FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • La règlementation européenne du numérique en 2026 :  entre nouvelles obligations et perspective de simplification  

    La règlementation européenne du numérique en 2026 :  entre nouvelles obligations et perspective de simplification  

    Écrit par
    Marc Schuler & Julie Dumontet Avocats
    Avocats à la Cour
    03.03.26
    Transformation numérique
    12
    MIN
    La règlementation européenne du numérique en 2026 :  entre nouvelles obligations et perspective de simplification  
    La règlementation européenne du numérique en 2026 :  entre nouvelles obligations et perspective de simplification  
    La règlementation européenne du numérique en 2026 :  entre nouvelles obligations et perspective de simplification  
    Image De la théorie à la pratique: retour d’expérience belge sur la mise en œuvre de la [directive NIS2]
    Cybersécurité
    02.03.26 Cybersécurité
    Prochain article
    De la théorie à la pratique: retour d’expérience belge sur la mise en œuvre de la directive NIS2
    Lire
    10
    MIN
    Image Avec l’IA, quelques secondes suffisent pour cloner une voix
    Fraude
    27.02.26 Fraude
    Prochain article
    Avec l’IA, quelques secondes suffisent pour cloner une voix
    Lire
    09
    MIN
    Image PWSA : l’architecture satellitaire militaire américaine à l’heure des ruptures technologiques et doctrinales 
    Cyber +
    25.02.26 Cyber +
    Prochain article
    PWSA : l’architecture satellitaire militaire américaine à l’heure des ruptures technologiques et doctrinales 
    Lire
    07
    MIN
    Image Pourquoi Claude Code Security a fait baisser les valeurs en Bourse des géants de la cybersécurité ?
    Transformation numérique
    24.02.26 Transformation numérique
    Prochain article
    Pourquoi Claude Code Security a fait baisser les valeurs en Bourse des géants de la cybersécurité ?
    Lire
    02
    MIN

    Rédacteurs : Marc Schuler et Julie Dumontet, Avocats  à la Cour, Taylor Wessing

    Après plusieurs années d’adoption de textes structurants, 2026 marquera l’entrée en vigueur de nouvelles obligations déterminantes pour les acteurs du numérique, notamment au titre de l’IA Act, du Data Act et du Cyber Resilience Act. Cette échéance s’inscrit toutefois dans un contexte de réflexion européenne visant non seulement à simplifier, mais aussi à réajuster, voire à infléchir certaines exigences du cadre réglementaire existant.

    De nouvelles obligations de conformité au titre du Règlement sur l’Intelligence artificielle (« IA Act ») 

    L’année 2026 marque l’entrée en application du troisième volet de l’IA Act, le plus structurant pour les entreprises. 

    Le règlement prévoit une mise en œuvre progressive de ses dispositions. Depuis février 2025, les règles interdisant les systèmes d’IA présentant un risque inacceptable sont applicables. Le 2 août 2025, ce sont les obligations relatives aux modèles d’IA à usage général qui sont entrées en vigueur.

    À compter du 2 août 2026, l’ensemble des autres obligations prévues par l’IA Act deviendra applicable. Cette échéance inclut la majorité des exigences organisationnelles, techniques et documentaires, imposées aux acteurs concernés, à l’exception de celles applicables aux produits intégrant des systèmes d’IA à haut risque, dont l’entrée en vigueur est reportée au 2 août 2027.

    Les obligations applicables aux systèmes d’IA à haut risque

    L’IA Act instaure un ensemble d’obligations reposant sur un principe renforcé d’accountability, pesant sur les fournisseurs, importateurs, distributeurs et déployeurs de systèmes d’IA à haut risque.

    Ces systèmes sont ceux qui, en raison de leur finalité et de leur domaine d’utilisation, sont susceptibles d’avoir un impact significatif sur les droits fondamentaux, la sécurité ou la santé des personnes, notamment dans les domaines de la biométrie, de l’éducation, de la formation professionnelle, de l’emploi et des ressources humaines, de la justice ou du maintien de l’ordre.

    Ils sont, à ce titre, soumis à des exigences réglementaires renforcées qui impliquent très concrètement une structuration de la gouvernance des projets IA, et notamment :  

    • la mise en place d’un système de gestion des risques couvrant l’ensemble du cycle de vie du système d’IA, ainsi que d’un système de gestion de la qualité visant à garantir la conformité réglementaire ;
    • le recours à des jeux de données d’entraînement, de validation et de test de haute qualité, pertinents, représentatifs et adaptés à la finalité du système, assortis de pratiques strictes de gouvernance destinées à prévenir et corriger les biais et les atteintes aux droits fondamentaux ;
    • l’élaboration d’une notice d’utilisation décrivant de manière suffisamment transparente le fonctionnement du système d’IA, afin de permettre aux déployeurs de comprendre les limites, les conditions d’usage et les résultats produits; 
    • la mise en œuvre de mécanismes de contrôle humain effectifs pendant la phase d’utilisation du système, notamment au moyen d’interfaces homme-machine adaptées ;
    • l’intégration de fonctionnalités de journalisation garantissant un niveau de traçabilité proportionné à la destination du système d’IA, tout au long de son cycle de vie ;
    • l’établissement d’une déclaration UE de conformité et l’apposition du marquage CE ;
    • le signalement des incidents graves aux autorités de surveillance du marché des États membres concernés ;
    • l’établissement d’une documentation technique complète permettant de démontrer la conformité au règlement.

    Les obligations de transparence 

    Les obligations de transparence prévues par l’IA Act entreront également en vigueur le 2 août 2026. Elles visent à garantir que les utilisateurs soient informés lorsqu’ils sont exposés à des systèmes d’IA ou à des contenus générés par ceux-ci. À ce titre :

    • les fournisseurs de systèmes d’IA destinés à interagir directement avec des personnes, tels que les chatbots ou assistants vocaux, doivent veiller à ce que les utilisateurs soient clairement informés qu’ils interagissent avec un système d’IA ;
    • les contenus générés ou modifiés par une IA – texte, image, audio ou vidéo –  doivent être identifiés comme tels, notamment au moyen d’un marquage lisible par machine, sauf lorsque l’IA se limite à une assistance technique mineure ou n’altère pas substantiellement les données d’entrée ;
    • les déployeurs de systèmes de reconnaissance des émotions ou de catégorisation biométrique doivent informer les individus qu’ils sont soumis à ce type d’analyse, certains usages étant par ailleurs expressément interdits, notamment dans les contextes du travail et de l’éducation ;
    • les hypertrucages ou « deepfakes » doivent faire l’objet d’un signalement spécifique, avec des modalités adaptées lorsque la finalité est artistique ou satirique ;
    • lorsque des textes générés ou manipulés par une IA sont publiés pour informer le public sur des questions d’intérêt public, le recours à l’IA doit être mentionné sauf en cas de contrôle éditorial effectif assumé par une personne identifiée. 

    Data Act : nouvelles exigences de conception pour les objets connectés

    Le Règlement (UE) 2023/2854 relatif aux données, dit « Data Act », a pour objectif de redonner aux utilisateurs d’objets connectés et de services connexes, la maîtrise des données générées par leur utilisation, en consacrant un véritable droit d’accès à leur bénéfice. 

    Le Data Act édicte principalement des obligations à la charge des détenteurs de données, à savoir les acteurs qui conservent ou contrôlent les données générées ou collectées, le plus souvent le fabricant de l’objet connecté ou le fournisseur des services associés.

    Si l’essentiel de ses dispositions est déjà applicable depuis le 12 septembre 2025, le texte introduit également un principe d’« access by design » qui concernera l’ensemble des produits et services mis sur le marché à compter du 12 septembre 2026.

    Concrètement, les objets connectés et services connexes devront être conçus de façon à permettre à l’utilisateur d’accéder aux données qu’ils génèrent, y compris les métadonnées nécessaires à leur interprétation et utilisation, de manière aisée, sécurisée, sans frais, et dans un format complet, structuré, couramment utilisé et lisible par machine. 

    Les données devront être fournies avec un niveau de qualité équivalent à celui dont dispose le détenteur des données et, le cas échéant, de manière continue et en temps réel.

    La mise en œuvre de cette exigence suppose, en pratique, la création d’interfaces ou de portails dédiés par les fabricants, ainsi qu’une anticipation des flux de données, notamment via des mécanismes d’export automatisé, tout en assurant un haut niveau de sécurité adapté aux risques. 

    Dès lors que cette obligation s’appliquera à tous les objets connectés et services connexes mis sur le marché après le 12 septembre 2026, les fabricants doivent dès à présent intégrer ces contraintes dans leurs feuilles de route produit. 

    Application anticipée de certaines obligations du Cyber Resilience Act

    Le Règlement (UE) n° 2024/2847, dit Cyber Resilience Act instaure un cadre réglementaire harmonisé afin d’assurer un haut niveau de cybersécurité pour les produits comportant des éléments numériques. À cette fin, il fixe des exigences contraignantes applicables aux fabricants, importateurs et distributeurs, dès la conception et tout au long du cycle de vie des produits.

    Si la majorité des obligations qu’il consacre sera pleinement applicable à compter du 11 décembre 2027, certaines obligations clés s’appliqueront de manière anticipée dès le 11 septembre 2026, en particulier en matière de notification des vulnérabilités et incidents. 

    Plus spécifiquement, ces fabricants seront tenus de signaler sans délai :

    • toute vulnérabilité activement exploitée, c’est-à-dire toute vulnérabilité pour laquelle il existe des preuves fiables qu’elle a été exploitée par un acteur malveillant dans un système sans l’autorisation du propriétaire du système; et
    • tout incident grave qui entache ou est susceptible d’entacher la capacité d’un produit comportant des éléments numériques à protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données ou fonctions du produit. 

    Le signalement sera à effectuer simultanément à l’ENISA et au centre de réponse aux incidents de sécurité informatique (« CSIRT ») désigné comme coordinateur de l’État membre dans lequel le fabricant a son établissement principal dans l’Union (ou s’il ne dispose pas d’un établissement principal dans l’Union, au CSIRT coordinateur de l’État membre déterminé successivement selon le lieu d’établissement de son mandataire, puis de son principal importateur, de son principal distributeur, et à défaut, de la majorité de ses utilisateurs). 

    La notification s’effectue selon une approche progressive, avec (i) une alerte précoce dans les 24 heures suivant la prise de connaissance ; (ii) une notification détaillée dans un délai maximal de 72 heures et (iii) un rapport final dans des délais définis (14 jours pour les vulnérabilités après correction, un mois pour les incidents graves).

    Enfin, le fabricant doit informer les utilisateurs concernés des vulnérabilités ou incidents et de toute mesure corrective ou d’atténuation des risques que les utilisateurs peuvent mettre en place pour atténuer les répercussions de cette vulnérabilité ou de cet incident.  À défaut d’information suffisante ou en temps utile, les CSIRT peuvent intervenir directement.

    Vers une simplification du paysage règlementaire ? 

    Ces dernières années, le cadre réglementaire européen applicable aux acteurs du numérique s’est considérablement complexifié, suscitant de vives critiques de la part des opérateurs, qui dénoncent une inflation réglementaire entraînant des chevauchements, voire des incohérences, entre les différentes strates de réglementation.

    Plusieurs projets actuellement en discussion au niveau européen visent à adresser ces critiques et pourraient être adoptés en 2026 avec un objectif affiché de rationalisation sans remise en cause des grands principes de protection.

    Le 19 novembre 2025, la Commission européenne a présenté sa proposition dite « Digital Omnibus », visant à simplifier et rendre plus lisibles les règles applicables — notamment en matière d’intelligence artificielle, de données et de cybersécurité — tout en facilitant la mise en conformité des entreprises, en particulier des TPE et PME, et en renforçant la compétitivité européenne. 

    Parmi les propositions, celle de reporter l’application des règles relatives aux systèmes d’IA à haut risque évoquées ci-avant et actuellement prévue pour août 2026, à décembre 2027, en raison du retard pris dans l’élaboration des normes et lignes directrices visant à accompagner les opérateurs dans leur mise en conformité. 

    Plus précisément, ces obligations n’entreraient en vigueur qu’après l’adoption, par la Commission européenne, d’une décision confirmant la finalisation de ces normes et lignes directrices et suivant une période transitoire de 6 mois. Indépendamment de l’adoption d’une telle décision, le projet de texte prévoit qu’elles entreraient en application au plus tard le 2 décembre 2027. L’application des obligations relatives aux produits intégrant des IA à haut risque serait également repoussée. 

    En outre, la proposition de règlement Omnibus numérique prévoit d’introduire une période transitoire de six mois pour les fournisseurs de système d’IA générative mis sur le marché avant le 6 août 2026 afin qu’ils puissent intégrer les solutions techniques nécessaires pour rendre ces contenus lisibles par machine et détectables comme générés ou manipulés artificiellement. L’obligation de transparence pourrait ainsi être reportée au 2 février 2027 pour ces acteurs si le texte était adopté. 

    De nombreuses autres mesures de simplification sont envisagées dans la proposition de règlement et pourraient avoir des implications concrètes pour les entreprises telles que la création d’un guichet unique leur permettant de s’acquitter simultanément de leurs obligations de signalement des incidents au titre des différentes réglementations applicables, l’extension du délai maximal pour notifier une violation de données personnelles à l’autorité de contrôle de 72 à 96 heures, la consécration de nouvelles dérogations concernant le traitement de données personnelles sensibles, notamment s’agissant du développement et de l’exploitation de l’IA, ou encore l’assouplissement des règles relatives aux demandes de droit d’accès en application du Règlement sur la protection des données.

    Les discussions concernant le Digital Fairness Act devraient également se poursuivre en 2026 avec un projet attendu d’ici la fin de l’année. Cette proposition de règlement fait suite au « Digital Fitness Check« , analyse conduite en 2022 afin d’évaluer l’adéquation du cadre réglementaire existant de l’Union européenne en matière de protection des consommateurs, à savoir la Directive n° 2005/29 sur les pratiques commerciales déloyales (UCPD), la Directive n°2011/83  sur les droits des consommateurs et la Directive n°93/13 sur les clauses abusives. 

    Avec le Digital Fairness Act, l’objectif politique affiché est de combler les lacunes identifiées dans ce cadre, sans en remodeler fondamentalement l’architecture. Le texte pourrait notamment interdire les « dark patterns« , renforcer la protection en ligne des utilisateurs les plus vulnérables tels que les mineurs ou les personnes en difficulté financière, ou encore harmoniser au niveau européen les règles applicables aux influenceurs. 

    Dans ce contexte évolutif, les entreprises devront à la fois se préparer à la mise en conformité et suivre attentivement les projets de simplification susceptibles d’influer sur le calendrier et la portée des obligations applicables à compter de 2026.

    Marc Schuler & Julie Dumontet Avocats
    03.03.26
    Continuer ma lecture
    1
    27.02.25 Gestion des risques
    Royaume-Uni : Apple met fin au chiffrement de bout en bout de son cloud
    Lire
    02
    MIN
    2
    27.05.24 Cyber stabilité
    La donnée de confiance au cœur de la plateforme de OneTrust
    Lire
    06
    MIN
    3
    09.03.22 Identité numérique
    Florent Tournois à la tête de France Identité Numérique
    Lire
    01
    MIN
    4
    31.07.23 Cyber stabilité
    14 ans de prison pour Ilya Sachkov, cofondateur de Group-IB
    Lire
    02
    MIN
    Image De la théorie à la pratique: retour d’expérience belge sur la mise en œuvre de la [directive NIS2]
    Cybersécurité
    02.03.26 Cybersécurité
    Prochain article
    De la théorie à la pratique: retour d’expérience belge sur la mise en œuvre de la directive NIS2
    Lire
    10
    MIN
    Image Avec l’IA, quelques secondes suffisent pour cloner une voix
    Fraude
    27.02.26 Fraude
    Prochain article
    Avec l’IA, quelques secondes suffisent pour cloner une voix
    Lire
    09
    MIN
    Image PWSA : l’architecture satellitaire militaire américaine à l’heure des ruptures technologiques et doctrinales 
    Cyber +
    25.02.26 Cyber +
    Prochain article
    PWSA : l’architecture satellitaire militaire américaine à l’heure des ruptures technologiques et doctrinales 
    Lire
    07
    MIN
    Image Pourquoi Claude Code Security a fait baisser les valeurs en Bourse des géants de la cybersécurité ?
    Transformation numérique
    24.02.26 Transformation numérique
    Prochain article
    Pourquoi Claude Code Security a fait baisser les valeurs en Bourse des géants de la cybersécurité ?
    Lire
    02
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.