Les acteurs de l'économie numérique ont l'obligation de jongler avec de très nombreux textes qui ont pour objectifs communs de renforcer la protection des utilisateurs des services numériques et de lutter contre les contenus illicites. Pour s'y retrouver, voici un récapitulatif des textes concernés :

Le RGPD du 27 avril 2016 a mis en place un régime communautaire relatif aux sanctions et aux règles de responsabilité en matière de protection des données.

- Le Digital Service Act (DSA) du 19 octobre 2022. Applicable depuis le 17 février 2024, il impose un ensemble d'obligations en matière de lutte contre les contenus illicites et de transparence sur le fonctionnement des algorithmes. Il a pour objectif de faire d'Internet un environnement, plus sûr, de protéger les droits fondamentaux des utilisateurs.

- Le Digital Markets Act (DMA) du 14 septembre 2022. Il a pour objectif de cibler les contrôleurs d'accès (les Gafam principalement), en permettant à de nouveaux acteurs de venir contester les positions de ces grandes plateformes numériques et en rétablissant un cadre équitable pour les relations commerciales entre les entreprises opérant sur le marché européen et ces grandes plateformes.

- Le Data Act du 13 décembre 2023. Entré en vigueur le 11 janvier 2024, il ne sera applicable dans tous les États membres qu'à partir du 12 septembre 2025. Le Data Act vise à garantir une distribution de la valeur générée par l'utilisation des données entre les entreprises et les consommateurs. Il réglemente la disponibilité des données sur les produits et les services connexes accessibles aux utilisateurs.

- Le Data Governance Act (DGA) du 30 mai 2022. Entré en vigueur le 23 juin 2022, il encadre l'activité des fournisseurs de services d'intermédiation de données, c'est-à-dire toutes les entreprises qui offrent, au sein de l'Union européenne, un service qui, dans le cadre d'un partage de données personnelles ou non personnelles, établit une relation commerciale entre les détenteurs de données ou les personnes concernées et les utilisateurs de données

Sur le terrain de l'intelligence artificielle, l'Artificial Intelligence Act » (AI Act) du 13 juin 2024 veille à ce que les systèmes d'intelligence artificielle (SIA) mis sur le marché européen soient développés et commercialisés dans le respect des droits fondamentaux. Sont visés les fournisseurs qui distribuent ou proposent des systèmes d'IA dans l'Union européenne, que ces fournisseurs y soient établis ou qu'ils résident dans un pays tiers, les utilisateurs de systèmes d'IA situés dans l'Union européenne, y compris si le développeur du système réside à l'étranger et les fournisseurs de systèmes d'IA situés en dehors de l'Union européenne à condition que le système d'IA soit mis sur le marché, mis en service ou utilisé dans l'Union européenne.

Il faut également tenir compte de la Convention-cadre du Conseil de l'Europe sur l'intelligence artificielle et les droits de l'homme, la démocratie et l'État de droit. Cette convention, adopté par le Conseil de l'Europe le 17 mai 2024, vise à garantir que les activités liées à l'IA, tant publiques que privées, respectent les droits de l'homme, la démocratie et l'État de droit.

Trois textes pour renforcer la cybersécurité

Enfin, trois textes d'envergure ont été adoptés le 14 décembre 2022 :

- La directive NIS 2 a pour objectif d'atténuer les menaces pesant sur les réseaux et les systèmes d'information servant à fournir des services essentiels dans des secteurs clés afin de contribuer à la sécurité de l'Union et au bon fonctionnement de son économie et de sa société. Le texte vise spécifiquement les infrastructures et entités essentielles au bon fonctionnement des activités économiques et sociétales dans le marché intérieur. Sont notamment concernés : les administrations publiques, les infrastructures télécoms, les services de l'information et de la communication, les fournisseurs de services numériques, etc.

- La directive REC (pour Résilience des entités critiques) qui prévoit la mise en place de mesures permettant aux « entités critiques », en tant que fournisseurs de services essentiels au fonctionnement du marché intérieur, de prévenir de manière plus efficace les incidents susceptibles de perturber la fourniture de leurs services. Les secteurs concernés sont notamment l'énergie, les transports, le secteur bancaire, la santé, l'espace, etc.

- Le Règlement DORA (pour Digital Operational Resilience Act), qui entre en vigueur le 17 janvier 2025, tient également compte de ce risque systémique. Il vise à assurer la stabilité financière du marché européen grâce à la mise en place d'exigences de sécurité propres aux réseaux d'information des entités financières afin de renforcer et d'harmoniser la gestion des risques liés aux technologies de l'information et de la communication (TIC). Les établissements de crédit, les établissements de paiement et les entreprises d'investissement doivent se conformer à des exigences uniformes dans le secteur financier, telles que le partage d'informations entre les entités concernées, afin d'échanger des renseignements liés aux cybermenaces, l'utilisation de solutions et de processus TIC appropriés (garantissant la sécurité des moyens de transfert de données, réduisant au minimum le risque de corruption ou de perte de données, garantissant que les données sont protégées contre les risques découlant de la gestion des données, etc.), la mise en place de mécanismes permettant de détecter rapidement les activités anormales, etc.

Enfin, le Cyber Resilence Act (CRA), en cours d'adoption, a pour objectif de renforcer la sécurité des produits informatiques et logiciels tels que les ordinateurs, téléphones, VPN ou encore les gestionnaires de mot de passe. Il vise à améliorer la sécurité numérique des produits intégrant des éléments connectés (tels que les montres intelligentes, pendant toute leur durée de vie), établir des standards de sécurité minimaux pour les produits comportant des éléments numériques et à contraindre les fabricants à assurer des mises à jour de sécurité pendant cinq ans après la mise en marché d'un produit connecté.

Et en droit français ?

La loi n°2024-449 du 21 mai 2024 visant à sécuriser et réguler l'espace numérique (SREN) vise à adapter le droit national pour permettre l'applicabilité de ces textes européens. Son décret d'application n° 2024-753 du 7 juillet 2024 renforce également certaines obligations pour les fournisseurs de comparateurs en ligne, de places de marché en ligne et d'agrégateurs de contenu d'actualité en ligne.

Précédemment la loi Lafon du 3 mars 2022, pour la mise en place d'une certification de cybersécurité des plateformes numériques destinées au public, prévoit l'obligation, pour les plateformes en ligne destinées au grand public, les messageries en ligne et les outils de visioconférence, de procéder à un audit de cybersécurité portant sur la sécurisation des données qu'elles hébergent, directement ou par l'intermédiaire d'un tiers, et sur leur propre sécurisation.