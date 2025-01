Qu’est-ce qui attend les DPO en 2025

janvier 2025 par Paul-Olivier Gibert, Président et Patrick Blum, Délégué Général

La fonction de Délégué à la Protection des Données (DPO) ne cesse de gagner en importance et en complexité. Alors que les organisations naviguent dans un environnement réglementaire toujours plus dense et face à des bouleversements technologiques majeurs, que réserve 2025 aux DPO ? L’AFCDP résume ici les enjeux cruciaux qui façonneront leur quotidien l’année prochaine.

Une jungle réglementaire en expansion

En 2025, les DPO feront face à une prolifération de nouvelles réglementations qui complexifieront davantage leur mission. Parmi elles, les premières applications concrètes du règlement sur l’IA, le règlement sur la cyber résilience et la mise en œuvre de la directive NIS2. Si ces textes partagent une philosophie commune avec le RGPD – responsabilisation des acteurs, sanctions en cas de manquement – ils introduisent également des chevauchements et des effets de bord. Les DPO devront ainsi jongler avec ces nouvelles exigences tout en gardant une vue d’ensemble pour garantir une mise en conformité cohérente.

Un exemple concret : le traitement de données RH, qui peut passer d’une catégorie non sensible à sensible en fonction des technologies utilisées, comme l’IA. Ces interactions soulèvent des questions fondamentales sur la gestion harmonieuse des obligations légales.

Gouvernance : une collaboration à redéfinir

Dans les organisations, le rôle du DPO dépasse aujourd’hui le simple dialogue avec la DSI. Avec la généralisation des outils en mode SaaS et des services décentralisés, les métiers contournent souvent les services IT traditionnels, introduisant des risques nouveaux pour la conformité. Cette évolution appelle à une collaboration renforcée entre tous les départements (marketing, ressources humaines, etc.) et une meilleure intégration des pratiques de protection des données dans les processus opérationnels.

L’IA : opportunités et défis

L’IA, et particulièrement l’IA générative, représente un bouleversement économique et sociétal comparable à celui de l’internet dans les années 2000. Cependant, cette technologie pose des défis inédits aux DPO. Comment appliquer le RGPD à des systèmes qui collectent et traitent des masses de données sans finalité précise dès leur collecte ? L’équilibre entre innovation et conformité sera crucial, d’autant que ces technologies s’intègrent progressivement aux systèmes de production des entreprises.

Menaces croissantes sur les données

L’adoption croissante de l’Intelligence Artificielle, ou de l’Internet des Objets notamment, pose de nouveaux défis en matière de protection des données. Ces nouveaux usages et nouvelles tendances impliquent toujours plus de données personnelles, et les cyberattaques les ciblant continuent de se multiplier. Les DPO devront élaborer et tester régulièrement des plans de réponse aux incidents, tout en assurant une communication efficace avec les autorités de régulation et les personnes concernées en cas de violation de données. L’objectif des DPO est ainsi triple : prévenir ces risques, réagir efficacement, tout en renforçant la formation des collaborateurs pour réduire les failles humaines. C’est d’ailleurs dans cette optique que l’AFCDP est membre de Cybermalveillance.gouv.fr : afin de participer activement dans la sensibilisation des différents publics.

Les évolutions rapides du paysage technologique et réglementaire imposent donc aux DPO de se former en permanence pour maintenir et développer leurs compétences. Le DPO doit être en veille permanente tant sur l’environnement technique, que technologique et juridique.

Sensibilisation accrue des publics

Un changement notable ces dernières années est l’attention croissante du public envers la protection de ses données personnelles. Les individus sont de plus en plus conscients de leurs droits en matière de données personnelles. Cette évolution exerce une pression supplémentaire sur les organisations et leurs DPO, notamment à travers une augmentation des demandes d’exercice des droits d’accès, de rectification ou de suppression des données personnelles par les individus. Les entreprises doivent s’adapter à cette nouvelle réalité, en renforçant leur transparence et leur gestion des traitements de données.

Des facteurs d’incertitude à surveiller

Enfin, 2025 sera marquée par plusieurs incertitudes politiques et économiques. L’impact potentiel de la présidence Trump sur le Data Privacy Framework et, plus largement, sur les échanges de données entre l’Union Européenne et les États-Unis, combiné à une instabilité institutionnelle en France, pourrait créer des perturbations. En premier lieu, le gel de la loi d’application NIS2, déstabilisant pour l’entreprise qui travaille sur sa mise en conformité. Ces contextes doivent inciter les DPO à renforcer leur veille et à s’adapter rapidement aux éventuelles évolutions.

Les DPO se trouvent à la croisée des chemins entre innovation technologique, exigences réglementaires et attentes sociétales. Pour relever ces défis, ils devront cultiver une vigilance permanente, renforcer leur collaboration interne et externe, et préparer leurs organisations à un avenir où la protection des données sera plus que jamais au cœur des priorités. En 2025, le rôle des DPO ne se réduira pas à garantir la conformité de son organisation, il participe aussi à la construction du sentiment de confiance entre son organisation et les publics concernés, dans une époque marquée par de profonds bouleversements.