On parle souvent de conformité des données comme d’une contrainte. Rarement comme d’une question de fond. Pourtant derrière chaque réglementation sur les données, il y a une même interrogation : est-ce que vous savez vraiment ce que contiennent vos bases ? Pourquoi ces données sont là, à qui elles peuvent être transmises, qui en garantit la fiabilité ?

C’est à ces trois questions que le RGPD, le Data Act et l’EUDI Wallet tentent, chacun à leur niveau, d’apporter une réponse obligatoire.

Ce que vos bases doivent pouvoir prouver

Le RGPD, entré en vigueur en 2018, a posé une règle de bon sens : toute donnée personnelle que vous détenez doit avoir une raison d’être là. Qui a collecté cette donnée ? Dans quel but ? Jusqu’à quand la gardez-vous ?

C’est ce qu’on appelle la logique de preuve. Et ce n’est pas une formalité administrative : c’est la capacité à expliquer, à tout moment, pourquoi votre base contient ce qu’elle contient. Un registre des traitements, des durées de conservation respectées, des droits d’accès honorés quand un client les demande. On pourrait croire que c’est acquis pour une majorité des entreprises, et pourtant, 8 ans après, beaucoup ont encore du chemin à faire.

Et ce qui revient le plus souvent dans les motifs de sanction, ce n’est pas une faille technique hyper sophistiquée. C’est l’absence de documentation. Des données gardées trop longtemps, sans raison claire. Ou des droits clients ignorés, faute de procédure. Ce premier niveau d’exigence reste donc un fondement, mais il ne suffit plus.

Ce que vos bases doivent pouvoir partager

Vous savez pourquoi vous détenez une donnée. La question suivante c’est : à qui appartient-elle vraiment ? C’est là qu’entre en scène le Data Act, applicable depuis 2025. Son point de départ est simple : quand une personne utilise un service numérique ou un objet connecté, elle génère des données. Jusqu’ici, ces données restaient le plus souvent entre les mains du fabricant ou du prestataire. Le Data Act vient appuyer cette logique : ces données lui appartiennent et elle doit pouvoir les récupérer ou les transmettre comme “bon lui semble”.

Et pour les entreprises, ça change quoi ? Les utilisateurs peuvent désormais transmettre leurs données à tout tiers de leur choix et les fabricants (ou fournisseurs) doivent permettre ce partage sans restriction contractuelle. Autrement dit, toute clause qui bloquait cet accès dans vos contrats devient caduque. Pareil pour les produits connectés qui devront être conçus pour rendre les données accessibles dès leur mise sur le marché, pas comme une option mais comme une caractéristique de base. Et si vous êtes client d’un hébergeur cloud, vous pourrez en changer sans frais et sans délais excessif dès janvier 2027.

En résumé, cela exige à vos bases d’être lisibles et portables, pas seulement pour vous mais pour ceux qui en ont légitimement besoin. Une donnée inaccessible aux autres n’a plus sa place dans une base conforme.

Ce que vos bases doivent pouvoir certifier

Prouver et partager. Il reste un troisième niveau, le plus récent et sans doute le plus structurant sur le long terme : certifier.

C’est l’ambition de l’EUDI Wallet, le portefeuille d’identité numérique que chaque État européen devra proposer à ses citoyens d’ici fin 2026. Les grandes plateformes et les services en ligne devront l’accepter comme moyen d’identification d’ici fin 2027. Banquiers, assureurs, opérateurs de santé, plateformes numériques : personne dans ces secteurs ne pourra faire l’impasse.

Concrètement, qu’est-ce que ça change ? Aujourd’hui, quand un nouveau client ouvre un compte en ligne, il télécharge un scan de sa carte d’identité, recopie son adresse, coche une case. Vous récupérez des informations déclaratives que vous ne pouvez pas vraiment vérifier. Avec l’EUDI Wallet, les informations partagées sont certifiées par un État membre et l’utilisateur choisit précisément ce qu’il transmet. La donnée ne se déclare plus, elle se prouve, à la source.

Pour vos bases de données, cela signifie intégrer un nouveau type de données : des identités attestées, vérifiables. Ce n’est pas un chantier pour demain, mais les entreprises qui anticipent dès maintenant la façon dont elles accueillent et valident une identité numérique auront une longueur d’avance.

Ces trois textes ne s’adressent pas aux mêmes données, ni aux mêmes situations. Mais ils convergent vers le même point : une donnée de confiance, c’est une donnée capable de répondre à trois questions simples. Pourquoi est-elle là ? Peut-elle circuler ? Qui la certifie ?

Ce sont les trois niveaux que l’Europe est en train de rendre obligatoires, par étapes, avec des calendriers définis. L’enjeu n’est pas de tout faire d’un coup mais de savoir honnêtement où vous en êtes sur chacun d’entre eux.