Régulation du numérique dans l'UE : le calendrier 2023

Comment le corpus législatif et réglementaire encadrant le numérique dans l’UE va-t-il évoluer ? Coup d’œil sur quelques textes dont l’adoption ou l’entrée en application est prévue pour 2023.

Data Governance Act

« Règlement sur la gouvernance européenne des données »
Adopté en mai 2022, ce texte s’appliquera en septembre 2023.

Principaux destinataires : les organismes du secteur public. Objectif : favoriser la réutilisation de certaines catégories de données protégées que détiennent ces organismes.

Le Data Governance Act établit aussi des exigences pour les services d’intermédiation de données. C’est-à-dire ceux qui mettent ces organismes en lien avec les utilisateurs de données – ou qui mettent en lien plusieurs utilisateurs. Le texte pose aussi, sous la notion d’« altruisme en matière de données », un cadre d’enregistrement volontaire des entités qui collectent et traitent les données en question.

Data Act

« Proposition de règlement fixant des règles pour l’équité de l’accès aux données et de l’utilisation des données »

Proposé en février 2022, ce texte devrait être adopté en 2023. Parlement et Conseil en ont chacun terminé l’examen en mars, ouvrant la voie au trilogue (deuxième réunion prévue ce mois-ci).

Le Data Act établit des exigences d’accessibilité des données générées par les services numériques. Il comporte aussi des dispositions destinées à faciliter la portabilité entre services cloud.

Digital Markets Act

« Règlement relatif aux marchés contestables et équitables dans le secteur numérique »

Texte entré en vigueur en octobre 2022, puis en application en mai 2023. A alors débuté une phase de quatre mois à l’issue de laquelle la Commission européenne désignera des « contrôleurs d’accès » (gatekeepers), ainsi nommés en raison du poids de leurs services sur le marché numérique de l’Union.

Au nom d’une concurrence saine, ces acteurs auront des obligations parmi lesquelles :

– Assurer une forme d’interopérabilité et/ou de portabilité
– Ne pas favoriser leurs propres services
– Éviter de restreindre les possibilités d’installation et de désinstallation de logiciels
– S’abstenir de traiter – sauf avec consentement – des données concernant des utilisateurs de services tiers exploitant leur(s) plate(s)-forme(s)

Les « contrôleurs d’accès » (la liste des services visés est large) auront jusqu’au 6 mars 2024 pour se conformer au DMA.

Digital Services Act

« Règlement relatif à un marché unique des services numériques »

Texte adopté en octobre 2022. L’essentiel des dispositions ne seront applicables qu’en février 2024. Cette année, la Commission européenne a désigné, à l’issue d’un processus similaire à celui engagé dans le cadre du DMA, 19 plates-formes « structurantes ».

Le DSA donne à ces plates-formes des responsabilités vis-à-vis des contenus qu’elles transmettent ou hébergent. Cela couvre des aspects allant de la transparence (publicité, systèmes de recommandation…) à la gestion du risque en passant par le traitement des plaintes.

Le DSA privilégie parfois des mécanismes non contraignants : code de conduite pour l’accessibilité des services, base volontaire pour la constitution de protocoles de crise…

Political Advertising Regulation

« Proposition de règlement relatif à la transparence et au ciblage de la publicité à caractère politique »

Texte déposé en novembre 2021. Adoption probable cette année. Le Parlement a arrêté sa position de négociation en février.

Cette proposition de règlement établit des obligations pour les fournisseurs de publicité à caractère politique et de services connexes. Elles englobent la conservation, la divulgation et la publication d’informations. Des exigences spécifiques s’appliquent aux techniques de ciblage et d’amplification reposant sur l’usage de données personnelles.

AI Act

« Proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle »

Texte déposé en avril 2021. L’adoption est normalement pour cette année. Le Conseil a arrêté sa position fin 2022. Le Parlement doit adopter la sienne mi-juin.

Le « règlement IA » établit des règles concernant la mise sur le marché, la mise en service et l’utilisation de systèmes d’intelligence artificielle dans l’UE. Il interdit certaines pratiques et comporte des exigences spécifiques aux systèmes « à haut risque » (gouvernance des données, documentation technique, contrôle humain, etc.).

Du côté du Conseil, on a notamment étendu la portée de certaines interdictions. Par exemple sur le scoring social et l’exploitation des vulnérabilités de groupes de personnes spécifiques. Ayant adopté sa position après le « buzz ChatGPT », le Parlement a pu établir des obligations spécifiques aux IA génératives. Il a aussi fait évoluer plusieurs périmètres, dont celui du « haut risque » et celui de l’interdiction des logiciels d’identification biométrique.

Platform Workers Directive

« Proposition de directive relative à l’amélioration des conditions de travail dans le cadre du travail via une plate-forme »

Déposé en décembre 2021, le texte pourrait éventuellement être adopté cette année. Il établit notamment :

– Une présomption légale de l’existence, sous certaines conditions, d’une relation caractéristique du salariat
– Une exigence d’information des travailleurs au sujet de l’utilisation de systèmes de surveillance automatisés
– Le droit pour eux d’obtenir une explication des décisions prises ou appuyées par des systèmes automatisés

Catégorie cyber : des échéances plus lointaines

NIS 2

« Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union »

Adopté en décembre 2022, le texte s’appliquera en octobre 2024, succédant à la NIS première du nom adoptée en 2016. Il impose aux entités désignées comme OSE (opérateurs de services essentiels) des mesures de gestion des risques et des obligations d’information.

Digital Operational Resilience Act

« Règlement sur la résilience opérationnelle numérique du secteur financier »

Adopté en décembre 2022, le texte s’appliquera en janvier 2025. Il impose des obligations aux entités financières et à leurs prestataires IT.

Cyber Resilience Act

« Proposition de règlement concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques »

Texte déposé en septembre 2022. Il s’appuie sur plusieurs autres textes en cours d’élaboration, dont le règlement IA et le schéma européen de certification de cybersécurité. L’objectif : imposer des exigences dans l’optique d’une mise en marché des produits présentant un « haut niveau de risque ». Par exemple, ceux conçu pour fonctionner avec un niveau élevé de privilèges, contrôler l’accès à des données ou gérer des fonctionnalités de sécurité.

Cyber Solidarity Act

« Proposition de règlement établissant des mesures pour renforcer la solidarité et les capacités de l’Union pour la détection, la préparation et la réponse aux menaces et incidents de cybersécurité »

Déposé en avril 2023, le texte vise notamment à créer un « bouclier européen du cyberespace », sous la forme d’une infrastructure paneuropéenne de SOC. Il crée aussi un « mécanisme d’urgence » composé de trois grandes briques :

– Renforcer la préparation en testant des entités dans des secteurs très critiques
– Constituer un « fonds de réserve » offrant des services de réponse aux incidents
– Soutenir financièrement l’assistance mutuelle entre autorités nationales

À consulter pour davantage de contexte :

Le DMA entre en application : et maintenant ?
Digital Services Act : l’UE face au défi technique
Règlement IA : les points de débat au sein de l’UE
Sécurité de l’IoT : le Cyber Resilience Act érigé sur des fondations en construction
Règlement cybersolidarité : vers un EuroHPC des SOC

Lire aussi : Broadcom : la grogne des fournisseurs et des utilisateurs converge