Règlementations européennes autour de la donnée

À l’aube de 2025, l’Union européenne renforce son cadre réglementaire pour la sécurisation des données, impactant significativement les entreprises opérant sur le territoire européen.

‍

Voici les principales évolutions à considérer :

1. Digital Operational Resilience Act (DORA)

‍

Entré en vigueur début 2025, le DORA vise à renforcer la résilience opérationnelle numérique des entités financières. Il impose des exigences strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC), obligeant les entreprises à :

• Mettre en place des stratégies robustes pour détecter, gérer et signaler les incidents informatiques.

• Assurer la continuité des services critiques en cas de perturbations numériques.

• Collaborer avec des prestataires de services TIC conformes aux normes européennes.

Cette réglementation vise à minimiser les interruptions de services financiers et à protéger les données sensibles des clients.  

2. Cyber Resilience Act (CRA)

Adopté en octobre 2024, le CRA impose des exigences de sécurité pour les produits numériques commercialisés dans l’UE. Les fabricants et développeurs doivent désormais :

• Intégrer des mesures de cybersécurité dès la conception des produits (“security by design”).

• Fournir des mises à jour régulières pour corriger les vulnérabilités.

• Garantir la transparence sur les normes de sécurité appliquées.

L’objectif est de protéger les consommateurs et les entreprises contre les cybermenaces en renforçant la sécurité des appareils connectés et des logiciels.  

3. Renforcement du Règlement Général sur la Protection des Données (RGPD)

Le Comité Européen de la Protection des Données (CEPD) a annoncé de nouvelles priorités pour 2024-2025, mettant l’accent sur :

• Sous-traitance : Clarification des obligations des responsables de traitement et des sous-traitants, avec une attention particulière à la transparence et à la conformité des contrats.

• Intérêt légitime : Fournir des orientations sur l’utilisation de l’intérêt légitime comme base légale pour le traitement des données, afin d’assurer une application cohérente à travers l’UE.

Ces initiatives visent à harmoniser l’application du RGPD et à renforcer la protection des données personnelles.  

4. Directive NIS2

La directive NIS2 élargit le champ d’application de la directive NIS initiale, incluant désormais davantage de secteurs considérés comme critiques, tels que :

• Les fournisseurs de services numériques.

• Les services de santé.

• Les infrastructures publiques.

Les entreprises concernées doivent :

• Mettre en œuvre des mesures de gestion des risques de cybersécurité.

• Notifier les incidents significatifs aux autorités compétentes.

• Se soumettre à des évaluations régulières de leur posture de sécurité.

Cette directive vise à améliorer le niveau global de cybersécurité et la résilience des réseaux et systèmes d’information au sein de l’UE.  

5. Réglementation sur l’Intelligence Artificielle (IA)

L’UE travaille également sur un cadre réglementaire pour l’IA, visant à :

• Classer les systèmes d’IA en fonction de leur niveau de risque.

• Imposer des obligations spécifiques pour les applications à haut risque, notamment en matière de transparence, de robustesse et de gouvernance des données.

• Interdire certaines pratiques jugées inacceptables, comme la surveillance de masse sans discernement.

Ce cadre vise à promouvoir une IA éthique et sécurisée, protégeant les droits fondamentaux des citoyens européens.  

‍

Photo de Christian Lue sur Unsplash