1. L’évolution de la sévérité des sanctions des autorités de contrôle, et en particulier le montant des amendes
Il s’agit d’une mise à l’échelle, une mise à niveau, selon deux axes différents : d’un côté, la considération du poids économique de l’acteur sanctionné. En effet, plus d’un milliard d’euros de sanction pour Meta en est une illustration. De l’autre, la reconnaissance de la valeur des données personnelles. Nous avons aujourd’hui une vie qui est marquée par la génération de données à caractère personnel. Ce n’est donc qu’un équitable ajustement face à des enjeux de plus en plus conséquents pour les particuliers. Dans l’exemple de Meta, divisée par le nombre de mois et le nombre de personnes concernées, la sanction ne semble finalement pas disproportionnée.
2. L’invalidation du Privacy Shield, et le projet de remplacement en cours
L’invalidation du Privacy Shield est une source majeure d’insécurité juridique depuis l’été 2020 : soit on accepte de ne pas être au même niveau technologiquement que ses concurrents, soit on prend un risque juridique. Donc tout ce qui va dans le sens d’une solution est une bonne chose. La solution retenue avec le « Data Privacy Framework » (DPF) sera-t-elle la bonne ? Cela reste à confirmer, car les écarts de perception de chaque côté de l’Atlantique fragilisent tout nouvel accord.
3. La crise du Covid et ses conséquences en particulier sur les modes de travail
La crise sanitaire a démontré que nous étions désormais capables et assez mûrs pour déplacer les informations et les données et non plus les personnes. Ce qui a eu des conséquences importantes sur la protection des données personnelles : nos échanges laissent des traces bien plus importantes que lors d’une réunion physique où les personnes présentes pouvaient être contrôlées. Les DPO ont dû travailler dans l’urgence (cyberassurance des domiciles, charte de télétravail, sécurisation des outils BYOD,…). Aujourd’hui, l’avènement du travail hybride demande de trouver de nouveaux équilibres et de nouvelles règles pour gérer cette situation ambivalente.
4. Les décisions rendant illégale l’utilisation de Google Analytics
L’exemple de Google Analytics est une illustration concrète de la situation de monopole de certains acteurs, qui peut engendrer des problématiques d’envergure pour les professionnels. En effet, ici, l’outil est passé d’un suivi de fréquentation des sites, au moteur de la publicité de tous les acteurs du e-commerce, des médias, et bien d’autres. Pour les responsables Marketing, se passer de Google Analytics représente une perte de performance, donc un enjeu de taille. Cet exemple illustre également les difficultés de prise de décision des autorités face à ces acteurs en situation de monopole. L’adoption du DPF a rendu caduques les décisions d’invalidation de Google Analytics, mais avec les risques de nouveau revirement juridique, de nombreux DPO recommandent de rester prudent et de préférer des solutions alternatives.
5. La recommandation de la CNIL sur les cookies
Les recommandations de la CNIL sur les cookies sont intellectuellement très pertinentes, mais leur mise en œuvre demande un investissement énorme pour en comprendre les attentes et comment les mettre en application. Peut-être présentent-elles trop de subtilités par rapport à la capacité d’adaptation des entreprises ? De plus se pose la question de savoir s’il s’agit d’une technologie pérenne. Dans ce cas, est-ce intéressant de règlementer ?
Il s’agit d’une mise à l’échelle, une mise à niveau, selon deux axes différents : d’un côté, la considération du poids économique de l’acteur sanctionné. En effet, plus d’un milliard d’euros de sanction pour Meta en est une illustration. De l’autre, la reconnaissance de la valeur des données personnelles. Nous avons aujourd’hui une vie qui est marquée par la génération de données à caractère personnel. Ce n’est donc qu’un équitable ajustement face à des enjeux de plus en plus conséquents pour les particuliers. Dans l’exemple de Meta, divisée par le nombre de mois et le nombre de personnes concernées, la sanction ne semble finalement pas disproportionnée.
2. L’invalidation du Privacy Shield, et le projet de remplacement en cours
L’invalidation du Privacy Shield est une source majeure d’insécurité juridique depuis l’été 2020 : soit on accepte de ne pas être au même niveau technologiquement que ses concurrents, soit on prend un risque juridique. Donc tout ce qui va dans le sens d’une solution est une bonne chose. La solution retenue avec le « Data Privacy Framework » (DPF) sera-t-elle la bonne ? Cela reste à confirmer, car les écarts de perception de chaque côté de l’Atlantique fragilisent tout nouvel accord.
3. La crise du Covid et ses conséquences en particulier sur les modes de travail
La crise sanitaire a démontré que nous étions désormais capables et assez mûrs pour déplacer les informations et les données et non plus les personnes. Ce qui a eu des conséquences importantes sur la protection des données personnelles : nos échanges laissent des traces bien plus importantes que lors d’une réunion physique où les personnes présentes pouvaient être contrôlées. Les DPO ont dû travailler dans l’urgence (cyberassurance des domiciles, charte de télétravail, sécurisation des outils BYOD,…). Aujourd’hui, l’avènement du travail hybride demande de trouver de nouveaux équilibres et de nouvelles règles pour gérer cette situation ambivalente.
4. Les décisions rendant illégale l’utilisation de Google Analytics
L’exemple de Google Analytics est une illustration concrète de la situation de monopole de certains acteurs, qui peut engendrer des problématiques d’envergure pour les professionnels. En effet, ici, l’outil est passé d’un suivi de fréquentation des sites, au moteur de la publicité de tous les acteurs du e-commerce, des médias, et bien d’autres. Pour les responsables Marketing, se passer de Google Analytics représente une perte de performance, donc un enjeu de taille. Cet exemple illustre également les difficultés de prise de décision des autorités face à ces acteurs en situation de monopole. L’adoption du DPF a rendu caduques les décisions d’invalidation de Google Analytics, mais avec les risques de nouveau revirement juridique, de nombreux DPO recommandent de rester prudent et de préférer des solutions alternatives.
5. La recommandation de la CNIL sur les cookies
Les recommandations de la CNIL sur les cookies sont intellectuellement très pertinentes, mais leur mise en œuvre demande un investissement énorme pour en comprendre les attentes et comment les mettre en application. Peut-être présentent-elles trop de subtilités par rapport à la capacité d’adaptation des entreprises ? De plus se pose la question de savoir s’il s’agit d’une technologie pérenne. Dans ce cas, est-ce intéressant de règlementer ?
Autres articles
-
Mise à jour majeure du dossier technique du CLUSIF sur le traitement des données de santé avec la participation de l’AFCDP
-
Les règles du jeu des partage et réutilisation des données personnelles à l'ère du numérique
-
La dernière étude du ministère du Travail réalisée par l’AFPA, avec le soutien de la CNIL et l’AFCDP souligne de nouvelles tendances dans l’exercice du métier de DPO
-
Protection des données : 67% des DPO se sentent concernés par l'IA Act
-
La fonction de Délégué/déléguée à la Protection des Données (DPD/DPO) ne devrait-elle pas collaborer avec la fonction RSE ?