Newsletters

La règlementation européenne à suivre en matière de protection des données en 2024

En cette fin d'année, le Club des DPO de l'Usine Digitale vous propose faire le tour des règlementations européennes qui touchent de près ou de loin à la protection des données. On peut citer le paquet DSA/DMA avec son calendrier échelonné, le schéma européen de certification du cloud ou encore la révision du règlement eIDAS. Les discussions autour de l'application concrète de l'AI Act devront également être suivies même si le texte ne sera pas tout de suite applicable. 

 

Alice Vitard
Europe
Pixabay - Engin_Akyurt
Europe

Après avoir présenté les lois françaises à suivre en 2024, le Club des DPO s'attaque désormais à l'échelon européen, beaucoup plus fourni. Notons que les échelles européennes et françaises se chevauchent puisque la législation de l'Union s'applique directement (règlement) ou indirectement (directive) aux entités françaises. 

L'année 2023 a été sans aucun doute marquée par l'entrée en vigueur du paquet DSA/DMA. Le Digital Services Act (DSA) a été signé le 19 octobre 2022 par le Conseil et le Parlement, publié le 27 octobre 2022 et est en entré partiellement en vigueur le 25 août dernier pour les très grandes plateformes et les très grands moteurs de recherche. Dans un premier temps, 12 sociétés et 19 services ont été sélectionnés. La Commission européenne a récemment ajouté trois sites pornographiques. En 2024, le 17 février, le champ d'application sera étendu à toutes les autres plateformes. A cette date, les Etats membres devront avoir habilité leurs coordinateurs pour les services numériques.

Le DSA interdit la publicité ciblée pour les mineurs

Le DSA vise à encadrer les services numériques pour "créer un espace numérique plus sûr où les droits fondamentaux des utilisateurs sont protégés". Dans le domaine de la protection des données, il prévoit notamment l'interdiction de la publicité ciblée pour les mineurs sur toutes les plateformes ainsi que celle basée sur des données considérées comme "sensibles" (opinions politiques, religion et orientation sexuelle) sauf à avoir reçu le consentement de l'intéressé. 

De son côté, le Digital Markets Act (DMA) a été adopté en septembre 2022 et est progressivement applicable depuis le 2 mai 2023. Les 22 plateformes concernées – appartenant à six entreprises technologiques – ont été désignées par la Commission européenne. Elles devront d'ici le 6 mars 2024 démontrer qu'elles respectent leurs obligations, parmi lesquelles donner aux vendeurs l'accès de leurs données de performance marketing ou publicitaire sur leur plateforme. Par ailleurs, elles ne peuvent plus exploiter les données des vendeurs tiers pour les concurrencer et réutiliser les données personnelles d'un utilisateur à des fins publicitaire sans obtenir son consentement explicite. 

L'adoption controversée du schéma européen de certification cloud

Dans un tout autre registre, l'année 2024 devrait voir naître le schéma européen de certification du cloud (EUCS pour European Cybersecurity Certification Scheme for Cloud Services). Défini au niveau de l'Enisa, l'Agence de l'Union européenne pour la cybersécurité, ce dispositif a pour objectif d'harmoniser les mécanismes de certification des offres de cloud computing à l'échelle européenne. Bien qu'il ne soit pas obligatoire, les entreprises ont plutôt intérêt à effectuer cette démarche afin d'attester du niveau de sécurité de leur offre sur le marché européen. Notons également que le visa de sécurité français SecNumCloud devrait disparaître au profil du schéma européen. 

Dans les détails, le label prévoit trois niveaux de certification : basique (basic), substantiel (substantial) et élevé (high). Plus le niveau est élevé, plus l'entité a montré une forte capacité à lutter contre les risques cyber. C'est le dernier niveau (high), lui-même divisé en trois branches, qui fait l'objet de nombreuses discussions. Les Etats membres n'arrivent pas à s'accorder sur les exigences d'immunité contre les lois extra-territoriales. L'idée : protéger les données sensibles des puissances étrangères. 

Quelles exigences de souveraineté ?

Une coalition menée par les Pays-Bas souhaite empêcher la Commission européenne d'inclure des exigences de souveraineté dans le système de certification. "Les exigences de souveraineté incluses dans le système de certification risquent de créer une concurrence déloyale entre les États membres de l’UE et pourraient également entraîner une barrière à l’entrée du marché, ce qui pourrait avoir un impact négatif sur nos partenariats stratégiques avec des pays tels que les États-Unis et le Japon", a ainsi déclaré Alexandra van Huffelen, secrétaire d’État néerlandaise en charge du numérique, lors de l’ouverture des débats du Conseil "Transport, télécommunications et énergie" le 5 décembre dernier. Propos rapportés par le média Euractiv. Il reste à voir si les Etats réussiront finalement à s'accorder en 2024. 

Certains textes ont fait l'objet d'un accord en 2023 mais ne seront pas forcément applicables en 2024. Reste que les discussions autour de leur application seront importantes à suivre. On peut par exemple citer le nouveau projet de loi en matière de dommages causés par des produits – qui révise la directive sur la responsabilité du fait des produits défectueux– qui entrera en vigueur une fois formellement approuvé par la plénière et les Etats membres. Il prévoit notamment la possibilité de demander une indemnisation à la suite de la destruction ou de la corruption de données qui ne sont pas utilisées à des fins professionnelles, par exemple la suppression de fichiers sur un disque dur.

La révision d'eIDAS sous le feu des critiques

Le Parlement européen et le Conseil de l'Union européenne se sont également accordés le 8 novembre dernier sur la révision du règlement eIDAS (Electronic identification and trust services). Cet accord est désormais soumis à l'approbation formelle du Parlement et du Conseil puis il sera officiellement adopté. Comme l'explique la Commission européenne, l'objectif de ce texte est "la mise en place des portefeuilles européens d'identité numérique". A noter qu'une partie de la communauté scientifique s'est montrée inquiète à propos de l'article 45 de ce texte. Comme l'a expliqué le professeur Olivier Blazy à L'Usine Digitale, il permettra aux gouvernements des Etats membres d'intercepter les communications entre les personnes, en principe chiffrées grâce au système des certificats numériques.

Dernier texte en date : l'Artificial Intelligence Act. Le 9 décembre dernier, après plusieurs jours d'intenses échanges, la présidence du Conseil et le Parlement européen sont parvenus à un accord provisoire qui devrait s'appliquer deux ans après son entrée en vigueur, "à quelques exceptions près pour certaines dispositions spécifiques". Ce texte intègre de nombreuses dispositions sur les données puisque les algorithmes s'en nourrissent. Ainsi, les co-législations ont décidé d'interdire l'extraction non ciblée d'images faciales sur Internet ou par vidéosurveillance pour créer des bases de reconnaissance faciale. 

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Consultant en Recrutement (H/F) - Rouen
Harry Hope - 16/04/2026 - CDI - Rouen
Expert en gestion des sites et sols pollués H/F
EGIS - 16/04/2026 - CDI - Bordeaux, Nouvelle-Aquitaine, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay