Le DPO face à la montée en puissance du multi-réglementaire
RGPD, Data Governance Act, Data Act, AI Act, DSA, DMA, DORA, LOPMI… Le nombre de réglementations concernant, de près ou de loin, les données, augmente chaque année un peu plus. Comment le DPO peut-il continuer d’assumer efficacement ses missions ? Les réponses avec deux experts du sujet.
Lors du Printemps des DPO organisé en juin dernier, une table ronde a réuni quatre intervenants sur la thématique suivante : « Du RGPD au multi-réglementaire : tout est données, mais rien n’est acquis ». Deux des participants reviennent sur ce débat et répondent à nos questions : Alain Herrmann, Commissaire à la Commission Nationale pour la Protection des Données (CNPD) du Luxembourg et Nicholas Cullen, Avocat associé au sein du pôle Protection des données du Cabinet ALTIJ.
Les différentes facettes du multi-réglementaire
Mais au fait, que recouvre la notion de « multi-réglementaire » ? Dans le multi-réglementaire, il y a bien évidemment le RGPD, mais aussi les textes du digital package européen : le Data Governance Act et le Data Act. Le Data Governance Act a été adopté en mai 2022. Il vise à favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation.
Quant au Data Act, il a formellement été adopté le 27 novembre dernier par le Conseil de l’Union européenne. Ce règlement établit un nouveau cadre fixant des règles harmonisées pour « l’équité de l’accès aux données et de l’utilisation des données ». Il définit notamment les modalités visant à favoriser l’ouverture accrue des données provenant de l’Internet des objets (IoT).
« Quand on parle de multi-réglementaire, il faut aussi englober le règlement européen sur les services numériques (DSA / Digital Services Act) et le règlement sur les marchés numériques (DMA / Digital Markets Act), sans oublier le AI Act. À ce propos, les députés européens ont adopté leur position de négociation sur l’AI Act le 14 juin dernier. Ce texte, par son ampleur, aura le même impact global que le RGPD », déclare Alain Herrmann (CNPD).
Protection des données versus ouverture et réutilisation
Dans ce contexte, le périmètre des DPO va sensiblement évoluer. « Les DPO vont devoir prendre en considération, en plus du RGPD, ces autres textes qui s’appliquent à leur environnement. Il va donc falloir trouver des solutions permettant de répondre aux exigences de l’ensemble de ces réglementations, sachant le RGPD a plutôt un objectif de protection des données, tandis que ces textes ont plutôt un objectif d’ouverture, de partage et de réutilisation des données. Ce n’est pas incompatible, mais cela va nécessiter des réflexions », ajoute Alain Herrmann.
Nicholas Cullen (Cabinet ALTIJ), abonde dans ce sens : « Le RGPD est désormais en application depuis plus de cinq ans. Cela fait donc cinq ans que notre pratique est fondée principalement sur ce texte. Mais maintenant, d’autres enjeux réglementaires arrivent, pour lesquels il va falloir être formé et accompagné. Il s’agit d’un nouvel ensemble de réglementations qui ne concerne pas que les données personnelles ».
Et l’avocat d’ajouter : « Ces textes vont sensiblement impacter le métier des DPO et des juristes dans l’entreprise. Par exemple, certains acteurs vont devoir se poser la question de savoir s’ils sont dans l’obligation de partager des données techniques avec leurs usagers ou partenaires en raison du « Data Act » européen. Par ailleurs, l’utilisation de technologies de machine learning sera soumise notamment aux exigences de l’IA Act européen à venir ».
Data Governance Act et Data Act : le « oui mais » de la CNIL
Dans un article publié sur son site, la CNIL reconnait les « objectifs légitimes » du Data Governance Act et du Data Act : « Les autorités de protection des données et le Contrôleur européen reconnaissent l’objectif légitime du Data Governance Act de favoriser la disponibilité des données par la mise en place de structures d’intermédiation de données et par le renforcement des mécanismes de partage de données dans l’ensemble de l’Union. De même, l’objectif du Data Act de libérer le potentiel des données afin de développer des connaissances précieuses pour des secteurs tels que la science, la santé ou l’action climatique est accueilli favorablement par les autorités de protection des données et le Contrôleur européen ».
Dans le même temps, la protection des données personnelles est essentielle et fait partie intégrante de la confiance dans le développement de l’économie numérique, rappelle la CNIL, qui demande des garanties pour préserver les droits des personnes : « Le Comité européen de la protection des données et le Contrôleur européen de la protection des données ont appelé les co-législateurs (Parlement européen et Conseil de l’UE) à veiller à ce que le Data Governance Act et le Data Act ne portent pas atteinte à la protection des données personnelles. Les co-législateurs ont tenu compte de cette recommandation pour le DGA en spécifiant que le RGPD prévaudrait en cas de conflit avec le Data Governance Act ».
Pour le DPO, seul un travail collaboratif peut lui permettre de relever les défis
En outre, un autre texte majeur, l’AI Act, va progressivement imposer aux entreprises de réfléchir en termes d’évaluation de risque posé par les IA. Le règlement européen définit en effet des niveaux de risque auxquels sont associés des niveaux d’exigences (ou d’interdiction) : risques inacceptables, très hauts risques, et risques limités (pour les autres systèmes d’IA comme l’IA générative).
« Tout cela arrive dans les 24 prochains mois. Il va donc falloir être très vigilant. Dans certains secteurs, il y a déjà une réglementation existante, notamment pour les grandes plateformes avec le Digital Services Act. Qui plus est, d’autres textes concernant la cybersécurité rentrent en jeu dans certains secteurs sensibles. C’est le cas du Règlement européen DORA (Digital Operational Resilience Act), pour le secteur financier, et de la transposition de la Directive NIS 2 pour des acteurs des secteurs considérés comme critiques, comme par exemple les transports, l’énergie ou la santé », précise Nicholas Cullen.
Pour faire face à ce que certains appellent un « déluge » ou un « millefeuille » réglementaire, les DPO n’auront pas d’autre choix que de fonctionner en équipe, avec toutes les parties prenantes de l’entreprise, qu’elles soient internes ou externes. « Le DPO ne peut embrasser seul l’ensemble de ces problématiques. Il doit adopter un rôle de chef d’orchestre et créer les fondements pour que les bonnes personnes se réunissent afin de traiter ces sujets-là. Ce ne sont pas des dossiers uniquement juridiques, il y a tout un aspect opérationnel à considérer. Par ailleurs, la direction générale doit pleinement jouer son rôle de catalyseur et assumer un sponsorship très fort. Elle doit absolument s’emparer du sujet et définir des objectifs pour les différents départements de l’entreprise », conclut de son côté Alain Herrmann.