DSA, DMA, DGA, DA, les récents règlements de l’UE qui s’imposent aux organisations s’ajoutent au RGDP en élargissant la protection des données personnelles aux marchés et services ainsi qu’aux données à caractère non-personnel. Une inflation législative qui doit être prise en compte par les entreprises et institutions.
Après le RGPD (règlement général sur la protection des données) adopté en 2016, l’intention des législateurs européens est claire : s’attaquer notamment aux GAFAM et autres grands du numérique pour limiter les abus de position dominante tout en facilitant l’innovation. Une intention louable mais qui doit être mise en musique par les organisations car il s’agit de règlements assortis de sanctions et non de simples directives.
De récents textes européens en cours d'adoption, le Data Governance Act (DGA) et le Data Act (DA) portent sur des données mixtes, à caractère personnel et non personnel. Il s’agit, par exemple, du secret des affaires ou des données en lien avec la protection industrielle. Ces nouveaux textes devront être appliqués par les délégués à la protection des données (DPO) dans les entreprises et autres organisations de travail.
Ces tâches supplémentaires s’ajoutent au règlement DMA (Digital Market Act) qui s'appliquera au plus tard en mars 2023 aux contrôleurs d'accès, à savoir principalement des GAFAM. Il s’agit des sociétés qui proposent leurs services dans trois pays membres de l'UE au moins et réalisent plus de 7,5 milliards d'Euros de recettes annuelles dans l'UE lors de leurs trois derniers exercices. Le DMA qui s’inscrit dans une logique préventive, vise à neutraliser les pratiques anticoncurrentielles avant qu’elles ne soient constatées.
Ces textes législatifs longs et complexes, caractéristiques de l’Union Européenne vont accroitre la charge de travail des DPO, avec de nouvelles définitions, règles et obligations à partager avec les RSSI, CDO (responsables des données) et avec l'équipe DevOps de conception de services en ligne sécurisés.
Paul-Olivier Gibert, Président de l'AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) explique la portée des nouvelles lois
« Au travers de ces derniers textes, on voit se profiler une évolution potentielle du métier de DPO, la donnée numérique étant appréhendée au sens large désormais et non plus seulement en termes de données à caractère personnel. L'objectif du Digital Market Act consiste à rendre plus sain et concurrentiel l'espace numérique, au bénéfice d'utilisateurs privés ou professionnels. »
Le Digital Services Act (DSA) pour protéger les droits fondamentaux des utilisateurs
Le DSA est un règlement protégeant les droits fondamentaux des utilisateurs, pour lutter contre les contenus illicites, la manipulation et la désinformation, et cela, en harmonisant les règles disparates des États membres. Il se propose d’améliorer les services en ligne accessibles en Europe, en protégeant les droits fondamentaux des utilisateurs, en luttant contre les contenus illicites, la manipulation et la désinformation, et en harmonisant les règles des États membres. Sont visés, les fournisseurs de services intermédiaires en ligne, où que se situe leur siège social. Concrètement, il s’agit, notamment, des FAI et moteurs de recherche tels Google ou Bing. Autre point saillant du DSA, un contrôle accru qui concerne la publicité en ligne avec une interdiction de l'affichage des annonces fondées sur un profilage portant sur des données sensibles, dont la protection des mineurs. Ce dernier point étant un sujet à part entière. Le propos du DSA est, en bref, de s’assurer du bon fonctionnement du marché intérieur numérique.
Le RGPD, suivi par le DMA, DSA, DGA, Data Act, AI Act, ePrivacy s’inscrivent dans l’énorme corpus législatif numérique de l’Union Européenne, face aux mastodontes du digital qui disposent d’une armée de juriste spécialisés pour s’adapter. Un combat à l’issue incertaine.