Aperçu des principaux règlements de l'UE en matière de cybersécurité et de protection des données et de leur incidence potentielle sur les entreprises canadiennes

Directive de 2022 sur la cybersécurité des réseaux et des systèmes d'information

La SRI 2 a été adoptée en novembre 2022 et est entrée en vigueur en janvier 2023. Les États membres ont été tenus de la transposer dans leur législation respective au plus tard le 17 octobre 2024, date à laquelle elle a remplacé la directive précédente sur la sécurité des réseaux et des systèmes d'information (SRI 1).

La SRI 2 établit un cadre juridique unifié dans le but d'améliorer la sécurité numérique et la réponse aux incidents dans l'ensemble de l'UE.

Pour les organisations, il est particulièrement important de connaître la SRI 2 et de s'y conformer adéquatement, étant donné que son non-respect engage la responsabilité directe de la direction.

La SRI 2 s'applique aux organisations des secteurs public et privé et vise à renforcer la cybersécurité dans 18 secteurs critiques de l'UE. Elle vise particulièrement les organisations qui peuvent être classées comme des « entités essentielles » ou des « entités importantes » :

• Entités essentielles : les organisations exerçant leurs activités dans des secteurs comme l'énergie, le transport, le secteur bancaire, la santé, l'espace, les infrastructures numériques et l'approvisionnement en eau qui atteignent le seuil de taille requis. Ce seuil varie selon le secteur, mais en général, l'organisation doit compter au moins 250 employés et afficher un chiffre d'affaires annuel de 50 millions d'euros ou un bilan de 43 millions d'euros. Même si une organisation ne répond pas à ces critères, elle pourrait néanmoins être considérée comme une « entité importante » soumise à la SRI 2.
•  
• Entités importantes : les organisations exerçant leurs activités dans des secteurs comme les services postaux, la gestion des déchets, la production de produits chimiques, la transformation des denrées alimentaires et les fournisseurs numériques qui atteignent le seuil de taille requis. Le seuil pour être considéré comme une entité importante varie aussi selon le secteur, mais en général, l'organisation doit compter au moins 50 employés et afficher un chiffre d'affaires annuel ou un bilan de 10 millions d'euros.

Restez à l'affût d'un prochain texte, où la SRI 2 sera examinée plus en détail.

Règlement sur la résilience opérationnelle numérique

Le Règlement DORA a été adopté en décembre 2022, est entré en vigueur le 16 janvier 2023 et produit ses pleins effets depuis le 17 janvier 2025. Étant donné qu'il ne prévoit pas de période transitoire, les autorités européennes de surveillance devraient commencer à en surveiller la conformité dès 2025.

Le Règlement DORA impose d'importantes obligations de gestion des risques liés à la cybersécurité aux entités financières et réglemente les tiers critiques.

Il vise à englober tous les aspects de la résilience opérationnelle, en particulier en ce qui concerne les risques liés aux technologies de l'information et des communications (« TIC »). Les nouvelles exigences comprennent donc des mesures de protection, de détection, de confinement, de rétablissement et de réparation.

ll prévoit également une surveillance stricte des prestataires tiers critiques, tels que les services d'informatique en nuage, par les autorités européennes de surveillance.

Le Règlement DORA est un règlement sectoriel qui s'applique à un large éventail d'entités financières et qui vise à normaliser leur approche des risques liés aux TIC en fonction de leur taille et de leur profil de risque, ainsi que de la nature, de l'échelle et de la complexité de leurs services, de leurs activités et de leur exploitation.

Les entités assujetties comprennent notamment les banques, les sociétés d'assurance, les entreprises d'investissement, les fournisseurs de services de paiement, les établissements de crédit et les prestataires de services sur cryptoactifs.

Restez à l'affût d'un prochain texte, où le Règlement DORA sera examiné plus en détail.

Règlement sur les données

Le Règlement sur les données a été adopté en décembre 2023, est entré en vigueur le 11 janvier 2024 et s'appliquera en partie à compter du 12 septembre 2025.

Le Règlement sur les données vise à régir l'accès aux données générées par des « produits connectés » et leurs services connexes et à gérer leur utilisation. Il donne aux utilisateurs un meilleur contrôle sur les données qu'ils génèrent grâce à ces produits.

Il impose également des obligations particulières aux fournisseurs de services d'informatique en nuage, notamment l'obligation de faciliter le passage d'un fournisseur à un autre et d'assurer la portabilité des données et la continuité du service.

Le Règlement sur les données s'appliquera principalement aux fournisseurs et aux utilisateurs d'appareils de l'IdO (Internet des objets) et de services s'y rattachant, y compris les fournisseurs et les utilisateurs de services d'informatique en nuage.

Restez à l'affût d'un prochain texte, où le Règlement sur les données sera examiné plus en détail.

Règlement sur la gouvernance des données

Le Règlement sur la gouvernance des données a été adopté en mai 2022, est entré en vigueur le 23 juin 2022 et est devenu applicable en septembre 2023.

Le Règlement sur la gouvernance des données vise à améliorer le partage des données au sein de l'UE en établissant un cadre pour le partage volontaire des données :

• Les organismes du secteur public doivent permettre la réutilisation de certains types de données protégées (notamment des données à caractère personnel et des données commerciales confidentielles) sous certaines conditions et en mettant en place certaines garanties.
•  
• Les services d'intermédiation de données sont soumis à des obligations supplémentaires aux termes de ce règlement. En particulier, ces services doivent garantir la transparence et la neutralité de leurs activités tout en facilitant le partage des données entre les détenteurs de données et les utilisateurs de données.
•  
• Les organisations altruistes en matière de données doivent répondre à des critères spécifiques en ce qui concerne le partage volontaire des données.

Le Règlement sur la gouvernance des données s'applique aux organismes du secteur public, aux sociétés fournissant des services d'intermédiation de données et aux organisations altruistes en matière de données.

Restez à l'affût d'un prochain texte, où le Règlement sur les services numériques sera examiné plus en détail.

Plateforme

et

contenu

Règlement sur les marchés numériques

Le Règlement sur les marchés numériques a été adopté en septembre 2022, est entré en vigueur le 1er novembre 2022 et est devenu applicable le 3 mai 2023.

Le Règlement sur les marchés numériques vise à accroître l'équité et à stimuler la concurrence sur les plateformes numériques en imposant de multiples obligations aux entreprises désignées comme étant des « contrôleurs d'accès ».

Il interdit notamment aux contrôleurs d'accès d'utiliser leurs services de plateforme essentiels pour favoriser injustement leurs propres produits ou services.

Il restreint également la façon dont les contrôleurs d'accès peuvent utiliser les données des utilisateurs à certaines fins, notamment publicitaires. Dans l'ensemble, il est susceptible d'avoir une incidence importante sur les marchés numériques et prévoit de robustes mécanismes d'application, y compris des amendes pouvant atteindre 10 % du chiffre d'affaires annuel mondial total du contrôleur d'accès, ou 20 % en cas de violations répétées.

Le Règlement sur les marchés numériques s'applique aux services de plateforme essentiels fournis ou offerts par des « contrôleurs d'accès », comme les entreprises exploitant des moteurs de recherche et des médias sociaux.

Restez à l'affût d'un prochain texte, où le Règlement sur les marchés numériques sera examiné plus en détail.

Règlement sur les services numériques

Le Règlement sur les services numériques a été adopté en octobre 2022, est entré en vigueur le 16 novembre 2022 et produit ses pleins effets depuis février 2024.

Le Règlement sur les services numériques prévoit de nouvelles obligations et une plus grande responsabilité pour les intermédiaires et les plateformes en ligne qui hébergent du contenu, et ce, dans le but de prévenir les activités illégales et préjudiciables en ligne. Aux termes du règlement, ils sont tenus, entre autres, de faire ce qui suit :

• prendre des mesures pour empêcher le partage de contenu préjudiciable, notamment en mettant en place des mécanismes permettant aux utilisateurs de signaler facilement ce type de contenu;
•  
• divulguer leurs pratiques de modération du contenu, y compris la manière dont ils détectent, suppriment ou restreignent l'accès au contenu;
•  
• informer les utilisateurs lorsque le contenu est supprimé ou l'accès est restreint, et fournir des raisons claires et des voies de recours.

Le Règlement sur les services numériques prévoit également d'autres obligations pour les grandes plateformes en ligne et les moteurs de recherche, notamment des exigences en matière d'évaluation des risques systémiques et d'audit indépendant.

Le Règlement sur les services numériques s'applique aux fournisseurs qui offrent des services intermédiaires à des destinataires dont le lieu d'établissement est dans l'UE, ou qui y sont situés. Il a une incidence importante pour les entreprises qui hébergent du contenu, les plateformes de médias sociaux, les places de marché en ligne et les moteurs de recherche.

Restez à l'affût d'un prochain bulletin, où le Règlement sur les services numériques sera examiné plus en détail.

Intelligence

artificielle

Règlement sur l'intelligence artificielle

Le Règlement sur l'intelligence artificielle a été adopté en mai 2024 et est entré en vigueur le 1er août 2024. Ses dispositions seront mises en Suvre par étapes, avec une application complète d'ici la fin de 2027.

Le Règlement sur l'intelligence artificielle définit clairement ce qu'est un système d'IA et décrit les obligations y afférant pour chaque catégorie de risques :

• Risque inacceptable : Systèmes d'IA ou utilisations de l'IA qui présentent des risques importants de préjudices, des risques inacceptables pour les personnes et leurs droits et qui sont interdits. Le règlement proscrit les systèmes préjudiciables, y compris ceux qui font appel à la manipulation cognitive (p. ex., les jouets dangereux à commande vocale), à la notation sociale et à l'identification biométrique (p. ex., la reconnaissance faciale en temps réel).
•  
• Haut risque : Systèmes d'IA ou utilisations de l'IA qui font partie de certaines catégories de cas d'utilisation et de types de systèmes à haut risque et qui ne sont pas toujours interdits ou exemptés. Les systèmes d'IA à haut risque comprennent les systèmes qui représentent une menace pour la sécurité ou les droits fondamentaux d'une personne.
•  
• Risque limité : Systèmes d'IA ou utilisations de l'IA qui ne font pas partie de la catégorie « à haut risque », mais qui présentent certains risques en matière de transparence et d'exigences sans lien toutefois avec les systèmes à risque minime. Comptent parmi ces systèmes l'hypertrucage et les robots conversationnels.
•  
• Risque minime : Systèmes d'IA ou utilisations de l'IA ayant une faible incidence sur les personnes et leurs droits et qui, dans la plupart des cas, ne sont pas directement réglementés par le Règlement sur l'IA de l'UE. Pour être considéré comme présentant un risque minime, un système ne doit pas faire partie des trois catégories susmentionnées.

Le Règlement sur l'intelligence artificielle de l'UE définit les obligations des fournisseurs, des déployeurs, des importateurs, des distributeurs et des fabricants de produits des systèmes d'IA ayant un lien avec le marché de l'UE.

Pour plus d'informations, consultez notre bulletin sur le Règlement sur l'intelligence artificielle ici.