Décryptage de l’AFCDP : des textes pour un avenir numérique pour l’Europe

octobre 2024 par AFCDP

Dans le cadre de l’accompagnement de ses membres, l’AFCDP décrypte les textes nécessaires à l’exercice de leurs fonctions, et les réunit dans un « Référentiel légal et documentaire ». L’association a ainsi compilé un recueil des textes européens qui complètent le RGPD (d’autres à venir dont NIS2) annotés de façon à en faciliter la compréhension et l’application au sein de leurs organisations pour les DPO français.

Dès 2020, les grandes lignes se dessinent

C’est en octobre 2020 que les dirigeants européens ont tracé les grandes lignes de la transformation numérique de l’Europe, et invité la Commission à définir une stratégie numérique complète fixant les ambitions numériques concrètes de l’Union Européenne pour 2030.

Pour adapter la société et les économies européennes à l’ère numérique, l’UE a annoncé s’engager à créer « un espace numérique sûr pour les citoyens et les entreprises, d’une manière inclusive et accessible à tous », en permettant une transformation numérique qui préserve les valeurs de l’UE et protège les droits fondamentaux et la sécurité des citoyens, tout en renforçant la souveraineté numérique de l’Europe.

La Commission européenne a proposé une stratégie sous la forme d’une « boussole numérique » qui fixe des objectifs et des jalons numériques spécifiques à atteindre d’ici 2030, en plaçant les compétences numériques et l’éducation au premier plan et en s’articulant autour de quatre domaines : compétences, entreprises, gouvernement et infrastructure. En mars 2021, les dirigeants de l’UE ont souligné la nécessité de renforcer la souveraineté numérique de l’Europe et ont identifié la boussole numérique comme un pas en avant.

1ère étape : le "paquet numérique" composé de deux textes spécifiques

Comme première étape de sa boussole numérique, la Commission a proposé le « Parcours vers la décennie numérique », programme politique qui définit le cadre de gouvernance pour atteindre les objectifs numériques 2030. Elle a également conduit le processus d’adoption en 2023 de la Déclaration européenne sur les droits et principes numériques, qui définit les droits des citoyens dans l’espace numérique et le développement d’un cadre de principes que l’UE et les États membres conviennent de respecter dans la transformation numérique.

Dans le cadre de sa boussole numérique, la Commission a ensuite proposé un « paquet » sur les services numériques, réponse au besoin de réguler l’espace numérique. Il comporte deux textes spécifiques : le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA).

Le règlement sur les services numériques (DSA) part du constat que les plateformes en ligne constituent une partie importante du marché et de l’économie numériques de l’UE, et qu’il convient de renforcer, de moderniser et de clarifier les règles relatives aux services numériques pour assurer la sécurité des utilisateurs en ligne, et permettre aux entreprises numériques innovantes de se développer. Le règlement sur les marchés numériques (DMA) vise à créer des conditions équitables pour les entreprises de l’UE en réglementant les grandes technologies.

Deuxième volet de la stratégie numérique européenne : l’économie des données

L’économie des données est au cœur du deuxième volet de la stratégie numérique européenne. Pour accompagner le développement de la technologie, qui produit de plus en plus de données, l’Union européenne souhaite créer un marché unique pour les données conforme à ses valeurs, permettant plus de partage et de réutilisation des données entre les secteurs et les frontières.

Cette stratégie européenne pour les données proposée par la Commission devrait faciliter la transformation numérique au cours de la décennie 2022-2030 en construisant une économie européenne des données compétitive, tout en garantissant les valeurs européennes et un niveau élevé de sécurité, de protection des données et de respect de la vie privée.

Le premier élément de cette stratégie est le Règlement sur la gouvernance des données (DGA), qui vise à promouvoir la disponibilité des données pour une réutilisation à travers les secteurs et les frontières, avec des mécanismes solides pour accroître la confiance dans les services d’intermédiation de données et favoriser l’altruisme des données dans toute l’UE, tout en jouant un rôle central pour permettre et guider la création d’espaces de données interopérables communs à l’échelle de l’UE dans des secteurs stratégiques tels que l’énergie, la mobilité et santé.

La Commission a également proposé un règlement concernant des règles harmonisées en matière d’accès et d’utilisation équitables des données. Ce Règlement sur les données (DA) vise à assurer l’équité dans la répartition de la valeur des données entre les acteurs de l’économie des données et de favoriser l’accès aux données et leur utilisation.

L’Intelligence Artificielle : une nouvelle réglementation nécessaire

Enfin, la Commission a observé que l’intelligence artificielle peut contribuer à une économie plus innovante, efficace, durable et compétitive, tout en améliorant la sécurité, l’éducation et les soins de santé pour les citoyens, et en contribuant à la lutte contre le changement climatique. Mais le développement de la technologie IA, présente aussi des risques et demande une approche éthique et centrée sur l’humain.

Elle a ainsi proposé un règlement visant à harmoniser les règles sur l’intelligence artificielle avec le Règlement sur l’intelligence artificielle (AIA) et un plan coordonné qui comprend un ensemble d’actions conjointes pour la Commission et les États membres dans le but d’améliorer la confiance dans l’intelligence artificielle et de favoriser le développement et la mise à jour de la technologie de l’IA.

En complément : NIS2, DORA, eIDAS2, ...

En marge des textes concernant directement les données présentés par l’AFCDP dans ce volume, d’autres textes présentent un intérêt pour les professionnels de la protection des données, et pourront être consultés par ailleurs. Ainsi, la Commission a proposé une révision de la directive NIS. La proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (NIS2) fait partie d’un ensemble de mesures visant à améliorer encore les capacités de résilience et de réaction aux incidents des entités publiques et privées, des autorités compétentes et de l’UE dans son ensemble. Elle couvre le domaine de la cybersécurité et de la protection des infrastructures critiques. La proposition est conforme aux priorités de la Commission visant à rendre l’Europe adaptée à l’ère numérique et à construire une économie prête pour un avenir qui fonctionne pour les citoyens.

Cette directive s’appuie sur la directive NIS qu’elle abroge. Elle modernise le cadre juridique antérieur en tenant compte de la numérisation accrue du marché intérieur ces dernières années et de l’évolution du paysage des menaces en matière de cybersécurité.

D’autre part, le corpus réglementaire unique, qui englobe l’ensemble de la législation de l’Union européenne relative aux établissements financiers, ne faisant que survoler les risques opérationnels liés aux technologies de l’information et de la communication, en septembre 2020, la Commission a présenté une proposition de règlement sur la résilience opérationnelle numérique du secteur financier (DORA), afin d’introduire et d’harmoniser les principales exigences opérationnelles numériques dans l’ensemble de l’Union, de manière à rendre les opérations informatiques résilientes face à des perturbations opérationnelles et à des cyberattaques de grande ampleur.

D’autres textes complètent ce corpus, en particulier en ce qui concerne les règles sur l’identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur, le règlement eIDAS de 2014, qui vise à rendre les systèmes nationaux d’identité électronique interopérables dans toute l’Europe afin de faciliter l’accès aux services en ligne. Dans la stratégie numérique de l’UE "Façonner l’avenir numérique de l’Europe", la Commission a procédé au réexamen du règlement eIDAS afin d’améliorer son efficacité, d’étendre son application au secteur privé et de le promouvoir. L’initiative a conduit à l’adoption d’un nouveau règlement concernant l’établissement du cadre européen relatif à une identité numérique (eIDAS2), révision de la version de 2014.

Un référentiel de l’AFCDP

L’AFCDP met gracieusement à la disposition de la communauté des délégués à la protection des données, et de tous les professionnels concernés, une version .pdf de ce document[1], également disponible sous forme d’un livre broché de 530 pages imprimé à la demande sur le site Lulu.com[2]. Il constitue la première version du quatrième volume du « Référentiel légal et documentaire » publié par l’AFCDP.

Cette collection est composée des documents suivants :

● Tome 1 : RGPD annoté et commenté, avec index

● Tome 2 : Recueil des principales lignes directrices du G29 et du CEPD

● Tome 3 : La Loi Informatique et Libertés et la législation française (texte de la LIL4 et des décrets, annoté, commenté et indexé)

● Tome 4 : Autres textes réglementaires européens - Déclaration des droits numériques - DMA - DSA - DGA - DA – AIA