- il y a 11 minutes
Six ans après son entrée en application, le RGPD entre dans une nouvelle phase de maturité. Entre projets de simplification réglementaire, harmonisation accrue des pratiques européennes, renforcement des pouvoirs des autorités de contrôle et intégration croissante des enjeux liés à l’IA et à la cybersécurité, le cadre de la protection des données est en pleine évolution.
Quelles réformes se dessinent à l’horizon 2026 ? Quels impacts concrets pour les directions juridiques et conformité ? Comment anticiper les nouvelles attentes des régulateurs tout en accompagnant l’innovation et la transformation numérique des entreprises ?
Quelles réformes se dessinent à l’horizon 2026 ? Quels impacts concrets pour les directions juridiques et conformité ? Comment anticiper les nouvelles attentes des régulateurs tout en accompagnant l’innovation et la transformation numérique des entreprises ?
Catégorie
🗞
NewsTranscription
00:00bonjour bienvenue à tous bienvenue au sommet du droit édition 2026 on va parler tout de suite
00:12règlement général de protection des données le fameux rgpd qui subit une refonte en tout cas
00:19nouvelle version pour 2026 aujourd'hui les textes vont plus que se contenter d'énoncer
00:25des principes mais il va falloir véritablement montrer des preuves concrètes et continue de
00:29conformité on va en parler avec nos trois experts sur le plateau on est ravis d'accueillir benjamin
00:34amodric du chafaud bonjour benjamin bonjour vous êtes senior counsel directeur juridique adjoint
00:40chez google france vous connaissez bien ce sujet ainsi que jérôme de mercée à vos côtés bonjour
00:44jérôme bonjour vous êtes cofondateur de d'astra alors je n'ai pas présenté google je crois qu'on
00:49connaît d'astra un petit peu moins expliquez nous en deux mots ce que c'est d'astra alors d'astra
00:52nous sommes une plateforme logiciel de conformité de pilotage de la conformité au rgpd oui au
00:57règlement sur l'ia européen justement voilà donc on aide on accompagne toutes les entreprises dans
01:02un logiciel à rendre ça très opérationnel très concret donc pour répondre à toutes les exigences
01:08de la réglementation et tenir finalement son niveau de conformité collaborer dans l'ensemble de
01:12l'organisation pour que derrière on traduise toutes ces obligations en des choses qui soient
01:18concrètes et puis en tirer de la valeur surtout parce que derrière on parle de la donnée la donnée
01:22c'est beaucoup de valeur et même la conformité sur la donnée et bien on peut en extraire quelque
01:27chose qui soit extrêmement valorisant pour à la fois l'entreprise nos concitoyens etc ça soit plus
01:34simplement un petit bouton ennuyeux sur chaque site où on doit cliquer tout refuser tout accepté
01:38mais on peut peut-être en faire autre chose pour en parler on est également avec mathilde et mamie
01:43bonjour mathilde directrice éditoriale du pôle droit chez leaders league on commence avec vous
01:48justement mathilde pour avoir un éclairage sur ce que la réforme va changer en 2026 sur ce rgpd expliquez
01:54nous le rgpd d'abord pour y revenir c'est une norme qui est particulièrement connu on peut dire même
02:00que c'est une norme à la mode elle est connue de tous pour deux raisons la première c'est qu'elle
02:05touche à tout le monde puisqu'elle traite des données personnelles et la deuxième c'est parce que
02:09le rgpd est particulièrement structurante pour les acteurs économiques évidemment elle concerne
02:15énormément les acteurs du numérique et ça tout le monde le comprend mais en réalité elle concerne
02:19toutes les entreprises puisque cette réglementation concerne toutes les entreprises et les oblige à
02:25contrôler et gérer leurs données personnelles c'est une réglementation qui date de 2018 qui
02:30donc va trans va sûrement connaître un grand bouleversement mais c'est aussi quelque chose
02:36qui est un risque important pour les entreprises parce que c'est un domaine dans lequel le juge et là
02:41le régulateur en français la CNIL sanctionne et sanctionne de plus en plus fort on s'expose
02:46effectivement des sanctions si c'est pas correctement mis en place aujourd'hui exactement et ces sanctions
02:51juste pour vous donner un exemple en 2024 la CNIL a réalisé 321 contrôles sur ces 321 contrôles
02:59elle a prononcé 87 sanctions 75 amendes pour un montant cumulé de plus de 55 millions c'était déjà
03:07conséquent mais depuis on a observé des amendes de plus en plus lourdes avec certaines décisions qui
03:12ont dépassé assez largement la centaine de millions d'euros donc cette réglementation est très importante
03:17pour l'ensemble des acteurs économiques et la modification qui va avoir lieu va être parfaitement
03:22structurante pour l'ensemble de ces acteurs très bien voilà en tout cas pour les enjeux qui sont posés
03:27benjamin avec vous chez google donc vous connaissez bien vous observez ces avancées notamment réglementaires
03:34un RGPD on l'a dit plus exigeant en 2026 qu'est ce qui va changer alors sur deux niveaux au niveau des
03:41données personnelles mais aussi de l'intelligence artificielle qui est le grand sujet du moment alors
03:47il faut savoir que le RGPD est pas encore modifié il ya le ce qu'on appelle digital omnibus le règlement européen
03:54dit omnibus qui est qui a vocation à améliorer on va dire ou fluidifier simplifier le RGPD pour
04:03répondre à certains besoins des entreprises notamment en matière de d'innovation et technologique et
04:08économique il va aussi l'objectif est de mieux interagir avec d'autres réglementations européennes
04:15notamment le règlement sur l'IA alors ça perd un peu paradoxal parce que le règlement sur l'IA vient
04:20d'être adopté on parle déjà d'une simplification mais c'est l'objectif du digital omnibus et le
04:27point essentiel en matière de données personnelles c'est qu'il va simplifier la notion de données
04:31personnelles la rendre plus flexible et avec une définition on va dire in concreto par rapport à
04:37une définition in abstracto et concrètement ça va une donnée personnelle sera peut-être du point de vue
04:42d'un acteur qui a dans son système les moyens d'identifier des personnes mais ne le sera pas
04:49forcément d'un point de vue d'un autre acteur qui n'a pas tous ces moyens techniques ou juridiques
04:54et c'est notamment fait pour faciliter aussi l'échange de données notamment dans le data act qui
04:59prévoit un échange une obligation pour les entreprises de partager leurs données avec essentiellement des
05:04données techniques et permettre justement à ceux qui vont recevoir des données de ne pas avoir les
05:09obligations du rgpd si effectivement ils n'ont pas les moyens techniques d'identifier derrière ces
05:13données techniques les données personnelles l'autre objectif aussi du de l'omnibus c'est de
05:19simplifier et de faciliter le traitement et l'entraînement des modèles d'IA en en énonçant
05:28une un intérêt légitime par défaut à certains traitements de données personnelles par l'IA donc
05:35on va considérer qu'il n'est plus forcément nécessaire d'avoir le consentement préalable des
05:39utilisateurs mais l'intérêt légitime donc au traitement sera présumé par défaut avec des
05:46réserves sous réserve par exemple que des données techniques d'anonymisation soit mise en place ou
05:51encore des obligations de transparence oui on précise parce qu'on sait que ces modèles LLM pour
05:56s'entraîner aspirent vraiment l'ensemble du web en tout cas ils sont boulimiques sur nos données
06:02personnelles comment les protège aujourd'hui est ce que le rgpd va dans ce sens ou est ce que ce sera
06:06beaucoup plus ouvert finalement alors oui effectivement l'idée c'est de finalement de constater qu'il y a eu la
06:11révolution de l'IA générative et donc forcément les modèles ont été entraînés sur des données
06:16publiques accessibles notamment sur le web avec effectivement des données personnelles mais le but
06:20c'est justement de permettre à postériori puisqu'on est parti devant un fait accompli à postériori de
06:25protéger les droits des individus par notamment un opt-out qui est prévu donc un individu dont les données
06:31personnelles ont été entraînées ont été utilisées pour entraîner un modèle va pouvoir exclure ces
06:39données de ce modèle et plus de transparence grâce notamment aux modèles de données que les
06:45opérateurs sont obligés de publier pour que le régulateur ou les utilisateurs soient clairement
06:50informés du type de données qui ont été utilisées lors de l'entraînement des modèles d'accord chez
06:55dastra vous jérôme comment on fait justement pour accompagner ses clients qui sont ici au sommet
07:00du droit dans cette cette mutation cette cette nouvelle réforme alors nous ce qu'on fait c'est
07:07qu'on est au coeur des entreprises dans la dans la conformité dans ces enjeux justement de maîtrise
07:12de la donnée donc nous la première chose et benjamin l'a rappelé c'est vraiment de la prospective encore
07:17cette cette ce projet de règlement digital omnibus et donc aujourd'hui la première chose c'est de bien
07:25de sûr de s'informer de ce qui va arriver de pouvoir anticiper aujourd'hui on n'a pas de texte
07:30définitif il ya une première proposition par la commission donc mais on voit bien que c'est un
07:35mouvement que c'est un signal que c'est un message aussi politique pour à la fois répondre à un besoin
07:41de simplification qui est de la charge administrative il ya un objectif qui annoncée par la commission de
07:47réduire de 30% la charge administrative pour les entreprises avec comme cible principale les pme
07:54mais aussi une nouvelle catégorie d'entreprise qui est créée au niveau européen qui s'appelle les smc les
07:58entreprises à moyenne capitalisation donc de moins de 750 salariés et des obligations réduites pour
08:04ce type d'entreprise enfin on va avoir donc ce projet un peu de simplification et donc il faut
08:12se tenir informé au préalable mais la première condition pour évidemment anticiper ces réformes
08:19à venir la question effectivement de ce que c'est la donnée personnelle et donc de sa redéfinition au regard
08:25d'une jurisprudence européenne récente eh bien c'est aussi de maîtriser aujourd'hui déjà son
08:30patrimoine donc déjà de faire cette première partie du boulot qui est de cartographier ces données
08:35de mettre en place une gouvernance de mettre en place des processus qui soient forts pour qu'on ne se
08:39retrouve pas finalement à devant mis devant le fait accompli parce que la réglementation quand bien
08:45même elle va être simplifiée et encore en réalité c'est du toilettage du rassemblage de rassemblement de
08:52différentes réglementations et une je dirais une optimisation de la réglementation pour favoriser
08:59les champions de l'intelligence artificielle en europe donc le meilleur usage des données du
09:05coup d'où l'intérêt légitime par exemple pour entraîner des modèles d'IA par défaut mais sans
09:12si on n'a pas mis en place déjà ces fondamentaux au sein de son organisation eh bien on va courir déjà
09:18droit dans le mur oui donc pédagogie anticipation que de change m'a-t-il pour les acteurs juridiques on
09:24l'a vu tout au long de la journée de beaucoup parler d'intelligence artificielle donc il ya ce
09:28sujet évidemment sur la table et on voit également sur le réglementaire qui continue effectivement à
09:32germer c'est de la norme on en produit on continue à en produire tout à fait pas brise d'autant que
09:38toutes les entreprises ne sont pas encore correctement accompagnées sur ces sujets là elles sont pas encore
09:44complètement matures alors évidemment on est face à deux experts qui connaissent bien la question et
09:48qui ont une appréhension de ce sujet et qui ont pris les choses à bras le corps mais il ya encore
09:53pas mal de choses à faire donc la simplification va effectivement aider les choses mais il reste des
09:58grands chantiers à mener pour un certain nombre d'entreprises aujourd'hui benjamin tout à l'heure
10:03on a parlé effectivement des bon il ya des millions de sites web des millions de structures évidemment c'est
10:08l'économie est ce qu'il va y avoir une gradation justement dans ce dans cette mise en place de
10:14cette rgpd nouvelle formule entre des petites des moyennes des grosses structures on se dit que ben
10:19voilà quand on est en groupe du cac 40 on n'a peut-être pas les mêmes obligations que je sais
10:22pas le commerçant le plombier au bout de la rue oui alors bien sûr il ya une gradation en fonction à la
10:28fois comme l'a dit mon interlocuteur la taille des entreprises mais aussi du modèle d'ia qui est
10:33utilisé on sait que les modèles d'ia dit générative chat gpt google gemini sont directement soumis à
10:40l'autorité de l'union européenne à la commission européenne au bureau de l'ia alors que d'autres
10:44modèles sont soumis plutôt à des autorités nationales donc déjà il ya une sorte de gradation
10:49en fonction aussi non seulement la tête des entreprises mais du type de service qui est qui
10:54est fourni au plan des données personnelles il ya aussi évidemment une différence entre des
10:58données personnelles dites classique et des données personnelles dites sensibles ou sur
11:03ce point là il n'y a pas effectivement de de présomption d'intérêt légitime on doit
11:08toujours solliciter l'accord évidemment des utilisateurs sauf cas exceptionnel notamment
11:15lorsque le traitement de ces données dites sensibles est réalisé pour permettre d'éviter
11:20dans l'ia dans l'output des textes problématiques ou de la violation de la vie privée d'une personne
11:27ou de ses orientations sexuelles par exemple concrètement jérôme les dirigeants d'entreprises
11:34qui nous regardent qu'est-ce qu'ils doivent faire pour anticiper cette réforme à venir
11:37concrètement aujourd'hui donc déjà c'est évidemment se tenir informé oui suivre l'actualité de la
11:45réglementation et donc de ce qui va de ce qui va arriver et ensuite c'est déjà répondre aux premières
11:50exigences de conformité donc c'est maîtriser son patrimoine d'information c'est tenir un registre de
11:56ses activités de traitement c'est identifié justement dans quel cas on a des systèmes d'ia qui
12:01sont fonctionnels ou non dans notre organisation parce que la réforme on elle concerne le rgpd mais
12:07le digital omnibus ce package concerne aussi donc le règlement sur l'ia donc il ya un projet
12:12aujourd'hui de je dirais de de de de de repousser dans un certain avec un certain délai les certaines
12:21obligations mais aujourd'hui il ya déjà des obligations qui existent donc il faut vraiment
12:26commencer à mettre ses fondamentaux cartographier mettre en place des analyses déjà de risque mettre
12:32en place des processus pour gérer les demandes d'exercice des droits des personnes tout simplement
12:37mettre en place des processus pour anticiper les violations de données et puis aussi les
12:42notifications différentes autorités dans les projets de réformes parfois on va un peu dans ces
12:47niveaux de détails où justement il ya des objets des ambitions de mutualiser par exemple les
12:52notifications qu'on doit faire en tant qu'organisation selon différentes réglementations
12:56par exemple d'aura par exemple mise 2 qui sont des réglementations plus sur la cybersécurité mais
13:01le rgpd prévoit aussi des obligations de notification aujourd'hui comment est ce que déjà on met en place
13:07ces obligations de notification en interne pour que demain on soit prêt pour que on puisse répondre à ces
13:13nouvelles exigences qui vont arriver et ben voilà ce qui nous attend en tout cas les directions juridiques
13:17pour ce rgpd version 2026 merci messieurs dames pour votre éclairage mathilde et mamie leaders ligue
13:25merci à jérôme de mercée de d'astra et benjamin audric du chafaud google france merci et à très bientôt sur le sommet du droit
Commentaires