Mais d'autres challenges se profilent, liées aux évolutions technologiques rapides. Alors que l’IA Act vient d’être adopté, renforce-t-il le RGPD autour des données ? Faut-il s’attendre à un durcissement du RGPD dans les années à venir ?
6 ans de protection de données au service de l’Europe
Ce 25 mai 2024 marque le sixième anniversaire de l'entrée en vigueur du Règlement général sur la protection des données (RGPD). Pour rappel, il s'agit d'un texte réglementaire européen ambitieux qui encadre, le traitement des données de manière égalitaire sur tout le territoire de l'Union européenne (UE).Cette harmonisation des règles en Europe facilite les échanges de données au sein de l'UE, mettant fin à la fragmentation qui pouvait exister auparavant. Ce texte aura instauré un cadre réglementaire solide et cohérent en plaçant la responsabilité sur les organisations qui collectent, traitent, stockent, protègent et suppriment les données avec une sanction pécuniaire, rendue publique, en cas de non-conformité.
En l’espace de quelques années, plusieurs textes européens sont venus renforcer le RGPD afin d’assurer la protection des infrastructures critiques et des données sensibles dans un contexte où les cyberattaques sont devenues quotidiennes. Parmi ces textes, la directive NIS2, le règlement DORA, et le CRA occupent un rôle majeur, chacun apportant de profonds changements dans le paysage de la cybersécurité européenne.
Ces textes fixent des exigences renforcées en matière de sécurité des systèmes d’information et de gestion des risques opérationnels, tout en renforçant la supervision et la coopération entre les États membres. Les sanctions prévues, qui sont principalement financières, doivent, de la même manière que le RGPD, amener de nombreux acteurs à se montrer attentifs quant à l’application et au respect de ces nouvelles contraintes. Dernièrement, la loi IA Act pourrait également venir apporter sa pierre à l’édifice de la protection des données.
L’IA Act dans la lignée du RGPD
En l’espace de quelques mois, l’utilisation de l’IA et notamment de l’IA générative avec l’arrivée fracassante de ChatGPT a montré l’énorme potentiel qu’il pouvait apporter dans notre quotidien mais également de nombreux risques (deepfakes, utilisation de plus en plus poussée de l’IA dans les cyberattaques). Pour essayer de limiter la méfiance du public sur l’IA tout en encourageant les entreprises à développer ces systèmes novateurs, l’Union européenne a mis au point un cadre réglementaire inédit, l’IA Act, adopté par le Conseil européen le 21 mai dernier.Si l’arrivée de l’IA Act, qui sera mis en application dès 2025, ne proposera pas de changements aussi profonds que le RGPD, cette nouvelle loi vise une meilleure appropriation et application par les data scientists des pratiques visant la transparence, l’explicabilité et l’atténuation des biais afin d’obtenir une IA de confiance. Finalement, c’est davantage le RGPD qui modèle l’IA Act puisque les représentants de la loi et les entreprises doivent travailler de concert pour équilibrer innovation et protection de la vie privée. Il est donc nécessaire d’adopter un dialogue en continu entre régulateurs, développeurs d’IA, et utilisateurs pour garantir que l’IA se développe de manière éthique et respectueuse des droits fondamentaux.
Mais les entreprises peuvent se heurter à la souveraineté des données, concept selon lequel les données numériques doivent être soumises à la législation du pays où elles sont stockées restera prioritaire, faute de normes internationales pour la protection des données privées. Ainsi, aussi pointilleuses soient les mesures que les entreprises prennent pour protéger les données confiées par leurs utilisateurs, celles-ci peuvent être stockées dans une infrastructure « cloud », située dans une région où les lois de protection de la vie privée sont moins exigeantes. Ce qui peut avoir de lourdes conséquences tant pour l'entreprise que pour l’utilisateur final.
Vers un durcissement de la RGPD
Aujourd’hui se dessine un nouveau paysage de menaces dans lequel aucune organisation n'est épargnée. La sophistication des cybermenaces sont autant de raisons qui poussent les entreprises à repenser leur sécurité des données. Si le RGPD a incontestablement changé la donne dans le domaine de la protection des données, les avancées technologiques ont introduites de nouveaux défis et risques pour la confidentialité des données personnelles.Pour suivre le rythme de ces évolutions, il n’est pas impossible d’envisager un RGPD 2.0 - une version révisée et mise à jour du règlement qui s'attaque aux nouveaux défis et clarifie les exigences existantes. Ce durcissement viserait à trouver un équilibre entre la protection des droits à la vie privée des individus et la possibilité pour les organisations d'exploiter les données à des fins d'innovation et de croissance économique.
La nouvelle version pourrait renforcer davantage les exigences relatives à l'obtention d'un consentement valide. Cela pourrait faire l’objet d'orientations plus claires sur sa définition, garantissant que les personnes ont un véritable choix et une bonne compréhension de la manière dont leurs données seront utilisées. De plus, le RGPD 2.0 pourrait relever les défis posés par les technologies émergentes, telles que l'IA, en exigeant des organisations qu'elles obtiennent un consentement explicite pour les processus de prise de décision automatisés qui ont un impact significatif sur les individus.
L'importance de la responsabilité pourrait être davantage soulignée avec des exigences plus strictes pour les responsables du traitement des données et les sous-traitants afin de démontrer leur conformité, comme la réalisation d'évaluations régulières de l'impact sur la protection des données et la mise en œuvre des principes de protection de la vie privée dès la conception et par défaut.
En outre, le RGPD pourrait dans le futur encourager les organisations à adopter des technologies qui renforcent la protection de la vie privée et promouvoir l'utilisation de sceaux et de certificats de protection de la vie privée pour démontrer leur engagement en faveur de la protection des données.
Le RGPD a changé la donne dans le domaine de la protection des données, mais son travail est loin d'être terminé. Son avenir est fait d'adaptabilité et d'amélioration continue, motivé par la nécessité de protéger les données personnelles dans un monde de plus en plus numérique.
Bien que le RGPD 2.0 ne soit pas encore une réalité, les organisations doivent rester informées et se préparer aux changements potentiels à venir, notamment en matière de renforcement des mécanismes de consentement et l’amélioration de la responsabilité et la conformité des entreprises. Car au-delà de la simple mise en conformité, ces réglementations devraient être adoptées comme un avantage concurrentiel pour les entreprises.
Par Mountaha Ndiaye, directeur EMEA, Ecosystem Sales & Programs d’Hyland