La protection des données de 2024 à 2028 : stratégies CNIL-CEPD, convergences et enjeux pour les DPO

Axes prioritaires du CEPD et de la CNIL (2024–2028)

Stratégie 2024–2027 du CEPD (Comité Européen de la Protection des Données)

Lien vers le document

Le CEPD, instance européenne chargée d’assurer l’application cohérente du RGPD, a adopté en avril 2024 sa nouvelle stratégie sur quatre piliers clés :

  • Pilier 1 – Renforcer l’harmonisation et promouvoir la conformité : assurer une interprétation uniforme du RGPD et aider les organismes à améliorer leur mise en conformité (notamment via des lignes directrices claires et pratiques).
  • Pilier 2 – Renforcer une culture commune de l’application et la coopération : développer une culture de contrôle commune entre autorités, avec des efforts coordonnés en matière de sanction et d’enquêtes transfrontalières (dans la lignée de la déclaration de Vienne sur la coopération).
  • Pilier 3 – Sauvegarder la protection des données dans un paysage numérique et interréglementaire en évolution : prendre en compte les nouvelles législations numériques (DMA, DSA, futur Règlement IA, etc.) qui interfacent avec la protection des données, en coopérant avec d’autres régulateurs sectoriels pour intégrer le droit à la protection des données dans l’écosystème réglementaire plus large. Ce pilier inclut une vigilance particulière face aux technologies émergentes, comme l’intelligence artificielle.
  • Pilier 4 – Contribuer au dialogue mondial sur la protection des données : affirmer le rôle moteur de l’Europe à l’international, en promouvant un haut niveau de protection des données à l’échelle globale et en coopérant avec les autres juridictions pour défendre un modèle fondé sur les droits fondamentaux (par exemple, via des discussions sur les flux transfrontaliers et les accords de reconnaissance mutuelle).

Plan stratégique 2025–2028 de la CNIL

Lien vers le document

Publié en janvier 2025, le nouveau plan de la CNIL s’articule autour de quatre axes prioritaires visant à « protéger les données de chacun pour sécuriser l’avenir numérique de tous ». Ces axes, centrés sur les grands enjeux du numérique, sont les suivants :

  • Axe 1 – Intelligence artificielle : L’essor de l’IA, en particulier de l’IA générative, soulève de nouveaux risques pour la vie privée (ex. contenus synthétiques trompeurs, deepfakes voix/image). La CNIL entend clarifier le cadre légal de l’IA, développer ses capacités d’audit des systèmes d’IA et dialoguer avec l’écosystème pour promouvoir une IA éthique et conforme au RGPD.
  • Axe 2 – Mineurs et numérique : La protection des droits des mineurs face au numérique devient critique à l’heure du cyberharcèlement et des contenus inadaptés en ligne. La CNIL souhaite créer un environnement numérique plus sûr pour les enfants et adolescents, notamment via une sensibilisation accrue des jeunes, des parents et du système éducatif, et en renforçant la collaboration avec les acteurs publics et privés concernés.
  • Axe 3 – Cybersécurité : La multiplication des cyberattaques majeures (fuites de données de santé, rançongiciels, etc.) en 2023–2024 a renforcé la prise de conscience sociétale autour de la cybersécurité. La CNIL coopérera étroitement avec l’écosystème spécialisé (ANSSI, plateformes de signalement…) pour s’assurer que les organismes renforcent effectivement la sécurité de leurs systèmes et pour mieux informer le public des risques et réflexes à adopter.
  • Axe 4 – Usages du quotidien numérique : Ce dernier axe cible deux usages centraux de la vie numérique quotidienne des Français : les applications mobiles et l’identité numérique. D’une part, la CNIL va intensifier les contrôles de conformité des apps mobiles (et poursuivre la sensibilisation des utilisateurs entamée en 2024). D’autre part, elle veillera à ce que les solutions d’identité numérique, déployées tant par l’État que par le secteur privé, respectent la réglementation et les libertés individuelles.

Notons que la CNIL insiste sur une action équilibrée entre prévention, accompagnement et répression. Autrement dit, son plan combine des initiatives de conseil/éducation (présence sur le terrain, outils pratiques, dialogue avec les parties prenantes) et le maintien d’une politique répressive dissuasive (augmenter le nombre et la variété des sanctions prononcées si nécessaire). Cet équilibre reflète la double mission du régulateur : aider à la conformité RGPD des acteurs économiques tout en défendant fermement les droits des personnes, condition indispensable pour instaurer un climat de confiance propice au développement du numérique.

Stratégie européenne et internationale 2025–2028 de la CNIL

Lien vers le document

En avril 2025, la CNIL a également publié une stratégie dédiée à son action européenne et internationale, en cohérence avec son plan national. Cette stratégie externe comporte trois axes prioritaires :

  • Axe 1 – Fluidifier la coopération européenne : Améliorer la coopération entre autorités de protection des données en Europe afin de renforcer la protection effective des personnes dans le nouvel environnement réglementaire du numérique. Il s’agit par exemple de faciliter le traitement conjoint des plaintes transfrontières, d’harmoniser les pratiques de contrôle entre CNIL et homologues européennes, et de tirer parti des nouvelles instances de coopération créées par les textes récents.
  • Axe 2 – Promouvoir des standards internationaux élevés tout en accompagnant l’innovation : Défendre un niveau de protection ambitieux à l’international (inspiré du RGPD) en participant aux travaux globaux et en nouant des partenariats, mais sans freiner la circulation des données ni l’innovation. La CNIL souhaite ainsi concilier expansion des échanges numériques et respect des droits fondamentaux, en encourageant des cadres communs (ex : certifications, accords de transfert de données) qui allient conformité et business friendly.
  • Axe 3 – Consolider l’influence européenne et internationale de la CNIL : Accroître le rayonnement du modèle français et européen de protection des données. La CNIL compte porter haut la voix d’une régulation équilibrée, cherchant à maintenir un juste équilibre entre innovation et protection des personnes. Concrètement, cela passe par une présence active dans les réseaux internationaux (CEPD, Global Privacy Assembly, etc.), des coopérations bilatérales renforcées, et la promotion de la souveraineté numérique de l’Europe face aux géants mondiaux du numérique.

Ces trois axes externes complètent la stratégie nationale : ils affirment que la défense d’un haut niveau de protection des données en France va de pair avec le leadership européen et l’influence internationale. La CNIL assume ainsi son rôle de chef de file pour propager la culture RGPD au-delà des frontières, tout en tenant compte des orientations stratégiques communes définies par le CEPD.

Convergences entre les stratégies du CEPD et de la CNIL

Malgré la différence d’échelle (européenne vs nationale) et de périmètre, les feuilles de route 2024–2028 du CEPD et de la CNIL présentent de forts points de convergence, ce qui est rassurant pour la cohérence globale de la gouvernance des données en Europe. Parmi les thèmes communs qui se dégagent, on peut souligner :

  • Harmonisation et coopération européenne

Un objectif transversal est de renforcer l’application coordonnée du RGPD à l’échelle de l’UE. Le CEPD en fait son Pilier 1 et 2 (harmonisation des règles et culture commune de l’enforcement) et poursuivra des initiatives comme les contrôles conjoints et le partage d’informations entre autorités. De son côté, la CNIL inscrit explicitement la coopération européenne dans sa stratégie (axe international 1) pour fluidifier les mécanismes du one-stop shop et parler d’une seule voix avec ses homologues. En pratique, cela signifie que tant le CEPD que la CNIL œuvreront à des positions communes, des guidelines unifiées et des procédures synchronisées, afin d’éviter les divergences d’interprétation du RGPD. Pour les DPO, cette convergence est plutôt bienvenue : elle augure d’une plus grande prévisibilité et d’une simplification dans la gestion des projets transfrontaliers, grâce à un cadre plus harmonisé.

  • Nouveaux enjeux technologiques et innovation responsable

Face à l’essor de l’intelligence artificielle, de l’IoT ou des mégadonnées, les deux stratégies insistent sur l’adaptation de la régulation aux technologies émergentes. Le CEPD souligne la nécessité de prendre en compte le nouveau cadre numérique (DSA, DMA, futur Règlement IA) et de coopérer avec d’autres régulateurs, tout en portant une attention particulière aux défis posés par l’IA. De son côté, la CNIL place l’innovation au cœur de deux axes : l’IA est son axe 1 prioritaire, et son axe international 2 vise à concilier protection élevée et innovation/données libres. Les deux approches se rejoignent donc sur un principe : innover sans renoncer aux droits. On voit se dessiner un modèle européen où les avancées technologiques (IA générative, identité numérique, etc.) doivent s’accompagner de garanties éthiques et sécuritaires. Pour les professionnels de la conformité, cela implique de maîtriser ces nouvelles technologies afin d’anticiper les risques et intégrer dès le départ des garde-fous juridiques (principe de Privacy by Design appliqué aux algorithmes, audits IA, etc.).

  • Promotion du modèle européen à l’international

Le CEPD (Pilier 4) comme la CNIL (axe international 3) veulent intensifier le dialogue mondial sur la protection des données et exporter les valeurs du RGPD au-delà de l’UE. Cette convergence traduit la volonté de construire une sorte de « bloc d’influence » euro-conforme en matière de vie privée, face à des approches parfois divergentes (États-Unis, Chine, etc.). L’enjeu est de maintenir la souveraineté numérique de l’Europe, c’est-à-dire sa capacité à fixer ses propres standards et à en faire un atout compétitif et diplomatique. Concrètement, cela passe par la conclusion de nouveaux accords de transferts de données encadrés, la participation à l’élaboration de normes internationales (ISO, OCDE…), et un rôle de mentor pour les pays adoptant des lois inspirées du RGPD. Les DPO devront ainsi suivre de près l’évolution des règles à l’échelle mondiale : la conformité ne s’arrête plus aux frontières de l’UE, et le modèle européen pourrait devenir la référence vers laquelle tendre y compris pour les entreprises globales.

  • Équilibre entre accompagnement et répression

Un autre point commun notable est l’accent mis sur une approche équilibrée de la régulation. La CNIL l’explicite en prônant un juste milieu entre prévention/éducation et sanction dans son plan. Le CEPD, de son côté, bien que centré sur un niveau plus stratégique, soutient aussi cette dualité : son Pilier 1 vise à promouvoir la conformité (via des guides pratiques, fiches grand public, etc.) pendant que le Pilier 2 vise à renforcer la capacité de sanction collective des autorités. Les deux vont de pair : favoriser la montée en compétence des acteurs (par des conseils, outils, bonnes pratiques) tout en maintenant une pression dissuasive sur les plus récalcitrants. Pour les DPO, cela se traduit par un environnement où ils seront à la fois épaulés (plus de ressources pédagogiques communes, doctrine claire) et mis à contribution pour assurer un haut niveau de conformité sous peine de sanctions en cas de manquement grave. En somme, le message conjoint du CEPD et de la CNIL est clair : conformité RGPD et innovation peuvent et doivent avancer ensemble, avec le DPO en chef d’orchestre pour conjuguer intérêt business et exigences éthiques.

Perspectives internationales et critique constructive : vers un RGPD allégé ?

L’étude de ces stratégies prospectives intervient dans un contexte international en pleine évolution, où le cadre du RGPD lui-même fait l’objet de débats quant à son avenir. En effet, près de sept ans après son entrée en application, le RGPD pourrait connaître des ajustements. La Commission européenne travaille sur un projet de révision « allégée » du RGPD visant à simplifier certaines obligations pesant sur les PME (voir sur ce sujet : Une version allégée du RGPD en préparation pour les TPE-PME). Cette initiative, encouragée par la présidente Ursula von der Leyen dans une optique de compétitivité européenne, vise à réduire la charge administrative sans (théoriquement) sacrifier le niveau de protection. L’objectif politique affiché est de permettre aux entreprises européennes – notamment les plus petites – d’innover plus aisément face à la concurrence américaine et chinoise, tout en maintenant un socle de conformité raisonnable.
Cette perspective d’allègement réglementaire suscite des réactions mitigées parmi les professionnels de la protection des données. 



Sondage réalisé le 11/03/2025 sur LinkedIn – Lien ici

D’un côté, on ne peut nier que certaines formalités du RGPD (exemple : études d’impact systématiques y compris sur des risques limités) pourraient être assouplies afin d’adopter une approche plus pragmatique et proportionnée. Alléger la conformité sur les points les moins critiques permettrait aux DPO et aux organisations de concentrer leurs efforts sur les risques les plus élevés et sur la gouvernance des données stratégique. Par exemple, réduire la lourdeur de documentation pour les TPE/PME, ou clarifier certaines définitions floues, pourrait améliorer l’efficacité de la mise en conformité sans réduire la protection effective des personnes. Une telle réforme, si elle est bien calibrée, pourrait donc s’inscrire dans la continuité des stratégies du CEPD et de la CNIL qui prônent une conformité agile, tournée vers l’essentiel (les droits fondamentaux), tout en étant compatible avec l’innovation et les réalités opérationnelles des entreprises.

D’un autre côté, il convient d’exercer une vigilance critique. Certains observateurs soulignent que rouvrir le texte du RGPD risque d’attiser les appétits des lobbies désireux d’amoindrir la régulation. On se souvient qu’au stade de son élaboration, le règlement avait fait l’objet de pressions intenses (plus de 3000 amendements déposés au Parlement européen, un record historique). Un RGPD 2.0 « allégé » pourrait, si l’on n’y prend garde, aboutir à des exceptions trop larges ou à un affaiblissement de principes pourtant fondamentaux. Par exemple, assouplir excessivement les obligations pourrait compliquer la coopération européenne (retour à des disparités nationales, ce que combat justement le CEPD), ou diminuer les droits des individus sous prétexte de faciliter la vie des entreprises. Un équilibre subtil doit être trouvé entre simplification et dérégulation : alléger les dispositions purement bureaucratiques, oui, mais sans toucher aux droits des personnes ni à l’essence de la conformité RGPD. Sur ce point, la convergence stratégique CEPD-CNIL agit comme un garde-fou : leurs axes prioritaires réaffirment la nécessité d’une protection élevée et cohérente. Toute réforme du RGPD devra donc intégrer les autorités de protection dans la discussion, afin de ne pas compromettre les acquis de ces dernières années en matière de droits numériques.

Dans ce débat, le rôle du DPO reste plus que jamais central. Loin de voir sa mission diminuer avec un éventuel RGPD allégé, le DPO de demain devra au contraire être le chef d’orchestre de la conformité durable : il lui incombera de traduire les ajustements légaux en pratiques internes efficaces, de conseiller sur le juste niveau de protection attendu, et de garder le cap éthique dans un environnement business en demande de flexibilité. Les stratégies 2024–2028 du CEPD et de la CNIL dressent le portrait d’un avenir où la protection des données s’intègre dans un écosystème numérique global, interconnecté et innovant. Le défi pour les DPO sera de concilier lucidité pratique et défense des droits fondamentaux au quotidien. Concrètement, cela signifie promouvoir des solutions de conformité créatives (outils d’IA éthique, automatisation de la privacy, sécurisation by design), accompagner les équipes métiers pour tirer parti des données de manière responsable, et savoir dire non lorsque les risques pour les personnes deviennent inacceptables.

En adoptant une position singulière et engagée, l’Europe – à travers l’action combinée du CEPD et des autorités comme la CNIL – montre qu’il est possible de marier innovation numérique, intérêt business et respect de la vie privée. La notion même de souveraineté numérique se trouve renforcée par cette vision : plutôt que de subir la technologie, il s’agit de la façonner selon nos valeurs. Le RGPD, qu’il soit amendé ou non, reste la pierre angulaire de cette gouvernance équilibrée des données. L’avenir de la protection des données et du métier de DPO passera donc par cette capacité à évoluer sans renier ses principes : faire preuve de souplesse et d’anticipation face aux changements technologiques et réglementaires, tout en maintenant un haut niveau d’exigence éthique. C’est à ce prix que le cadre européen de protection des données pourra conserver la confiance du public et la compétitivité des entreprises – un gage de réussite pour la décennie à venir.

ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaite réserver un appel !