Par Haas Avocats
La tension géopolitique mondiale, marquée par la guerre en Ukraine, les cyberattaques russes et la montée en puissance technologique de la Chine, a replacé la cybersécurité au cœur des priorités stratégiques européennes.La multiplication des raids numériques démontre que la frontière entre paix et guerre s’efface progressivement dans le cyberespace. Les attaques contre les infrastructures critiques, la manipulation de données ou encore les intrusions dans les réseaux de communication sont maintenant monnaie courante...
Dans ce contexte, l’Union européenne a engagé une consolidation profonde de son arsenal réglementaire afin de renforcer la résilience numérique du vieux continent. Quatre textes structurants incarnent cette stratégie : DORA[1], NIS2[2], le Data Act[3] et l’IA Act[4].
DORA vise à garantir la continuité et la sécurité des services financiers dans un environnement de plus en plus numérisé. Le secteur financier doit désormais démontrer sa capacité à anticiper, résister et se rétablir face à tout incident lié aux technologies de l’information et de la communication (TIC[5]).
Chaque entité financière doit mettre en place un cadre de gouvernance et de contrôle interne robuste[6]. Ce dispositif assure une gestion prudente et efficace des risques liés aux TIC, dans le but d’atteindre un haut niveau de résilience opérationnelle. De ce fait, la cybersécurité devient un enjeu stratégique de gouvernance.
DORA introduit une séparation stricte entre les fonctions opérationnelles et les fonctions de contrôle[7]. Les entités doivent ainsi garantir l’indépendance des fonctions de gestion du risque TIC, de contrôle et d’audit interne (notamment selon le modèle lié aux trois lignes de défense). Cette exigence évite les conflits d’intérêts et renforce la fiabilité des évaluations.
Aucune organisation ne doit ainsi dépendre d’un seul maillon vulnérable dans sa chaîne de sécurité.
DORA impose également un suivi permanent de la sécurité et du fonctionnement des systèmes informatiques[8]. En effet, il oblige les établissements financiers à déployer des outils et procédures permettant de détecter, analyser et réduire en temps réel l’impact des risques liés aux TIC.
Les stratégies de réponse et de récupération doivent être testées régulièrement, afin de garantir la continuité des opérations même en cas de cyberattaque majeure.
DORA marque ainsi le passage d’une logique défensive à une approche proactive et empirique de la résilience numérique.
La directive NIS2 étend et renforce la première directive NIS de 2016, afin d’harmoniser le niveau de cybersécurité dans l’ensemble de l’Union.
Elle répond à un constat simple : les chaînes d’approvisionnement et les infrastructures critiques sont désormais interconnectées, et une faille dans une seule entité peut provoquer des répercussions à l’échelle continentale.
NIS2 s’applique désormais à un éventail beaucoup plus large d’acteurs[9] : administrations publiques, santé, énergie, transport, eau, banques, infrastructures numériques (secteurs critiques et hautement critiques).
En ce sens, l’une des principales difficultés de la directive NIS2 réside dans la détermination du champ d’application, devenue un véritable casse-tête pour de nombreuses organisations, de telle sorte que déterminer si une entité entre dans le champ de NIS2 n’est pas un simple exercice administratif, mais un travail d’analyse fine mêlant critères juridiques, techniques et organisationnels.
Les dirigeants ont une responsabilité directe dans la gestion du risque cyber. Ils doivent instaurer une culture de la sécurité à tous les niveaux, avec des formations régulières, des sessions de sensibilisation et une analyse continue des risques[10]. Les politiques de cybersécurité doivent inclure notamment la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’usage de la cryptographie et le contrôle d’accès.
En sensibilisant et en formant régulièrement le personnel, les entités concernées par NIS2 pourront non seulement répondre à leurs obligations réglementaires, mais également créer une culture de la cybersécurité, dans laquelle chacun joue un rôle actif dans la prévention et la gestion des incidents.
L’approche de NIS2 repose sur la proportionnalité : chaque entité adapte ses mesures à la nature et à l’ampleur de ses risques[11].
Un volet essentiel de NIS2 concerne la notification rapide des incidents. Toute entité touchée par un événement majeur doit en informer sans délai le CSIRT (Computer Security Incident Response Team) ou l’autorité nationale[12]. Les rapports doivent inclure toutes les informations nécessaires à l’évaluation de l’impact, notamment transfrontalier. Les clients et bénéficiaires des services doivent également être informés lorsqu’ils sont susceptibles d’être affectés.
Ce mécanisme vise à renforcer la transparence et la coopération entre États membres face aux menaces communes.
Le Data Act complète cette architecture en abordant la question de la maîtrise et du partage des données.
Dans une économie où les informations représentent un capital stratégique, le texte cherche à garantir un accès équitable et sécurisé aux données générées par les utilisateurs et les objets connectés.
Les données doivent être accessibles[13] dans des formats ouverts et lisibles par machine (CSV, JSON, XML). L’accès doit être conçu "by design", dès la création des produits ou services. Les utilisateurs (particuliers ou entreprises) doivent pouvoir consulter ou transférer leurs données sans frais excessifs et sans dépendre du fournisseur initial.
En principe, seules les données relevant du secret d’affaires peuvent justifier une restriction, à condition que le préjudice soit grave et démontrable.
Les contrats de vente, de location, de crédit-bail ou de service doivent préciser la nature, le volume et la finalité des données collectées, ainsi que les modalités d’accès, d’extraction et de suppression[14].
Cette transparence renforce la confiance entre les parties et permet un usage plus éthique des informations.
Le Data Act instaure une obligation stricte de confidentialité contractuelle concernant l’usage des données à caractère non personnel facilement accessibles[15].
Le détenteur de données ne peut donc exploiter ces données que dans le cadre d’un contrat explicite avec l’utilisateur, et en aucun cas pour obtenir des informations susceptibles de porter atteinte à sa position commerciale ou à sa compétitivité.
De plus, toute transmission à des tiers est strictement encadrée : elle n’est autorisée que pour l’exécution du contrat et doit être assortie de clauses contractuelles interdisant tout partage ultérieur.
L’objectif est simple : renforcer la confiance dans l’économie des données et protéger les intérêts économiques de l’utilisateur face à des usages non consentis ou détournés de ses données.
Dernier pilier du dispositif européen, l’IA Act encadre l’usage et le développement des systèmes d’intelligence artificielle selon un principe de gestion du risque. Il distingue les rôles de fournisseur d’IA (développeur ou éditeur de l’IA) et de déployeur (utilisateur professionnel de l’IA)[16] et impose à chacun des obligations spécifiques en matière de contrôle, de transparence et de traçabilité.
Les fournisseurs et déployeurs doivent garantir un niveau suffisant de maîtrise humaine. Cela suppose la formation du personnel, la compréhension du contexte d’utilisation et l’évaluation des risques associés. L’objectif est de préserver la responsabilité humaine dans la prise de décision.
En principe, les fournisseurs et les déployeurs sont alternativement soumis à une obligation de transparence, selon les systèmes d’IA utilisés[17] :
Il convient aussi de rappeler que l’IA Act repose sur une approche graduée : seules les applications présentant un risque significatif pour les droits fondamentaux ou la sécurité sont strictement encadrées.
Les systèmes considérés à risque minimal demeurent libres[18], afin de ne pas freiner l’innovation et paradoxalement, ce sont les systèmes le plus diffusés et utilisés par les déployeurs…
Pris ensemble, DORA, NIS2, le Data Act et l’IA Act composent un socle réglementaire cohérent qui incarne la volonté de l’Union européenne de bâtir une véritable souveraineté numérique. Reste désormais à transformer cette architecture juridique ambitieuse en avantage compétitif concret, capable de faire de l’Europe non seulement un espace protégé, mais aussi un acteur moteur de l’innovation mondiale…
***
Le cabinet HAAS Avocats, spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle, est à votre disposition pour vous accompagner dans vos démarches de conformité et pour répondre à toutes vos interrogations sur la régulation des plateformes numériques. Pour nous contacter, cliquez ici.
[1] Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier
[2] Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union
[3] Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données et de l’utilisation des données
[4] Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle
[5] DORA, Considérant 1
[6] DORA, Article 5
[7] DORA, Article 6
[8] DORA, Article 9
[9] NIS2, Article 2
[10] NIS2, Article 20
[11] NIS2, Article 21
[12] NIS2, Article 3
[13] Data act, Articles 3 et 4
[14] Data act, Article 3
[15] Data act, Articles 3 et 4
[16] IA act, Article 4
[17] IA act, Article 50
[18] https://digital-strategy.ec.europa.eu/fr/policies/regulatory-framework-ai