Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Depuis plusieurs années, l’Union européenne s’est montrée particulièrement activiste pour réglementer le numérique, avec des effets de bord pour de nombreuses entreprises bien au-delà des Gafam. L’année 2025 va-t-elle confirmer cette tendance ? Sonia Cissé, avocate qui dirige l’équipe « Technology, Commercial and Privacy » au sein du cabinet Linklaters à Paris, partage sa vision des mois à venir.
L’année 2024 a-t-elle été un bon cru en matière de réglementation du numérique ou les déceptions ont-elles prévalu pour les spécialistes du droit du numérique ?
On peut dire que 2024 a été une année assez peu surprenante en termes de réglementations. Contrairement à ce que l’on a pu entendre, les législateurs européens n’ont pas passé de textes clés, et l’année a surtout servi à poser les bases pour tous les textes sur lesquels nous avions déjà de la visibilité et qui vont prochainement entrer en application. Par exemple, pour DORA (le règlement sur la résilience opérationnelle numérique du secteur financier, NDLR), qui entre en application fin janvier, l’Union européenne a pu profiter de 2024 pour préciser certains détails, mais il n’y a pas eu de surprises. Concernant l’« AI Act », ce sont surtout des précisions sur le calendrier à venir qui ont été définies. En ce sens, 2024 a surtout été une forme d’introduction aux règles du jeu qui arrivent en 2025 et au-delà pour les entreprises.
Il y a quand même eu une importante exception à ce constat : NIS2. Nous attendions tous la transposition dans le droit national avant la date butoir d’octobre 2024. Or, la France et l’Espagne n’ont pas transposé le texte. Pour la France, on sait évidemment que la dissolution et l’incertitude politique ont joué à plein. Pour l’Espagne, c’est moins clair.
Quels sont les impacts de cette non-transposition pour les entreprises ?
De façon transparente, on peut considérer qu’il n’y a que peu d’impacts, car ce n’est qu’un retard. On sait que le texte sera transposé : le décalage n’empêche pas les entreprises de travailler sur NIS2 et de se préparer. On précise donc bien à nos interlocuteurs dans les organisations qu’il est précieux de pouvoir déjà se mettre en conformité en attendant la loi de transposition. Elles ont déjà presque tout ce qu’il faut pour le faire, entre la directive de l’UE, qui est connue, et le projet de loi français, qui a « fuité » cet été.
Au-delà de cette transposition retardée de NIS2, qu’attendez-vous comme dynamique sur le plan réglementaire en 2025 ?
De manière générale, il va y avoir un peu plus d’action. Les mises en application de NIS2, du règlement sur l’IA et de DORA recevront autant de coups de projecteur. Mais on va aussi voir les lignes bouger sur des textes qui sont entrés en application voilà plusieurs mois, à l’image du Digital Services Act. En effet, en 2025, les mises en œuvre vont devenir beaucoup plus concrètes, au sens où l’on verra des sanctions tomber. Ce sera en quelque sorte la fin de la « période d’essai » un peu plus permissive.
Avec des initiatives comme le DSA, mais aussi avec l’AI Act, l’Union européenne a pu laisser l’impression que les règlements ambitieux sur le numérique visaient avant tout les géants américains. À quel point les autres entreprises, toutes utilisatrices de numérique et en transformation, vont-elles devoir elles aussi se remettre en question dans les prochains mois par rapport à ces évolutions réglementaires ?
Selon les textes, différentes entreprises seront évidemment touchées. Il est certain que les prestataires du numérique vont être les plus impactés, ne serait-ce que parce qu’ils vont souvent être capturés par plusieurs textes à la fois. Les prestataires vont toujours, en 2025, être tout particulièrement sous le feu des projecteurs réglementaires, que ce soit du fait de NIS2 – par rapport aux risques qu’ils peuvent faire courir à leurs clients – ou du fait du développement accéléré de l’IA. Tous les prestataires ont en effet la double casquette d’utilisateurs d’IA, tout en étant de plus en plus des producteurs, ce qui les expose d’autant plus.
Toutefois, les autres entreprises ne sont pas en reste. L’exemple de NIS2 est saisissant : l’objectif est justement de capturer sous cette réglementation beaucoup d’acteurs qui ne se sentaient pas du tout concernés par ces considérations de sécurité par le passé. Et à nouveau, compte tenu de l’engouement pour l’IA et l’IA générative en particulier, de nombreux secteurs de l’économie traditionnelle se retrouveront exposés à l’AI Act. Je pense en particulier au monde de l’assurance ou à celui de la pharmacie qui, bien qu’habitués aux contraintes réglementaires, découvrent depuis peu de tous nouveaux univers réglementaires. C’est un piège que de se dire que les réglementations européennes visent en priorité les GAFAM. Malheureusement, on entend encore beaucoup cette réflexion dans la bouche des dirigeants. Cela commence tout juste à changer : de nombreuses organisations sont encore un peu perdues et ne voient pas comment ces textes vont les concerner.
Dans notre activité, nous avons pu voir de la consternation ces derniers mois quand nous avons dû expliquer les procédures et les documentations que ces entreprises allaient devoir mettre en place du fait de leur volonté d’employer de l’intelligence artificielle dans leurs activités. Il faut que 2025 permette aux entreprises de se poser clairement la question : qu’est-ce que cela veut dire être utilisateur d’IA, mais aussi un développeur d’IA ? Beaucoup de micro-usages qui se développent dans les organisations vont avoir des conséquences importantes plus tard. Les entreprises sont prises dans l’étau de l’appel du marché et des volontés des utilisateurs, et elles vont très vite vers les nouveaux usages, sans mesurer ce que signifie se mettre en conformité sur de tels usages. D’autant que chaque entreprise a ses spécificités ! Par exemple, l’article 4 du règlement sur l’IA évoque l’obligation de s’assurer que ses utilisateurs ont bien une « IA literacy » – la maîtrise de l’IA, dans la version française. Mais à quelle hauteur ? Ce n’est pas du tout la même question pour un Google que pour un acteur du prêt-à-porter qui a déployé un outil IA. Les deux sont pourtant capturés par ce même texte.
Il va donc bien falloir entrer dans les détails. Mais on peut dire que si vous avez des projets innovants dans les cartons, qui vont inclure du profilage, des algorithmes complexes… alors il est urgent de bien s’assurer de cette IA literacy des collaborateurs.
Est-ce que l’un des problèmes pour cette prise de conscience ne vient pas de la multiplication et du croisement de très nombreuses réglementations en quelques années, qui donnent l’impression de se chevaucher ?
On a beaucoup entendu parler de labyrinthe de législation et de problèmes de chevauchement sur la question réglementaire. Mais en pratique, les vrais effets de chevauchement sont minimes : les textes renvoient le plus souvent en connaissance de cause vers d’autres textes déjà existants. Les nouveaux textes viennent avant tout couvrir des pans qui ont souvent été abordés de façon un peu superficielle dans les réglementations précédentes. Ainsi, DORA a tout son sens pour aborder le cas des données financières, bien au-delà de la protection des données personnelles prévue par le RGPD. De même, le Data Act permet d’encadrer et de mieux gérer le partage des données entre tous les acteurs. Malgré tous les aspects prévus par les réglementations précédentes, aucun texte ne prévoyait spécifiquement ce qu’impliquaient de tels usages.
En pratique, cela demande surtout aux entreprises de réaliser ce que l’on appelle des analyses d’écart. Cela revient à s’interroger : est-ce que si je suis conforme à cette réglementation, jusqu’à quel niveau le suis-je également sur ce nouveau texte qui entre en application en 2025 ? Au-delà des craintes sur le poids réglementaire et la multiplication des « Acts », la réalité, c’est que quand une organisation a déjà fait l’effort de se mobiliser sur un ou deux textes, elle peut facilement capitaliser sur cet existant pour préparer la suite.
En 2025, va-t-on voir l’Union européenne faire un « exemple » en matière d’usage de l’intelligence artificielle ?
Je pense que l’Union européenne n’a pas le choix si elle veut que l’AI Act soit pris au sérieux et fonctionne : elle doit montrer qu’elle se donne les moyens de ses ambitions. Si une autorité désignée s’aperçoit d’une IA interdite, la réponse va devoir être très forte, pour signaler les lignes rouges. Toutefois, le contexte géopolitique pourrait également jouer contre elle à ce niveau.
Est-ce que cela veut dire que le retour de Trump aux affaires change la donne pour les réglementations européennes ?
On ne peut pas nier que les nécessités de la diplomatie risquent de s’imposer plus fortement à l’Europe. Concernant l’AI Act, le changement d’administration aux États-Unis va sans doute avoir un impact sur la répercussion du texte, vu que les géants technologiques – qui portent la majorité des nouveaux usages IA – s’alignent sur les positions du nouveau président pour se rapprocher de lui et se « protéger ».
Il est cependant très difficile à ce stade d’évaluer quels vont être les impacts concrets, y compris sur le sujet des échanges de données, qui sont un sujet permanent d’opposition entre les États-Unis et l’Union européenne depuis des années. Donald Trump fait beaucoup d’annonces qui ne sont pas vraiment suivies d’effet. Il est adepte de menaces pour négocier ou forcer à négocier, pour s’assurer de soutiens au sein de sa propre économie… Si on analyse stricto sensu ce qu’il dit, alors effectivement une coopération sereine USA-UE n’est pas du tout au programme pour 2025 et après en matière de data et d’IA. Mais souvenons-nous aussi que lors de son premier mandat, il avait déjà beaucoup menacé, sans forcément obtenir beaucoup d’effets sur ces sujets. En fait, tout dépendra sans doute de la façon dont l’UE décidera de se comporter. Est-ce qu’elle essaiera de résister activement à l’intimidation en sanctionnant, ou cherchera-t-elle plutôt à négocier pour arrondir les angles ?
Va-t-on voir une convergence des réglementations numériques et environnementales dans les années à venir ?
C’est une tendance lourde. Le mouvement commence juste et ne va faire que s’accentuer. Quand on voit, par exemple, la multiplication des datacenters et leurs impacts… il est évident que les législateurs vont s’intéresser de plus en plus au problème. Il faut garder en tête que les réglementations « green » n’en sont qu’au tout début : et s’il va y avoir des contraintes qui seront de plus en plus imposées de façon descendante par les États et l’UE, les actions « d’auto-contraintes » des acteurs économiques, prestataires et utilisateurs du numérique, vont se multiplier également très vite. C’est un sujet qui dépasse largement l’année à venir et le seul périmètre réglementaire : en ce sens, il ne faut pas s’attendre à voir une « grande loi du numérique responsable », avec un impact aussi important que d’autres grands « Acts » en 2025, mais cela pourrait arriver rapidement.
Que diriez-vous aux directeurs du numérique qui peuvent se sentir découragés par les efforts de plus en plus importants qu’on leur demande en matière de conformité réglementaire ?
Il est important de souligner que toutes ces réglementations ne sont pas juste des inconvénients. C’est l’opportunité de mieux comprendre ce que l’on fait et de le faire mieux. Cela peut être décourageant de voir la nécessité de « mise en conformité ». Mais il faut plutôt le vivre comme un nettoyage de printemps : c’est l’occasion de mieux connaître son organisation, ses usages, de mieux protéger son entreprise en la connaissant bien… Et cela va permettre d’acculturer beaucoup de salariés sur des sujets qui sont clés pour éviter les risques cyber, réputationnels, de vol de propriété intellectuelle… C’est ce qui doit motiver pour s’attaquer à ces sujets !
