Gouvernance
Un guide du Cigref pour s’y retrouver dans les nouvelles règlementations européennes
Par Laurent Delattre, publié le 06 octobre 2023
DMA, DSA, AI Act, Data Act, NIS 2… Difficile pour les entreprises de s’y retrouver dans le flot des nouvelles règlementations européennes. Très actif dans les discussions européennes, le Cigref vient de publier un guide pratique à destination des DSI et dirigeants afin de rapidement maîtriser leurs enjeux.
Le Cigref vient de publier son « Panorama des règlements européennes sur le numérique ». Un guide pratique à garder sous la main pour déchiffrer la soudaine vague de règlements numériques européens et comprendre ceux applicables à son entreprise ou ses services.
Il est vrai que, en quelques mois, l’Europe s’est dotée de tout un nouvel arsenal réglementaire qui a de quoi dérouter plus d’un DSI et chef d’entreprise. Bien sûr, ces textes visent à encadrer les activités des acteurs du secteur, à protéger les droits et les intérêts des utilisateurs, et à favoriser la souveraineté et la compétitivité de l’Europe dans le domaine numérique. Mais dans la pratique, ils se traduisent par des contraintes, des obligations et des amendes dont il faut bien discerner les contours afin de savoir jusqu’à quel point ils ciblent ou non votre entreprise.
Le Cigref est plutôt bien placé pour proposer un tel guide. Comme l’explique Henri d’Agrain son délégué général en introduction de ce guide, dès 2018 « le Cigref s’est doté d’une capacité d’appréciation, de décision et d’action en matière d’influence auprès de la Commission, du Conseil et du Parlement européens, afin de ne pas laisser ces processus législatifs, qui pourraient avoir un impact sur nos adhérents, à la seule main de leurs principaux fournisseurs de produits et services numériques. »
Peser sur les politiques mais pas uniquement. Par son action, le Cigref veut aussi servir de contre-poids à l’intense lobbying des acteurs américains (Google, Apple, Microsoft et Amazon notamment) qui font parfois dérapé les bonnes volontés européennes exprimées dans le cadre de la « Stratégie numérique pour l’Europe pour la décennie 2020-2030 ».
À LIRE AUSSI :
Le panorama du Cigref revient donc sur les règlements suivants :
– Le RGPD (Règlement général sur la protection des données), entré en vigueur en 2018, qui impose des obligations aux responsables du traitement des données personnelles, ainsi que des droits aux personnes concernées.
– Le DSA (Digital Services Act), nouveau règlement visant à moderniser les règles applicables aux services numériques intermédiaires, tels que les plateformes en ligne, les réseaux sociaux, les moteurs de recherche ou les services de cloud computing.
– Le DMA (Digital Markets Act), nouveau règlement visant à réguler les pratiques des opérateurs dits “gatekeepers”, c’est-à-dire les grandes entreprises numériques qui contrôlent l’accès aux marchés numériques et qui peuvent abuser de leur position dominante.
– Le Cybersecurity Act, qui précise la nouvelle directive NIS2 et veut imposer un niveau élevé de cybersécurité au sein de l’UE.
– Le Cyber Resilience Act, une proposition de règlement pour garantir une plus grande sécurité des logiciels et matériels et interdire la livraison en Europe de produits comportant des failles déjà connues. Le CRA complète la directive NIS2.
– Le Cyber Solidarity Act, une proposition de règlement pour renforcer la coopération à l’échelle de l’Union européenne en matière de préparation, détection et réaction aux cyberattaques de grande ampleur avec l’idée du cyberbouclier europée.
– Le ePrivacy Act (Règlement relatif au respect de la vie privée et à la protection des données personnelles dans les communications électroniques), qui est une proposition de règlement visant à remplacer la directive ePrivacy de 2002 et à compléter le RGPD en matière de confidentialité des communications électroniques, notamment en ce qui concerne les cookies, le marketing direct ou la métadonnées.
– Le AI Act (Artificial Intelligence Act), qui est une proposition de règlement visant à établir un cadre juridique harmonisé pour le développement, le déploiement et l’utilisation de l’intelligence artificielle dans l’Union européenne, en fonction du niveau de risque que présentent les systèmes d’IA pour les droits fondamentaux et la sécurité.
– Le DGA (Data Governance Act), qui est une proposition de règlement visant à faciliter le partage et la réutilisation des données entre les secteurs public et privé, en créant notamment des espaces européens communs de données dans des domaines stratégiques tels que la santé, l’environnement ou la mobilité.
– Le Data Act, qui est une proposition de règlement attendue pour fin 2023 et qui vise à renforcer le droit d’accès aux données industrielles et non personnelles, notamment entre les entreprises, entre les entreprises et les administrations publiques, ou entre les utilisateurs et les plateformes en ligne.
– Et enfin le nouveau Data Privacy Framework, la nouvelle décision d’adéquation censée garantir la sécurité et le respect de la vie privée des citoyens américains tout en permettant des échanges Europe-USA en toute transparence. Max Schrems annonce déjà, à qui veut l’entendre, qu’il sera lui aussi invalidé par un « Schrems III ».
Le document explique les enjeux et les impacts de chacun de ces règlements pour les entreprises et les administrations utilisatrices de produits et services numériques. Il en déchiffre les chronologies, les objectifs, les adaptations en droit national, et le positionnement du Cigref pour chaque règlement.
Un petit guide bien pratique… qui ne demande qu’à être complété au fil du temps et qui mériterait, dans ces prochaines éditions, de mieux mettre en avant les risques et les amendes.
À LIRE AUSSI :