Article réservé aux abonnés Archimag.com

L’Europe des données : tour d’horizon réglementaire en 2025

Le

  • europe-donnees-tour-horizon-reglementaire-2025.jpg

    europe-donnees-tour-horizon-reglementaire-2025
    Depuis plusieurs années, l’Union européenne entend devenir pionnière dans l’économie des données. (Rayhanbp/Freepik)
    • L’Union européenne poursuit son encadrement juridique de l’utilisation des données et de l’écosystème numérique avec plusieurs textes clés (Data Act, AI Act, DORA, NIS 2…). De la souveraineté des données à la cybersécurité, en passant par l’encadrement de l’IA et la responsabilité des plateformes, le cadre européen s’annonce plus transparent, résilient et compétitif.

    am_gp_80_couvbd.jpgenlightened RETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : STRATÉGIE DATA : TIREZ PROFIT DE L’INTELLIGENCE DES DONNÉES

    mail Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !

    Le 12 mars 2025, le Sénat a voté en première lecture la transposition en droit français de certaines directives européennes, dont le Network and Information Security (NIS 2) et le Digital operational resilience act (DORA), dans l’objectif de renforcer les obligations de cybersécurité et d’étendre leur portée à de nouveaux acteurs.

    Les nouvelles réglementations européennes sur les données n’ont pas pour seule vocation la protection de la vie privée : elles façonnent la compétitivité, la résilience et l’éthique des systèmes numériques. L’année 2025 marque un tournant pour ces textes, portés par une régulation accrue de l’intelligence artificielle (IA), par un renforcement des droits numériques et par une prise de conscience des risques systémiques liés à la donnée, tels que la dépendance technologique, la cybervulnérabilité et l’opacité algorithmique.

    Lire aussi : La FAQ de la confiance numérique

    Digital Services Act (DSA) : les plateformes mises au pas

    • le texte concerne les fournisseurs d’accès à internet, de cloud, les marketplaces, les réseaux sociaux ou encore les plateformes de partage de contenus qui rassemblent plus de 45 millions d’utilisateurs mensuels en Europe,
    • publication au Journal officiel de l’UE : 27 octobre 2022,
    • entrée en application : à partir du 25 août 2023.

    En 2025, le règlement sur les services numériques (DSA) renforce son arsenal juridique avec des obligations accrues de transparence sur les algorithmes de recommandation, l’obligation pour les très grandes plateformes de publier des rapports d’audit indépendants sur la gestion des risques systémiques et l’exigence de traçabilité renforcée pour les vendeurs tiers qui commercialisent des biens ou services via ces plateformes. La lutte contre les contenus illicites s’intensifie avec des procédures de retrait plus rapides et des mécanismes de signalement simplifiés.

    NIS 2 : vers une infrastructure numérique souveraine

    • le texte s’adresse aux entreprises de plus de 50 salariés réalisant plus d’un million d’euros de chiffre d’affaires dans les secteurs concernés (prestataires cloud, plateformes ou infrastructures numériques, opérateurs de services essentiels, certains acteurs industriels, collectivités territoriales, etc.) en plus des domaines déjà touchés par NIS 1, comme les établissements de santé, les banques et les transports,
    • publication au Journal officiel : 27 décembre 2022,
    • entrée en application : 17 octobre 2024.

    La directive NIS 2 complète le règlement DORA (voir ci-dessous) en imposant des exigences accrues de cybersécurité. Elle rend obligatoire la désignation d’un responsable de la sécurité des systèmes d’information (RSSI), la notification des incidents majeurs sous 24 heures, des audits réguliers et prévoit de lourdes sanctions en cas de non-conformité (2 % du chiffre d’affaires).

    Au-delà de ces obligations, NIS2 exige une politique rigoureuse de gestion des risques incluant l’authentification forte, le chiffrement et la sécurisation de la chaîne d’approvisionnement. Le niveau d’exigence porté par NIS 2 se veut adapté et proportionnel en fonction du niveau de criticité des entités, qui sont définies comme "essentielles" ou "importantes" par l’Anssi.

    Lire aussi : Cybersécurité : le Digital Operational Resilience Act (DORA) entre en application

    DORA : la cybersécurité au cœur de la finance

    • le texte s’adresse aux entreprises du secteur financier,
    • publication au Journal officiel de l’UE : 27 décembre 2022,
    • entrée en application : 17 janvier 2025.

    L’objectif du règlement européen sur la résilience opérationnelle numérique du secteur financier (DORA) est d’accélérer la mise en place de capacités de cyberrésilience au sein des prestataires de services financiers face à la montée des cyberattaques ciblant les données sensibles. Il étend les exigences à toute la chaîne d’externalisation, y compris aux prestataires technologiques qui n’étaient jusque-là pas considérés comme critiques.

    Les banques, les compagnies d’assurance, les fonds d’investissement, ou encore les plateformes d’échange de cryptomonnaies doivent désormais évaluer et auditer leurs fournisseurs IT au regard de leur criticité, consigner les risques identifiés, intégrer des clauses précises dans les contrats (remédiation, audit, résiliation, pénalités), et assurer une surveillance continue. DORA exige également des dispositifs de détection, de classification et de notification des incidents majeurs, ainsi que des tests réguliers de résilience numérique.

    Règlement sur l’IA (AI Act) : un encadrement progressif

    • le texte s’adresse aux développeurs, aux fournisseurs et aux utilisateurs d’IA dans l’UE, avec une montée en puissance progressive jusqu’en 2026, où tous les systèmes à haut risque seront concernés,
    • publication au Journal officiel de l’UE : 12 juillet 2024,
    • entrée en application : à partir du 2 février 2025.

    Ce texte pionnier vise à encadrer le développement de l’IA pour protéger les droits fondamentaux, garantir la sécurité des citoyens et prévenir les abus liés à des systèmes jugés trop intrusifs ou opaques. Depuis février 2025, les premières interdictions sont entrées en vigueur, ciblant notamment les IA de manipulation ou de surveillance de masse et, d’ici août 2025, les règles s’étendront aux modèles d’IA généraux puissants (GPAI).

    La gouvernance s’appuiera sur la mise en place d’autorités nationales chargées de superviser l’application du règlement, en lien étroit avec le Bureau européen de l’IA, qui assurera la coordination et la cohérence des actions à l’échelle de l’UE. Les dispositions relatives à la confidentialité viseront à garantir une protection accrue des données personnelles traitées par les systèmes d’IA, avec un régime de sanctions proportionnées.

    Lire aussi : Les réglementations du numérique responsable

    Data Act : vers un marché européen des données plus équitable

    • le texte s’adresse aux entreprises productrices de données "industrielles",
    • publication au Journal officiel de l’UE : 22 décembre 2023,
    • entrée en application : différents paliers à partir du 12 septembre 2025.

    L’application du Data Act approche à grands pas. Il a pour objectif de rééquilibrer l’économie des données au sein de l’Union européenne (UE) en instaurant un cadre d’accès, d’utilisation et de partage plus sécurisé et interopérable. Le texte s’adresse principalement aux données générées par l’usage de produits connectés et de services numériques connexes - données qui, jusqu’ici, restaient largement sous le contrôle exclusif des fabricants.

    Le règlement accorde aux utilisateurs un accès direct à leurs données et à leur portabilité vers des tiers, tout en en interdisant l’usage à des fins concurrentielles. Le Data Act rompt ainsi avec les pratiques de verrouillage d’écosystèmes qui freinent l’émergence d’offres interopérables.

    Cyber Resilience Act (CRA) : sécuriser les produits numériques

    • le texte s’adresse aux fabricants, importateurs et distributeurs de produits comportant des éléments numériques (PEN), y compris les objets connectés, logiciels et équipements embarqués ou connectés,
    • publication au Journal officiel : 20 novembre 2024,
    • entrée en application : 11 décembre 2027.

    Le Cyber Resilience Act (CRA) impose aux produits comportant des éléments numériques (PEN) des exigences essentielles de cybersécurité, sous peine d’interdiction de mise sur le marché dans l’UE à partir de 2027. Ces exigences concernent la cybersécurité "par conception", doivent assurer la protection des données (confidentialité, intégrité, disponibilité) et intégrer une mise à jour sécurisée.

    Les fabricants doivent ainsi assurer le suivi, la correction et la notification obligatoire des failles aux autorités et utilisateurs. Pour les PEN "non critiques", la conformité peut passer par une autoévaluation, un audit, un examen technique ou une certification. Ces obligations s’articulent également avec d’autres règlements européens, tels que le RGPD, le Règlement sur l’IA et le Data Act.

    0 Commentaire
    GP80
    règlementation
    droit
    Union européenne
    commission européenne
    Europe
    À lire sur Archimag
    Les podcasts d'Archimag
    Êtes-vous prêt pour la réforme de la facturation électronique ? À moins de 460 jours du grand lancement, l’écosystème se prépare activement. Lors de la Journée de la Facturation Électronique qui s'est tenue le 13 mai dernier à Paris, Archimag Podcast est allé à la rencontre des acteurs incontournables de cette réforme : les Plateformes de dématérialisation partenaires, ou PDP. Ensemble, nous avons parlé de leur rôle, de leurs spécificités, de leur modèle économique et de leur secret de longévité. Dans cet épisode, nous vous dévoilons qui sont ces acteurs et ce qu'ils préparent pour accompagner la réforme.
    Lire la suite...

    Serda Formations Data 2023