respiro888 - stock.adobe.com
Données personnelles : la multiplication des projets de loi européens perd les DPO français (étude)
Les DPO disent ne pas y voir clair dans l’empilement des « Acts » et des règlements européens, selon l’AFCDP. L’association indique par ailleurs que la fin du Privacy Shield inquiète la majorité de ses membres sur la conformité de leurs outils collaboratifs.
Dans son baromètre trimestriel, l’association française des DPO, l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) a questionné ses membres sur les outils collaboratifs (visio, échanges de fichiers, etc.) présents dans leurs entreprises.
Pour la majorité des DPO (58 %), la fin du Privacy Shield poserait un problème de conformité pour ces outils. Les solutions collaboratives les plus déployées en entreprise sont majoritairement américaines – souligne l’association. De fait, elles tombent dans un entre-deux juridique qui les soumet à la fois au droit européen (RGPD) et au droit américain. Avec à la clef une situation « d’insécurité juridique » (pour reprendre la formule de Me Sabine Marcellin du cabinet DLGA).
« Or, pour le moment, il semble que ni la législation ni les instances ne soient en mesure de résoudre [ce problème] » regrette Paul-Olivier Gibert, président de l’AFCDP.
Un tiers des DPO se disent néanmoins peu concernés du fait que leurs secteurs ne seraient pas soumis à cette problématique. Et 6 % disent être en conformité en utilisant une ou des solutions souveraines comme Jamespot, Tixeo ou Rainbow.
Europe : la multiplication des réglementations crée de la confusion
Il est clair que ce n’est pas clair. Cette formule pourrait donc résumer la situation. Elle pourrait aussi s’appliquer aux chantiers législatifs européens, l’autre grand sujet du baromètre de l’AFCDP.
Dans son étude, l’association constate en effet que la multiplication des projets en cours de réglementations et de lois européennes sur la protection des données est une source de confusion pour les DPO. À peine 7 % d’entre eux disent « y voir clair » dans cet empilement d’« Acts ».
Pour mémoire, la Commission européenne et le Parlement européen travaillent sur cinq dossiers simultanément : une loi sur les services numériques (DSA, Digital Service Act), une sur les marchés numériques (DMA, Digital Market Act), une sur la gouvernance des données (DGA, Digital Governance Act), une sur les échanges de données (Data Act, DA) et un règlement sur l’intelligence artificielle (AIR).
« L’AFCDP s’inquiète de la possible multiplication des réglementations concernant les données personnelles, qui en rendraient le pilotage complexe au sein des organisations, de même que la multiplication des autorités de contrôles qui pourraient s’ajouter à la CNIL, au nombre de leurs interlocuteurs », avertit Paul-Olivier Gibert.
Ce corpus s’ajoute aux exigences du RGPD. Or « les membres de l’association se soucient également des incohérences entre les nouveaux textes (DSA, DMA, DGA, DA, AIR) et le RGPD, qui risquent de compliquer encore la mise en œuvre d’un cadre juridique déjà complexe », souligne président de l’AFCDP.