L’AFNUM décrypte les textes européens sur le numérique
DSA, DMA, DGA, CRA… ces acronymes mystérieux qui nous viennent de Bruxelles recouvrent en réalité le futur du développement de l’économie numérique. En effet, l’Europe a mis en place de nombreuses réglementations pour veiller au bon développement et à l’équilibre des nouvelles plateformes numériques. La démocratisation des nouvelles technologies numériques doit aussi pouvoir se protéger contre les failles qui peuvent voir le jour et la régulation européenne doit pouvoir les contrer. Pour autant, en raison de sa très grande diversité, voire de sa complexité, la régulation numérique européenne peut très vite devenir ardue. L’AFNUM vous propose ici un décryptage de la politique européenne en matière de numérique. Suivez le guide !
L’un des premiers acronymes à venir à l’esprit lorsque l’on parle de régulation numérique est le GDPR (General Data Protection Regulation) ou RGPD (Règlement Général sur la Protection des Données) en français. Publié en 2016 mais entré en application en 2018, ce texte encadre le traitement des données personnelles sur le territoire de l’Union européenne. Texte essentiel pour encadrer la protection des données, le RGPD a pu amorcer ensuite la réflexion sur la manière d’encadrer le numérique.
Les briques suivantes de l’édifice réglementaire européen qui viennent à l’esprit sont assez naturellement le DSA (Digital Services Act) et au DMA (Digital Markets Act) :
Le DSA (ou règlement sur les services numériques) régule le contenu, dans la mesure où il encadre les activités des plateformes, qui ne sont ni plus ni moins que des interfaces dématérialisées facilitant la mise en relation des producteurs et des consommateurs. Approuvé par le Conseil de l’Union Européenne le 04 octobre 2022, le DSA lutte contre la diffusion de contenus ou de produits illégaux afin de protéger les internautes et leurs droits, mais aussi pour s’assurer du bon développement des entreprises de toute taille. Ce règlement vient réformer la directive E-commerce de 2000.
Le DMA (ou règlement sur les marchés numériques) régule l’attitude économique des entreprises du numérique, c’est-à-dire le poids et les flux des plateformes. Une notion clé dans ce texte est le concept de plateforme systémique, définie comme une plateforme qui possède un rôle majeur au sein du marché numérique européen, au point d’être qualifié de « gatekeepers ». Les gatekeepers sont des acteurs qualifiés de “portiers” du fait du pouvoir de contrôle qu’ils exercent sur les accès au monde du numérique. Approuvé par le Conseil de l’Union Européenne le 18 juillet 2022 afin de promouvoir l’émergence de nouveaux acteurs, la DMA met en place des outils de régulation pour corriger les déséquilibres et ainsi créer une concurrence loyale entre les acteurs du numérique.
Précurseur du DMA, le PtoB (plateform to business), entré en application le 12 juillet 2020, a pour objectif de promouvoir et d’instaurer un environnement équitable et transparent pour les utilisateurs. Il complète le droit à la concurrence, et met en place une série d’obligations pour les plateformes numériques afin d’assurer un bon fonctionnement par les entreprises utilisatrices, par exemple, l’obligation de rendre les conditions générales d’utilisation du service compréhensibles et accessible. Ce règlement parachève l’initiative de la Commission européenne de créer un nouvel outil de lutte contre les situations de dominance dans l’économie numérique.
Le DGA (Data Government Act ou règlement sur les données gouvernementales), approuvé par le Conseil de l’Union Européenne le 30 mai 2022, concerne quant à lui les données détenues par les institutions publiques des Etats membres de l’UE. Il sert de socle général de pour le partage des données des institutions publiques dans l’Union européenne. Le DGA a pour mission d’encadrer la disponibilité des données auprès des citoyens et des entreprises pour en faciliter la réutilisation à des fins de recherche, de création et de développement économique.
S’ensuivent les principaux acronymes concernant la cybersécurité : le CRA (Cyber Resilience Act ou règlement sur la cyber résilience), dont le projet a été proposé par la Commission européenne le 15 septembre 2022, vise à instaurer un cadre global de cybersécurité en Europe, en visant qui s’appliquera aussi bien aux produits physiques qu’aux logiciels et qui imposera des contrôles de conformité. Bien que le CRA ait été proposé après le CSA (Cybersecurity Act ou règlement sur la cybersécurité), qui développe des schémas de sécurité européens et ouvre la possibilité pour les institutions de développer des standards européens propres à la cybersécurité, le CRA est un socle à portée plus générale.
Dans le même esprit, l’EUCS (European Cybersecurity Certification Scheme for Cloud Services ou Schéma de certification de cybersécurité européenne pour les services de cloud), dont le projet est encore en développement. instaurera un standard de cybersécurité pour les fournisseurs de service de cloud.
Les directives Network & information security, aussi appelés NIS, font également partie des acronymes de cybersécurité. La première version a vu le jour en 2016 avant d’être finalement réformée en mai 2022, devenant la directive NIS2 au champ d’application élargi : elle impose un ensemble d’obligations de cybersécurité à des entités essentielles (fournisseur de points d’échanges, de cloud, etc) et à des entités importantes (fournisseur de place de marché en ligne, de moteur de recherche, etc).
Enfin, le développement de l’intelligence artificielle a également contribué à en faire un sujet de réflexion dans la régulation numérique. Le règlement principal, l’AI Act, sert à réglementer le développement et l’utilisation des systèmes d’intelligence artificielle. On peut également citer le projet de directive sur la responsabilité en matière d’intelligence artificielle qui vise à instaurer un cadre de responsabilité du fait d’un système d’IA. L’idée est de donner la possibilité aux utilisateurs ayant subi un dommage de pouvoir vérifier la conformité du système d’IA avec le règlement. Son fonctionnement est tiré de la PLD (Product Liability Directive, ou directive sur la responsabilité du fait des produits défectueux), datant de 1985 et en cours de révision, dont l’objectif est de permettre l’indemnisation d’un préjudice si celui-ci découle du mauvais fonctionnement d’un produit. La proposition de révision souhaite inclure les logiciels au sein du champ d’application, afin de faciliter l’établissement du lien de causalité pour le plaignant et d’adapter les règles européennes à l’ère du numérique.
En conclusion, ces différents textes constituent la base de la réglementation du numérique pour l’Europe. Ils forment une clé de voûte de solide à partir de laquelle seront définis les échanges et évolutions numériques pour les années à venir.