Après le RGPD, le règlement européen sur la protection des données privées, entré en application en mai 2018, les DPO ont du pain sur la planche avec les multiples réglementations de l’UE en cours (DMA, DSA, DA, DPF, Cookies Wall, etc.). Le rapport trimestriel de l’AFCDP vise un triple objectif, évaluer le sentiment de l’évolution de la conformité des organisations, aborder les sujets techniques et poser une question d’actualité à ses adhérents.
Sur le sentiment de confiance dans la protection des données privées au sein des organisations qui les emploient, les DPO semblent un peu moins confiants pour 42 % des répondants en juillet 2024 contre 46 % en avril 2024. Le contexte politico-économique incertain début juillet et les Jeux Olympiques sont passés par là, selon Paul-Olivier Gibert, Président de l’AFCDP.
Côté plus technique, les réponses à la question de l’AFCD semblent avoir intégré la portée des diverses règles de l’UE, 4 ans après l’annulation du Privacy Shield et un an après l'adoption du Data Privacy Framework. L’objectif de ce dernier est de renforcer les garanties de protection des données des citoyens européens lorsqu’elles sont transférées
aux États-Unis.
Seuls 16 % des DPO n’ont pas rapatrié les données critiques en Europe
Comme indiqué dans le graphique ci-dessous, une majorité des DPO, soit 38 % d’entre eux, a fait le choix de rapatrier en Europe les traitements de données critiques ou métiers. Un pas important vers l’amélioration de la souveraineté des données des organisations de l’UE vis-à-vis des Etats-Unis.Noter toutefois l’abstention importante des DPO sur cette question (38 % contre 34 % en juin 2021) qui trouble quelque peu une bonne vision sur ce thème.
« Le contexte réglementaire autour des traitements de données passant par les Etats-Unis reste très inconfortable pour les DPO […] Le Data Privacy Framework (DPF) ne garantit pas la conformité globale des traitements effectués aux États-Unis : il ne concerne que les entreprises, et uniquement celles qui s’engagent dans une procédure d’auto-certification. » commente Paul-Olivier Gibert.
Les nouveaux textes législatifs européens semblent moins intimidants
Une faible proportion des DPO interrogés, à peu prés la même que lors de l’enquête d’avril 2024, se disent perturbés dans leur travail par les nombreux règlements européens sur la protection des données personnelles et des services. Soit 17 % début Juillet contre 16 % en avril et février 2024, et 20 % des répondants en octobre 2023.A la question « Y voyez-vous clair dans les nouveaux règlements européens et leur impact (DMA, DSA, DA, DGA, AI Act) ? » les réponses montrent une meilleure appréhension de leur portée et de leur application bien que 41 % aujourd’hui se disent encore dans l’expectative à ce jour (contre 46 % en janvier 2022).
La faible part récurrente des répondants qui ont une vision claire de leur stratégie de conformité (7 % en janvier 2022 vs 8 % aujourd’hui) montre toutefois l’ampleur des difficultés à appliquer les nombreux règlements. Un problème tempéré par Paul-Olivier Gibert qui rappelle que par exemple, l’AI Act, tout juste entré en vigueur, ne sera vraiment en application que progressivement, à partir de 2025 et jusqu'en 2027.
