Forte de ses 447 millions de ressortissants, l’Union européenne est un marché crucial pour les acteurs économiques, une cible incontournable pour les cybercriminels et un véritable terreau d’innovation. Si l’Union peine à produire des géants du cloud, elle a bien compris que ses pouvoirs normatifs ne s’arrêtaient pas à ses frontières.
La protection des consommateurs européens
Grâce au Digital Markets Act (DMA), au Digital Services Act (DSA) ou au futur AI Act, l’Union se donne les moyens de légiférer sur des acteurs non-européens, encadrant l’innovation sur des sujets cruciaux comme l’IA ou contraignant les géants du numérique à expliquer le fonctionnement de leurs algorithmes (DSA) et à privilégier les intérêts du consommateur (DMA).
La cybersécurité des acteurs économiques
Pour protéger le continent contre des acteurs malveillants toujours plus performants et des attaques visant directement les chaînes d’approvisionnement ou bloquant les infrastructures vitales des pays au moyen de rançongiciels, la directive NIS 2 impose des bonnes pratiques aux grandes entreprises des secteurs cruciaux de l’économie et aux administrations. Elle intensifie leur collaboration avec les agences nationales de cybersécurité. Les entreprises ne démontrant pas le niveau de cybersécurité attendu, en amont pour les entités essentielles, et à la demande pour les entités importantes, se verront infliger des amendes pouvant atteindre 2 % de leur chiffre d’affaires annuel mondial.
La résilience des infrastructures communes
Le règlement DORA vient renforcer les mesures de NIS 2 pour un large éventail d’entités financières, exigeant une résilience à la mesure de leur importance systémique pour l’Union, et ce uniformément sur l’ensemble du territoire – là où la directive NIS 2, par nature, est adaptée différemment dans chaque pays par les législateurs nationaux. Pour protéger les acteurs le nécessitant des lois extraterritoriales d’autres grandes puissances, le Cybersecurity Act prévoit la création du schéma de certification EUCS.
La stratégie européenne sur les données
Dans le prolongement du règlement général sur la protection des données (RGPD), le Data Governance Act et le Data Act se complètent pour respectivement valoriser l’échange de jeux de données entre acteurs économiques, et encadrer dans quelle mesure il est possible de créer de la valeur à partir de données non-personnelles
Là où EUCS vise à fournir un schéma de certification harmonisé sur l’hébergement des systèmes et des données les plus sensibles, pour à la fois permettre une prise de conscience sur le champ d’action des gouvernements étrangers et proposer une alternative à des concurrents commerciaux non-européens, avec des offres d’informatique en nuage de confiance, souveraines et résilientes, la stratégie européenne sur les données assure un accès sûr, compétitif et équitable à l’ensemble des offres d’informatique en nuage et lutte contre l’utilisation de données sans le consentement de leurs propriétaires.
Pour conclure
De fait, si l’ensemble des textes cités ici ne sont pas encore pleinement applicables, le travail conjoint de l’exécutif et du législateur européens lors de cette dernière mandature marque une étape importante dans la régulation des activités numériques des Européens.
En traitant les sujets de cybersécurité et de résilience à l’échelle continentale, l’Union européenne se donne les moyens d’équiper les entreprises et ses infrastructures vitales pour assurer la continuité opérationnelle des systèmes d’information – qui peut encore être aujourd’hui fragile, comme l’a montré récemment la panne informatique mondiale de Crowdstrike – et de lutter contre les attaques sur les chaînes d’approvisionnement – comme celles de Cozy Bear sur SolarWinds en 2019 – ou avec des rançongiciels – comme l’ont respectivement fait Sandworm et le groupe Lazarus, avec WannaCry et NotPetya en 2017.
Surtout, ces législations donnent à l’Union européenne une arme essentielle dont elle ne disposait pas auparavant : que ce soit pour amener les entreprises à sécuriser leurs infrastructures ou pour agir contre les pratiques anticoncurrentielles des GAMAM, ces textes créent des amendes extrêmement dissuasives, exprimées en pourcentages du chiffre d’affaires annuel mondial des entreprises, allant jusqu’à 20 %, soit des dizaines de milliards de dollars, pour les gatekeepers – ou « contrôleurs d’accès », définis par le DMA – récidivistes.
Consultant au sein d’Orange Consulting, j’accompagne la transformation numérique des grands acteurs du secteur public. Je suis spécialisé sur les questions de confiance numérique, de la souveraineté des données à la cybersécurité.