Protection des données

Nouvelles réglementations de l’UE : Un plan de croissance pour le secteur digital  

Mis à jour le 06/06/2024

MiCA, DSA, DMA, DGA. Les nouvelles réglementations de l’UE dans le domaine numérique vous laissent perplexe ? Nous avons ce qu’il vous faut. Dans cet article, nous allons décoder les nouvelles et futures réglementations de l’UE ayant un impact sur le secteur numérique, en clarifiant leur applicabilité et leurs obligations. Plongeons-nous dans le contenu de ces réglementations, en nous concentrant sur leurs implications pour votre entreprise. 

Données et IA : comment les réglementations de l’UE en matière de données et de l’IA vont façonner le secteur  

Une bonne compréhension des nouvelles révisions réglementaires en matière de données et d’IA est nécessaire pour naviguer le monde numérique. Cette partie explique les nouvelles normes de l’UE en matière des données et de l’IA qui s’appliquent aux entreprises axées sur les données : 

Le Règlement sur la libre circulation des données à caractère non personnel démocratise les données à travers l’UE. Il s’applique spécifiquement aux entreprises qui traitent des données à caractère non personnel, telles que les entreprises des secteurs de services cloud, d’analyse des données et des technologies de l’information. Le règlement définit des règles relatives à : 

  • La libre circulation transfrontalière des données à caractère non personnel : chaque organisation doit pouvoir stocker et traiter des données partout dans l’UE 
  • Les utilisateurs professionnels doivent pouvoir passer plus facilement d’un fournisseur de services cloud à un autre 
  • La disponibilité des données pour le contrôle réglementaire 

Le Règlement sur la gouvernance des données (DGA) souligne l’importance du partage des données tout en protégeant la vie privée. Le règlement couvre les entités impliquées dans le partage de données personnelles et non personnelles, telles que les organismes du secteur public, les intermédiaires de données et les entreprises de divers secteurs qui utilisent des données. Ce règlement fixe les conditions pour : 

  • la réutilisation, au sein de l’Union, de certaines catégories de données détenues par des organismes du secteur public 
  • un ensemble de règles pour les fournisseurs de services d’intermédiation de données (les “intermédiaires de données”, tels que les places de marché de données) 
  • un enregistrement volontaire des entités qui collectent et traitent des données mises à disposition à des fins altruistes 

Les entités qui y sont soumises doivent mettre en place des mécanismes de consentement clairs pour l’utilisation des données, des plateformes de partage de données sécurisées et se conformer aux normes de gouvernance de la loi afin de garantir un partage fiable des données. 

Le Règlement sur les données vise à valoriser les données générées par les produits IoT, entre autres. Il concerne les fabricants d’appareils IoT, les fournisseurs de services digitaux et les entités de traitement des données, en les obligeant à rendre les données disponibles. Par exemple, les nouvelles mesures contiennent : 

  • des règles claires sur l’utilisation autorisée des données et les conditions associées, y compris des clauses contractuelles types 
  • une accessibilité aux données détenues par le secteur privé aux organismes du secteur public en leur permettant de les utiliser à des fins spécifiques d’intérêt public 
  • la mise en place d’un cadre permettant aux clients de passer efficacement d’un fournisseur de services de traitement de données à un autre

Par conséquent, les fabricants de dispositifs intelligents doivent mettre en place des mécanismes transparents et équitables de partage des données conformément au Règlement, en garantissant des conditions d’utilisation claires et l’accessibilité des données si nécessaire. 

Le prochain Règlement sur l’Espace européen des données de santé (EHDS) se concentre sur les données de santé, un outil essentiel à l’ère numérique. Lorsqu’il entrera en vigueur, ce règlement sera applicable aux fabricants et aux fournisseurs de systèmes de dossiers médicaux et d’applications de bien-être, ainsi qu’aux responsables du traitement et aux sous-traitants établis dans l’UE traitant des données de santé électroniques ou étant connectés à MyHealth@EU. Il sera également applicable aux utilisateurs de données auxquels les données de santé électroniques sont mises à disposition par les détenteurs de données dans l’Union. 

Le règlement vise à établir des règles, des normes et des pratiques communes, des infrastructures et un cadre de gouvernance pour l’utilisation primaire et secondaire des données électroniques sur la santé, afin d’améliorer la prestation des soins de santé et la recherche. Il vise notamment à renforcer les droits des personnes physiques concernant la disponibilité et le contrôle de leurs données de santé électroniques et à réglementer la mise sur le marché des systèmes de dossiers de santé électroniques. Les législateurs européens sont parvenus à un accord provisoire sur le règlement EHDS, qui n’attend plus que l’adoption formelle par le Parlement européen et le Conseil pour entrer en vigueur, ce qui devrait se produire cette année. 

La Directive NIS 2 élargit les obligations en matière de cybersécurité dans le secteur digital en instaurant des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’ensemble de l’UE. Cette directive s’applique à un large éventail d’entités, y compris les entités essentielles et importantes dans divers secteurs tels que l’énergie, les transports, la banque et l’infrastructure numérique. Elle vise en particulier les fournisseurs de services numériques tels que les services de cloud computing, les plateformes de vente en ligne et les moteurs de recherche. Pour ces entités, La Directive consacre : 

  • la nécessité d’adopter des mesures de gestion des risques liés à la cybersécurité ainsi que des obligations en matière d’information, d’hygiène et de formation en matière de cybersécurité 
  • des règles et obligations en matière de partage d’informations sur la cybersécurité 
  • des mesures de surveillance plus strictes pour les autorités nationales et des exigences de mise en œuvre plus strictes 

Le futur Règlement sur l’harmonisation de l’application du GDPR tente d’harmoniser les mécanismes d’application afin de garantir que le GDPR soit appliqué de manière homogène dans tous les États membres de l’UE. Cela est particulièrement important pour traiter des cas transfrontaliers, où les activités de traitement des données affectent les individus dans plusieurs pays. Le Parlement et le Conseil sont en train d’évaluer la proposition et d’élaborer leurs positions respectives. 

Le Règlement sur l’intelligence artificielle (AI Act) est la première loi concernant le déploiement de l’intelligence artificielle et de l’IA à usage général au sein de l’UE. Ce cadre législatif concerne, entre autres, les fournisseurs, les déployeurs et les importateurs de systèmes d’intelligence artificielle. Le règlement :  

  • classe et réglemente les systèmes d’IA en fonction des risques qu’ils présentent, en mettant l’accent sur les applications qui présentent un risque élevé pour la société et les individus 
  • garantit que les utilisateurs finaux soient conscients qu’ils interagissent avec l’IA 
  • réglemente l’IA à usage général afin, par exemple, de fournir de la documentation technique et de respecter les lois sur les droits d’auteur 

La proposition de Directive sur la responsabilité en matière d’intelligence artificielle concerne les entités impliquées dans la conception, le développement et la fourniture de systèmes d’intelligence artificielle, en mettant l’accent sur les applications à haut risque telles que celles dans le secteur des soins de santé, des transports ou des services publics. Les entreprises devront veiller à ce que leurs systèmes d’intelligence artificielle soient sûrs et équitables, afin de minimiser les dommages causés à leurs utilisateurs. Cette directive aborde les complexités liées à l’attribution de la responsabilité pour les dommages causés par les systèmes d’intelligence artificielle et établit un cadre juridique commun pour la responsabilité liée à l’IA. 

Produits et services numériques : De nouvelles règles européennes renforcent les standards en matière de produits et de services digitaux  

Dans cette partie, nous nous penchons sur les nouvelles règles relatives aux produits et aux services numériques, un aspect important pour les entreprises dans le paysage digital. Ces cadres sont essentiels pour garantir que les services et contenus numériques répondent aux normes les plus strictes en matière d’équité, de transparence et de qualité, préservant ainsi la réputation de votre entreprise et renforçant la confiance des consommateurs. 

La Directive relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques est une directive qui régit les contrats de prestation de services et contenus digitaux. Cette Directive s’applique à toute entité qui fournit du contenu numérique ou des services numériques aux consommateurs dans l’UE, que le consommateur paie avec de l’argent ou qu’il fournisse des données personnelles en échange. Elle s’applique par exemple aux entreprises qui proposent des logiciels téléchargeables, des services cloud, des plateformes de réseaux sociaux ou des services de streaming de musique et de vidéos. La directive, par exemple   

  • exige des entreprises qu’elles fournissent des informations détaillées sur les fonctionnalités du produit, y compris les mises à jour et l’assistance nécessaires  
  • renforce les droits des consommateurs à résilier les contrats si le contenu numérique ou le service n’est pas conforme à la description ou ne fonctionne pas correctement 

Le Règlement sur les services numériques (DSA) est un règlement qui vise à créer un espace numérique plus sûr. Ce Règlement s’applique aux intermédiaires et aux plateformes en ligne, y compris les réseaux sociaux, les marchés en ligne et les plateformes de partage de contenu opérant au sein de l’UE. Il impose par exemple à ces plateformes de : 

  • supprimer les contenus illégaux en temps utile 
  • rendre compte de leurs activités de modération du contenu 
  • fournir des conditions d’utilisation claires 

Le règlement exige également la transparence dans la publicité et les algorithmes utilisés pour les recommandations. Les entités concernées vont des petites startups aux grandes entreprises technologiques qui hébergent des contenus générés par les utilisateurs ou vendent des biens, des services ou des contenus en ligne. 

Le Règlement sur les marchés numériques (DMA) s’applique principalement aux grandes plateformes en ligne et aux moteurs de recherche considérés comme des “gardiens” en raison de leur impact significatif sur le marché intérieur de l’UE. Il interdit certaines pratiques jugées déloyales, telles que l’autoréférencement et la monopolisation des données. Les grandes entreprises sont tenues de garantir un accès ouvert au marché pour leurs concurrents, d’empêcher la monopolisation des données et de maintenir la transparence dans les algorithmes de publicité et de contenu. 

La proposition de Directive relative au travail via une plateforme tient compte de la nature évolutive du travail sur les plateformes numériques. Le 11 mars 2024, un accord provisoire a été conclu entre le Parlement européen et le Conseil de l’UE, ouvrant la voie à l’adoption formelle par les deux organes et à l’entrée en vigueur de la directive, toujours prévue cette année. 

La proposition s’applique aux plateformes digitales mettant en place des plateformes de travail dans l’UE, quel que soit leur lieu d’établissement. Elle vise à réglementer les conditions de travail des personnes effectuant un travail via une plateforme (par exemple, les chauffeurs de taxi, les livreurs de nourriture) en prévoyant : 

  • l’introduction d’une présomption légale réfutable d’emploi, contrairement au statut formel actuel d’indépendant 
  • la création de nouvelles règles pour l’utilisation d’algorithmes dans la gestion des ressources humaines 
  • la clarification des obligations de déclaration du travail aux autorités nationales 

La proposition de Directive sur la responsabilité du fait des produits défectueux est un texte législatif qui exige que les entreprises soient responsables de la sécurité de leurs produits. Cette proposition attend actuellement l’approbation formelle du Conseil avant d’entrer en vigueur, ce qui devrait se produire cette année. Elle s’appliquera à tous les fabricants de l’UE, indépendamment de leur taille ou de leur secteur, soulignant l’importance de la sécurité des produits dans un large éventail d’industries, de l’électronique aux appareils intelligents, en passant par les logiciels et les produits automobiles. La proposition permettra, par exemple, de : 

  • ajouter les fichiers de fabrication numériques et les logiciels au champ d’application de la responsabilité du fait des produits 
  • modifier la définition du terme “dommage” pour y inclure la perte ou la corruption de données 
  • introduire plusieurs nouvelles présomptions légales pour la charge de la preuve concernant la défectuosité des produits 

Le Règlement sur la cyberrésilience est une proposition de réglementation visant à garantir que les produits et services numériques répondent à des normes de sécurité spécifiques avant d’être mis sur le marché. Le texte de la proposition a fait l’objet d’un accord provisoire entre les législateurs de l’UE et attend d’être formellement adopté par le Conseil avant d’entrer en vigueur, ce qui, selon nos prévisions, devrait se produire dans le courant de l’année. 

Après son entrée en vigueur, ce règlement s’appliquera aux produits comportant des éléments numériques dont l’utilisation inclut une connexion directe ou indirecte de données à un dispositif ou à un réseau. Il imposera des exigences essentielles pour la conception, le développement et la production de ces produits, ainsi que des obligations aux opérateurs économiques en matière de cybersécurité. Pour une entreprise technologique qui produit ou fournit des produits numériques, cela peut signifier la mise en œuvre de pratiques de codage sécurisées et la réalisation d’audits de sécurité réguliers des logiciels.  

Fintech et blockchain : Les réglementations de l’UE redéfinissent la Fintech et la blockchain 

Dans cette dernière ligne droite, nous avons les cadres financiers qui forment l’épine dorsale du secteur numérique. Cette partie démèle les couches de conformité, de sécurité et de transparence essentielles à la prospérité des entreprises de fintech et de finance numérique.  

Le Règlement sur la résilience opérationnelle numérique du secteur financier (DORA) définit le cadre de la robustesse opérationnelle. Ce règlement s’applique à toutes les entités financières de l’UE, y compris les banques, les compagnies d’assurance et les entreprises d’investissement. Son objectif est de garantir un niveau cohérent de maturité en termes de cybersécurité et de résilience opérationnelle. Le DORA exige des entreprises qu’elles mettent en place une gestion complète des risques liés aux technologies de l’information et de la communication (TIC) : 

  • la mise en place de systèmes et d’outils TIC 
  • surveiller en permanence toutes les sources de risques liés aux TIC afin d’identifier les activités anormales 
  • introduire des lignes directrices sur la continuité des activités et des plans d’urgence 

Le DORA est entré en vigueur le 16 janvier 2023 et s’appliquera à partir du 17 janvier 2025. 

Le Règlement sur les marchés des crypto-actifs (MiCA) clarifie le paysage réglementaire des crypto-actifs, touchant les entités engagées dans l’émission, l’offre au public et la négociation de crypto-actifs ou qui fournissent des services liés aux crypto-actifs. Il s’applique également aux entreprises situées en dehors de l’UE, si elles souhaitent exercer leurs activités dans un État membre de l’UE. 

Le MiCA introduit des exigences de transparence et de divulgation pour l’émission, l’offre au public et l’admission des crypto-actifs à la négociation sur une plateforme de négociation de crypto-actifs. Il prévoit également des exigences en matière de protection des clients des prestataires de services liés aux crypto-actifs et des mesures visant à prévenir les délits d’initiés, la divulgation illicite d’informations privilégiées et la manipulation du marché. 

La proposition de Règlement sur l’accès aux données financières (FiDA) répond à la nécessité d’une finance ouverte. Elle est actuellement en cours d’évaluation par le Conseil. Cette proposition de règlement s’adresse aux institutions financières, aux entreprises fintech et aux autres prestataires de services opérant dans le secteur financier de l’UE. Elle établit des règles sur l’accès, le partage et l’utilisation de certaines catégories de données clients dans les services financiers, ainsi que des règles concernant l’autorisation et le fonctionnement des prestataires de services d’information financière. Par exemple, dans le cadre du FiDA: 

  • les données relatives aux clients doivent être mises à disposition sans retard injustifié et en temps réel 
  • les détenteurs de données doivent fournir à leurs clients un tableau de bord des autorisations afin qu’ils puissent gérer les autorisations accordées pour le partage des données 
  • les autorisations seront réversibles et limitées 

La nouvelle proposition de Directive sur les services de paiement (DSP3) actualise les règles applicables aux prestataires de services de paiement et fait actuellement l’objet d’une évaluation par le Conseil, qui devra préparer sa position à ce sujet. Cette directive vise notamment à 

  • Combattre et atténuer la fraude sur les paiements en permettant aux prestataires de services de paiement de partager les informations relatives à la fraude 
  • Améliorer les droits des consommateurs, par exemple en fournissant des informations plus transparentes sur les frais liés aux distributeurs automatiques de billets et en offrant la possibilité d’accéder à des services de caisse dans les magasins. 
  • égaliser les conditions de concurrence entre banques et non-banques en permettant aux prestataires de services de paiement non bancaires d’accéder à tous les systèmes de paiement de l’UE 

En outre, la Commission européenne a préparé un projet de Règlement sur les services de paiement (PSR) qui traite des règles concernant les activités des prestataires de services de paiement et intègre certaines exigences concernant les normes techniques pour l’authentification des clients. 

Conclusion 

Alors que nous naviguons dans le paysage des réglementations européennes, il est essentiel pour les entreprises du secteur numérique de rester informées et proactives. Les nouveaux cadres définis – du MiCA au règlement sur la cyberrésilience – montrent une trajectoire claire vers une transparence, une sécurité et une résilience opérationnelle accrues. Ces réglementations ne sont pas de simples exigences de conformité, mais des occasions d’améliorer vos pratiques commerciales, d’instaurer la confiance avec les consommateurs et d’acquérir un avantage concurrentiel. 

Pour prospérer dans le cadre de ces nouvelles règles, les entreprises doivent accorder la priorité à la compréhension et à l’intégration de ces réglementations dans leurs activités. Commencez par évaluer les réglementations qui ont un impact direct sur vos services et vos produits. Mettez en place des systèmes robustes pour la gestion des données et la cybersécurité, et réfléchissez à la manière dont les changements dans la gouvernance des données peuvent ouvrir de nouvelles possibilités d’innovation et d’amélioration des services. 

N’oubliez pas qu’en matière de conformité, il ne s’agit pas seulement d’éviter les sanctions, mais aussi de tirer parti des changements réglementaires pour favoriser l’innovation et la confiance des clients. Songez à demander l’avis d’un expert pour naviguer dans ces complexités de manière efficace et efficiente.  

By Sebastian Schneider

Head of Privacy & Digital Regulation, Legal Expert

Co-écrit par: Francisco Arga e Lima

Related

Allons-y !

Réserve un appel de découverte gratuit et sans engagement pour discuter de la façon dont nous pouvons t’aider à atteindre tes objectifs commerciaux.

Ou n’hésite pas à nous joindre directement par courriel à [email protected].

Réserve un appel gratuit