E-privacy : Règlement vie privée et communications électronique abrogeant la directive de 2002 (proposition du 10 janvier 2017)
Principal objectif = protéger le contenu des communications électroniques dans le cadre de la multiplication des services de communication électronique, et compléter le RGPD pour apporter des garanties pour la confidentialité et la protection de tous types de communications électroniques.
Champ d’application = les traitements des données de communications électroniques effectué en relation avec la fourniture et l’utilisation de services de communications électroniques dans l’Union et aux informations liées aux équipements terminaux des utilisateurs finaux :
- Matériel = pour tout traitement des données de communications électroniques effectué en relation avec la fourniture et l’utilisation de services de communications électroniques dans l’UE et aux informations liées aux équipements terminaux des utilisateurs finaux.
- Territorial = pour la fourniture de services de communications électroniques aux utilisateurs finaux dans l'Union, qu'un paiement soit requis ou non de la part de l'utilisateur final et à l'utilisation de ces services. D’une manière générale également à la protection des informations liées aux équipements terminaux des utilisateurs finaux situés dans l'Union
Nouvelles mesures concernant les communications électroniques :
- Impossibilité de refuser un service pour cause de non consentement
- Réaffirmation de la nécessaire confidentialité des communications électroniques
- Le refus des cookies devrait être possible sans blocage d’accès au contenu du site en cas de refus = les seuls cookies autorisés seront ceux absolument nécessaires au fonctionnement du site. Tout autre type de cookie doit être expressément accepté par l’utilisateur. Depuis 2021, la CNIL veille à l’application de ces principes.
Sanctions = 10 millions et 2% du CA annuel mondial de l’exercice précédent et jusqu’à 20 millions et 4 du CA annuel mondial pour non-respect du principe de confidentialité des communications ou non-respect d’une injonction de l’autorité de contrôle.
Prévision d’entrée en vigueur = version commune choisie en février 2021, négociation entre les représentants législatifs de l’UE.
DGA (Data governance act) : règlement sur la gouvernance européenne des données (Adoption en mai 2022)
Principal objectif : faciliter le partage des données entre les secteurs d’activités à des fins de recherche et de création de nouveaux services et produits innovants, en mettant en place des structures d'intermédiation. Le règlement concerne les données détenues par les organismes du secteur public.
Nouvelles règles =
- création d'un nouvel acteur de la donnée = les services d'intermédiation de données, avec la création d'une certification obligatoire.
- création de la notion d'usage altruiste des données = la mise à disposition volontaire des données dans un but d'intérêt général. Les organismes pratiquant l'altruisme en matière de données pourront se certifier de manière facultative.
- mise en place d'un encadrement et d'une assistance juridique et technique pour faciliter la réutilisation de certaines catégories de données protégées du secteur public = données personnelles, informations commerciales, relatives à la propriété intellectuelle...
- mise en place d'une redevance au bénéfice des organismes du secteur public pour autoriser la réutilisation de ces données = calculée sur la base des « coûts liés au traitement des demandes de réutilisation des données »
Sanctions = définies au niveau national, elles doivent être effectives, proportionnées et dissuasives.
Publiée au Journal officiel de l’Union européenne le 30 mai dernier, l’entrée en vigueur du DGA est prévue pour le 24 septembre 2023.
DMA (Digital Market Act) : règlement des marchés numériques européens (Adoption le 5 juillet 2022)
Principal objectif = limiter le monopole des GAFAM sur les marchés numériques et rétablir l’équité dans les relations commerciales des différents acteurs du numériques. Les « gatekeepers », plateforme incontournables de passage sont soumises à des obligations strictes du fait de leur statut.
Champ d’application = Il faut que l'entreprise réunisse 2 conditions pour être soumise au DMA :
- Etre un gatekeeper = offrir un service de plateforme. Une liste de 10 "services de plateforme essentiels" (core platform services) est dressée : service d'intermédiation, moteur de recherche, réseaux sociaux...
- Remplir 3 conditions matérielles:
- avoir un impact significatif sur le marché intérieur = 7,5 milliards d'euros au moins de chiffre d'affaires annuel en Europe dans les trois dernières années ou 75 milliards d'euros ou plus de capitalisation boursière durant la dernière année
- être une porte d'entrée importante pour les professionnels pour atteindre les utilisateurs finaux = enregistrer un nombre d'utilisateurs de plus de 45 millions d'Européens par mois et 10 000 professionnels par an pendant les trois dernières années.
- bénéficier d'une position bien établie et durable = fournir un ou plusieurs services de plateforme essentiels dans au moins trois pays européens
Nouvelles règles concernant les plateformes :
- Création d'une liste non limitative de comportements anticoncurrentiels à prévenir aux articles 5 et 6 = l'article 5 comporte les obligations strictes, alors que les obligations de l'article 6 doivent faire l'objet d'une appréciation au cas par cas. On retrouve par exemple :
- Rendre aussi facile le désabonnement que l'abonnement à un service de plateforme essentiel
- Permettre de désinstaller facilement sur son téléphone, son ordinateur ou sa tablette des applications préinstallées
- Rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée (Whatsapp, Facebook Messenger…) avec leurs concurrents plus modestes
- Obligation de s'enregistrer auprès de la Commission Européenne lorsque les seuils sont atteints = elle pourra également les désigner unilatéralement au cas par cas, même si les entreprises n'atteignent pas ces seuils. Ce sera le cas pour des entreprises que l'on pourrait juger trop dominantes de par certains critères (taille de la plateforme, présence de barrières à l'entrée...)
- Publication de la liste des contrôleurs d'accès et des services essentiels par la Commission et révision au moins tous les 3 ans = les acteurs de la liste devront également nommer des responsables de la conformité.
Amende en cas de violation = 10% du CA annuel mondial et jusqu’à 20% du CA annuel mondial en cas de récidive. Possibilité de prononcer des injonctions jusqu'à 5% du CA journalier mondial. En cas de multiplication des violations (3 violations ou plus sur 8 ans), la Commision peut ouvrir une enquête de marché pour décider de mesures correctrices comportementales ou structurelles.
Prévision d’entrée en vigueur = janvier 2023
DSA (Digital Service Act) : règlement pour un marché intérieur des services numériques (Adoption le 5 juillet 2022)
Principal objectif = actualiser les règles définissant les responsabilités et obligations des prestataires de services numériques, en particulier des plateformes en ligne, un peu plus de 20 ans après la première législation en la matière (directive 2000/31/CE sur le commerce électronique).
Ces nouvelles mesures sont relatives à la protection des internautes et de leurs droits fondamentaux, au renforcement de la surveillance des plateformes, à l'aide à l'implantation des petites entreprises européennes, à l'atténuation de risques systémiques en ligne (fake news, bulle d'information...)
Champ d’application = vise les prestataires de services en ligne au sein de l’UE.
Réaffirmation des principes concernant les hébergeurs et les fournisseurs d’accès :
- Principe d’irresponsabilité des fournisseurs d’accès si : ne sont pas à l’origine de la transmission, ne choisissent pas le destinataire et ne modifient ou ne sélectionnent pas le contenu transmis.
- Principe de quasi irresponsabilité des hébergeurs : irresponsabilité sauf s’ils ont connaissance du contenu illicite et n’agissent pas promptement pour le retirer
Il y a toujours absence d’obligation générale de surveillance des contenus pour les 2 prestataires.
Règles nouvelles pour toutes les plateformes en ligne :
- Modération des contenus = le prestataire doit prendre des mesures objectives et proportionnées pour modérer les contenus et indiquer les mesures mises en place, qu’elles soient algorithmiques ou humaines.
- Obligation de mise en place d’un système de notification des contenus illicites = les utilisateurs doivent pouvoir facilement notifier des contenus illicites. A partir de la notification les hébergeurs seront présumés connaître le caractère illicite du contenu. Si une décision de retrait de contenu est prise, il faudra en informer l’utilisateur dans une communication motivée. Le signalement abusif est sanctionnable
- Mise en place de signaleurs de confiance = ils seront labellisés et la liste sera publiée
- Obligation de mettre en place un système gratuit de recours contre les décisions de suspension ou de suppression
Règles nouvelles pour les très grandes plateformes = +45 millions d’utilisateurs actifs chaque mois :
- Procéder à une analyse des risques d’impacts systémiques = qui sera suivi par des mesures d’atténuation des risques, suivi notamment par la Commission Européenne
- Publication de rapports biannuels sur la modération des contenus = en cas de crise spécifiques, elles peuvent mettre en place un plan de prévention contre la diffusion de contenus illicites.
- Introduire une redevance pour les grandes plateformes ? Permettrait de financer leur contrôle
Amende en cas de violation = déterminée par les Etats membres, elles doivent être effectives, proportionnées et dissuasives. Pour les très grandes plateformes maximum de 6% du CA total de l’exercice précédent. Possibilité de prendre des astreintes allant jusqu’à 5% du CA journalier moyen.
Prévision d’entrée en vigueur = 2024 au plus tard.
IA act (Artificial intelligence act) : règles harmonisées concernant l’intelligence artificielle (proposition du 21 avril 2021)
Principal objectif = encadrer les usages de l’IA en termes de sécurité et de droits fondamentaux afin de faciliter les investissements et l’innovation dans le domaine. Le risque principal pesant sur le règlement est de ne pas s'articuler avec
Champ d’application = fournisseurs et utilisateurs de systèmes d’IA et ces mêmes personnes hors de l’UE lorsque le système est utilisé dans l’UE, dès lors qu’il y a mise sur le marché.
Nouvelles mesures concernant l’IA = division des systèmes d’IA en 3 catégories :
- IA interdites = IA utilisant des techniques subliminales, exploitant la vulnérabilité des personnes, profilage pour obtenir une note sociale, reconnaissance faciale à des fins préventives et répressives, en temps réel dans l’espace public
- IA à haut risque = identification biométrique, gestion et exploitation des infrastructures critiques, éducation et formation, profilage, utilisation par la justice, gestion de la migration
- IA ne relevant pas de l’annexe = IA conversationnelles ou relationnelles
Il est possible de rajouter des IA dans la liste en faisant une analyse d’impact et en respectant un processus de gestion des risques évolutifs
Nouvelles obligations pour toutes les personnes mettant sur le marché européen des IA :
- Mettre en place 3 jeux distincts de données (entraînement, validation et test) soumis à des exigences = choix pertinent, quantité et adéquation, disponibilité…
- Exigence de transparence = les utilisateurs doivent pouvoir interpréter les résultats du système
- Exigence d’intervention humaine = pour les IA à haut risque, un contrôle effectif doit être fait au développement et à la conception de l’algorithme
- Prévoir une documentation technique et un test de robustesse de l’algorithme.
Sanctions =
- Pour les fournisseurs et distributeurs présence de 3 seuils : 2% ou 10 millions d’euros, 4% ou 20 millions d’euros et 6% ou 30 millions d’euros selon la gravité de la sanction.
- Pour les institutions, agences et organismes publics = 500 000 euros d’amende pour les infractions liées à l’article 5 sur l’IA prohibée ou liées à la gouvernance des données mise en place à l’article 10. Pour les autres infractions, 250 000 euros d’amende.
Prévision d’entrée en vigueur = toujours en négociation.
Data act : règles harmonisées pour un accès équitable aux données, et sur leur utilisation (proposition du 23 février 2022)
Principal objectif = garantir l’équité dans la répartition de la valeur produite par les données entre les acteurs de l’économie fondée sur les données et favoriser l’accès aux données et l’utilisation de ces dernières. Il impose des obligations de partage des données aux fabricants de produits connectés et aux fournisseurs de services connexes. Ces entreprises, généralement appelées « détenteurs de données », devront fournir aux utilisateurs un accès facile, immédiat et gratuit aux données qu’elles ont contribué à générer.
Champ d’application = le règlement s'appliquera aux :
- fabricants de produits et aux fournisseurs de services liés mis sur le marché de l’Union et aux utilisateurs de ces produits ou services
- détenteurs de données qui mettent des données à la disposition de destinataires de données dans l’Union
- destinataires de données dans l’UE à la disposition desquels sont mises des données
- organismes public et institutions, organes et organismes de l’UE qui demandent aux détenteurs de données de rendre des données disponibles lorsqu’il existe un besoin exceptionnel pour exécuter une mission d’intérêt public, et aux détenteurs de données qui fournissent ces données en réponse à une telle demande
- prestataires de services de traitement de données offrant de tels services à des clients dans l’Union.
Nouvelles mesures concernant l'accès et le partage des données :
- pour les utilisateurs:
- accéder aux données que ces dispositifs génèrent = qui sont souvent exclusivement récoltées par les fabricants,
- partager ces données avec des tiers = en vue de la fourniture de services après-vente ou d’autres services innovants
- être assuré de bénéficier du droit à la portabilité des données = changer de manière efficace de fournisseur de services de traitement de données dans le cloud.
- pour les PME = rééquilibrer leur pouvoir de négociation en cas de déséquilibre contractuel excessif dans les contrats de partage de données (protection contre les clauses contractuelles abusives, fourniture de clauses contractuelles type…).
- pour les organismes publics = accéder et utiliser les données considérées comme essentielles et détenues par les entreprises privées, notamment pour répondre à des urgences publiques en cas de circonstances exceptionnelles.
- pour les fournisseurs = obligations de mettre en place des garanties pour protéger les données produites en Europe contre les transferts illicites.
Sanctions = seront définies au niveau national.
Prévision d’entrée en vigueur = au plus tard en avril 2024.
Cyber Resilience Act
Double objectif :
- renforcer les règles afin de garantir une plus grande sécurité des produits matériels et logiciels
- appliquer des règles communes de cybersécurité pour les fabricants et les développeurs de produits comportant des éléments numériques
Champ d'application = règles communes de cybersécurité pour les fabricants et les développeurs de produits comportant des éléments numériques, du matériel aux logiciels.
La Commission européenne indique que le projet de loi ne concernera pas les dispositifs médicaux, l'aéronautique, déjà couvert par d'autres réglementations" De même, les services en lignes non liés directement au produit sont exclues du champ d'application de ce projet.
Les obligations découlant de ce règlement :
- en plus de respecter les différentes règles dès la conception, les fabricants devront fournir des correctifs et des mises à jour de sécurité pendant toute la durée de vie du produit ou cinq ans après sa mise sur le marché
- les fabricants ne devront pas livrer de produits comportant des failles de sécurité connues
- des informations claires de sécurité, le support technique ou encore l'installation des mises à jour de sécurité devront accompagner les produits
Précisions :
Des obligations supplémentaires en fonction de la catégorie du produit :
- obligations s’appliquant à l’ensemble des produits
- obligations supplémentaires en ce qui concerne les produits considérés comme "critiques"
La catégorie des produits "critiques" est elle même divisée en 2 selon le niveau de criticité :
- La classe 1 comprend par exemple les antivirus, les gestionnaires de mots de passe ou encore les VPN.
- La classe 2 quant à elle comprend les systèmes d’exploitation pour ordinateurs, smartphones et serveurs, les objets connectés et routeurs à destination du monde industriel, ainsi que les logiciels essentiels à la gestion des services cloud.
Sanction :
Les entreprises qui ne respecteront pas ces règles s'exposeront à des amendes pouvant aller jusqu'à 15 millions d'euros, ou 2,5 % du chiffre d'affaires mondial
Des contraintes supplémentaires pour les produits de catégories critiques sont prévues :
- démontrer leur conformité avec une norme existante ou la faire vérifier par un organisme tiers qui sera désigné par chaque état
- signaler sous 24 heures à l’Agence de l’Union européenne pour la cybersécurité (Enisa) les nouvelles vulnérabilités découvertes dans ces produits et activement exploitées par des cybercriminels
Entrée en vigueur :
Le texte se situe à la première étape du parcours législatif européen : la proposition de la Commission.
Avant d'être adopté, il faudra l'accord du Parlement européen, et du Conseil de l'Union européenne.
Enfin, les 3 organismes devront s'accorder sur un texte final.