En quelques années, les législations encadrant les nouvelles technologies ont explosé, en particulier au niveau de l'Union européenne. On peut citer le Digital Markets Act (DMA), la loi qui vise à encadrer les grandes plateformes numériques, et le Digital Services Act (DSA), dont l'objectif est de créer un environnement sûr pour les utilisateurs et de garantir une concurrence équitable pour les entreprises.
Pour les entreprises, 2025 et 2026 seront deux années cruciales : elles devront adapter leurs pratiques en matière d'intelligence artificielle, de traitement des données personnelles et non personnelles ainsi qu'en matière de cybersécurité. Voici un panorama des principales obligations à anticiper.
AI ACT : Se préparer à l'entrée en application totale
En matière d'intelligence artificielle, les entreprises doivent appliquer la première série d’obligations déjà en vigueur et se préparer à la prochaine vague. Depuis août 2025, en vertu de l'AI Act, les fournisseurs de modèles d'IA à usage général sont strictement encadrés. Rappelons que depuis février 2025, ce sont les pratiques inacceptables qui sont interdites au sein du marché intérieur.
A partir du 2 août 2026, toutes les dispositions du règlement deviendront applicables, en particulier l'application des règles relatives aux systèmes d'IA à haut risque de l'annexe III, autrement dit les systèmes dans les domaines de la biométrie, l'immigration, l'application de la loi, des infrastructures critiques ou encore de l'accès aux services publics essentiels. A cette même date, les autorités des Etats membres (la France n'a toujours pas annoncé l'autorité compétente) devront avoir mis en oeuvre au moins un bac à sable réglementaire.
Le 2 août 2026 marque également la possibilité pour le Bureau européen de l'intelligence artificielle de prendre des sanctions envers les entreprises ne respectant pas les obligations. D'ores et déjà, les sociétés considérées comme fournisseurs de modèle d'IA à usage général, telles que Mistral, Microsoft, OpenAI, doivent maintenir une documentation technique, mettre en oeuvre une politique relative au droit d'auteur ainsi que publier un résumé détaillé de leurs données d'entraînement.
Par ailleurs, les entreprises utilisatrices sont invitées à cartographier leurs usages d'IA à haut risque pour préparer la mise en conformité, même si les obligations complètes pour ces systèmes n'entreront en application que plus tard.
L'avenir du DPF fixé dans quelques jours
Les prochaines semaines vont également être marquées par des changements en matière de gestion et de protection des données. Première échéance : le 3 septembre prochain, date à laquelle la Cour de justice de l'Union européenne va rendre sa décision sur le texte facilitant les transferts de données personnelles entre l'Union européenne et les Etats-Unis. C'est le député français Philippe Latombe qui avait déposé, en tant que citoyen, un recours contre le Data Privacy Framework. Si ce texte est à nouveau invalidé par la justice, comme ses prédécesseurs, les flux de données outre-Atlantique tomberont dans un flou juridique.
La présidence danoise a placé la simplification réglementaire au coeur de son programme. Elle souhaite mettre l'accent sur les négociations du "Package Omnibus", soutenu par la Commission européenne, qui prévoit de modifier le Règlement général sur la protection des données (RGPD). L'objectif est de clarifier le cadre juridique pour les entreprises et réduire les charges inutiles.
Plus de registre pour les entreprises de moins de 750 salariés
Les modifications, proposées par l'exécutif européen, visent à alléger les contraintes pesant sur les petites et moyennes entreprises (PME) en simplifiant les obligations en matière de tenue de registre. Plus précisément, la proposition vise à modifier l’article 30, paragraphe 5, du RGPD, en prévoyant une dérogation à l’obligation de tenir un registre des opérations de traitement des données. Actuellement, cette dérogation ne s'applique qu'aux entreprises et organisations de moins de 250 salariés.
Si le texte passe, la dérogation s’appliquerait à une entreprise ou organisation employant moins de 750 personnes, à moins que l’opération de traitement effectuée ne soit susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, au sens de l’article 35 du RGPD. Avant d'être applicable, la simplification devra être votée par la Commission, le Parlement et le Conseil.
NIS 2, une étape cruciale pour protéger le tissu économique
La directive NIS 2 est également une étape de taille pour les entreprises. Ce texte, qui s'appuie sur les acquis de NIS 1, marque "un changement de paradigme", d'après l'Agence nationale de la sécurité des systèmes d'information (Anssi), autorité de référence en France pour accompagner les entités. Les objectifs et le périmètre sont élargis pour offrir la couverture cyber la plus optimale dans un contexte de cybermenaces. Alors que NIS 1 concernait environ 300 opérateurs d'importance vitale (OIV)/opérateurs de services essentiels (OSE), NIS 2 touche plus de 15 000 entités dans 18 secteurs différents.
S'agissant d'une directive, chaque Etat membre doit transposer en droit national les nouvelles exigences réglementaires. L'instabilité politique a provoqué un retard dans ce processus. C'est ainsi qu'en novembre 2024, la Commission européenne a mis en demeure 23 Etats membres, dont la France, pour leur retard.
Il a fallu attendre mars 2025 pour que la procédure d'adoption de la loi de transposition de NIS 2 arrive enfin sur le bureau du Sénat. Les débats à l'Assemblée nationale sont prévus pour l'automne 2025. Des décrets et arrêtés devront être également adoptés pour préciser certains pans du texte. NIS 2 rentrera donc en vigueur en France dès lors que l’ensemble des textes de transposition auront été promulgués.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
