Plusieurs évolutions majeures dans la protection des données personnelles sont sur le bureau des Délégués à la Protection des Données (DPD ou DPO en anglais) pour 2025. Cela va renforcer le rôle central qu’ils jouent dans la bonne marche de l’entreprise et sous la surveillance des autorités de régulation et de l’opinion publique.
L’AFCDP, l’association des Délégués à la protection des données, résume les principaux enjeux des DPO (Data Protection Office) en ce début d’année 2025 dans le cadre d’une tribune signée par Paul-Olivier Gibert, Président et Patrick Blum, Délégué Général de l’AFCDP. Le rôle du DPO devient de plus en plus clé dans l’entreprise.
Règlement sur l’IA, directive NIS2 et cyber résilience
Côté réglementations, l’AFCDP pointe les premières applications concrètes du règlement sur l’IA, le règlement sur la cyber résilience et la mise en œuvre de la directive NIS2. Pour l’association, ces textes partagent une philosophie commune avec le RGPD. C’est-à-dire la responsabilisation des acteurs et des sanctions en cas de manquement.
Mais ils introduisent aussi des chevauchements et des effets de bord. Les DPO doivent intégrer ces nouvelles exigences tout en gardant une vue d’ensemble afin de garantir une mise en conformité cohérente. Un exemple concret cité par l’AFCDP : le traitement de données RH, qui peut passer d’une catégorie non sensible à sensible en fonction des technologies utilisées, comme l’IA. Ces interactions soulèvent des questions fondamentales sur la gestion harmonieuse des obligations légales, souligne l’AFCDP.
Concilier IA générative et RGPD
L’IA, et particulièrement l’IA générative, pose des défis inédits aux DPO. Comment appliquer le RGPD à des systèmes qui collectent et traitent des masses de données sans finalité précise dès leur collecte ? Il faut donc trouver un équilibre entre l’innovation et la conformité. C’est crucial au moment où ces technologies s’intègrent progressivement aux systèmes de production des entreprises.
D’autre part, face aux cyber attaques, les DPO devront élaborer et tester régulièrement des plans de réponse aux incidents, tout en assurant une communication efficace avec les autorités de régulation et les personnes concernées en cas de violation de données.
Le DPO, un métier de veille permanente
L’objectif des DPO est ainsi triple : prévenir ces risques, réagir efficacement, tout en renforçant la formation des collaborateurs pour réduire les failles humaines. Le DPO doit être en veille permanente tant sur l’environnement technique, que technologique et juridique.
De plus, les individus sont de plus en plus conscients de leurs droits en matière de données personnelles. Cela exerce une pression supplémentaire sur les organisations et sur leurs DPO, notamment à travers une augmentation des demandes d’exercice des droits d’accès, de rectification ou de suppression des données personnelles. Les entreprises doivent donc s’adapter à cette nouvelle réalité, en renforçant leur transparence et leur gestion des traitements de données.
Les échanges de données avec les Etats-Unis en question
Enfin, 2025 sera marquée par les incertitudes politiques et économiques, relève l’AFCDP. L’impact potentiel de la présidence Trump sur le « Data Privacy Framework » et, plus largement, sur les échanges de données entre l’Union Européenne et les États-Unis, combiné à une instabilité institutionnelle en France, pourrait créer des perturbations. En premier lieu, il y a le gel de la loi d’application NIS2, déstabilisant pour les entreprises qui travaillent sur leur mise en conformité.
Au final, les DPO sont sous la pression combinée de l’innovation technologique, des exigences réglementaires et des attentes sociétales. Ils doivent cultiver une vigilance permanente, renforcer leur collaboration interne et externe, et préparer leurs organisations à un avenir où la protection des données sera plus que jamais au cœur des priorités.
Construire le sentiment de confiance avec son public
Dès lors, selon l’AFCDP, en 2025, le rôle des DPO ne se réduit pas à garantir la conformité de son organisation, il participe aussi à la construction du sentiment de confiance entre son organisation et les publics concernés.
Le rôle du DPO dépasse le simple dialogue avec la DSI, insiste l’association. Avec la généralisation des outils en mode SaaS et des services décentralisés, les métiers contournent souvent les services IT traditionnels, et ils introduisent des risques nouveaux pour la conformité. Cette évolution appelle à une collaboration renforcée entre tous les départements, le marketing, les ressources humaines, etc. et une meilleure intégration des pratiques de protection des données dans les processus opérationnels.
L’AFCDP regroupe 6500 professionnels
L’AFCDP a été créée dès 2004. Elle regroupe plus de 6 500 professionnels de la conformité au RGPD et à la Loi Informatique et Libertés – dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer).
L’association rassemble des professionnels de la protection des données et des DPD désignés auprès de la CNIL, et les personnes intéressées par la protection des données à caractère personnel avec des juristes et des avocats, des spécialistes des ressources humaines, des informaticiens, des professionnels du marketing et du e-commerce, des RSSI et des experts en sécurité, des qualiticiens, des archivistes et des Record Manager, déontologues, consultants, universitaires et étudiants.
Illustration by Freepik www.freepik.com
