Les textes clés de la législation européenne : un guide pour comprendre le cadre réglementaire numérique
DMA, DSA, Data Act, AI Act… La dernière décennie a vu l’émergence de nombreux textes européens qui redéfinissent le paysage juridique des services numériques et de la cybersécurité. Ces régulations visent à renforcer la protection des utilisateurs, réguler les acteurs dominants et promouvoir un environnement numérique sûr et équitable.
Les principaux textes de législation européenne
Voici un récapitulatif des textes majeurs qui structurent le cadre juridique européen :
1. Le RGPD (Règlement général sur la protection des données)
Adopté le 27 avril 2016, il établit les bases du cadre européen en matière de protection des données personnelles, avec des règles strictes sur la responsabilité et des sanctions significatives pour les entreprises non conformes.
2. Digital Services Act (DSA)
Entré en vigueur le 19 octobre 2022 et applicable depuis le 17 février 2024, le DSA impose des obligations pour :
- Lutter contre les contenus illicites ;
- Améliorer la transparence des algorithmes ;
- Créer un environnement en ligne plus sûr pour les utilisateurs.
3. Digital Markets Act (DMA)
Adopté le 14 septembre 2022, le DMA cible les grandes plateformes numériques (les GAFAM) en :
- Régulant les contrôleurs d’accès ;
- Encourageant la concurrence en permettant à de nouveaux acteurs de s’imposer.
4. Data Act
Adopté le 13 décembre 2023 et applicable à partir du 12 septembre 2025, ce texte vise à :
- Garantir un partage équitable de la valeur des données entre entreprises et consommateurs ;
- Réguler l’accès aux données des produits et services numériques.
5. Data Governance Act (DGA)
Entré en vigueur le 23 juin 2022, le DGA encadre les services d’intermédiation de données en Union européenne, en favorisant un partage sécurisé des données personnelles et non personnelles.
Focus sur l’intelligence artificielle : l’AI Act
L’Artificial Intelligence Act (AI Act), adopté le 13 juin 2024, vise à garantir que les systèmes d’IA déployés en Europe respectent les droits fondamentaux.
Il concerne :
- Les fournisseurs de systèmes d’IA opérant dans l’UE, même basés hors Union ;
- Les utilisateurs d’IA au sein de l’UE.
L’objectif est d’assurer que ces technologies soient développées de manière responsable, qu’il s’agisse de leur mise sur le marché ou de leur utilisation.
En parallèle, la Convention-cadre du Conseil de l’Europe sur l’intelligence artificielle (adoptée le 17 mai 2024) s’inscrit dans une démarche similaire en encadrant les activités d’IA pour garantir le respect des droits humains, de la démocratie et de l’État de droit.
Renforcer la cybersécurité : les trois piliers européens
Adoptés le 14 décembre 2022, trois textes renforcent la sécurité numérique en Europe :
- Directive NIS 2 :
Renforce la sécurité des réseaux et des systèmes d’information pour les services essentiels (administrations publiques, infrastructures télécoms, etc.). - Directive REC (Résilience des entités critiques) :
Introduit des mesures de prévention pour les entités critiques comme l’énergie, la santé ou les transports. - Règlement DORA :
À partir du 17 janvier 2025, il établira des normes de sécurité pour les entités financières, incluant la gestion des risques liés aux technologies de l’information et de la communication.
En complément, le Cyber Resilience Act (CRA), actuellement en cours d’adoption, vise à sécuriser les produits numériques connectés (ordinateurs, téléphones, montres intelligentes) avec des exigences de mise à jour pendant 5 ans après leur mise sur le marché.
Le cadre français : loi SREN et loi Lafon
La France adapte son droit national pour se conformer aux textes européens :
- Loi SREN (21 mai 2024) : Sécurise et régule l’espace numérique, avec des obligations renforcées pour les comparateurs, places de marché et agrégateurs de contenu.
- Loi Lafon (3 mars 2022) : Exige une certification de cybersécurité pour les plateformes numériques grand public, incluant les messageries et outils de visioconférence.