Quelques prédictions sur la protection des données pour 2023
Pour commencer la nouvelle année, je voudrais vous faire part de quelques prédictions sur la protection des données, en Suisse et dans le monde.
Avant ces prédictions, s’il ne devait y avoir qu’une chose à retenir de 2022, c’est le caractère fondamental de la sécurité et de la protection des données pour assurer le succès d’une entreprise, qu’il s’agisse d’une start-up, d’une PME ou d’une multinationale. L’époque où on pouvait vaguement garder un œil sur le sujet, mais sans trop s’en soucier est définitivement derrière nous. Chaque entreprise doit prendre des mesures, à son niveau et avec les moyens qu’elle peut consacrer sans prétériter ses autres activités. Personne ne demande la Lune, mais il y a des bases à créer ou solidifier. L’inaction et la paresse sont désormais criminelles.
Nouvelle LPD
D’aucuns prédisent une avalanche de demandes d’exercice des droits par les personnes concernées en Suisse dès l’entrée en vigueur de la nouvelle LPD en septembre. Je n’y crois pas une seconde. Tout au plus pourrait-il y avoir un soubresaut lié à la médiatisation de l’entrée en vigueur. Evidemment, les GAFAM, les entreprises multinationales et les entreprises suisses (PME incluses) présentes dans le quotidien des Suissesses et Suisses devraient anticiper une légère augmentation, mais elles ne devraient pas être trop inquiétées.
De manière similaire, je doute fortement d’une augmentation des procédures civiles ou pénales à l’encontre des entreprises actives en Suisse ou de leur management. Ces procédures seront certainement initiées par des individus a priori revendicatifs de nature et des clients très mécontents. Les entreprises subissant et médiatisant (contre leur gré ou non) des violations de la sécurité des données seront généralement les plus exposées aux procédures pénales, mais on peut s’interroger sur l’issue de ces procédures. Il n’y aura que peu de condamnations, à mon avis. Quant au PFPDT, à moins de voir ses moyens (humains, surtout) augmenter significativement, il me semble peu réaliste de le voir se muer en équivalent de la CNIL.
Transferts de données vers les USA
Le brouillon de décision d’adéquation pour les USA a été publié en décembre 2022 par la Commission européenne. Déjà critiqué par Schrems et son organisation NOYB, il est fort probable que la décision d’adéquation soit adoptée en 2023… et soit contestée dans la foulée devant la CJUE. Il faudra évidemment quelques années avant qu’un jugement soit rendu sur le nouveau Data Privacy Framework (DPF). La question à laquelle les entreprises européennes devront répondre sera de prendre ou non le risque de transférer des données aux USA sur la base de ce DPF alors qu’il pourrait à nouveau être invalidé.
Je n’ai en revanche pas de nouvelle sur un éventuel DPF pour la Suisse. En octobre 2022, le PFPDT a simplement communiqué prendre connaissance du DPF américano-européen. Il est peu réaliste d’envisager un DPF américano-suisse pour 2023. Pour rappel, il a fallu neuf mois pour que le Privacy Shield suisse entre en vigueur après le Privacy Shield européen (12 juillet 2016 vs 12 avril 2017). Ce n’est donc pas en 2023 que les transferts de données vers les USA seront simplifiés pour les entreprises suisses.
Inflation législative européenne
RGPD (GDPR), Loi sur les données (Data Act), Loi sur la gouvernance des données (Data Governance Act), Législation sur l’intelligence artificielle (Artificial Intelligence Act), Règlement sur les services numériques (Digital Services Act), Règlement sur les marchés numériques (Digital Markets Act), Proposal for a regulation — The European Health Data Space, etc.
Voici une sélection des principales législations en vigueur ou à venir et dont on entendra (encore) parler en 2023. Tout n’est évidemment pas lié aux données personnelles, mais l’ensemble fait partie de la stratégie européenne pour les données 2019-2024. Ajoutez encore, peut-être, éventuellement, qui sait, virtuellement, le tant attendu et sans arrêt reporté Règlement « vie privée et communications électroniques » (ePrivacy Regulation) et votre boulimie de textes européens devient soudain intenable pour les mois à venir.
N’oubliez pas non plus la Directive SRI 2 (NIS 2 Directive), récemment adoptée par le Parlement européen et le Conseil de l’UE, qui imposera notamment des obligations aux États membres d’adopter des stratégies nationales en matière de cybersécurité, de désigner ou de mettre en place des autorités compétentes, des autorités chargées de la gestion des cybercrises, des points de contact uniques en matière de cybersécurité et des centres de réponse aux incidents de sécurité informatique (CSIRT).
Et ça, ce n’est que pour l’Europe. Le reste du monde se porte bien à cet égard, merci.
ADPA ou pas ADPA ?
Les autorités fédérales américaines (FTC, FCC notamment) et les Etats américains prennent de plus en plus le sujet de la protection des données à bras le corps. Pendant ce temps, les débats continuent au Congrès américain sur l’American Data and Privacy Protection Act (ADPA) et il semble peu probable qu’on en voie le bout en 2023. Une entrée en vigueur cette année semble en tout cas très incertaine. En effet, la motivation des élus à avancer sur ce sujet ne semble pas présente.
Intelligence artificielle
L’IA (ou ce qu’on appelle communément ainsi) sera au menu de nombreuses autorités européennes de protection des données en 2023 et à l’avenir. Les entreprises vont continuer d’investir massivement dans ce domaine et, en attendant l’application de l’IA Act susmentionné (2025 au plus tôt s’il entre en vigueur en 2023), les autorités de protection des données joueront le rôle de watchdog.
Tout deviendra plus complexe
D’accord, celle-ci était facile. 😇
Sur ce, je vous souhaite une excellente année 2023 !