Nouvelle année, nouvelle garde
Les élections parlementaires européennes de juin annoncent une nouvelle représentation à Strasbourg, sans doute plus radicale et morcelée. Le Conseil européen se dotera d’une nouvelle présidence avant l’été et un nouveau collège de Commissaires entrera en fonction en novembre. La nouvelle Commission énoncera sa vision stratégique fin 2024/début 2025 pour lancer son mandat quinquennal. Pour l’instant, les colégislateurs européens s’activent pour boucler le plus grand nombre de dossiers d’ici fin avril et la mise en veille de l’appareil bruxellois.

Vous avez dit IA ?
De nombreux dossiers de politique numérique n’ont pas encore franchi la ligne d’arrivée, qu’il s’agisse de l’espace européen des données de santé ou de la proposition de directive sur la responsabilité en matière d’IA. Le dossier le plus brûlant est sans doute la loi sur l’IA, qui n’a pas encore été finalisée, mais dont l’impact sera considérable pour les professionnels de la protection des données personnelles, les régulateurs, l’industrie et le secteur public dans son ensemble et qui soulève de lourdes questions de gouvernance au sein des organisations. Après son entrée en vigueur, il sera important de suivre de près notamment les efforts de normalisation, l’adoption de programmes volontaires (pacte sur l’IA, code de conduite) et la désignation des régulateurs compétents.
L’IA restera une priorité au cours de la prochaine législature et dépassera ce cadre général pour donner lieu à des initiatives plus sectorielles, telles que celle visant à ouvrir la capacité des supercalculateurs européens à des start-ups d’intelligence artificielle éthiques et responsables, prévue pour le premier trimestre 2024. D’autres discussions devraient émerger, par exemple sur l’utilisation de l’IA dans le monde du travail.
Compte tenu de tout cela, l’émergence d’une profession de gouvernance de l’IA sera essentielle pour une mise en œuvre efficace du règlement européen sur l’IA.

Retour d’expérience sur le RGPD
La deuxième évaluation du RGPD est attendue pour la mi-2024 et couvrira un vaste nombre de sujets. Le rapport devrait identifier les points de friction et les défis liés à l’application du RGPD, notamment en ce qui concerne la responsabilité, la gouvernance et les aspects liés aux transferts internationaux, et identifier les actions de suivi possibles. Une révision législative du RGPD (perçue par beaucoup comme une réouverture de la boîte de Pandore) semble peu probable pour le moment, malgré des appels isolés en ce sens. Les régulateurs européens recommandent d’attendre de voir l’impact de plusieurs initiatives en cours, à savoir l’action coordonnée du CEPD sur les délégués à la protection des données et l’harmonisation législative de l’application transfrontalière du RGPD. Toutes deux pourraient avoir une incidence sur des points clés de l’application du règlement sujets de l’évaluation.
A l’international, la Commission continuera d’affirmer son leadership mondial en matière de transferts de données en organisant une conférence réunissant plus de 70 juridictions dotées de capacités d’adéquation. Elle conduira également le premier examen périodique du cadre transatlantique pour la protection des données personnelles entre l’UE et les États-Unis. La décision d’adéquation de l’UE qui sous-tend le « Trans-Atlantic Data Privacy Framework » pourrait aussi être contestée devant la Cour de justice de l’Union européenne, et créer de fait une incertitude juridique, politique et économique.
Tout comme en 2023, on anticipe également une activité soutenue des régulateurs et tribunaux avec des décisions transformatrices sur des aspects essentiels de conformité au RGPD tels que l’ad tech et protection de l’enfance. On pourrait voir également les fruits d’un effort concerté des régulateurs à travers le monde pour améliorer la collaboration internationale.

Entropie numérique
Plusieurs nouvelles législations entreront en vigueur cette année – le Data Act, le règlement sur la cyberrésilience – et s’ajouteront aux efforts de mise en conformité déjà en cours pour d’autres textes tels que la loi sur la gouvernance des données, la législation sur les services numériques (DSA) et la législation sur le marché numérique (DMA) et directive NIS2.
La concaténation des domaines réglementaires et technologiques place les professionnels de la vie privée et de la gouvernance numérique en général devant un défi sans précèdent et qui se complexifie au quotidien. Indépendamment du secteur, pérenniser les structures de gouvernance et développer l’expertise multidisciplinaire nécessaire seront des priorités indéniables pour les organisations en 2024.