La cybersécurité est au cœur des défis de 2024 : contexte international, Jeux olympiques, essor de l’IA, nouvelles réglementations européennes : NIS 2, DORA, Cyber resilience Act, Data Act, IA Act… Garance Mathias, fondatrice de Mathias Avocats, cabinet dédié à l’accompagnement en matière de cybersécurité, conformité, RGPD notamment, et affaires publiques, décrypte les enjeux des nouveaux textes réglementaires.

Décideurs. La loi de transposition de la directive européenne dite NIS 2 sera adoptée cette année. Quels seront les principaux effets pour les dirigeants et acteurs économiques, publics et privés ?

Garance Mathias. La directive dite NIS 2 marque une évolution significative de l’arsenal de cybersécurité européen, puisqu’elle élargit les objectifs et le périmètre d’application de la directive NIS 1, de 2016. De nouveaux secteurs sont concernés, tels que les télécommunications, les services numériques dont les fournisseurs de services cloud, les centres de données, les plateformes de réseaux sociaux, la gestion des eaux usées, des administrations publiques, entre autres. À l’échelle nationale, la France doit passer d’environ 300 entités régulées à "probablement plus de 10 000" visées par la directive NIS 2, comme l’avait déjà évoqué L’Anssi l’an dernier lors d’un webinaire.

Les différents acteurs doivent s’approprier ces problématiques avant la date d’adoption de la loi de transposition de NIS 2, fixée au 17 octobre 2024. Ils doivent anticiper leur mise en conformité. Cela est d’autant plus nécessaire que les dispositions de NIS 2 seront très prochainement complétées par celles d’autres règlements européens, tels que DORA – concernant le secteur financier – et le Cyber Resilience Act, sur les exigences de cybersécurité applicables aux objets connectés.

Outre un niveau de cybersécurité plus élevé au sein de l’UE, NIS 2 introduit une obligation de sécurité de la chaîne d’approvisionnement. Quels en sont les points d’attention?

Il conviendra, pour tous les acteurs concernés, de faire preuve d’une attention particulière dans l’évaluation des risques liés à la contractualisation avec des prestataires, tout en documentant cette dernière et en évaluant tout au long de la relation les prestataires, partenaires clés d’une entité.

"LE DGA et le Data Act favorisent non seulement l’accès, mais également le partage et la réutilisation des données au sein de l’UE avec le concept d’altruisme des données"

L’un des points d’attention en 2024 portera donc sur une approche par les risques pour I’ensemble des acteurs de la chaîne cyber, entreprises, administrations, collectivités et leurs sous-traitants. Parallèlement à cette gestion du risque, la sensibilisation devra être encore accrue, notamment auprès des dirigeants afin de leur permettre d’appréhender, d’anticiper le mieux possible les risques cyber au regard de leur entreprise et de leur secteur d’activité.

Concernant le marché européen des données, quelles sont les opportunités à saisir ?

Les règlements sur la gouvernance des données (DGA) et sur les données (Data Act) visent à définir un cadre harmonisé où les États membres de l’UE et leurs acteurs économiques peuvent tirer parti du potentiel des données, et ainsi soutenir l’innovation. Ces deux règlements favorisent non seulement l’accès, mais également le partage et la réutilisation des données au sein de l’UE avec le concept d’altruisme des données.

Ce marché présente de nombreuses perspectives de progrès, notamment dans le secteur de la santé, où les traitements médicaux personnalisés pourraient être améliorés. En favorisant la formation des systèmes d’intelligence artificielle, le partage de données peut aussi contribuer au développement d’une agriculture de précision, à la lutte contre le changement climatique par la réduction des émissions de CO2, ou encore à une meilleure gestion des situations d’urgence.

Les règlements européens foisonnent : NIS 2, DORA, Cyber resilience Act, Data Act, IA Act… Comment l’écosystème appréhende-t-il ces évolutions réglementaires ?

Plus que jamais, les acteurs économiques doivent se saisir des opportunités que présentent les données. En tant que professionnels du droit du numérique et de la protection des données, notre rôle est de les accompagner dans cette démarche et dans leurs projets de développement et d’innovation, en sécurisant leurs besoins via les contrats, ainsi que sur les réglementations applicables et à venir.

"Les priorités des entreprises doivent se traduire en plans d’actions et en contrôles réalisables et mesurables"

Les formations et sensibilisations sur des points spécifiques affectant directement l’activité de nos clients sont tout aussi nécessaires pour optimiser leurs contrats, leur gestion des risques (cyber, réputation, notamment). Si la protection des données à caractère personnel est de mieux en mieux intégrée, depuis l’entrée en application du RGPD en 2018, la cybersécurité et les enjeux liés à l’intelligence artificielle devraient prendre une place tout aussi importante dans le quotidien de nos clients.

Justement, l’intelligence artificielle fait beaucoup parler d’elle. Quels défis discernez-vous ?

Nous sommes à une époque charnière : l’adoption généralisée des technologies basées sur l’IA accroît la nécessité d’une gestion responsable des données. Élaborer et utiliser des outils fondés sur les données exige de concilier non seulement les droits et les intérêts individuels et sociétaux, mais aussi la qualité des données et de leur sécurité. Les entreprises doivent tracer un chemin à travers les enjeux concurrentiels tels que les opportunités du marché européen des données, le respect de la propriété intellectuelle et des droits auteurs, ou encore la responsabilité sociale (RSE) et l’émergence de "l’éthique numérique". Enfin, elles doivent intégrer la gouvernance de l’IA, qui s’étend au-delà des règles traditionnelles de protection de la vie privée et des données.

Quelles sont les bonnes pratiques à mettre en place au sein des entreprises ?

Concrètement, il s’agit de définir et d’adopter une approche organisationnelle permettant de suivre les priorités. Ce qui peut se traduire en plans d’actions et en contrôles réalisables et mesurables. Cela implique une collaboration en interne et un alignement entre les objectifs de gouvernance, les exigences en matière de gestion des risques et de contrôles, le suivi de la mise en conformité, la prise en compte des adaptations nécessaires et améliorations opérationnelles… Tout cela requiert anticipation afin de bien cerner les usages des organisations, tant en externe qu’en interne, afin de les rendre conformes aux exigences légales et réglementaires.

Ainsi, au fur et à mesure que nous estimons l’impact de l’IA et ses implications pour nos clients, nous les encourageons à adopter d’ores et déjà les bonnes pratiques reposant sur un socle juridique existant, mais nécessairement adapté aux enjeux de l’IA en matière de protection des données, de clauses contractuelles, de propriété intellectuelle, de charte éthique, ou encore, de "soft law", et ce, sans attendre l’entrée en vigueur des réglementations.

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

GUIDE ET CLASSEMENTS

> Guide 2023