamment vers des fournisseurs de cloud américains, ne soient plus possibles en vertu d’une décision d’adéquation pendant une période prolongée. À tout le moins, il existe une incertitude juridique, car l’indépendance du PCLOB fragilise la situation du DPF, qui présentait déjà de nombreux points faibles.
Il est essentiel que les DPD se préparent à l’éventualité d’une invalidité des bases actuelles des transferts de données. Cela pourrait inclure le recours à d’autres fournisseurs de cloud et partenaires, ou l’exploration d’autres pistes pour protéger les données à l’étranger, comme dépoussiérer ces anciens SCC.
[1] https://digital-strategy.ec.europa.eu/en/policies/data-act; Regulation (EU) 2023/2854 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828.
[2] Regulation (EU) 2024/1689 of 13 June 2024 laying down harmonised rules on artificial intelligence and amending Regulations (EC) No 300/2008, (EU) No 167/2013, (EU) No 168/2013, (EU) 2018/858, (EU) 2018/1139 and (EU) 2019/2144 and Directives 2014/90/EU, (EU) 2016/797 and (EU) 2020/1828.
[3] https://noyb.eu/en/us-cloud-soon-illegal-trump-punches-first-hole-eu-us-data-deal.
