Alors que l’application du RGPD devient de plus en plus stricte en Europe, les règles européennes en matière de protection des données sont confrontées à leur prochain test – cette fois de la part de l’IA.
Dix ans se sont écoulés depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), et le bilan est mitigé. Alors que la protection des données est devenue plus fermement ancrée que jamais dans les entreprises européennes – et au-delà –, le monde des affaires reste critique à l’égard de la réglementation en raison de la bureaucratie croissante, de l’incertitude juridique et des désavantages concurrentiels.
Du point de vue de la protection des données, c’est une réussite. Selon une étude Bitkom de 2018, peu avant l’entrée en vigueur du RGPD cette année-là, seules 7 % des entreprises allemandes avaient pleinement ou largement mis en œuvre les exigences. Six ans plus tard, 71 % des entreprises allemandes déclaraient l’avoir fait.
De plus, le RGPD a considérablement accru la sensibilisation à la protection des données personnelles, tant auprès des entreprises que des consommateurs. Les clients accordent une plus grande attention à la transparence, au consentement et à la sécurité des données. Pour de nombreuses entreprises, la protection des données est désormais devenue un facteur de compétitivité pour renforcer la confiance des clients.
Dans le même temps, les amendes records infligées à des géants des données tels que Meta, TikTok et Uber montrent que le RGPD est une affaire sérieuse, le montant total des amendes RGPD publiquement connues ayant dépassé les 6 milliards d’euros pour la première fois en mars 2026. Pourtant, seulement 60 % des amendes ont été payées à ce jour, d’autres amendes ayant été annulées ou restant en appel.
En outre, selon le cabinet d’avocats CMS, il y a eu un net changement d’orientation en matière d’application du RGPD : les autorités de contrôle se concentrent de plus en plus sur les questions pratiques de conformité et moins sur des cas isolés et très médiatisés. Ce qui a commencé par des procédures historiques et des amendes record s’est désormais transformé en un examen opérationnel de routine des pratiques quotidiennes des entreprises en matière de protection des données.
Les entreprises se plaignent d’une charge croissante
Dans le même temps, le mécontentement au sein du monde des affaires augmente. Ce qui était initialement destiné à apporter une plus grande sécurité juridique et des règles uniformes dans toute l’Europe est désormais perçu par de nombreuses entreprises comme un fardeau constant.
Dans une enquête Bitkom de 2025, 81 % des entreprises interrogées ont déclaré que le RGPD compliquait leurs processus commerciaux. En 2016, seuls 25 % partageaient cet avis. D’ici 2025, 97 % estiment que l’effort requis est élevé, et 44 % le jugent très élevé.
Les raisons de ce mécontentement sont multiples. Quatre entreprises sur cinq interrogées (82 %) par Bitkom ont cité l’incertitude concernant les réglementations précises en matière de protection des données comme un défi en 2025. Dans le même temps, 86 % estiment que la mise en œuvre n’est jamais vraiment complète car les entreprises doivent réagir en permanence aux évolutions techniques et juridiques. La protection des données est donc perçue comme une tâche de conformité permanente et particulièrement difficile.
IA : le nouveau test du RGPD
Les projets basés sur les données sont particulièrement concernés. En 2025, 59 % des participants à l’étude ont déclaré que le développement de pools de données avait échoué ou n’avait même pas été lancé en raison des réglementations sur la protection des données. Les chiffres restent élevés pour les outils d’analyse de données, les applications d’IA ainsi que la numérisation des processus commerciaux. Les réglementations en matière de protection des données sont donc perçues comme un obstacle, principalement là où — comme c’est notamment le cas pour l’IA — les innovations dépendent de grands volumes de données.
Le résultat : selon Bitkom, 59 % des entreprises considèrent la protection européenne des données comme un avantage pour le développement de l’IA en Allemagne et en Europe par rapport à d’autres pays. Mais dans la pratique, c’est le contraire qui se produit. Par exemple, en 2025, 69 % des personnes interrogées ont déclaré que la protection des données rend difficile la formation de modèles d’IA avec suffisamment de données.
« La réalité est la suivante : l’IA n’est pas développée en Europe en raison de nos pratiques de protection des données, mais les modèles sont toujours utilisés ici », a commenté le président de Bitkom, Ralf Wintergerst, à propos des résultats. «Cela signifie que rien n’est gagné pour la protection des données des citoyens européens, mais que l’Europe en tant que site économique perd beaucoup.»
Bitkom appelle donc à une réforme qui renforce la protection des données lorsque des risques réels pour les personnes surviennent – et soulage les entreprises du fardeau lorsque les obligations formelles n’offrent aucune protection supplémentaire. Concrètement, cela signifie une approche cohérente du RGPD axée sur les risques et une compréhension unifiée du fait que la formation et l’exploitation de systèmes d’IA doivent également être possibles en Europe, explique Wintergerst.
La question de savoir si l’exigence de l’association professionnelle d’un assouplissement des normes de protection des données en faveur de la compétitivité technologique est également dans l’intérêt des consommateurs est une autre question. Ce qui est sûr, c’est que le RGPD n’a pas perdu de sa pertinence même 10 ans après son entrée en vigueur (ou huit ans depuis son application).
Ou, comme le dit l’avocate Anna Lena Füllsack de CMS : « L’application du RGPD a dépassé ses balbutiements et fait désormais partie intégrante du paysage juridique régulier dans toute l’Europe. Pour les entreprises, cela restera une question stratégique clé dans les années à venir. »
