« Les règles de protection des données, à condition d’être bien conçues, peuvent encourager l’innovation en renforçant la confiance des utilisateurs » Sonia CISSE, Partner-Linklaters Paris

Sonia CISSE est Avocate, en charge de l’équipe Technologie, Droit commercial et Protection des données chez Linklaters à Paris. Son expertise englobe l’ensemble du droit des technologies et de la protection des données, avec une spécialisation en protection des données, cybersécurité, contrats commerciaux complexes, commerce électronique et télécommunications. Sa pratique professionnelle lui a permis de conseiller des entreprises de premier plan dans de nombreux secteurs d’activité sur diverses initiatives internationales en matière de protection des données, notamment la mise en conformité avec le RGPD et les procédures d’achat complexes. Pour le Magazine BUSINESS AFRICA, elle livre son analyse sur les enjeux et défis liés à la protection des données, dans un contexte où l’équilibre entre les droits individuels et le progrès technologique n’est pas toujours facile à assurer. INTERVIEW

Quand on parle de données à caractère personnel, de quoi s’agit-il réellement ?

En France et dans l’Union européenne, quand on parle de données à caractère personnel, on se réfère à la définition donnée par le Règlement Général sur la Protection des Données, dits « RGPD ». Ainsi, les données à caractère personnel désignent toute information se rapportant à une personne physique identifiée ou identifiable. Autrement dit, il s’agit de toute donnée qui permet soit d’identifier directement une personne (par exemple, le nom, le prénom, l’adresse postale, l’adresse électronique) soit de l’identifier indirectement grâce à un ou plusieurs éléments propres à son identité (par exemple, un numéro d’identification, une donnée biométrique, un identifiant en ligne, des données de localisation, etc.).

Le Règlement européen sur la protection des données personnelles (RGPD) est en vigueur depuis sept ans maintenant, quel bilan en faites-vous ?

Le RGPD a profondément modifié la façon dont les organisations gèrent les données à caractère personnel et a sensibilisé la population à la protection de la vie privée. Il s’est imposé comme une référence mondiale, inspirant de nombreux pays (comme le Brésil, le Japon ou la Californie) dans l’élaboration de leurs propres réglementations et favorisant une certaine convergence internationale. Toutefois, la pleine conformité demeure difficile, en particulier pour les petites entreprises, tandis que l’essor de l’intelligence artificielle, du big data et des objets connectés soulève de nouveaux enjeux en matière de protection des données, auxquels le RGPD peine à répondre.

En dehors du RGPD, existe-t-il d’autres instruments juridiques de protection des données à caractère personnel ?

Oui, en dehors du RGPD, il existe plusieurs autres instruments juridiques qui protègent les données à caractère personnel, tant au niveau international qu’au niveau national. En voici quelques-uns applicables en Europe:

• la Convention 108 du Conseil de l’Europe : adoptée en 1981, elle constitue le premier traité international contraignant sur la protection des données ;
• la directive “ePrivacy” 2002/58/CE régit la confidentialité des communications électroniques, les cookies, etc. ; et
• la directive sur la police et la justice pénale (directive 2016/680) concerne le traitement des données dans le cadre répressif.

Bien que le RGPD soit d’application uniforme dans l’Union européenne, chaque État conserve ses propres lois d’accompagnement ou de mise en œuvre (par exemple, la loi Informatique et Libertés en France).

Certains analystes estiment qu’une trop grande protection des données freine le progrès technologique. Êtes-vous de cet avis ?

Non, je ne suis pas de cet avis. Pour moi, des règles de protection des données, à condition d’être bien conçues, peuvent encourager l’innovation en renforçant la confiance des utilisateurs et en soutenant le développement de technologies éthiques. L’enjeu principal pour le régulateur est, en définitive, de trouver un équilibre entre la protection des droits individuels et la progression technologique. Une réglementation flexible, proportionnée aux risques, peut, en tous les cas, devenir un véritable atout compétitif, à condition d’éviter la surrèglementation.

Quels sont les enjeux juridiques liés à la collecte et au traitement des données personnelles ?

Les enjeux juridiques liés à la collecte et au traitement des données à caractère personnel sont nombreux et affectent aussi bien les entreprises que les individus. On compte notamment :

• la détermination de la base juridique d’un traitement (consentement, exécution du contrat, intérêt légitime, etc.) ;
• l’information des personnes concernées (rédaction de politiques de confidentialité lisibles, claires et accessibles);
• le respect du droit des personnes concernées ;
• la sécurité et la confidentialité des données (les responsables de traitement doivent prendre toutes mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données et prévenir tout accès ou divulgation non autorisés); et
• le respect des règles applicables aux transferts internationaux de données (mise en œuvre de garanties appropriées (clauses contractuelles types, analyse du niveau de protection dans le pays de destination) pour éviter tout transfert illicite ou non sécurisé).

En synthèse, la collecte et le traitement des données personnelles posent des défis juridiques majeurs portant à la fois sur le respect des droits fondamentaux des individus et sur la responsabilité des organisations. Une gouvernance solide des données et une veille réglementaire adaptée sont essentielles pour prévenir les risques et garantir la conformité.

En tant qu’avocate spécialisée dans la protection des données à caractère personnel, quelles sont les problématiques pour lesquelles vous êtes le plus fréquemment consultée ?

En tant qu’avocate spécialisée en protection des données à caractère personnel, j’accompagne régulièrement mes clients sur divers aspects liés à la conformité au Règlement général sur la protection des données (RGPD) et aux législations nationales. Mon intervention porte notamment sur :

• l’analyse des bases légales des traitements, la rédaction de politiques de confidentialité, la mise en place de procédures internes et la documentation de la conformité (registre des traitements, analyses d’impact, politiques de conservation, etc.) ;
• la prévention et la gestion des violations de données à caractère personnel ;
• la sécurisation des transferts de données en dehors de l’Espace économique européen, notamment par l’élaboration de clauses contractuelles types ou de règles internes d’entreprise (Binding Corporate Rules) ;
• la rédaction et la négociation de contrats avec les sous-traitants, pour garantir le respect des obligations légales et contractuelles ;
• l’accompagnement dans la gestion des demandes d’exercice des droits des personnes concernées ;
• la gestion des cookies et le traitement des questions liées à la publicité digitale ;
• l’assistance à la mise en œuvre de solutions innovantes, telles que l’intelligence artificielle, le big data, la biométrie ou les objets connectés ;
• l’assistance en cas de contrôle par l’autorité de protection des données (CNIL), y compris la représentation devant la formation restreinte de la CNIL.

J’interviens également sur de nombreuses autres thématiques dans le domaine, sans pouvoir en dresser une liste exhaustive ici.

Quel est, dans le domaine du numérique, le rôle de l’avocat dans un contexte où les réglementations sont souvent en retard face aux innovations ?

Dans le domaine du numérique, le rôle de l’avocat est à la fois stratégique et pragmatique. Face à l’absence ou à l’obsolescence de certains cadres juridiques concernant des technologies émergentes (intelligence artificielle, blockchain, objets connectés), l’avocat identifie les zones d’incertitude, évalue les risques, et préconise des solutions concrètes, souvent inspirées des principes généraux du droit, de recommandations d’autorités ou de textes internationaux. Il sécurise les relations contractuelles, notamment dans les domaines de l’innovation, de l’externalisation informatique ou de la gestion de données massives, et fait le lien avec les régulateurs, comme la CNIL, lors des contrôles, par exemple. L’avocat veille également à la formation et à la sensibilisation de ses clients, tout en assurant une vigilance constante sur les évolutions légales et jurisprudentielles afin d’anticiper les enjeux à venir. L’avocat du numérique est donc un véritable conseiller stratégique et un vecteur d’adaptation face à l’innovation.

Pour terminer, quelques mots sur la régulation de l’IA et notamment sur la portée du Règlement sur l’Intelligence artificielle ?

La régulation de l’intelligence artificielle (IA) est devenue une priorité pour de nombreux législateurs, notamment dans l’Union européenne, face à l’essor rapide de technologies aux impacts sociétaux majeurs. L’adoption du Règlement sur l’intelligence artificielle — couramment appelé IA Act — constitue une étape structurante dans l’encadrement des systèmes d’IA en Europe. L’IA Act vise à garantir que le développement et l’utilisation de systèmes d’IA dans l’UE respectent à la fois les droits fondamentaux, la sécurité, la transparence et la confiance du public. Le texte, adopté en 2024, s’applique progressivement depuis cette année (2025). Le Règlement s’applique à tous les acteurs (fournisseurs, importateurs, distributeurs, utilisateurs) qui commercialisent, mettent à disposition ou utilisent des systèmes d’IA dans l’UE, même si le siège social de l’opérateur se situe hors UE. Cette approche extraterritoriale s’apparente à celle du RGPD/

Le Règlement adopte une approche graduée, classant les systèmes d’IA selon leur niveau de risque :

• risque inacceptable : Certaines utilisations de l’IA sont purement interdites (par exemple, manipulation cognitive ou exploitation des vulnérabilités, certains systèmes de notation sociale).
• risque élevé : Les systèmes d’IA utilisés dans des domaines sensibles (santé, infrastructures critiques, éducation, gestion de la justice, recrutement, etc.) sont soumis à des exigences strictes : gestion des données, documentation technique, évaluation de la conformité, supervision humaine et transparence.
• Modèles d’IA à usage général : modèles entrainés sur de grandes quantités de données et capables d’effectuer un large éventail de tâches.
• risque faible: La plupart des systèmes d’IA relèvent de ce niveau ; ils doivent simplement respecter certaines obligations d’information ou de transparence envers les utilisateurs.

Les entreprises concernées devront mettre en place des procédures d’audit, assurer la traçabilité des données et garantir la transparence des algorithmes dans les cas à risque élevé. Des sanctions significatives sont prévues en cas de non-respect, similaires à celles du RGPD (jusqu’à 35 millions d’euros ou sept pour cent du chiffre d’affaires annuel mondial). Le texte prévoit également la création d’autorités de surveillance et des autorités notifiantes pour l’évaluation de la conformité par des tiers et d’un Comité européen de l’intelligence artificielle, chargés d’assurer une application cohérente du Règlement. En résumé, le Règlement sur l’intelligence artificielle marque un tournant dans la régulation du secteur. Son ambition est d’encourager l’innovation tout en préservant la sécurité, la confiance et la protection des personnes. Est-ce qu’il y parviendra ? L’avenir nous le dira.

Propos recueillis par A.C DIALLO – ©Magazine BUSINESS AFRICA