Notre environnement a fait l’objet d’une digitalisation générale, qui a créé un besoin de réglementation d’abord axé sur les données personnelles, et ensuite axé sur les données de façon générale. En effet, ces dernières ont désormais une véritable valeur monétaire et la digitalisation de la société a pris une telle ampleur que de nouvelles dérives sont apparues.
La protection des données
La France a été la pionnière en Europe à légiférer sur la protection des données à caractère personnel à travers la loi nᵒ 78-17 du 6 janvier 1978 dite “Loi informatique et libertés” avec la création d’une autorité administrative indépendante de contrôle : Cnil (Commission Nationale de l’Informatique et des Libertés).
En 2002, l’UE est intervenue avec la directive e-privacy qui protège la vie privée via la confidentialité des communications électroniques (emails, SMS, communications via les réseaux sociaux, …). Elle interdit le SPAM et exige le consentement de l’utilisateur du dépôt de cookies (l’utilisateur doit en être informé et avoir la possibilité d’y refuser).
Depuis le 25 mai 2018, le règlement général sur la protection des données (RGPD) est applicable. Le RGPD est le principal cadre législatif européen applicable à la protection des données personnelles avec pour but l’harmonisation des politiques et réglementations des États membres concernant le traitement des données personnelles autour de trois piliers : transparence, confiance et responsabilité.
– La transparence, parce que les responsables de traitement doivent informer les utilisateurs quels sont leurs droits concernant leurs données et comment les exercer, de la façon la plus claire et la plus simple possible.
– La confiance, grâce au principe du consentement et à la mise en place de garanties en cas de transfert de données, notamment.
– La responsabilité, parce que le règlement renforce les obligations des responsables de traitement et impose la création d’autorités indépendantes de contrôle : en France, la CNIL (mise en place en 1978) a été conservée pour ce rôle.
Les apports du RGPD sont nombreux, avec une consolidation des droits déjà existant (principe du consentement, principe de transparence, droit à l’oubli), la protection de nouveaux droits (droit à la portabilité des données ; droit à la protection contre le profilage), et la définition de termes importants, tel que les données sensibles.
Le RGPD a consacré la fonction de DPO chargé de la conformité RGPD et interlocuteur privilégié qui doit respecter certaines exigences de compétence (bonne connaissance des textes nationaux et européens en matière de protection des données personnelles) et d’indépendance (article 37). Par principe, la désignation d’un DPO n’est pas obligatoire mais vivement conseillée pour éviter toute visite surprise voire sanction de la Cnil ! Par exception, la désignation d’un DPO est obligatoire pour certains organismes, notamment toutes les collectivités territoriales quelle que soit leur taille, toute entreprise dont l’activité consiste à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données « sensibles » (article 9 et 10 RGPD). Le DPO est soit interne, soit externe.
À l’échelle française, ce texte s’inscrit dans la continuité de la loi Informatique et Libertés de 1978 qui posait déjà plusieurs des principes et des droits aujourd’hui protégés par le RGPD et avait instauré la CNIL (Commission Nationale Informatique et Liberté), autorité nationale de référence en la matière.
Le RGPD et la directive e-privacy s’intéressent avant tout aux acteurs que sont les responsables de traitement et les sous-traitants. Les éditeurs logiciels, quant à eux, ont été peu impactés par le RGPD.
La réglementation en matière de cybersécurité
La directive NIS et NIS2
– Les directives NIS (Network and Information Security):
La Directive NIS 1 : est un ensemble mesures relatives à la cybersécurité au sein de l’UE, dont l’objectif est de renforcer la cybersécurité des « Opérateurs de services essentiels au fonctionnement de l’économie et de la société ». L’ANSSI sera là pour accompagner ces opérateurs lorsqu’elles sont victimes d’une cyberattaque.
La Directive NIS 2 : approfondissement de la cybersécurité et élargissement de son domaine. Elle entrera en vigueur d’ici 2024. Les nouveautés de cette directive sont : un mécanisme de proportionnalité qui distingue entre les entreprises essentielles et les entreprises importantes (instaurant pour chacune d’elles des exigences différentes) et un renforcement des sanctions.
Le Cybersécurity Act
Entrée en vigueur le 27 juin 2019, le Cybersecurity Act a pour objet d’assurer le bon fonctionnement du marché intérieur tout en cherchant à atteindre un niveau élevé de cybersécurité, de cyber-résilience et de confiance au sein de l’Union (article premier). C’est une véritable avancée pour l’autonomie stratégique européenne en matière de cybersécurité. Ce texte est l’aboutissement des travaux précieux de l’UE et des agences nationales de cybersécurité.
Le Cybersecurity Act contient deux parties :
-la première partie a officialisé le mandat de l’ENISA (European Union Agency for Cybersecurity) ou Agence de l’Union européenne pour la cybersécurité (article 3) et a renforcé les capacités de celle-ci (article 6) ;
-le second cadre législatif porte sur la certification de cybersécurité pour les produits, services et processus TIC (article 56).
Le cybersécurity Act est le cadre législatif de cybersécurité dans l’espace européen. Le Cybersecurity Act a une portée générale et obligatoire pour tous les États membres. C’est un règlement d’application directe dans toutes ses dispositions.
Réglementations concernant les plateformes et contenus numériques
DMA : Digital Markets Act
Concernant la concurrence numérique, le DMA (Digital Market Act) est un règlement européen voté en 2020 et entré en application le 2 mai 2023. Il vise à prévenir les abus de position dominantes et offrir un plus grand choix aux consommateurs européens, afin de lutter contre le quasi-monopole des GAFAM sur le marché européen.
Sont concernées les entreprises qui exercent en quelque sorte un contrôle de l’accès à internet, selon des données chiffrées en rapport avec leur présence dans des pays européens, leur chiffre d’affaires et le nombre d’utilisateurs de ces entreprises.
Elles devront nommer un responsable chargé de s’assurer de la conformité avec le DMA. Ce dernier imposera plusieurs obligations : par exemple, faciliter le désabonnement à une plateforme ou un service, ou encore faciliter la désinstallation d’applications préinstallées. Le DMA pose également des interdictions : par exemple, ces entreprises ne pourront plus favoriser leur propre contenu. Pour rendre ces obligations et interdictions effectives, sont prévues, à titre de sanction, de lourdes amendes.
DSA : Digital Services Act
Concernant le contenu numérique, en parallèle du DMA a été voté le DSA (Digital Services Act). Il entrera en vigueur le 25 août 2023 pour les très grandes plateformes numériques et grands moteurs de recherche, il entrera en vigueur le 17 février 2024 pour les autres plateformes numériques. Il vise à contrôler le contenu que l’on peut trouver en ligne : lutter contre les contenus haineux, les contenus illicites et la désinformation. Le principe est celui selon lequel ce qui est illégal hors ligne l’est également en ligne.
Les acteurs concernés sont les fournisseurs d’accès à internet, les services de stockages numériques et les plateformes numériques (market places, réseaux sociaux, moteurs de recherche, …).
Parmi les obligations posées par le DSA, on retrouve la mise en place d’un système de réclamations, une obligation d’effectuer des d’audits indépendants annuels. Leur non-respect fera l’objet de sanctions imposées par le texte.
Stratégie européenne pour les données
Data Governance Act et Data Act
Enfin, le Data Governance Act et le Data Act s’inscrivent dans cette politique européenne relative aux données, cette fois hors de l’UE : ce sont le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) qui ont fait cette proposition de règlement européen sur les données, le Data Act, qui fait suite au Data Governance Act de 2021 relatif à la gouvernance des données.
Le Data Act, bien que n’étant pas une norme officielle de l’UE, s’inscrit dans la stratégie européenne qui tend à développer un marché unique de la donnée tout en protégeant les droits des personnes et les valeurs de l’UE. Cette proposition est significative de la valeur économique qui est désormais attribuée aux données numériques.
La réglementation en matière d’IA
L’évolution des nouvelles technologies et la place nouvelle de l’intelligence artificielle a poussé les autorités législatives et réglementaires à se pencher sur la régulation des données de façon plus générale : en effet, les données ont désormais une véritable valeur monétaire et la digitalisation de la société a pris une telle ampleur que de nouvelles dérives sont apparues.
Contrairement au RGPD qui se limitait essentiellement aux responsables de traitement et aux sous-traitants, les nouvelles législations porteront essentiellement sur les éditeurs logiciels et les développeurs d’IA.
AI Act : Artificial Intelligence Act
Concernant le développement de l’IA et ses limites, l’AI Act (Artificial Intelligence Act) est une proposition réglementaire européenne présentée en 2021, par laquelle l’UE veut mettre en place d’un cadre juridique relatif au développement des intelligences artificielles. L’objectif est d’établir une confiance et de permettre aux entreprises de s’approprier les IA dans les meilleures conditions possibles.
La CNIL relève à son sujet quatre objectifs principaux :
– Poser des garde-fous aux développeurs et aux utilisateurs d’IA.
– S’articuler avec le RGPD car ces IA seront très souvent amenées à traiter des données personnelles.
– Harmoniser la réglementation européenne relative à l’IA.
– Accompagner l’innovation.
Projet de révision de la directive 85/374/CEE
Projet de révision de la directive 85/374/CEE du Conseil du 25 juillet 1985 transposée en France par la loi n° n°98-389 du 19 mai 1998. La nouvelle directive vise à moderniser et renforcer les règles de responsabilité du fait des produits défectueux pour faciliter la réparation des dommages : corporels, pertes des données, etc. La directive créera des conditions de concurrence plus équitables entre fabricants européens et ceux de pays tiers. Elle facilitera la mise en œuvre de la responsabilité (action en réparation, preuve et indemnisation) et permettra la réparation des dommages du fait des produits de l’IA, robots, drones…
Projet de directive sur la responsabilité spécifique liée à l’IA.
Projet de directive sur la responsabilité spécifique liée à l’IA. L’idée est d’harmoniser les règles nationales en matière de responsabilité liée à l’IA. Cette réglementation est destinée à bien protéger les victimes des dommages causés par une IA (atteinte à la vie privée, problèmes de sécurité par exemple) en facilitant l’accès aux voies de recours, éléments de preuve et les actions en réparation. Elle simplifiera également le processus juridique de responsabilité liée à l’IA grâce à la consécration d’une présomption de causalité qui dispense les victimes du fardeau de la preuve.
La réglementation sera valable pour tous les systèmes de l’IA.
La mise en œuvre d’un cadre normatif
La question va alors se poser de l’articulation de ces nouvelles réglementations avec le RGPD, le risque étant celui du millefeuille législatif illisible. Pour aider les acteurs français dans la mise en œuvre de ce cadre réglementaire, diverses autorités pourront leur venir en aide :
Au niveau national, la CNIL est l’acteur phare de la loi informatique et libertés et du RGPD, mais elle n’est pas la seule à mettre en œuvre les législations européennes. En effet, l’Agence Nationale de Sécurité des Informations (ANSSI) voit son rôle s’élargir : si elle avait jusque-là un rôle seulement pro-actif (venant au soutien des entreprises victimes de cyberattaques), elle voudrait aujourd’hui se développer et posséder un rôle répressif, par exemple avec le pouvoir de prononcer des amendes en cas de non-respect des réglementations.
Enfin, à un niveau plus restreint, il est possible de noter une augmentation des postes de DPO (délégué à la protection des données) et de RSSI (responsable de la sécurité des services d’information), qui sont désormais essentiels à la mise en conformité des entreprises françaises aux normes européennes en vigueur et à venir.