Panorama 2025 : Règlementation du numérique dans l'UE

PROPOS INTRODUCTIFS

L’Union européenne multiplie depuis plusieurs années les initiatives pour structurer et sécuriser le numérique : protection des données, intelligence artificielle, cybersécurité, services et marchés numériques... Ces actions traduisent une volonté forte d’harmonisation, de sécurité, de souveraineté et de confiance dans l’espace numérique européen.

Nous avons constaté que cette dynamique législative, pourtant nécessaire pour s’adapter à l’évolution rapide du numérique, génère néanmoins une complexité croissante pour les entités françaises et européennes, qui doivent :

• Veiller à suivre régulièrement les publications de la Commission européenne et, souvent, leur transposition ou adaptation en France.
• Comprendre et étudier les Règlements et Directives en fonction de leur champ d’application, leurs imbrications avec d’autres législations applicables et leurs impacts opérationnels et commerciaux.
• Adapter et repenser, parfois, leurs pratiques au regard des nouveaux régimes d’obligations qui s’appliquent à elles.

Nous vous proposons donc de faire un premier tour d’horizon structuré des principales législations européennes du numérique à prendre en compte en 2025. L’objectif est de vous offrir un repère clair et opérationnel pour vous aider à situer votre entité dans ce cadre législatif européen dense et en constante évolution.

N.B : notre infographie n’a pas vocation à être exhaustive. Par exemple, elle ne couvre pas les textes sectoriels spécifiques (santé, finance, énergie) qui peuvent trouver à s’appliquer en fonction des activités de votre entité.

LES GRANDES ARRIVEES DE 2025

Le Règlement sur l’Intelligence Artificielle (RIA) : Règlement (UE) 2016/1689

Entrée en application: depuis février 2025 (puis progressive) – applicable directement en France

Quel sont les objectifs du RIA ? Le RIA a notamment pour objectifs de ★ promouvoir l’innovation, l’éthique et la confiance dans l’IA en Europe, en favorisant un marché unifié avec des règles communes et ★ d’interdire des usages de l’IA à “risque inacceptable” pour la société.

Quelles sont les grandes lignes du RIA ?

• Classification des obligations applicables en fonction du risque impliqué par l’IA : si le risque est inacceptable, l’IA sera interdite - si le risque est élevé, des obligations strictes s’appliqueront - si le risque est limité, alors le régime d’obligations est simplifié.
• Responsabilité en fonction du rôle dans la chaîne d’approvisionnement : chaque entité devra identifier son rôle pour un projet d’IA afin d’identifier son régime d’obligations (documentation, gestion des risques, sécurité, transparence, marquage CE, etc.).
• Gouvernance et sanction : pour les systèmes d’IA, les contrôles se feront par les autorités nationales désignées. Les sanctions peuvent aller jusqu’à 35M€ ou 7% du CA annuel mondial.

Votre entité est-elle concernée par le RIA ? OUI, particulièrement si :

• Elle développe ou met à disposition de l’IA sous son propre nom ou confie à un tiers le développement d’une IA mais la commercialise sous son propre nom (qualité de fournisseur au sens du RIA)
• Elle utilise et déploie de l’IA sous sa propre autorité, par exemple si elle achète ou souscrit à un outil d’IA qu’elle met à disposition de ses collaborateurs (qualité de déployeur au sens du RIA).

💡 N.B : toute IA commercialisée ou utilisée au sein de l’UE, tous usages confondus, sera concernée.

Le Règlement sur les données (Data Act) : Règlement (UE) 2023/2854

Entrée en application: depuis septembre 2025 (puis progressive) – applicable directement en France

Quel sont les objectifs du Data Act ?Le Data Act encadre l’accès, le partage et la portabilité des données générées par les produits connectés et services connexes. Ses principaux objectifs sont : ★ offrir aux utilisateurs (particuliers et entreprises) un meilleur contrôle sur les données qu’ils génèrent, et ★ favoriser un partage équitable et harmonisé des données entre utilisateurs, fabricants et tiers.

Quelles sont les grandes lignes du Data Act ?

• Accès, partage et utilisation des données : les utilisateurs peuvent obtenir et transférer les données qu’ils génèrent notamment par l’utilisation d’objets connectés (IoT), dans des conditions équitables et transparentes. Le Data Act favorise également l’obtention par les administrations publiques de données détenues par le secteur privé dans des situations spécifiques (intérêt public).
• Équilibre contractuel et interopérabilité : une protection est offerte aux entreprises (en particulier PME) contre les clauses abusives de partage des données, et les obligations de portabilité et d’interopérabilité des prestataires cloud (et services périphériques) sont renforcées.

Votre entité est-elle concernée par le Data Act ? OUI, si votre entité endosse l’une des qualités suivantes : fabricant de produits connectés ou fournisseur de services connexes*, utilisateur dans l’UE, détenteur de données ou destinataire de données dans l’UE, organisme public ou institutionnel demandant des données, fournisseur de services de traitement de données dont les clients sont dans l’UE, participant à des espaces de données, vendeur d’applications utilisant des contrats intelligents ou personne déployant ces contrats pour des tiers.

💡*Qu’est-ce qu’un service connexe ? C’est un service numérique, autre qu’un service de communications électroniques, y compris un logiciel, qui est connecté au produit au moment de l’achat.

LES GRANDS TRAVAUX EN COURS

La Directive SRI 2 (ou NIS 2) : Directive (UE) 2022/2555

Date de transposition : au plus tard en octobre 2024 (toujours en cours en France – les informations ici)

Quel sont les objectifs de NIS 2 ? La Directive NIS 2 vise à renforcer le niveau de cybersécurité des tissus économiques et administratifs dans les pays membres de l’UE en protégeant les réseaux et SI servant à fournir des services essentiels dans des secteurs clés d’activité.

Quelles sont les grandes lignes de NIS 2 ?

• Enregistrement obligatoire des entités concernées auprès de l’ANSSI (voir plateforme en ligne).
• Mise en place d’un socle de mesures juridiques, techniques et organisationnelles pour assurer la gestion des risques qui menacent la sécurité des entités concernées – quelques exemples : obligations de documentation des risques et de la sécurité des SI, mise en place de procédures (chiffrement, contrôle d’accès, gestion des actifs, etc.), mise en place de mesures de signalement, de gestion des incidents et de continuité d’activité, d’encadrement de la chaîne d’approvisionnement, de formation à la cybersécurité, de gestion de l’authentification MFA…
• Gouvernance : l’ANSSI est l’autorité désignée pour veiller à l’application de NIS 2 en France.

Votre entité est-elle concernée par NIS 2 ? OUI, si votre entité remplit les critères cumulatifs suivants :

• Elle (1) emploie +250 personnes ou a un CA annuel > 50M€ et un bilan annuel > 10M€ (elle sera une entité essentielle) OU (2) emploie +50 personnes ou a un CA / bilan annuel >10M€ (elle sera entité importante).

ET

• Elle intervient (1) dans un secteur hautement critique (administrations publiques, énergies, infrastructures des marchés financiers, numériques, santé, transports…) OU (2) dans un autre secteur critique (fournisseurs numériques, industrie manufacturière, denrées alimentaires, services postaux …).

💡 La transposition française pourra apporter des éclaircissements sur le champ d’application.

Le Règlement sur la cyberrésilience (CRA) : Règlement (UE) 2024/2847

Entrée en application : depuis décembre 2024 (36 mois de transition jusqu’en décembre 2027)

Quel sont les objectifs du CRA ? Le CRA introduit des règles communes en matière de cybersécurité pour les produits mis sur le marché européen et comportant des éléments numériques (matériels et logiciels). Il vise à garantir : ★ la sécurité des produits connectés à Internet et logiciels commercialisés au sein de l’UE, ★ la responsabilité des fabricants sur leurs produits tout au long de leur cycle de vie, et ★ l’information suffisante des consommateurs sur la cybersécurité des produits qu’ils achètent et utilisent.

Quelles sont les grandes lignes du CRA ? Le CRA définit différents régimes d’obligations en fonction du rôle de l’entité, synthétiquement :

• Fabricants de produits : intégration de la cybersécurité dès la conception (analyses de risque, intégration de composants sécurisés, mises à jour de sécurité, documentation technique, marquage CE…), support produit pendant 5 ans ou durée de vie, instructions d’utilisation et de paramétrage du produit, système de notification des vulnérabilités, etc.
• Développeurs de logiciels : intégration de la cybersécurité dès la conception et par défaut, prévention des vulnérabilités, correctifs automatiques, minimisation, traçabilité et intégrité des données, documentation obligatoire (nomenclature, déclaration de conformité UE…).
• Importateurs et distributeurs : vérifications avant mise sur le marché et tenue d’une documentation obligatoire (documentation technique, déclaration de conformité UE du fabricant, instructions utilisateur, due diligence sur la chaîne d’approvisionnement…).

Votre entité est-elle concernée par le CRA ? OUI, si elle est (1) fabricant ou développeur de produits contenant des éléments numériques (matériels et logiciels) ou (2) un importateur, distributeur ou revendeur de ce type de produits.

FOCUS : RÈGLEMENTS RÉCENTS À NE PAS OUBLIER

Règlement sur les services numériques (DSA) - Règlement (UE) 2022/2065

Entrée en application : février 2024

Objectifs: responsabiliser les plateformes numériques pour lutter contre la diffusion de contenus illicites, préjudiciables ou la commercialisation de produits illégaux. Il vise donc principalement à ★ mieux protéger les internautes européens et leurs droits fondamentaux, et ★ renforcer le contrôle et la surveillance des très grandes plateformes pour atténuer leurs risques systémiques.

Qui est concerné ? Les fournisseurs d’accès à Internet (FAI), services cloud, plateformes en lignes (e-commerce, réseaux sociaux, partage de contenus, plateformes de voyage, d’hébergement, etc.) et les « très » grand(e)s plateformes et moteurs de recherches (+45M d’utilisateurs européens par mois).

💡Les plateformes de -50 salariés et -10M€ CA annuel sont exemptées de la plupart des obligations.

Règlement sur les marchés numériques (DMA) - Règlement (UE) 2022/1925

Entrée en application : mars 2024 (en totalité)

Objectifs: lutter contre les pratiques anticoncurrentielles sur le marché numérique européen en ★ créant une concurrence loyale, ★ stimulant la compétitivité sur le marché, et ★ renforçant la liberté de choix des consommateurs.

Qui est concerné ?Les contrôleurs d’accès (gatekeepers) identifiés par la Commission européenne - GAFAM (Facebook, Chrome, LinkedIn, Whatsapp, Google Maps, Amazon, App Store, Youtube, etc.), ByteDance (Tiktok), Booking…

Règlement sur la gouvernance des données (DGA) - Règlement (UE) 2022/868

Entrée en application : septembre 2023

Objectifs: accroître le partage volontaire des données (personnelles ou non) dans l'intérêt des entreprises et des citoyens en facilitant le partage des données de manière fiable et sécurisée.

Qui est concerné ?Les détenteurs de données (droit d’octroyer ou non l’accès), utilisateurs de données (disposent d’un accès licite aux données et peuvent les utiliser à des fins commerciales ou non), services d’intermédiation de données (établissent des relations à des fins de partage de données entre détenteurs et utilisateurs).

COMMENT NAVIGUER DANS L’ÉCOSYSTÈME RÈGLEMENTAIRE ?

Quelques conseils utiles pour vous aider :

• Mettez en place une gouvernance règlementaire interne en identifiant des responsables internes en fonction des thématiques visées (DPO pour les données, RSSI pour la cybersécurité, etc.) et/ou des conseils juridiques externes (ex : création d’un Comité conformité). Le Comité pourra piloter une veille règlementaire et la sensibilisation de la Direction.
• Évaluez votre exposition règlementaire en identifiant les législations applicables en fonction des activités, services ou produits de votre entité, de sa taille (le cas échéant), et en analysant les obligations déjà couvertes par des processus existants en internes.
• Priorisez votre conformité en déployant une stratégie basée sur la gestion des risques– vous ne pourrez pas traiter tous les sujets en même temps – par exemple : distinguer les obligations immédiates des obligations anticipables, concentrer vos ressources sur les obligations à fort impact (juridique et/ou opérationnel) et planifier les travaux pour éviter l’urgence.
• Sécurisez vos contrats et relations commerciales en sélectionnant avec précaution des partenaires contractuels sérieux et en répercutant des engagements de conformité concrets sur les législations applicables pour vous permettre de maîtriser vos risques.
• Renforcez la culture interne en sensibilisant les équipes aux enjeux de conformité, en particulier en termes de cybersécurité, d’IA et de protection des données, en inculquant les bons réflexes et en diffusant largement les procédures en place.
• Anticipez les contrôles et sanctions en préparant une documentation de conformité claire qui vous permettra de démontrer vos efforts de conformité auprès des autorités nationales.

💡Notre vision : notre équipe vous accompagne à chaque étape : depuis l’analyse des textes européens jusqu’à leur mise en œuvre opérationnelle au sein de votre organisation en tant que partenaire juridique de confiance, dédié à la sécurisation de vos activités et à votre maîtrise de cet environnement réglementaire en constante évolution.