En 2025, le règlement général sur la protection des données (RGPD) poursuit son adaptation face aux évolutions du numérique. De nouvelles mises à jour obligeront les entreprises à ajuster leurs méthodes de collecte et de traitement des données personnelles. Pour rester conformes et éviter des sanctions, il est essentiel que ces organisations se tiennent informées des changements à venir.
Que prévoit le RGPD ?
Le RGPD est un texte réglementaire européen entré en vigueur le 25 mai 2018. Il vise à encadrer le traitement des données personnelles des citoyens et à renforcer leurs droits en matière de confidentialité et de sécurité des données.
La notion de donnée à caractère personnel est définie par la Commission nationale de l’informatique et des libertés (CNIL). Elle correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ». Il convient de distinguer l’identification directe (nom, prénom...) de l’identification indirecte (identifiant, numéro...).
Est concernée par le RGPD toute structure privée ou publique effectuant la collecte et/ou le traitement de données, quel que soit son secteur d’activité et sa taille. Les organismes ciblés sont ceux établis au sein de l’Union européenne, mais aussi ceux implantés hors de l’UE dont l’activité vise directement des résidents européens.
Les règles en vigueur en 2024
En 2024, le règlement général sur la protection des données reste le cadre de référence pour la protection des données personnelles au sein de l’UE. Si les principes fondamentaux demeurent inchangés, plusieurs évolutions ont eu lieu en 2024, à commencer par le renforcement de la coopération entre les autorités de protection des données. En juin 2024, le Conseil de l’UE a adopté une position visant à harmoniser l’application de ce règlement et à renforcer l’efficacité des mécanismes de contrôle et de sanction.
Le 25 juillet 2024, la Commission européenne a publié son 2ème rapport évaluant la mise en œuvre du RGPD. Celui-ci permet d’identifier les progrès réalisés, les obstacles persistants et les recommandations pour améliorer la protection des données au sein de l’UE.
En 2024, la CNIL a actualisé son guide pratique sur la sécurité des données personnelles. Ce guide conseille aux entreprises de soumettre leurs prestataires de services cloud à des audits approfondis afin de vérifier leur conformité au RGPD. Il insiste également sur la nécessité, pour les entreprises utilisant l’intelligence artificielle, de veiller à la qualité des données exploitées et à la transparence des modèles utilisés.
Quelles nouveautés pour le RGPD en 2025 ?
Le RGPD connaît plusieurs mises à jour en 2025, impactant directement les pratiques des entreprises :
- Plan stratégique 2025-2028 de la CNIL : ce plan met l’accent sur l’intelligence artificielle, la protection des droits des mineurs, la cybersécurité et les usages numériques du quotidien.
- Certification RGPD pour les entreprises : une nouvelle certification destinée aux sous-traitants permet de vérifier leur conformité au règlement, avec des référentiels adaptés aux différents secteurs et technologies.
- Cybersécurité renforcée dans le secteur de la santé : la Haute Autorité de Santé (HAS) intègre désormais des exigences strictes en matière de sécurité numérique dans ses certifications.
- Traitement des données personnelles et IA : le Comité Européen de la Protection des Données (CEPD) a émis un avis encadrant l’utilisation des données dans le cadre du développement et du déploiement des modèles d’intelligence artificielle, en abordant des points essentiels comme l’anonymisation.
Pour rester en conformité et éviter les sanctions, les entreprises doivent ajuster leurs pratiques à ces nouvelles obligations.
Pour approfondir votre compréhension du RGPD, notamment en ce qui concerne les petites et moyennes entreprises, vous pouvez consulter le guide récemment publié par le Comité Européen de la Protection des Données (CEPD). Ce guide, disponible en 18 langues, dont le français, est spécialement conçu pour aider les TPE/PME à comprendre et respecter les principes du RGPD. Il vise à accompagner les petites entreprises dans leur mise en conformité avec ce règlement, essentiel pour instaurer et renforcer la confiance avec leurs clients, utilisateurs et partenaires.