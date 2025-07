Cybersécurité Directive de 2022 sur la cybersécurité des réseaux et des systèmes d'information La SRI 2 a été adoptée en novembre 2022 et est entrée en vigueur en janvier 2023. Les États membres ont été tenus de la transposer dans leur législation respective au plus tard le 17 octobre 2024, date à laquelle elle a remplacé la directive précédente sur la sécurité des réseaux et des systèmes d'information (SRI 1). La SRI 2 établit un cadre juridique unifié dans le but d'améliorer la sécurité numérique et la réponse aux incidents dans l'ensemble de l'UE. Pour les organisations, il est particulièrement important de connaître la SRI 2 et de s'y conformer adéquatement, étant donné que son non-respect engage la responsabilité directe de la direction. La SRI 2 s'applique aux organisations des secteurs public et privé et vise à renforcer la cybersécurité dans 18 secteurs critiques de l'UE. Elle vise particulièrement les organisations qui peuvent être classées comme des « entités essentielles » ou des « entités importantes » : Entités essentielles : les organisations exerçant leurs activités dans des secteurs comme l'énergie, le transport, le secteur bancaire, la santé, l'espace, les infrastructures numériques et l'approvisionnement en eau qui atteignent le seuil de taille requis. Ce seuil varie selon le secteur, mais en général, l'organisation doit compter au moins 250 employés et afficher un chiffre d'affaires annuel de 50 millions d'euros ou un bilan de 43 millions d'euros. Même si une organisation ne répond pas à ces critères, elle pourrait néanmoins être considérée comme une « entité importante » soumise à la SRI 2.

Entités importantes : les organisations exerçant leurs activités dans des secteurs comme les services postaux, la gestion des déchets, la production de produits chimiques, la transformation des denrées alimentaires et les fournisseurs numériques qui atteignent le seuil de taille requis. Le seuil pour être considéré comme une entité importante varie aussi selon le secteur, mais en général, l'organisation doit compter au moins 50 employés et afficher un chiffre d'affaires annuel ou un bilan de 10 millions d'euros. Règlement sur la résilience opérationnelle numérique Le Règlement DORA a été adopté en décembre 2022, est entré en vigueur le 16 janvier 2023 et produit ses pleins effets depuis le 17 janvier 2025. Étant donné qu'il ne prévoit pas de période transitoire, les autorités européennes de surveillance devraient commencer à en surveiller la conformité dès 2025. Le Règlement DORA impose d'importantes obligations de gestion des risques liés à la cybersécurité aux entités financières et réglemente les tiers critiques. Il vise à englober tous les aspects de la résilience opérationnelle, en particulier en ce qui concerne les risques liés aux technologies de l'information et des communications (« TIC »). Les nouvelles exigences comprennent donc des mesures de protection, de détection, de confinement, de rétablissement et de réparation. ll prévoit également une surveillance stricte des prestataires tiers critiques, tels que les services d'informatique en nuage, par les autorités européennes de surveillance. Le Règlement DORA est un règlement sectoriel qui s'applique à un large éventail d'entités financières et qui vise à normaliser leur approche des risques liés aux TIC en fonction de leur taille et de leur profil de risque, ainsi que de la nature, de l'échelle et de la complexité de leurs services, de leurs activités et de leur exploitation. Les entités assujetties comprennent notamment les banques, les sociétés d'assurance, les entreprises d'investissement, les fournisseurs de services de paiement, les établissements de crédit et les prestataires de services sur cryptoactifs.

Données Règlement sur les données Le Règlement sur les données a été adopté en décembre 2023, est entré en vigueur le 11 janvier 2024 et s'appliquera en partie à compter du 12 septembre 2025. Le Règlement sur les données vise à régir l'accès aux données générées par des « produits connectés » et leurs services connexes et à gérer leur utilisation. Il donne aux utilisateurs un meilleur contrôle sur les données qu'ils génèrent grâce à ces produits. Il impose également des obligations particulières aux fournisseurs de services d'informatique en nuage, notamment l'obligation de faciliter le passage d'un fournisseur à un autre et d'assurer la portabilité des données et la continuité du service. Le Règlement sur les données s'appliquera principalement aux fournisseurs et aux utilisateurs d'appareils de l'IdO (Internet des objets) et de services s'y rattachant, y compris les fournisseurs et les utilisateurs de services d'informatique en nuage.

Règlement sur la gouvernance des données Le Règlement sur la gouvernance des données a été adopté en mai 2022, est entré en vigueur le 23 juin 2022 et est devenu applicable en septembre 2023. Le Règlement sur la gouvernance des données vise à améliorer le partage des données au sein de l'UE en établissant un cadre pour le partage volontaire des données : Les organismes du secteur public doivent permettre la réutilisation de certains types de données protégées (notamment des données à caractère personnel et des données commerciales confidentielles) sous certaines conditions et en mettant en place certaines garanties.

Les services d'intermédiation de données sont soumis à des obligations supplémentaires aux termes de ce règlement. En particulier, ces services doivent garantir la transparence et la neutralité de leurs activités tout en facilitant le partage des données entre les détenteurs de données et les utilisateurs de données.

Les organisations altruistes en matière de données doivent répondre à des critères spécifiques en ce qui concerne le partage volontaire des données. Le Règlement sur la gouvernance des données s'applique aux organismes du secteur public, aux sociétés fournissant des services d'intermédiation de données et aux organisations altruistes en matière de données.

Plateforme et contenu Règlement sur les marchés numériques Le Règlement sur les marchés numériques a été adopté en septembre 2022, est entré en vigueur le 1er novembre 2022 et est devenu applicable le 3 mai 2023. Le Règlement sur les marchés numériques vise à accroître l'équité et à stimuler la concurrence sur les plateformes numériques en imposant de multiples obligations aux entreprises désignées comme étant des « contrôleurs d'accès ». Il interdit notamment aux contrôleurs d'accès d'utiliser leurs services de plateforme essentiels pour favoriser injustement leurs propres produits ou services. Il restreint également la façon dont les contrôleurs d'accès peuvent utiliser les données des utilisateurs à certaines fins, notamment publicitaires. Dans l'ensemble, il est susceptible d'avoir une incidence importante sur les marchés numériques et prévoit de robustes mécanismes d'application, y compris des amendes pouvant atteindre 10 % du chiffre d'affaires annuel mondial total du contrôleur d'accès, ou 20 % en cas de violations répétées. Le Règlement sur les marchés numériques s'applique aux services de plateforme essentiels fournis ou offerts par des « contrôleurs d'accès », comme les entreprises exploitant des moteurs de recherche et des médias sociaux.

Règlement sur les services numériques Le Règlement sur les services numériques a été adopté en octobre 2022, est entré en vigueur le 16 novembre 2022 et produit ses pleins effets depuis février 2024. Le Règlement sur les services numériques prévoit de nouvelles obligations et une plus grande responsabilité pour les intermédiaires et les plateformes en ligne qui hébergent du contenu, et ce, dans le but de prévenir les activités illégales et préjudiciables en ligne. Aux termes du règlement, ils sont tenus, entre autres, de faire ce qui suit : prendre des mesures pour empêcher le partage de contenu préjudiciable, notamment en mettant en place des mécanismes permettant aux utilisateurs de signaler facilement ce type de contenu;



divulguer leurs pratiques de modération du contenu, y compris la manière dont ils détectent, suppriment ou restreignent l'accès au contenu;



informer les utilisateurs lorsque le contenu est supprimé ou l'accès est restreint, et fournir des raisons claires et des voies de recours. Le Règlement sur les services numériques prévoit également d'autres obligations pour les grandes plateformes en ligne et les moteurs de recherche, notamment des exigences en matière d'évaluation des risques systémiques et d'audit indépendant. Le Règlement sur les services numériques s'applique aux fournisseurs qui offrent des services intermédiaires à des destinataires dont le lieu d'établissement est dans l'UE, ou qui y sont situés. Il a une incidence importante pour les entreprises qui hébergent du contenu, les plateformes de médias sociaux, les places de marché en ligne et les moteurs de recherche.