Nouvelles règlementations pour le digital et les données, faisons le point !
3 octobre 2024.
5 règlementations européennes sur le digital et les données : tenez vous prêts !
Depuis 2020, la Commission européenne a lancé un vaste chantier dans le secteur du numérique notamment avec plusieurs textes, tous entrés en vigueur :
- le Digital Services Act (DSA),
- le Digital Markets Act (DMA),
- le Data Governance Act,
- le Data Act, et
- le Règlement sur l’Intelligence Artificielle (RIA – IA Act).
Avec ces règlementations, la Commission européenne prend toute la mesure de l’importance des données et de l’innovation dans l’économie. Elle souhaite créer un véritable marché européen de la Data responsable et conforme aux valeurs de l’Union européenne.
Le DSA de quoi s’agit-il ?
-
Qui sont concernés par le DSA ?
Applicable aux très grandes plateformes en ligne depuis août 2023, le DSA concerne désormais, depuis février 2024, toutes les plateformes et tous les fournisseurs de services intermédiaires offrant des services sur le marché européen, quel que soit leur lieu d’établissement.
-
De quoi traite le DSA ?
Un socle commun d’obligations dont la désignation d’un point de contact unique au sein de l’Union européenne qui permet de faciliter la coopération avec les autorités nationales.
Des obligations graduées selon la qualification et le rôle sur internet de l’acteur concerné afin de lutter contre les contenus illicites, renforcer la transparence quant à la modération des contenus disponibles et le fonctionnement des algorithmes.
-
Comment ?
Un pouvoir de contrôle du coordinateur des services numériques dans chacun des Etats membres (l’ARCOM en France).
Et un pouvoir de sanction pouvant aller jusqu’à 6% du chiffre d’affaires annuel mondial pour les GAFAM. De plus, en cas de violations graves et répétées, l’activité de la plateforme concernée peut être interdite sur le marché européen.
- Une convention de coopération a été signée le 27 juin 2024 entre l’ARCOM, la DGCCRF et la CNIL pour la mise en œuvre du DSA.
Le DMA de quoi s’agit-il ?
- Qui sont concernés par le DMA ?
Les fournisseurs de services de plateformes essentiels : services d’intermédiation en ligne, moteurs de recherche, services de réseaux sociaux, services de plateformes de partage de vidéos, services de communications interpersonnelles non fondés sur la numérotation, systèmes d’exploitation, services cloud, services de publicité.
Seuls les grands fournisseurs de services de plateformes essentiels sont concernés par la règlementation en tant que « contrôleur d’accès ». Il s’agit de ceux qui fournissent des services de plateformes essentiels dans au moins trois pays européens, qui réalisent un chiffre d’affaires annuel en Europe de 7,5 milliards d’euros au moins sur les trois dernières années ou une capitalisation boursière de plus de 75 milliards d’euros durant la dernière année, et qui enregistrent plus de 45 millions d’Européens par mois et 10 000 professionnels par an au cours des trois dernières années.
- De quoi traite le DMA ?
Un socle commun d’obligations dont celle de nommer au moins un responsable de la conformité ;
Des obligations spécifiques selon le service de plateforme essentiel fourni.
- Comment ?
Pouvoir de contrôle et de sanction de la Commission européenne pouvant aller jusqu’à 10% du chiffre d’affaires annuel mondial et jusqu’à 20% en cas de violation répétée.
Le Data Governance Act de quoi s’agit-il ?
- Qui sont concernés par le Data Governance Act ?
Les organismes du secteur public : l’Etat, les collectivités territoriales, tout établissement régi par le droit public et toute association fondée par au moins une entité soumise au droit public.
Les fournisseurs de services de partage de données : il s’agit notamment des plateformes de partage de contenus, réseaux sociaux, services Cloud.
Toute entité qui collecte et traite des données et qui souhaite en faire un usage altruiste, c’est-à-dire pour l’intérêt général.
- De quoi traite le Data Governance Act ?
Des conditions pour accéder et réutiliser des données particulières détenues par des organismes du secteur public notamment des données personnelles anonymisées, sans créer de droits exclusifs sur ces informations et contre une redevance.
Des mesures pour encadrer la fourniture de services d’intermédiation de données soumis à une notification préalable et de nombreuses obligations dont l’interdiction d’utiliser ces données pour son propre compte et la mise en œuvre de mesures de sécurité adéquate.
Des mesures pour encourager et faciliter l’altruisme en matière de données en transmettant des données à des organisations enregistrées et habilitées pour utiliser ces données dans l’intérêt général (en faveur par exemple de la recherche, de la santé et des soins ou de la préservation de l’environnement).
La création d’un Conseil européen de l’innovation pour les données afin de conseiller et assister la Commission européenne et renforcer la coopération entre les Etats membres.
- Comment ?
Pouvoir de contrôle et de sanction de l’autorité désignée par les Etats membres pouvant prononcer des sanctions effectives, proportionnées et dissuasives laissées à l’appréciation des Etats membres en cas de transfert illégal de données non personnelles en dehors de l’Union européenne.
Le Data Act de quoi s’agit-il ?
- Qui sont concernés par le Data Act ?
L’ensemble des acteurs privés ou publics du marché de la donnée au sein de l’Union européenne : les fabricants et fournisseurs de produits et services connectés obtenant, générant ou recueillant des données, les prestataires de tels services, les détenteurs de données, les destinataires de données, les administrations, institutions et organismes du secteur public.
- De quoi traite le Data Act ?
Des mesures pour renforcer les droits des utilisateurs, notamment le droit d’accès aux données générées par des dispositifs connectés ou le droit à la portabilité des données afin de changer simplement et efficacement de fournisseur de services Cloud.
Des mesures pour encadrer et faciliter l’usage et la circulation des données, notamment en rééquilibrant le pouvoir de négociation des PME dans les contrats de partage de données, en facilitant l’usage des données au profit des organismes du secteur public, en mettant en place des garanties effectives pour lutter contre les accès illicites de gouvernements de pays tiers aux données non personnelles se trouvant dans le Cloud.
- Comment ?
Pouvoir de contrôle et de sanction de l’autorité désignée par les Etats membres pouvant prononcer des sanctions effectives, proportionnées et dissuasives laissées à l’appréciation des Etats membres.
Le RIA de quoi s’agit-il ?
- Qui sont concernés par le RIA ?
Les fournisseurs, établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou en service des systèmes d’IA dans l’Union.
Les utilisateurs de systèmes d’IA situés dans l’Union.
Les fournisseurs et les utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union.
- De quoi traite le RIA ?
Des obligations communes pour encadrer la mise sur le marché, la mise en service et l’utilisation de l’IA.
Des règles harmonisées pour assurer la transparence concernant les systèmes d’IA destinés à la création de contenu artificiel, à interagir avec des personnes physiques, à reconnaître des émotions, à générer ou manipuler des images, sons ou vidéos.
Des obligations spécifiques selon la classification de l’IA en tant que système à haut risque notamment lorsque celle-ci utilise des données biométriques.
L’interdiction des intelligences artificielles de niveau inacceptable permettant l’établissement d’une notation sociale ou exploitant la vulnérabilité des personnes par exemple.
A noter que le Règlement sur l’Intelligence Artificielle ne remplace en rien la règlementation européenne relative à la protection des données à caractère personnel. Il est alors nécessaire de concilier les deux règlementations pour la création ou l’utilisation d’une intelligence artificielle.
- Comment ?
Un pouvoir de contrôle et de sanction graduée des autorités nationales pouvant aller jusqu’à 35 000 000 euros ou 7% du chiffre d’affaires annuel mondial.
- Quelles étapes pour l’application du RIA ?
Il sera applicable de manière échelonnée :
- 2 février 2025 : interdiction des systèmes d’IA présentant des risques inacceptables
- 2 août 2025 : application de certaines règles, notamment celles concernant les modèles d’IA à usage général et celles concernant les autorités de notification et organismes notifiés dans le cadre des systèmes d’IA à haut risque
- 2 août 2026 : les dispositions du règlement deviennent applicables, excepté l’article 6 paragraphe 1 (avec les obligations correspondantes) relatif aux IA à haut risque
- 2 août 2027 : l’article 6, paragraphe 1 (avec les obligations correspondantes) relatif aux IA à haut risque.
A retenir, quels sont les objectifs de ces textes ?
- Le Digital Services Act vise à responsabiliser les plateformes afin de protéger les internautes ainsi que les mineurs en luttant contre les contenus illicites et produits illégaux. Ce texte a donc pour but de renforcer les droits fondamentaux des personnes : liberté d’expression et lutte contre les discriminations, droit à l’information et lutte contre la désinformation, liberté d’entreprendre et lutte contre la vente de produits illicites ou contrefaisants.
- Le Digital Markets Act vise à créer une concurrence loyale en corrigeant les déséquilibres liés à la domination des géants du numérique tout en stimulant l’innovation et en renforçant la liberté de choix des consommateurs. Ce texte renforce le droit de la concurrence actuelle en agissant en amont et non plus simplement en aval pour sanctionner des pratiques anticoncurrentielles a posteriori.
- Le Data Governance Act vise à créer un espace responsable d’échange des données, favorisant l’innovation et améliorant la confiance dans les intermédiaires de données.
- Le Data Act vise à améliorer la répartition de la valeur provenant des données (personnelles ou non), générées notamment par l’Internet des objets en favorisant leur libre circulation et leur libre utilisation.
- Le RIA vise à soutenir l’innovation tout en dotant l’Union d’un cadre harmonisé pour donner confiance aux utilisateurs en adoptant une règlementation fondée sur les risques.
Claudia Weber, avocat fondateur, ITLAW Avocats et Diane de Langeron, juriste, ITLAW Avocats.
Mis à jour par Claudia Weber, avocat fondateur, ITLAW Avocats et Melvin Romary, juriste stagiaire, ITLAW Avocats.
Besoin d’aide pour décrypter les textes ? Pour comprendre vos obligations ? Pour savoir comment vous y conformez ?
Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 26 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.
ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles, de projets informatiques complexes, de contrats, d’innovation et de propriété intellectuelle ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes.
Nous contacter