Sécurité dans le Cloud Google

Le Digital Markets Act (DMA)

Mise en application le 6 mars 2024.

Le Digital Markets Act (DMA) date du 14 septembre 2022. Il a pour objectif de cibler les contrôleurs d'accès (les GAFAM principalement), en permettant à de nouveaux acteurs de venir contester les positions de ces grandes plateformes numériques et en rétablissant un cadre équitable pour les relations commerciales entre les entreprises opérant sur le marché européen et ces grandes plateformes. Le Digital Markets Act vise ainsi à s'assurer qu'aucune grande plateforme en ligne qui se trouve dans une position de « contrôleur d'accès » vis-à-vis d’un grand nombre d’utilisateurs n’abuse de cette position au détriment d'autres entreprises qui souhaitent toucher ces utilisateurs (cas d'Apple avec l'Apple Store, Google avec le Play Store, etc...).  Le DMA prône ainsi une meilleure concurrence dans l’espace numérique européen.

Le Digital Services Act (DSA)

Mise à jour du 25 août 2023.

Le Digital Service Act (DSA) date du 19 octobre 2022 et est applicable depuis le 17 février 2024. Il impose un ensemble d'obligations en matière de lutte contre les contenus illicites et de transparence sur le fonctionnement des algorithmes. Il a pour objectif de faire d'Internet un environnement plus sûr et de protéger les droits fondamentaux des utilisateurs. Le Digital Services Act définit ainsi des règles de responsabilité des fournisseurs de services ainsi que leur obligation de transparence. Le DSA a pour ambition de lutter contre la désinformation, les contenus illicites, ainsi que la vente de produits illégaux. Les grandes plateformes (Facebook, Instagram, Tik Tok, WhatsApp, etc...) seront obligées de publier les mesures prises pour lutter contre la désinformation, la propagande et les victimes de cyberharcèlement seront mieux protégées avec le retrait immédiat des contenus incriminés et partagés. Le DSA vise ainsi à protéger les utilisateurs de ces mauvaises pratiques et s'applique aussi à tous les services intermédiaires (moteur de recherche, sites web, médias sociaux,…) fournis aux internautes résidant dans l'Union Européenne. Le principe de ce texte est simple : ce qui est illégal hors ligne doit aussi l’être en ligne.

Mais attention à ne pas faire d'amalgame ! Les plateformes ne sont toujours pas juridiquement responsables des contenus qu’elles hébergent. Mais elles doivent désormais mettre en place un système efficace de modération...

Mise à jour du 20 janvier 2025.

La Commission européenne a actualisé son code de conduite pour les plateformes en ligne soumises au DSA (Digital Services Act).  Ce "code de conduite+" renforce la lutte contre les discours haineux en ligne, notamment en intégrant des "reporters de suivi" (probablement liés aux signaleurs de confiance du DSA) dont les signalements devront être traités rapidement. Les plateformes signataires s'engagent aussi à plus de transparence et à sensibiliser les utilisateurs. Cette mise à jour survient alors que la modération des contenus est au cœur d'un débat transatlantique.  Aux États-Unis, X/Twitter et Meta ont allégé leurs politiques, suivant la ligne de la nouvelle majorité présidentielle pro-Trump. En Europe, les plateformes maintiennent (pour l'instant) leur engagement à respecter les réglementations, malgré ce contexte tendu.

L'AI ACT (IA ACT)

Adopté à l'unanimité par les 27 États membres de l'Union européenne, le 2 février 2024.

Ce règlement vise à garantir la sécurité des systèmes d'intelligence artificielle (SIA), le respect des droits fondamentaux, de la démocratie et le développement des entreprises. L'AI Act serait ainsi une opportunité pour renforcer la confiance dans les technologies, offrant aux entreprises la possibilité de se positionner en leaders d'une innovation responsable.

Le dispositif européen prévoit en effet une harmonisation des règles pour la mise sur le marché, la mise en service et l'usage des IA au sein de l'Union européenne. Ainsi, à la seule exception des SIA développés dans le cadre de la R&D, à des fins militaires ou sans objectifs commerciaux, tous les acteurs de l'IA situés dans l'Union européenne, ou dont les produits sont commercialisés dans l'Union européenne, ont pour obligation de se mettre en conformité avec l'AI Act.

Cette obligation se matérialise par l'observation de règles spécifiques en fonction du type d'IA : la stricte interdiction de commercialisation des SIA à risques inacceptables (menaçant les droits fondamentaux, tels les systèmes de vidéosurveillance à reconnaissance biométriques en temps réel). Selon certains observateurs, cependant, l'Union européenne s'est précipitée pour imposer des normes très contraignantes aux acteurs de l'AI Act sans analyser les risques consécutifs. Il est vrai que les exigences de la mise en conformité réglementaire peuvent constituer un obstacle important, sur le plan financier tout particulièrement. Cette contrainte est d'autant plus forte que le règlement sur l'IA devra coexister avec les textes déjà en vigueur de l'UE, notamment le RGPD et la directive sur le droit d'auteur dans le marché numérique. En France, un rapport parlementaire sur l'IA en date du 14 février 2024 suggère de désigner la Cnil pour occuper le rôle de régulateur national de l'IA. Affaire à suivre...

Le Data Privacy Framework (DPF)

Mise à jour du 10 juillet 2023.

Et de trois... Après le Safe Harbor et le Privacy Shield, la Commission européenne a validé le troisième cadre pour les transferts de données entre les Etats-Unis et l’Union européenne. Le Data Privacy Framework intègre notamment des mécanismes de recours et de protections concernant l'accès aux données par des agences de renseignement. Il impose ainsi la proportionnalité de la surveillance des données comme la capacité pour les citoyens européens d’ester en justice sur le sol américain pour défendre leurs droits sur les données personnelles.