Réunis à la Maison de la Chimie à Paris les 8-9 février par l’AFCDP, les DPO se préparent à déployer des traitements d’IA dignes de confiance, éthiques, et tournés vers l’humain. Confrontés à la directive NIS 2, ils encouragent de nouvelles mesures de sécurité face aux dernières formes de cyberattaques.
Les DPO ou délégués à la protection des données numériques ont le sentiment d’être mieux écoutés, et de tendre vers une conformité réglementaire plus large, grâce à une stratégie de protection des données personnelles plus agile, confirme le 10ème Observatoire trimestriel de l’AFCDP.
“Nous sommes ravis de constater que le sentiment des professionnels de la protection des données personnelles s’améliore en cette édition anniversaire de notre observatoire, qui correspond avec les 20 ans de l’association. 20 ans à soutenir les acteurs de la protection des données personnelles dans leurs défis et challenges, 20 ans à partager avec les institutions législatives et réglementaires, françaises et européennes, les constats, les succès et les limites que nos membres rencontrent au quotidien au sein de leurs organisations. Et nous avons pour ambition aujourd’hui de participer à une meilleure harmonisation entre les exigences réglementaires et les réalités pratiques du terrain, » déclare Paul-Olivier Gibert, Président de l’AFCDP, l’association française des DPO et de leur collaborateurs, qui regroupe 6500 membres.
« Il reste beaucoup à faire, ajoute-t-il néanmoins. Le DPO doit conseiller de manière indépendante les responsables de traitements et garantir le respect de règlements tels que le RGPD dans toute son organisation. Il est confronté à l’évolution rapide des réglementations (DMA, DSA, DA, DPF, Cookies Wall…), des technologies, des usages, à des enjeux et à des sanctions très lourdes en cas de non conformité aux directives européennes ou à leurs retranscriptions locales. Il doit donc adapter régulièrement sa stratégie de protection des données à caractère personnel. En particulier, avec le cloud, des problématiques de coresponsabilité apparaissent. Le DPO doit vérifier la responsabilité de tout un archipel de prestataires de services, incluant les hébergeurs, éditeurs et ESN qui doivent travailler ensemble désormais. »
A présent, la grande majorité des professionnels de la protection des données personnelles (67%) se sentent concernés par la réglementation européenne autour de l’Intelligence Artificielle (IA).
Elle représente des défis en matière de protection des données à caractère personnel. Pire, en raison de sa capacité à traiter d’énormes quantités de données, l’IA peut potentiellement accéder, analyser et utiliser des informations sensibles sur les individus. Cela soulève des préoccupations quant à la confidentialité et à la sécurité des données numériques.
“Il semble nécessaire d’avoir un encadrement des pratiques et usages de l’IA pour permettre aux organisations de rester en conformité avec le RGPD et, plus globalement, de s’assurer du respect de la protection des données personnelles de chacun. Revient ici la difficulté déjà rencontrée maintes fois par nos membres, d’accorder l’innovation technologique qui bouleverse et optimise les pratiques, et la conformité réglementaire, voire l’éthique. Protéger sans freiner le développement et l’innovation. Le challenge ne va, encore une fois, pas être simple,” rappelle Paul-Olivier Gibert.
A l’heure de l’entrée en vigueur de l’AI Act, du Cyber Resilience Act et de la directive NIS 2 qui mobilisera 600 types d’entités dans 18 secteurs selon l’ANSSI, l’enjeu devient crucial puisque tous les acteurs impliqués dans les chaînes d’approvisionnement d’administrations et d’organisations dites « essentielles » ou « importantes » devront démontrer qu’on peut leur faire confiance au niveau des échanges numériques.
« Agissez au niveau de la prévention. Défendez-vous et protégez-vous, » recommande aux DPO et aux RSSI Emmanuel Naëgelen, le Directeur adjoint de l’ANSSI. Il reconnaît que l’accumulation de normes ne facilite pas leur tâche et appelle de ses vœux la création de tableaux de concordance opérationnels pour pointer ce qui reste à faire afin de se conformer au règlement NIS 2 lorsqu’on respecte déjà le RGPD ou que l’on a obtenu une certification de type ISO 27001.
Quant aux entreprises ciblant les marchés français et allemand, elles doivent vérifier deux certifications distinctes pour choisir leur prestataire cloud souverain : C5 fait référence en Allemagne, tandis que SecNumCloud s’impose sur l’Hexagone. Ces deux labels imposent de coûteuses procédures aux prestataires européens, tandis qu’une harmonisation de part et d’autre du Rhin devrait prochainement figurer à l’agenda des pouvoirs publics.
Davantage de concertations et de cohérence entre les règlements de Bruxelles et leurs transcriptions nationales dans les 27 pays de l’UE restent nécessaires, confirme le président de l’AFCD. Une simple passerelle entre les certifications C5 et SecNumCloud aurait déjà le mérite de créer de la confiance entre les partenaires franco-allemands, un must dans le contexte actuel de ré-industrialisation de l’Hexagone.