L’UE a présenté un nouveau projet de loi omnibus sur le numérique visant à simplifier la réglementation en matière de protection des données, de cybersécurité et d’IA. Comment les organisations peuvent-elles garantir que leurs stratégies de conformité soient adaptables et cohérentes afin de rester résilientes face à l’évolution de la réglementation numérique ?
Par Kate O'Flaherty
Naviguer dans le dédale des lois numériques en vigueur dans de nombreuses juridictions représente un véritable casse-tête pour la plupart des organisations. Et la lutte constante pour s'y conformer individuellement n'a guère de sens, étant donné le chevauchement de nombreuses exigences réglementaires.
C’est dans cette optique que l’UE a proposé une Projet de loi omnibus numérique conçu pour rationaliser et harmoniser la réglementation en matière de protection des données, de cybersécurité et d'IA.
Annoncé pour la première fois en novembre 2025, le projet de loi est actuellement en consultation et sa mise en œuvre est prévue pour début 2027. Il devrait permettre de réaliser jusqu'à 5 milliards d'euros d'économies d'ici 2029.
La convergence des réglementations numériques encadrant la protection des données, la cybersécurité et l'IA redéfinit les attentes autour de ces enjeux. gouvernanceResponsabilisation et gestion des risques. Les organisations ont désormais besoin de stratégies de conformité adaptables et intégrées pour rester compétitives. résilient à mesure que la réglementation numérique évolue.
Le moment idéal pour une facture
Ce projet de loi arrive à point nommé. Au fil du temps, l'accumulation de nouvelles règles en matière de sécurité numérique, d'intégrité des données et de protection de la vie privée a accru la complexité et fait grimper les coûts de mise en conformité pour les organisations opérant dans l'UE, explique Ben Lipczynski, directeur des services de sécurité chez Origina.
Des réglementations telles que la Règlement général de l'UE sur la protection des données (RGPD), Réseau et systèmes d'information 2 (NIS2), le Loi sur la cyber-résilience et la Loi de l'UE sur l'IA ont été introduites avec des objectifs clairs.
Pourtant, leur chevauchement a « engendré une charge administrative inutile et réduit la compétitivité », affirme Lipczynski. Avec le projet de loi omnibus sur le numérique, l'UE a reconnu que « la réglementation numérique fragmentée et redondante » nuit à l'efficacité du marché unique, explique-t-il. IO.
Le Digital Omnibus n'est pas une simple loi de plus. Il faut y voir la reconnaissance par l'UE de l'inefficacité du modèle précédent, qui consiste à traiter plusieurs réglementations comme des silos distincts. C'est ce qu'affirme Tracey Hannan-Jones, directrice du conseil en sécurité de l'information et GRC et DPO du groupe UBDS Digital. « Il s'agit de la première tentative de l'UE d'unifier partiellement le cadre réglementaire numérique, en optimisant les données, l'IA et la cybersécurité, par la modification des instruments existants plutôt que par l'ajout de nouveaux. »
Concrètement, cela signifie qu'il s'agit d'un « nettoyage horizontal ». Ce texte modifie le RGPD, la NIS2, la loi européenne sur l'IA, la loi sur la gouvernance des données et d'autres réglementations, au moyen d'un « ensemble de mesures coordonnées », explique Hannan-Jones.
Les lois se chevauchent
Les lois numériques actuelles présentent des chevauchements dans de nombreux domaines. Par exemple, la NIS2, la loi sur la cyber-résilience et la loi européenne sur l'IA se recoupent en matière de déclaration des incidents et d'exigences de résilience. Ces chevauchements devraient être résolus grâce au guichet unique proposé, qui vise à simplifier et à consolider les obligations de déclaration entre les différents cadres réglementaires, explique Lipczynski d'Origina.
Cela représentera un changement majeur par rapport aux cadres réglementaires souvent cloisonnés, qui peuvent engendrer « une complexité accrue et des exigences contradictoires », explique Lipczynski. Actuellement, lors du signalement d'incidents de cybersécurité, les organisations peuvent être tenues de déclarer l'incident à plusieurs organismes indépendants, chacun privilégiant des ensembles de données différents dans le rapport. « Cela peut engendrer une charge administrative considérable à un moment critique. »
De même, le suivi et la gestion des changements réglementaires, souvent communiqués par des canaux indépendants et dispersés, complexifient encore la situation. « Cette fragmentation rend plus difficile l’harmonisation des plans d’intervention et des structures de gouvernance, ce qui accroît les efforts de mise en conformité et les risques opérationnels », explique Lipczynski.
L’harmonisation pourrait permettre aux organisations de rationaliser et de standardiser leurs cadres de conformité et de réaliser des gains d’efficacité opérationnelle, et donc des économies, explique Lipczynski. « Les ressources peuvent alors être consacrées à des initiatives susceptibles de développer davantage les capacités et la compétitivité de l’entreprise. »
Cependant, les organisations doivent prendre en compte que si la convergence réglementaire offre des opportunités, elle peut aussi engendrer des difficultés, explique David Dumont, associé chez Hunton Andrews Kurth. « Un ensemble de règles numériques harmonisées et claires pourrait contraindre les organisations à adopter une approche plus globale et cohérente de leurs pratiques en matière de données et des obligations qui en découlent, réduisant ainsi leurs possibilités de se dissimuler derrière la complexité et les incohérences du système réglementaire actuel, un véritable patchwork. »
Gouvernance intégrée des risques numériques en pratique
Le projet de loi omnibus sur le numérique est un signe clair que les entreprises doivent revoir leurs approches cloisonnées en matière de protection des données, de cybersécurité et de conformité à l'IA.
Les entreprises devraient viser une gouvernance des risques numériques « intégrée », ce qui signifie que « les parties prenantes internes multidisciplinaires doivent travailler ensemble et parler le même langage », explique Dumont de Hunton Andrews Kurth.
Pour ce faire, les équipes chargées de la protection des données, des affaires juridiques et de la conformité doivent s'efforcer de traduire les exigences légales en termes techniques. « Cela permettra aux équipes informatiques et de gouvernance des données d'identifier les mesures pertinentes déjà en place au sein de l'organisation et de les exploiter pleinement pour se conformer au cadre des nouvelles lois numériques », conseille-t-il.
Concrètement, une gouvernance intégrée des risques numériques implique la mise en place d'une couche de gouvernance unique permettant d'acheminer, de surveiller et de contrôler toutes les communications de données sensibles (courriels, partage de fichiers, transferts de fichiers gérés ou formulaires web) selon un ensemble de politiques cohérentes, explique Dario Perfettibile, directeur général EMEA GTM et opérations clients chez Kiteworks. « Cela signifie que les mêmes normes de chiffrement, contrôles d'accès et journaux d'audit qui satisfont aux exigences de protection des données du RGPD servent également de preuves pour le signalement des incidents NIS2 et la gestion des vulnérabilités liées à la loi sur la cyber-résilience. »
Cela signifie également que lorsqu'un employé partage des données avec un fournisseur d'IA tiers, l'échange est automatiquement soumis aux mêmes contrôles qui protègent les dossiers médicaux ou les transactions financières. « Il vous faudra une chaîne de traçabilité complète et visible pour les auditeurs dans tous les référentiels applicables », ajoute Perfettibile.
Conformité à l'épreuve du temps
Avec l'arrivée prochaine du projet de loi omnibus sur le numérique dans un an, il est judicieux de commencer dès maintenant. pérenniser votre conformité Élaboration d'une stratégie dès maintenant. Alignement sur les cadres de gouvernance et les normes ISO, tels que : ISO 27001 (sécurité de l'information), ISO 42001 (Gestion de l'IA), et ISO 27701 (la protection de la vie privée) est cruciale pour s'adapter aux changements.
Pour garantir une conformité cohérente à l'avenir, Hannan-Jones d'UBDS Digital conseille aux entreprises de consolider leurs instances de gouvernance. À ce titre, elle suggère la création d'un comité unique de gestion des risques numériques chargé de la stratégie de protection des données (RGPD), de la cybersécurité (NIS2/CRA), de la gouvernance de l'IA (loi sur l'IA) et de la conformité des produits (CRA/réglementations sectorielles).
Dans le même temps, si vous opérez dans plusieurs juridictions, la démarche stratégique consiste à examiner toutes les lois et tous les cadres juridiques et à cartographier les chevauchements, et pas seulement les obligations, explique Hannan-Jones.
Elle conseille d'établir une matrice indiquant les réglementations telles que le RGPD, la NIS et la loi sur l'IA qui imposent des évaluations des risques, des rôles de gouvernance, des mesures techniques et organisationnelles, ainsi que des procédures de signalement et de documentation des incidents, assorties d'un système d'archivage. « Il faut ensuite concevoir des processus partagés là où les points communs sont les plus importants. »
Les organisations peuvent standardiser leurs évaluations et leur documentation en développant une méthodologie d'évaluation des risques de base, comprenant des modules pour la protection de la vie privée, l'IA et la sécurité. « Il est essentiel de définir des référentiels unifiés, notamment en matière de contrôle d'accès, de journalisation et de surveillance, de tests et de chiffrement », ajoute-t-elle.
Face à la convergence des réglementations numériques, il est essentiel de mettre en place un programme unifié de réponse aux incidents, classant les violations selon les critères de confidentialité, de sécurité et d'IA. « Et, le cas échéant, de les associer automatiquement aux obligations légales de déclaration et aux délais impartis », précise Hannan-Jones. « Cela permettra de constituer un dossier de preuves unique, réutilisable par plusieurs organismes de réglementation. »
