Les systèmes d’intelligence artificielle ne sont pas mis en œuvre dans un monde sans loi.

affirmait en 2019 le Groupe d’experts de haut niveau sur l’IA (AI HLEG). Mais quelles interactions anticiper, entre protection des données personnelles et AI Act ?

Lisez l’article complet sur Les Affiches de Grenoble et du Dauphiné

L’article L’IA sous contrôle, le RGPD entre en scène est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.

La réglementation européenne prévoit que les transferts de données vers des pays hors de l’Union Européenne doivent être encadrés :

• soit par une décision d’adéquation de la Commission européenne, lorsque la législation nationale du pays destinataire permet de conclure à un niveau de protection des données personnelles similaire au cadre européen ;
• soit par des accords entre entreprises (clauses contractuelles types, BCR, etc.) permettant de garantir un niveau de protection équivalent. 

Le cas des transferts UE-USA est particulièrement éloquent. Après avoir fait succomber les deux premiers accords transatlantiques, respectivement en 2015 et 2020, la Cour de Justice de l’Union européenne n’a plus eu à se prononcer sur leur légalité.

Le Data Privacy Framework, adopté en juillet 2023, a été épargné par le récent jugement du Tribunal de l’Union Européenne (3 Septembre 2025, N°106/2025). Cependant, un recours devant la CJUE est à envisager, et d’autres pourraient être portés devant le TUE sur de nouveaux fondements, ces derniers ne semblant pas manquer. 

Alors, que retenir de la saga judiciaire la plus iconique du droit des données personnelles ?

L’enseignement est probablement celui-ci : plus que jamais, le contexte géopolitique, autant que les mésaventures juridiques des accords d’adéquation, semblent indiquer que la place des entreprises est centrale dans l’application du Règlement Général sur la Protection des Données.  

C’est donc en faveur d’un véritable empowerment des entreprises sur le sujet de la privacy que se positionne ce billet. Le RGPD le permet, et tous les outils contractuels sont à la disposition des acteurs économiques pour prendre la place, légitime, qui est la leur sur ce sujet. 

Cette petit accalmie judiciaire accordée aux rapports UE-USA devrait ainsi surtout agir comme une piqûre de rappel pour les entreprises disposant de sous-traitants (ou de donneurs d’ordre) critiques localisés aux États-Unis d’Amérique.  

Motivation du recours

Dans notre affaire, le recours en annulation de l’accord de transfert de données UE – USA, aussi appelé « cadre transatlantique de protection des données » ou encore « Data Privacy Framework », était porté par le député français M. Philippe Latombe. 

Le recours était fondé notamment sur les points suivants : 

• L’insuffisance de garanties du respect de la vie privée et familiale au regard des collectes massives et « en vrac » de données personnelles par les agences de renseignement américaines ; 
• L’absence de garantie d’un droit à un recours effectif, au motif que l’autorité de recours mise en place (la Commission de Contrôle) est créée par le pouvoir exécutif et non la loi, et n’offre pas de garanties similaires à celles requises par le droit de l’Union ;
• L’absence de garantie générale à l’encontre des décisions automatisées ;
• Le manque de garanties relatives à la sécurité des données personnelles, notamment du fait du caractère vague des mesures établies par le droit étasunien.

Les sujets portent donc à la fois sur des reproches historiques faits aux USA, et sur des inquiétudes ravivées par les circonstances politiques et économiques actuelles. 

D’une part, la collecte massive et indifférenciée de données personnelles par les agences de renseignements étasuniennes n’est pas nouvelle, et les requêtes Schrems portaient déjà en leur sein des critiques semblables.

Ces critiques sont fondées de longue date sur les révélations portées à la connaissance du monde par M. Edward Snowden en 2013. Ces agissements, de prime abord contraires aux principes du droit européen des données, nourrissent les inquiétudes d’atteintes multiples et protéiformes à la vie privée des citoyens européens. Notamment, ils portent en leur sein un risque de surveillance généralisée par l’État étasunien, appuyé par les sociétés privées américaines.

Ces sociétés, pour ne pas les citer, entre autres, Meta (anciennement Facebook), collectent et utilisent des quantités astronomiques de renseignements sur les personnes physiques. Autant d’informations que la NSA n’a pas hésité à exploiter précédemment (cf. révélations d’E. Snowden). Cependant, le risque n’a pas été de nature à faire tomber l’accord permettant de tels transferts.

D’autre part, M. Latombe soulève des moyens éclairés à la lumière du contexte géopolitique. L’indépendance de l’autorité de contrôle américaine est remise en cause. En effet, cette institution n’a pour origine fondatrice qu’un décret présidentiel, et non le fondement de la loi. Dans cette hypothèse, la conjecture actuelle ne rassure pas sur sa pérennité. 

Position du Tribunal de l’UE

Le TUE rejette le recours de M. Latombe. 

Il souligne que les conditions de nomination des membres de la Commission américaine de contrôle de la protection des données et son fonctionnement présentent des garanties assurant l’indépendance de l’institution. 

Le Tribunal ajoute que cette même autorité assure le contrôle judiciaire, a posteriori, des collectes massives par les agences de renseignement étasuniennes. En ce sens, le Tribunal retient que les conditions sont conformes à l’arrêt Schrems II. 

Cette solution paraît on ne peut plus critiquable, et l’éventualité d’un recours porté devant la CJUE ne peut être ignorée. 

Arrêts Schrems I et Schrems II

Pourtant, les deux accords du Safe Harbour et du Privacy Shield ont auparavant succombé face aux exigences européennes.

La CJUE avait statué dans deux arrêts, dits Schrems I et Schrems II, en défaveur de ces cadres, prononçant leur illégalité et annulant de ce fait le cadre des transferts de données transatlantiques.

Ce n’est qu’en 2023 que le Data Privacy Framework a rouvert le bal, permettant aux entreprises de se soulager d’une conformité par le contrat et les initiatives individuelles. 

Réaction de NOYB

Noyb (None Of Your Business), l’association dont le fondateur Max Schrems avait porté les recours contre les premiers accords transatlantiques, fait savoir dans un communiqué² que la solution adoptée par le TUE s’écarte de la jurisprudence de la CJUE.

Elle s’inquiète notamment de la ressemblance criante entre les accords annulés et le nouveau Data privacy Framework, maintenu. Le contexte actuel ne laisse pourtant pas subsister de garanties d’indépendance suffisantes, notamment car l’administration Trump pourrait mettre à mal la Cour de contrôle de la protection des données par simple décret présidentiel. 

Déclarations de Trump sur la réglementation européenne du numérique

Le contexte international actuel laisse planer un doute certain sur la pérennité de l’institution. Les récentes déclarations du Président Trump relatives aux législations européennes sur le numérique ne calment pas ces incertitudes. 

Un pourvoi prochain contre l’arrêt du TUE devant la CJUE est à envisager, et il ne sera probablement pas le dernier recours, au vu de la fragilité juridique du Data Privacy Framework.

Mise à jour du 10/11/2025 : L’appel de cette décision devant la CJUE a été accepté et est en cours d’instruction³ .

Recommandations

Pour résumer cette situation en un conseil aux entreprises réalisant des transferts de données vers les États-Unis : sécurisez vos relations de sous-traitance avec les États-Unis dès maintenant, notamment par la conclusion de clauses contractuelles types.

Ne laissez pas une prochaine décision judiciaire interrompre brutalement vos opérations de traitement.

Auteur : Clara Tabuteau

1. Communiqué de presse du TUE n°106/25 au sujet de l’arrêt du Tribunal dans l’affaire T-553/23 | Latombe/Commission ︎
2. Communiqué de NOYB sur l’arrêt Latombe ︎
3. Appel sur le site de la CJUE ︎

L’article Transfert de données aux États-Unis : que retenir du rejet du recours Latombe ?  est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.

Le registre des activités de traitements est LE document indispensable pour commencer à démontrer votre respect de la réglementation sur la protection des données personnelles (RGPD mais aussi loi Informatique et Libertés, entre autres). 

Document interne de l’entreprise, le registre des traitements est en réalité une sorte de wiki qui recense les traitements de données personnelles réalisés au sein de votre entreprise. Il permet de disposer d’une vue d’ensemble de ce que vous faites avec les données. 

Qui doit tenir un registre des traitements ?

L’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Il existe une mauvaise interprétation du RGPD selon laquelle les entreprises de moins de 250 salariés sont exemptées de l’obligation de tenir un registre des traitementsⁱ. C’est FAUX : la dérogation est limitée à certains cas très particuliers de traitements qui n’ont pas besoin d’être inscrits au registre de l’entreprise de moins de 250 salariés. Cela veut dire que même si vous entreprenez seul.e ou avec une très petite équipe, vous DEVEZ tenir un registre !

Que contient le registre des traitements RGPD ?

Les informations suivantes doivent apparaître sur le registre du responsable de traitementⁱⁱ :

• les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
• les catégories de données traitées,
• à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
• combien de temps vous les conservez,
• comment elles sont sécurisées.

Lorsque l’entité est sous-traitante au sens de l’article 28 du RGPD, le registre devra contenir certaines mentions spécifiques en identifiant notamment les clients et les traitements sous-traités.

Comment rédiger le registre des traitements ?

L’établissement d’un registre des traitements, et son actualisation régulière, est une étape clé de la mise en conformité au RGPD.

Sa création et sa mise à jour vous permettront de vous poser les bonnes questions, par exemple :

• Ai-je vraiment besoin de cette information pour tel usage ?
• Combien de temps je garde les données ?
• Est-ce que je protège suffisamment ces informations ?

En pratique, les étapes suivantes seront nécessaires à la rédaction du registre des traitements RGPD :

• Rassembler l’ensemble des informations disponibles : en rencontrant les responsables opérationnels de chaque service susceptible de traiter des données personnelles, et en collectant la documentation existante (contrats, process…)
• Établir la liste des traitements et compléter une fiche de registre spécifique à chaque activité.
• À partir des informations consignées dans le registre, évaluer les risques liés aux traitements de données effectués.

Vous pourrez ainsi hiérarchiser vos risques et établir votre plan d’action vers la mise en conformité de vos traitements.

Ce n’est que lorsque votre registre sera établi que vous pourrez établir efficacement les autres documents requis pour la conformité, dont la politique de confidentialité.

La CNIL propose sur son site internet un modèle de registre des traitements simplifié adapté pour les petites structures (TPE-PME, petites collectivités, associations…).

CTA : Besoin d’aide pour faire votre registre des traitements ?

Faut-il le mettre à jour ?

Le registre des traitements un document vivant, un outil de pilotage de la conformité qui doit refléter la réalité de la situation de votre entreprise.

Il faut donc le mettre à jour régulièrement, en particulier lorsque les conditions de mise en œuvre d’un traitement évoluent (ajout de nouvelles données collectées, identification de nouveaux destinataires, etc.)

Vous souhaitez être accompagnés pour votre mise en conformité au RGPD ?

i Il s’agit de l’article 30, point 5 du RGPD.

ii Les mentions obligatoires figurent à l’article 30 du RGPD.

L’article Le registre des traitements : outil de conformité au RGPD est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.

Il est assimilé à un chef d’orchestre par la CNIL (Commission Nationale Informatique et Libertés).

Le délégué à la protection des données est la personne en charge de la protection des données à caractère personnel au sein des organismes publics ou privés. Il peut être un élément interne de l’entreprise, un salarié ou un intervenant externe, un prestataire de service.

Le Règlement Général sur la Protection des données (RGPD) encadre cette profession en prévoyant sa désignation, ses fonctions et missions. (Chapitre 4)

La désignation d’un individu chargé de la bonne gestion des données personnelles au sein des entreprises n’est pas chose nouvelle. En effet, ce rôle était précédemment celui du Correspondant Informatique et Liberté (le CIL), sous l’empire de la Loi Informatique et Libertésⁱ.

Présentation du DPO

Lorsque sa désignation est obligatoire, le DPO est en réalité, le conseiller et l’intermédiaire privilégié du responsable de l’entreprise afin de veiller à la conformité au RGPD. Il sera également l’interlocuteur privilégié pour les questions relatives aux données personnelles, tant internes que celles émanent d’une personne concernée par un traitement effectué par l’organisme ayant désigné le DPO.

Les TPE et PME font désormais de plus en plus appel à la fonction de DPO pour se prémunir des risques et des contraintes imposées par le RGPD.

Les entreprises font de plus en plus de la désignation du DPO une condition essentielle pour assurer le pilotage de la conformité et éviter des sanctions pécuniaires ou des risques réputationnels.

Néanmoins, il est également tout à fait possible de confier la fonction de DPO à un prestataire externe à l’organisme, si la désignation en interne n’est pas envisageable ou possible. Le métier de DPO externe a pris une ampleur certaine, pour devenir de plus en plus populaire en France.

La formation du DPO

En tant qu’acteur majeur de la protection des données, le DPO doit disposer d’un certain niveau d’expertise.

Quel niveau d’expertise ?

Les exigences relatives à la désignation d’un Data protection officer portent sur la base de ses qualités professionnelles et notamment sur ses connaissances juridiques, ses connaissances en matière de protection des données et sa capacité à accomplir des missions.

Certes, aucun diplôme ne lui est demandé et le niveau d’exigence non spécifié, cependant le DPO doit avoir une expertise et une connaissance accrue du RGPD et des lois applicables au niveau national et européen.

Il est dès lors attendu du DPO qu’il ait les qualités suivantes :

• Une expertise sur les lois et pratiques nationales et européennes de protection des données, incluant une connaissance précise du RGPD ;
• Une compréhension fine des opérations de traitement mises en œuvre dans l’entreprise ;
• Une compréhension des technologies de l’information et de la sécurité des données ;
• Une connaissance du secteur d’activité de son organisme ;
• Une capacité à informer et à promouvoir au sujet de la protection des données au sein de l’organisation.

Le choix du DPO désigné devra donc être mûrement réfléchi au regard des problématiques posées en matière de protection des données pouvant se poser. De plus, l’organisme devra, au moment de faire son choix, évaluer le profil du DPO selon le contexte organisationnel et budgétaire. En effet, les DPO disposent parfois eux-mêmes de « sur-spécialisations », comme une expertise en matière de données de santé et en milieu médical.

Une expertise juridique nécessaire ?

Il ressort des lignes directrices du G29ⁱⁱ que le DPO doit avoir une expertise juridique importante car il devra avoir une compréhension des lois et pratiques nationales et européennes en matière de protection des données.

La pratique a également prouvé qu’il était capital pour un DPO d’avoir une maîtrise du droit civil, pénal et parfois administratif, et une connaissance des juridictions compétentes. En effet, cette expertise juridique permet au DPO de limiter de potentielles erreurs de non-conformité susceptibles de sanctions, et d’optimiser les recours en cas de fuite de données ou d’incidents autres.

Cependant, ces capacités doivent être mises en balance avec une connaissance pratique des systèmes d’informations, des moyens de télécommunication ou d’autres compétences tout aussi nécessaires à l’exercice du métier de DPO.

Un DPO est donc polyvalent, et dispose de compétences transverses dans des domaines complémentaires (juridique, IT, management de projet, etc.).

A l’heure actuelle, assez peu d’entreprises ont désigné un DPO et la plupart des entreprises l’ayant fait ont eu recours à un DPO rattaché à la direction juridique ou à celle de la conformité.

Les missions du DPO

Le DPO doit, sur la base de l’article 38 du RGPD paragraphe 1, être associé de manière appropriée et en temps utile par son organisation à toutes les questions relatives à la protection des données à caractère personnel.

Il n’est pas suffisant d’impliquer le DPO uniquement quand l’autorité de protection des données prend contact avec le responsable de traitement.

Les missions principales du DPO sont les suivantes :

• Informer et conseiller l’organisme au sein duquel il exerce ses fonctions et également les employés de cet organisme ;
• Implémenter la conformité au RGPD dans l’entreprise, avec le soutien des comités de direction et de ses supérieurs ;
• Contrôler le respect du RGPD et du droit national applicable en matière de protection des données personnelles, notamment en ce qui concerne des finalités de traitement.
• Veiller au respect des droits des individus concernés par les traitements ;
• Proposer à son organisme la réalisation d’une analyse d’impact relative à la protection des données lorsque nécessaire ;
• Se rendre disponible pour répondre aux différentes questions des membres de son organisme relatives à la protection des données ;
• Il assure une coopération avec l’autorité de contrôle ;

Le DPO peut aussi, avec la contribution des responsables de traitement et des sous-traitants, tenir le registre des traitements de l’organisme.

Le DPO accompagne son organisme dans sa mise en conformité et ceci passe notamment par :

• Aider l’organisme à cartographier ses traitements ;
• Prioriser les actions à mener concernant la protection des données en fonction du contexte et des risques associés ;
• Organiser les procédures internes visant à gérer les traitements de données personnelles, ;
• Documenter la conformité de l’organisme afin de pouvoir, en cas de contrôle, démontrer sa conformité à la réglementation applicable.

Pour réaliser ses missions, le DPO peut avoir recours à un logiciel RGPD de suivi de la mise en conformité, ce logiciel étant évidemment un simple outil ne pouvant à lui seul justifier de la conformité.

Le DPO : obligatoire ou non ?

Longtemps facultative sous l’empire de la loi de 1978, la désignation d’un DPO devient obligatoire dans un certain nombre de cas. Toutes les entreprises ne sont pas tenues de désigner un délégué à la protection des données au sein de leur structure. Toutefois, cette désignation est vivement conseillée par la CNIL.

La désignation d’un DPO est obligatoire dans ces cas précis prévus par l’article 37 du RGPD :

• Quand le traitement de données à caractère personnel est effectué par une autorité ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
• Lorsque les activités principales du responsable de traitement et du sous-traitant impliquent un suivi régulier et systématique à grande échelle des personnes concernées par les opérations de traitement (vidéosurveillance, géolocalisation, traitement des échanges bancaires…) ;
• Quand les activités principales du responsable de traitement et du sous-traitant impliquent un traitement à grande échelle de données sensibles ou de données personnelles relatives à des condamnations pénales et des infractions.

Conclusion 

Sauf dans certains cas, il n’est pas obligatoire pour une entreprise de désigner un DPO, mais cette pratique est vivement encouragée.

Le métier de DPO ne nécessite pas un diplôme spécifique. Toutefois, avoir une expertise juridique est important, et l’accompagner d’une connaissance fine des réglementations en matière de protection des données personnelles primordial. D’autres compétences sont tout autant mises en valeur par le métier de DPO : connaissances en informatique, techniques de communication, gestion de projet, etc.

Le DPO est chargé de nombreuses missions par l’organisme qui le désigne, qui se regroupent autour du respect du RGPD et de la protection des données personnelles des individus. Il sera le gardien du respect des législations nationales et européennes par le responsable de traitement en le conseillant et en l’informant constamment des évolutions et nouvelles réglementations applicables.

Les désignations de DPO auprès de la CNIL évoluent (de 21 000 en 2019 à 34 440 début 2024ⁱⁱⁱ), ce qui traduit un souci croissant des entreprises de respecter les droits des personnes concernées. De plus, la CNIL et les autorités européennes renforcent leurs contrôles en ciblant chaque année des secteurs variés et à risque.

i Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés 

ii Lignes directrices du G29 concernant les délégués à la protection des données (DPD) adoptées le 13 décembre 2016

iii CNIL, Étude 2024 : Évolution de la fonction de Délégué à la Protection des Données

L’article Qu’est-ce qu’un DPO ? est apparu en premier sur Vettier Avocat - Avocat RGPD, Data, Numérique et Affaires.