L’évolution du RGPD : ce qui pourrait changer dans les années à venir
Depuis 2018, le RGPD s’est imposé comme un standard international en matière de protection des données personnelles. Pourtant, en quelques années, le monde numérique a profondément évolué : essor de l’intelligence artificielle, nouveaux usages des données, enjeux de cybersécurité. Face à ces transformations, le politique de gestion des données personnelles doit elle aussi évoluer pour rester pertinente et adaptée aux évolutions. Quels changements pourrait-il connaître dans les années à venir ?
📉 Une simplification en préparation pour les PME
Certaines obligations du RGPD pèsent lourd sur les petites entreprises. La Commission européenne étudie la simplification de quelques règles, sans altérer le principe de protection.
Les principales pistes de simplification :
Exempter certaines PME de la tenue du registre des traitements (sous le seuil de 750 salariés).
Réduire la documentation exigée pour les analyses d’impact.
Alléger les démarches en cas de traitement à faible risque.
L’objectif est de rendre la conformité plus accessible aux petites structures, souvent privées de moyens juridiques et techniques.
🤖 L’intelligence artificielle : un défi majeur pour le RGPD
L’intelligence artificielle change la façon dont les données sont utilisées : analyse de comportements, ciblage publicitaire, décisions automatisées… Les algorithmes traitent de plus en plus de données personnelles, parfois sensibles.
Les enjeux sont nombreux :
Des stratégies automatisées qui peuvent impacter les droits des individus (crédit, recrutement, assurance…).
Des risques de biais et de discriminations.
Une transparence souvent insuffisante sur le fonctionnement des algorithmes.
Le RGPD encadre déjà certains points (consentement, droit à l’explication…), mais l’évolution rapide de l’IA oblige à aller encore plus loin.
À l’avenir, le RGPD pourrait intégrer :
Des règles renforcées sur la documentation et la transparence des IA.
Un encadrement spécifique pour les IA génératives.
Une articulation plus claire avec le futur règlement IA européen (appelé IA Act).
🔐 Renforcer la sécurité des données
Avec la multiplication des cyberattaques, la protection des données personnelles passe aussi par la sécurité des systèmes d’information. La réglementation européenne renforce progressivement ces exigences.
La directive NIS 2, entrée en vigueur début 2025, impose de nouvelles obligations de cybersécurité à de nombreuses entreprises, même de taille intermédiaire. Cela englobe :
Mettre en place des mesures techniques de protection (chiffrement, sauvegardes, surveillance des incidents).
Sensibiliser et former les équipes aux cyberattaques.
Documenter et auditer régulièrement la sécurité des traitements de données.
Le RGPD, de son côté, exige déjà une « sécurité appropriée » des données (article 32), mais ces nouvelles règles vont obliger les entreprises à aller plus loin dans la démonstration de leur conformité.
📤 Les transferts de données hors UE toujours surveillés
Envoyer des données personnelles en dehors de l’Union européenne reste un sujet compliqué. Beaucoup d’entreprises utilisent des services basés aux États-Unis, comme le cloud ou les outils marketing.
Après l’arrêt du Privacy Shield, un nouvel accord appelé Data Privacy Framework est entré en vigueur en 2023. Il sécurise ces transferts, mais il pourrait encore être contesté devant la justice.
Pour être sûres, les entreprises doivent :
Vérifier que leurs partenaires hors UE respectent cet accord.
Utiliser des clauses contractuelles pour protéger les données.
Faire des analyses d’impact pour mesurer les risques des transferts.
Les règles peuvent donc changer dans les prochaines années. Il faut rester vigilant.
La règlementation sur les données personnelles, impulsée par le RGPD, continue d’évoluer pour s’adapter aux nouveaux défis du numérique. Entre simplification pour les PME, encadrement de l’intelligence artificielle, renforcement de la cybersécurité et gestion des transferts internationaux, les entreprises doivent rester vigilantes et anticiper ces changements.
Pour approfondir votre connaissance du RGPD, vous pouvez consulter le site officiel de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Et pour mieux maîtriser le vocabulaire spécifique, retrouvez notre glossaire RGPD sur le blog Dolmen.
Se préparer dès aujourd’hui est la meilleure manière d’assurer une conformité durable demain.
qui touchent au digital.