Face à la multiplication des cyberattaques et à l’explosion des données générées par les objets connectés, l’Union européenne accélère sa stratégie réglementaire. Trois textes majeurs incarnent cette nouvelle stratégie : la directive NIS 2, le Data Act et le Cyber Resilience Act. Ces instruments juridiques convergent vers un même objectif : renforcer la souveraineté numérique européenne, protéger les infrastructures critiques et encadrer plus strictement la gouvernance des données.
NIS 2 : la cybersécurité devient une obligation stratégique pour les entreprises
La directive NIS 2 (UE 2022/2555), publiée au Journal officiel de l’Union européenne en décembre 2022, succède à la directive NIS 1 de 2016, premier texte européen encadrant la cybersécurité des opérateurs de services essentiels. Avec NIS 2, le législateur européen élargit le périmètre d’application à de nouveaux secteurs considérés comme critiques pour le bon fonctionnement de la société et de l’économie : agroalimentaire, logistique, santé, services numériques, gestion des eaux, énergie, etc.
Ce texte marque une rupture dans l’approche européenne de la cybersécurité. Il impose :
- Des exigences strictes en matière de gestion des risques cyber, incluant la détection des incidents, la gestion de crise, la sécurité de la chaîne d’approvisionnement et la mise à jour des systèmes ;
- Un rôle renforcé pour les autorités nationales, notamment l’ANSSI en France, dans la supervision, le contrôle et la sanction ;
- Des sanctions lourdes, plus sévères encore que celles prévues par le RGPD, pouvant atteindre plusieurs millions d’euros ou un pourcentage significatif du chiffre d’affaires annuel ;
- La création d’un réseau européen de gestion des crises cyber (EU-CyCLONe), pour une réponse coordonnée en cas d’incident majeur.
La directive introduit également une responsabilité des dirigeants, qui doivent désormais démontrer qu’ils anticipent les risques cyber à travers des mesures concrètes, telles que le choix des prestataires, la documentation des procédures ou encore la formation du personnel.
Le Data Act : encadrer l’économie de la donnée au-delà du RGPD
Autre pilier du nouveau cadre européen : le Data Act. Adopté le 27 novembre 2023, le Data Act entrera en application dans toute l’UE à partir du 12 septembre 2025. Contrairement au RGPD, ce règlement ne concerne pas uniquement les données personnelles, mais toutes les données générées par des objets et services connectés.
L’objectif est double :
- Rendre aux utilisateurs le contrôle sur les données générées par leurs appareils, avec la possibilité d’y accéder gratuitement via des interfaces dédiées (type tableaux de bord) ;
- Faciliter le partage des données avec des tiers, notamment pour stimuler l’innovation, la concurrence et l’interopérabilité entre services.
Le Data Act impose de nouvelles obligations à tous les maillons de la chaîne : fabricants, fournisseurs de services, détenteurs de données et destinataires. Il s’inscrit dans une volonté d’équilibrer les rapports de force dans l’économie de la donnée, tout en ouvrant la voie à de nouveaux modèles économiques fondés sur l’accès, et non plus uniquement sur la possession. En pratique, les entreprises doivent désormais cartographier les données générées, partagées et partageables, mettre en place des mécanismes techniques d’accès, et revoir leurs conditions contractuelles.
Le Cyber Resilience Act : la cybersécurité intégrée dès la conception
Complémentaire du Data Act, le CRA vise à encadrer la sécurité des produits numériques (matériels et logiciels) tout au long de leur cycle de vie.
L’UE part d’un constat alarmant : les cyberattaques par rançongiciels explosent, pour un coût global estimé à 5 500 milliards d’euros en 2021. Or, de nombreux produits sont mis sur le marché sans garantie minimale de cybersécurité.
Le CRA impose :
- Une obligation de sécurité dès la conception (« security by design ») ;
- Une responsabilité continue du fabricant, y compris après la mise sur le marché ;
- Une documentation obligatoire des risques ;
- Une transparence accrue vis-à-vis des utilisateurs finaux.
Ce texte incarne une approche préventive de la cybersécurité, en amont de l’attaque, et vise à restaurer la confiance des consommateurs dans les produits numériques.
Une stratégie européenne intégrée et ambitieuse
Pris ensemble, ces textes témoignent d’un changement de paradigme : la sécurité numérique n’est plus un choix, mais une obligation structurelle pour les entreprises et les États membres. L’objectif est clair : bâtir un véritable marché unique de la cybersécurité et de la donnée en régulant le cyberespace pour protéger ses citoyens, ses entreprises et ses institutions, sans freiner l’innovation.
La philosophie de cette régulation repose sur trois piliers :
- Responsabilisation des acteurs économiques, notamment les grandes entreprises et les fabricants ;
- Prévention et anticipation des risques, plutôt que réaction a posteriori ;
- Souveraineté et résilience européenne, face aux menaces géopolitiques et technologiques.
L’Union européenne entend faire de la cybersécurité et de la gouvernance des données des priorités politiques et économiques. NIS 2, le Data Act et le Cyber Resilience Act s’inscrivent dans cette dynamique, en dessinant un cadre robuste, cohérent et ambitieux. Une transformation profonde est en marche, et les entreprises doivent dès à présent s’y préparer activement.
Sources :
https://cyber.gouv.fr/la-directive-nis-2
https://digital-strategy.ec.europa.eu/fr/policies/data-act
https://www.entreprises.gouv.fr/la-dge/actualites/adoption-du-data-act-au-conseil-de-lunion-europeenne
https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
