Les grands défis Post-RGPD
Introduction
La réglementation est-elle un frein à l’innovation ? Si certains le pensent, les lois européennes – comme le règlement général sur la protection des données personnelles – n’empêchent pas les entreprises d’adopter de nouveaux cas d’usage analytique qui impliquent le traitement des données de leurs clients. Les usages du machine learning et du deep learning ont crû fortement, même (surtout ?) dans des domaines critiques, comme la lutte contre la fraude.
Cinq ans après son entrée en vigueur, le RGPD a-t-il rigidifié les modes d’organisation ? Pas vraiment. Certaines d’entre elles, comme Michelin, SNCF Voyageurs ou encore Schneider Electric, tentent d’adopter de nouvelles structures de gestion de données plus adaptées à la nature décentralisée de leurs organisations. C’est l’intérêt principal du concept de Data mesh, qui, pour rappel, peut être considéré comme un objet « sociotechnique ».
Est-ce à dire que le RGPD a réglé tous les problèmes de protection de données personnelles ? Non. Même si, en pratique, les autorités de protection de données s’attaquent en premier lieu aux pratiques des géants du Web, certaines entreprises européennes n’ont pas su se conformer à la réglementation. Aussi, les textes sont sujets à interprétation par les organisations, alors que certaines autorités, comme la CNIL, tendent à les appliquer à la lettre. Pour autant, la CNIL évoque le fait que « 94 % des investigations menées aboutissent à la mise en conformité des organismes sans que la CNIL recoure à la sanction ». Preuve que les organisations coopèrent.
Les « couacs » ne disparaissent pas : ni les machines ni les humains ne sont parfaits. Aussi, le sujet de la gouvernance de données demeure un parent pauvre, parfois occulté par l’éclat de nouveaux objets, comme ChatGPT.
Pseudonymisation, anonymisation, chiffrement… Les techniques de protection semblent mieux utilisées qu’auparavant. Pour autant, une augmentation des cyberattaques de la part d’individus aguerris ou suffisamment malins met à mal les systèmes des organisations. Cela demande une meilleure coopération entre RSSI et DPO, insiste l’AFCDP, alors que les instances européennes feront appliquer la directive NIS 2 au second semestre 2024 et prépare le Cyber Resilience Act.
Dans un même temps, certains secteurs, comme l’industrie manufacturière, tentent d’harmoniser la collecte et le traitement de données parfois emprisonnées dans des machines régies par des protocoles propriétaires. Ces données, une fois analysées ou partagées, peuvent avoir une grande valeur pour les entreprises d’un secteur.
En réponse à cette effervescence et pour tenter de donner un élan à l’économie de données européenne, les instances dirigeantes de l’Union européenne mettent sur les rails un nouveau paquet législatif. Avec le Data Governance Act, le Data Act et l’AI Act, la Commission européenne entend favoriser la protection et le partage des données industrielles, la maîtrise des risques liés à l’IA, mais aussi rééquilibrer les relations entre les entreprises, les particuliers et les fournisseurs cloud.
Pour autant, le volet du RPGD n’est pas clos. Le 4 juillet 2023, la CE a proposé des ajustements pour « harmoniser » la gestion des dossiers transfrontaliers. Enfin, le sujet épineux des accords de transfert de données entre l’UE et les États-Unis refait surface. Voilà les défis post-RGPD dépeints par ce guide essentiel.
1Data Mesh-
Une nouvelle structure organisationnelle
Les grands défis du Data Mesh
Le concept de Data Mesh présente des avantages certains dans la gestion de données, mais sa mise en place présente des défis de taille, autant culturels que techniques. Lire la suite
Un data stewardship distribué au service de la gouvernance des données
Les modèles de data stewardship et d’intendance distribuée apportent différents outils aux stratégies de gouvernance des données. Les organisations doivent comprendre les différences pour choisir la solution la mieux adaptée. Lire la suite
Schneider Electric accélère son « time to data »
Schneider Electric a profondément repensé son architecture et sa data platform pour une meilleure adéquation aux besoins, en particulier sur l’IA et le traitement des données non structurées. L’industriel déploie en outre une stratégie Data Mesh. Lire la suite
2Gouvernance de données-
Un sujet encore mal maîtrisé
Gouvernance des données : quelles sont les bonnes pratiques à adopter ?
Parce qu’elle permet de passer de la stratégie data à l’utilisation concrète des données, la gouvernance des données est une étape incontournable pour les entreprises. Tour d’horizon des bonnes pratiques à adopter pour une transition réussie. Lire la suite
Qu’est-ce que la gouvernance de l’IA et pourquoi en avez-vous besoin ?
La gouvernance de l’IA est une nouvelle discipline, compte tenu de l’expansion récente de cette technologie. Elle diffère des pratiques de gouvernance informatique standard, dans la mesure où elle s’intéresse à l’utilisation responsable du machine learning et du deep learning. Lire la suite
Maîtrise des données industrielles, un enjeu stratégique
Les données utilisées dans l’industrie ont des origines variées. Cela ne les empêche pas d'être au cœur de la gestion des activités industrielles. Pour autant, utiliser les technologies d’exploitation des données dans le domaine industriel soulève de nombreux enjeux. Lire la suite
3L’après-RGPD-
L’UE fait feu de tout bois
RGPD : la Commission européenne veut harmoniser le traitement des dossiers transfrontaliers
Le 4 juillet 2023, la Commission européenne a proposé une « nouvelle législation » visant à renforcer l’application du RGPD dans les situations transfrontalières. Elle doit harmoniser la collaboration entre la CNIL et ses équivalents européens tout en donnant plus de droits au chapitre aux entreprises ciblées par des réclamations et à leurs auteurs. Les observateurs ne sont pas encore convaincus. Lire la suite
DSA, DMA, Data Act, DGA : que faut-il retenir ?
Outre l’AI Act encore en discussion, plusieurs réglementations européennes s’apprêtent à renforcer la protection des données et des consommateurs au sens large. Cet article tente de résumer les principales mesures à retenir de ce « paquet législatif ». Lire la suite
NIS 2 : pour les DPO, après le RGPD la cybersécurité
Lors de l’Université des DPO organisée par l’AFCDP, le directeur adjoint de l’ANSSI a anticipé un élargissement du rôle des responsables de la protection des données au-delà du RGPD, vers la sécurité, conséquence des implications de la nouvelle version de la directive européenne NIS. Lire la suite
FIC 2023 : Thierry Breton détaille son bouclier Cyber européen
Marqué par l’absence de l’Anssi et des services de l’Etat, l’édition 2023 du FIC sera donc résolument européenne. Outre les nombreuses délégations, l’événement a été l’occasion pour Thierry Breton de dévoiler son plan de marche pour muscler la cyberdéfense du vieux continent. Lire la suite
Data privacy Framework : un accord qui passe difficilement en Europe
Le 10 juillet, la Commission européenne a décidé de valider la décision d’adéquation concernant le cadre de protection des données UE-États-Unis (EU-US Data Privacy Framework). Un accord bien accueilli par les fournisseurs américains, synonyme de prudence pour d’autres et déjà combattu par Max Shrems. Lire la suite
4AI Act-
La CNIL se prépare
Cinq ans après l’entrée en vigueur du RGPD, la CNIL se dit fin prête
La CNIL, 45 ans d’âge, a largement renforcé ses pouvoirs depuis l’entrée en application du RGPD. Son bilan de l’année 2022 est l’occasion de passer en revue son activité répressive, ses pratiques d’enquête et d’esquisser les chantiers qui l’attendent. Lire la suite
AI Act : la CNIL se prépare en créant un nouveau service
Sans véritable surprise, la CNIL a annoncé ce 23 janvier la création d’un « service de l’intelligence artificielle » qui préparera l’entrée en vigueur du futur AI Act européen. L’autorité profite de l’occasion pour annoncer la publication prochaine de ses « premières recommandations » concernant les données d’entraînement. Lire la suite
AI France Summit 2023 : l’AI Act inquiète les éditeurs français
Les députés européens ont l’espoir non dissimulé, qu’à l’instar du RGPD, l’AI Act pave la voie à un standard international. Or, les éditeurs et les entreprises membres de Numeum craignent que les acteurs américains et chinois, déjà avancés en matière d’IA, soient finalement avantagés malgré ce renforcement de la réglementation. Lire la suite