La conformité dans un paysage juridique en mouvement : rétrospective de la journée RGPD

Le 24 juin 2025 s’est tenue au Cnam la journée RGPD, coorganisée avec la CNIL. Entre effervescence normative, transformation des régulateurs et inquiétudes des DPO en manque de moyens, cette journée avait pour ambition de fournir des clés pour naviguer dans cet environnement. Les interventions étaient variées et laissaient une part importante à l’interactivité avec le public, lequel était composé de délégués à la protection des données (DPO), mais aussi d’autres corps professionnels, juridiques ou techniques.

La journée a débuté avec le discours de bienvenue de Bénédicte Fauvarque-Cosson, administratrice générale du Cnam, pointant les objectifs communs du Cnam et de la CNIL. Ces deux institutions partagent en effet des valeurs similaires, notamment l'accompagnement des professionnels et la volonté de concilier protection des droits et innovation technologique. Cette journée RGPD résonnait avec de nombreuses formations en droit du numérique dispensées au Cnam et mentionnées par l’administratrice générale. Son intervention a été suivie par celle de Marie-Laure Denis, présidente de la CNIL. Cette dernière a appuyé les remarques introductives de l’administratrice générale en pointant la volonté de l'autorité d’ancrer la régulation dans les problématiques de terrain en accompagnant les professionnels. Elle a également profité de ce moment pour faire deux annonces. La première concernait le lancement d’une enquête avec le ministère du Travail à l’automne 2025 sur le rapport du DPO à l’intelligence artificielle (IA). La seconde était liée à l'orientation de la campagne de contrôle pour le début d’année 2026. Celle-ci s’orientera vers des structures qui disposent de bases de données de plusieurs millions de personnes.

La journée était ensuite divisée en cinq sessions, portant respectivement sur l’intelligence artificielle en pratique ; le Délégué à la protection des données (DPO) au quotidien ; les sanctions ; la certification ; et les enjeux de cybersécurité.

La première session était une discussion entre Charlotte Barot, analyste IA à la CNIL, et Ronan Pons, docteur en droit et chercheur à l’Université Haute-Alsace. Ils ont échangé en se basant sur le cas particulier d’un bac à sable réalisé par la CNIL sur le projet « Conseils Personnalisés » de France Travail. Le public était très intéressé par le nouveau rôle et les nouvelles responsabilités qui pourraient incomber aux DPO dans le cadre du règlement sur l'IA (RIA). Ils étaient particulièrement inquiets du manque de moyens mis à leur disposition, des informations à demander aux fournisseurs de systèmes d'IA en tant que structure déployeur, et du rôle de référent IA qu’ils seraient peut-être amenés à jouer dans leur structure, sans avoir été préalablement formés pour cela.

La deuxième session portait sur les problématiques concrètes rencontrées par les DPO. Elle était ouverte par une table ronde sur le DPO face à l’avalanche de textes normatifs, réunissant Suzanne Vergnolle, maître de conférences et directrice de la chaire sur la modération des contenus au Cnam, Alexandra Guérin, fondatrice de AG Privacy, et Lucy Savary, DPO chez Alixio et AEF Info. Après un rappel des principes fondamentaux qui ressortent des différents textes, les intervenantes ont pu échanger leurs points de vue en remarquant grâce à un sondage que le RIA (règlement sur l'IA) est le texte qui préoccupe le plus les DPO. Elles ont notamment relevé que les mêmes notions peuvent avoir une application et une interprétation différentes selon les textes. Le droit souple, loin de simplifier cette équivocité, l’accentue et participe également à la déferlante normative.  La table ronde s’est conclue sur quelques conseils pour aider les DPO en manque de temps et de moyens : s'outiller, se former et « accepter de naviguer dans l'inconfort ».

Cette table ronde était complétée par les interventions individuelles de Johanna Carvais, DPO d’AG2R La Mondiale, et Louis Corres, directeur confiance numérique chez Adico. Successivement, ils ont partagé leurs expériences dans des contextes et structures très différents. Des éléments de discussion avec le public ont montré une inquiétude généralisée sur le manque de moyens alloués aux DPO. Ont été évoqués la question de la pertinence du registre des traitements, la nécessité de s’entourer, de communiquer avec la direction et d’avoir des outils efficaces pour être accompagnés dans ses missions, ainsi que quelques conseils faisant largement écho à ceux évoqués dans la table ronde précédente.

La troisième session dédiée au sujet des sanctions était animée par Albine Vincent, chargée de mission à la CNIL, et réunissait Jérôme Déroulez, avocat, et Rodolphe Génissel, chef de service à la CNIL. Le débat était centré sur la montée en puissance des sanctions simplifiées prononcées par l'autorité de protection. Le public souhaitait en savoir davantage sur les modalités des contrôles et du prononcé des sanctions de l'autorité, et était particulièrement intéressé par la publication des décisions rendues (laquelle n'est pas automatique). Sur l’ampleur et le montant des sanctions, les représentants de la CNIL ont affirmé que 95 % des amendes étaient recouvrées par le Trésor public. Ils ont également annoncé la volonté d’augmenter le montant plafond des récentes sanctions simplifiées, aujourd’hui limitées à 20 000 €.

La quatrième session était composée de deux interventions sur la certification. L’une, portée par Benoît Pellan, juriste à la CNIL, était centrée sur la certification de conformité au RGPD, reconnue par la CNIL, et ses avantages et ses limites ont été présentés. En réponse à l’inquiétude du public sur le peu de moyens et de temps pouvant être consacrés par le DPO à ce type de mécanisme, Monsieur Pellan a insisté sur le fait que le choix de la certification devait venir d’un besoin spécifique de l’entreprise. Le public a également souligné la durée trop courte de la certification, expirant au bout de trois ans seulement. L’autre intervention, effectuée par Guillaume Desgens-Pasanau, magistrat et professeur des universités associé au Cnam, faisait écho à un article publié à la revue CCE (G. Desgens-Pasanau et F. Naftalski, « Certification RGPD et E-santé. Feuille de route, bénéfices et limites. Regards croisés », CCE 2025, n° 6, étude 12) et mettait en avant les avantages de la certification comme solution à la complexité réglementaire. La certification peut représenter une solution pertinente, notamment dans le domaine de la e-santé où une certification co-construite entre les différentes entités a permis la prise en compte des contraintes de chacun et une interopérabilité entre les bases de données.

Enfin, la dernière session a permis un dialogue entre un représentant de la CNIL (Gaston Gautreneau, ingénieur expert) et un représentant de l’ANSSI (Jean-Baptiste Demaison, responsable du Lab) autour des enjeux de cybersécurité. Un des points cruciaux de leur intervention était de démystifier la cybersécurité en proposant des solutions simples à mettre en place par les organismes. Ainsi, Gaston Gautreneau a insisté sur l’authentification multifacteur pour sécuriser les accès, mais aussi le chiffrement des postes de travail et la mise en place de sauvegardes déconnectées des réseaux. Jean-Baptiste Demaison a quant à lui présenté certains outils mis en place par l’ANSSI, comme l’outil des diagnostics de maturité cyber ou les listes de bonnes pratiques (Monservicesécurisé). Le public était soucieux du niveau hiérarchique du RSSI qui doit pouvoir se faire entendre. Le public a également demandé d’obtenir plus de références et d’accompagnement ainsi qu’une meilleure coordination de la part des autorités publiques, notamment dans le cas des violations de données.

De manière générale, le public est resté enthousiaste et engagé sur l’ensemble de la journée, ce qui a donné de l'énergie aux professionnels présents et a contribué aux échanges stimulants et fructueux.