Le cadre juridique de l'UE sur les produits et les services numériques pertinents pour les jumeaux numériques locaux
LIRE EN ANGLAIS | LIRE EN ALLEMAND |

1. Introduction
Ligne directrice sur le cadre juridique des marchés publics de l'UE Ce guide aide les responsables des marchés publics municipaux à identifier la législation numérique européenne pertinente pour les objets de marchés publics dans leurs appels d'offres. Il est structuré par les actes juridiques figurant dans les caractéristiques techniques des modèles de marchés publics. Chaque acte juridique est présenté sous forme d'un ensemble cohérent d'informations afin de clarifier sa portée et son applicabilité à des objets de marchés publics spécifiques. Le Ligne directrice explique également le raisonnement qui sous-tend les exigences juridiques incluses dans les caractéristiques techniques, en les reliant aux dispositions législatives pertinentes.
La sous-section « Portée et applicabilité » fournira de brèves informations sur la loi spécifique, son applicabilité au secteur public et à l’objet concret de la passation de marchés, ainsi que l’importance de la loi à des fins de sensibilisation.
Après cette introduction, la sous-section « Des exigences légales aux caractéristiques techniques » aidera les agents municipaux à s'y retrouver dans la législation. Dans cet objectif, le lecteur :
● apprendra où découvrir les exigences légales dans les différents textes de loi,
● comprendra le raisonnement qui sous-tend l’inclusion des exigences dans les caractéristiques techniques des différents objets d’approvisionnement,
● vous trouverez des ressources et des informations utiles pour comprendre les exigences de conformité.
En lisant ces lignes directrices, les agents municipaux seront informés de la législation qui s'applique à leurs objets d’approvisionnement requis et de la manière de l'interpréter pour faciliter l'application et le respect des exigences lors de l'attribution de l'appel d'offres.
Il convient de noter que l’article 8 de la Loi sur l’intelligence artificielle doit être lu conjointement avec la ligne directrice sur l’IA/AA, car les exigences légales pourraient devoir être mises en œuvre dans des modèles différents en fonction de l’utilisation concrète.
2. Règlement général sur la protection des données
2.1. Portée et applicabilité
2.1.1. Quand est-ce que cela est amorcé ?
Le règlement général sur la protection des données (RGPD)1 constitue une loi exhaustive sur la protection des données, applicable dans toute l'Union européenne (UE). Elle vise à protéger les droits et libertés fondamentaux des personnes, notamment le droit à la protection des données personnelles. Elle fixe les règles relatives au traitement automatisé des données personnelles, en tout ou en partie, ainsi que les conditions de la libre circulation de ces données.
Il est important de comprendre que les données personnelles désignent toute information se rapportant à une personne physique identifiée ou identifiable (personne concernée). Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (article 4(1) du RGPD).
Compte tenu de ce qui précède, le traitement de données anonymisées ne relève pas du champ d'application du RGPD. Toutefois, il convient de souligner que le traitement de données personnelles anonymisées nécessite l'adoption de garanties adéquates afin d'éviter les risques potentiels de nouvelle identification et de violation des données personnelles. Si un ensemble de données anonymisées devient identifiable – grâce aux nouvelles techniques de désanonymisation de pointe, à la combinaison avec d'autres ensembles de données existants par exemple – son traitement relève du champ d'application du RGPD, car les données constitueraient des données personnelles.
2.1.2. À qui cela s'applique-t-il ?
Le RGPD s'applique à toute personne physique ou morale, autorité publique, agence ou autre organisme qui traite2 données personnelles traitées en tout ou en partie par des moyens automatisés.
Les deux principales parties réglementées par le RGPD sont les responsables du traitement et les sous-traitants des données personnelles.
Un responsable du traitement est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel (article 4 (7) du RGPD).
Un sous-traitant est une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (article 4 (8) du RGPD).
Dans le cadre présent, l'AC est le responsable du traitement des données personnelles et le soumissionnaire retenu est le sous-traitant. Cette distinction importante est cruciale lors de la définition des obligations et responsabilités de chaque partie dans les différentes activités de traitement.
2.1.3. Chronologie
Le RGPD est applicable à partir du 25 mai 2018.
2.2. Des exigences légales aux caractéristiques techniques des appels d'offres
2.2.1. Exigences pour les candidats à un appel d'offres
En raison de la nature des données liées aux activités de ces composantes, le RGPD s'applique à tous les types d'objets d’approvisionnement. Il est recommandé à l'autorité contractante de collaborer étroitement avec son délégué à la protection des données et son équipe chargée de la confidentialité et de la protection des données afin d'évaluer l'applicabilité des exigences en matière de confidentialité et de protection des données et de les adapter au cas d'utilisation.
Les caractéristiques techniques font référence aux concepts et dispositions suivantes prévues par le RGPD :
● Principes relatifs au traitement des données personnelles (article 5 du RGPD).
Les principes de légalité, de loyauté et de transparence ; de limitation des finalités ; de minimisation des données ; d’exactitude des données ; de limitation de la conservation ; et d’intégrité et de confidentialité constituent le point de départ et la justification sous-jacente des dispositions du Règlement plus détaillées. Ils devraient guider l’interprétation de tous les articles de la loi, en particulier ceux relatifs aux droits des personnes concernées (chapitre III du RGPD).
Ciblant des objets spécifiques d'approvisionnement, ces principes sont expliqués un à un dans les caractéristiques techniques.
● Protection des données dès leur conception et par défaut (article 25 du RGPD).
Cette disposition exige que les responsables du traitement des données personnelles mettent en place des mesures efficaces pour mettre en œuvre les principes de protection des données et intégrer les garanties nécessaires au respect des droits des personnes et des exigences du RGPD. Ces mesures doivent être mises en œuvre au moment du traitement et lors de la détermination des moyens de traitement. Cela signifie que le candidat doit être en mesure de mettre en œuvre les mesures de protection des données dès leur conception et par défaut celles définies par l'AC dans le cadre de son projet, telles que l’Illustration des données personnelles en attente et en transit ou l'utilisation de technologies améliorant la confidentialité entre autres.
L’AC doit évaluer si la mesure est appropriée et efficace pour mettre en œuvre les principes de protection des données et les droits des personnes concernées.
● Sécurité du traitement des données personnelles (article 32 du RGPD). Les responsables du traitement et les sous-traitants de données personnelles doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques, plus ou moins probables et plus ou moins graves, pesant sur les droits et les libertés des personnes physiques. Les caractéristiques techniques font référence aux différents types de mesures de sécurité que le candidat doit adopter pour protéger les données personnelles contre toute destruction, perte, altération, accès ou divulgation non autorisée, accidentelle ou illicite.
Ces mesures sont renforcées par les exigences définies par la directive des Réseaux et les systèmes d’information expliquées au chapitre 3 de la présente ligne directrice.
● Transferts de données personnelles vers des pays tiers ou des organisations internationales (chapitre V du RGPD). Le RGPD autorise la libre circulation des données personnelles au sein de l'UE. Il prévoit toutefois des exigences spécifiques relatives aux transferts de données personnelles vers des pays tiers et aux organisations internationales. À cet égard, le chapitre V du Règlement contient les conditions et mécanismes visant à offrir le même niveau de protection aux données personnelles transférées hors de l'Espace économique européen (EEE). Ces mécanismes sont des décisions d'adéquation, des clauses contractuelles types, des règles d’entreprise contraignantes, des mécanismes de certification, des codes de conduite et des dérogations (dans des circonstances très exceptionnelles).
Il existe différents moyens de démontrer et d’évaluer la conformité aux obligations et exigences du RGPD définies dans les caractéristiques techniques :
● Codes de conduite (article 40 du RGPD). Approuvés soit par une autorité de protection des données lorsque les activités de traitement n'ont pas lieu dans plusieurs États membres, soit par la Commission européenne au moyen d'un acte d'exécution lorsque différentes activités de traitement sont concernées dans plusieurs États membres. Par exemple, le Code de conduite du CISPE pour les fournisseurs de services d’infrastructure sur le cloud.
● Certification (article 42 du RGPD) fournie par une autorité de protection des données, un comité européen de la protection des données ou un organisme de certification, comme le Label européen de protection des données.
L'AC est tenue de réaliser une analyse d'impact relative à la protection des données (AIPD) lorsqu'un type de traitement, notamment si ce type fait appel aux nouvelles technologies et est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. En tous les cas, cette obligation est requise dans les cas visés à l'article 35, paragraphe 3, du RGPD. En outre, les autorités de protection des données doivent établir des listes de procédures de traitement des données qui nécessitent la réalisation d’une AIPD.
Les obligations et les exigences relatives au traitement des données personnelles par le sous-traitant doivent être définies dans un contrat ou un autre document juridique. Ce contrat est communément appelé « Contrat de traitement des données », dont le contenu est précisé à l'article 28 (3) du RGPD. Par conséquent, l'autorité compétente doit garantir que ce contrat est signé avec le soumissionnaire ayant gagné l’appel d’offres afin de définir la nature, la portée, les finalités, les mesures de sécurité et les autres obligations relatives au traitement des données personnelles pour son compte.
2.2.2. Matériel de soutien
● Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) – lien
● Groupe de travail sur l’Article 29 sur la protection des données, « Avis 05/2014 sur les techniques d'anonymisation » (2014) – lien
● Contrôleur européen de la protection des données, « 10 malentendus liés à l'anonymisation » – lien
● Les directives 4/2019 relatives à l'article 25. Protection des données dès leur conception et par défaut. 20 octobre 2020 – lien
● OCDE (2023), « Technologies émergentes améliorant la protection de la vie privée : approches réglementaires et politiques actuelles », Documents de l'OCDE sur l'économie numérique, n° 351, Éditions OCDE, Paris, https://doi.org/10.1787/bf121be4-fr.
● Les directives 05/2021 sur l'interaction entre l'application de l'article 3 et les dispositions relatives aux transferts internationaux conformément au chapitre V du RGPD – lien
● Comité européen de la protection des données (art. 64), Avis 22/2024 relatif à certaines obligations découlant du recours au(x) sous-traitant(s) et au(x) sous-traitant(s) ultérieur(s) – lien
● Décision d'exécution de la Commission relative aux clauses contractuelles types entre responsables du traitement et sous-traitants en vertu de l'article 28, paragraphe 7, du règlement (UE) 2016/679 et de l'article 29, paragraphe 7, du règlement (UE) 2018/1725 – lien
En plus des directives, des recommandations et des meilleures pratiques du Comité européen de la protection des données, il est recommandé de suivre les recommandations et décisions émises par les Autorités nationales de protection des données.
2.2.3. Objets pertinents pour l'approvisionnement et les modèles d'approvisionnement
Les exigences du RGPD sont incluses dans tous les modèles d'approvisionnement puisque les différents objets d’approvisionnement traitent les données personnelles des individus, des utilisateurs de CA et/ou des utilisateurs finaux.
3. Directive sur la vie privée et les communications électroniques
3.1. Portée et applicabilité
3.1.1. Quand est-ce que cela est amorcé ?
La directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive ePrivacy)3 couvre le traitement des données personnelles et la protection de la vie privée dans le secteur des communications électroniques. Elle comprend les règles relatives à la confidentialité, aux données de trafic et de localisation et aux communications non sollicitées (les « spams » par exemple).
La directive sur la « vie privée et les communications électroniques » complète le Règlement général sur la protection des données (RGPD), elle offre des règles plus précises pour les communications électroniques. Alors que le RGPD définit les principes généraux de protection des données, la directive « vie privée et communications électroniques » se concentre sur la confidentialité des communications, des cookies et des technologies similaires. Il s'agit donc d'une législation sectorielle.
3.1.2. À qui cela s'applique-t-il ?
La directive sur la « vie privée et les communications électroniques » s'applique aux entités publiques et privées fournisseurs de services de communications électroniques accessibles au public. Cela signifie que les organismes publics doivent également se conformer à ces règles lorsqu'ils traitent des communications électroniques.
3.1.3. Chronologie
La directive est applicable depuis 2003 et a été modifiée pour la dernière fois en 2009.
3.2. Des exigences légales aux caractéristiques techniques
3.2.1. Exigences pour les candidats à un appel d'offres
Le candidat à l'appel d'offres doit se conformer à certaines obligations lors du traitement des données de communication (données de trafic et de localisation).
Par conséquent, conformément à l’article 6 de la directive sur la « vie privée et les communications électroniques » (données relatives au trafic) :
● Le soumissionnaire retenu devra effacer ou anonymiser les données de trafic une fois qu'elles ne sont plus nécessaires :
- dans le but de la transmission d'une communication,
- à des fins de facturation des abonnés et de paiement des interconnexions,
- pour la fourniture de leurs services,
- à des fins de marketing de services de communication électronique,
- pour la fourniture de services à valeur ajoutée, ou
- à tout moment, le consentement des utilisateurs est retiré
● Le traitement des données de trafic doit être limité aux personnes agissant sous l'autorité du soumissionnaire ayant gagné l’appel d’offres et uniquement aux fins de gérer ou de fournir les activités suivantes :
- La facturation ou la gestion du trafic
- Les demandes des clients
- La détection de fraude
- La commercialisation de services de communications électroniques
- Un service à valeur ajoutée
Conformément à l’article 9 de la directive ePrivacy sur les données de localisation autres que les données de trafic :
● Les données de localisation peuvent uniquement être traitées de manière anonyme ou, avec le consentement des utilisateurs ou des abonnés, dans la mesure et pour la durée nécessaires à la fourniture du service.
● Avant d’obtenir leur consentement, les utilisateurs ou abonnés doivent être informés du type de données de localisation, des finalités et de la durée du traitement, et si les données seront transmises à un tiers pour la fourniture du service.
● Les utilisateurs ou les abonnés peuvent retirer leur consentement au traitement des données de localisation et le refuser temporairement à chaque connexion au réseau ou à chaque transmission d'une communication.
● Le traitement des données de localisation doit être limité aux personnes agissant sous l’autorité du fournisseur du réseau de communications public ou du service de communications accessible au public ou du tiers fournissant le service.
● Le traitement doit être strictement limité à ce qui est nécessaire aux fins de la fourniture du service.
En outre, en ce qui concerne les cookies ou les technologies de suivi similaires, l'article 5 (3) de la Directive prévoit que le stockage d'informations, ou l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est autorisé qu'à la condition que l'abonné ou l'utilisateur concerné ait donné son consentement, après avoir reçu des informations claires et exhaustives, notamment sur les finalités du traitement. Ce dernier ne porte pas atteinte au stockage technique ou à l'accès nécessaire à la seule fin de la transmission de la communication (à l’exception du cas où lorsque le consentement n'est pas requis).
3.2.2. Matériel de base
● Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive sur la « vie privée et les communications électroniques ») – lien
● Directives 2/2023 sur la portée technique de l'article 5 (3) de la directive sur la « vie privée et les communications électroniques » (veuillez vous référer à la page 14 sur les appareils IdO) – lien
3.2.3. Objets pertinents de l'approvisionnement et modèles d'approvisionnement
Selon le Code européen des communications électroniques, les services de communication électronique comprennent les éléments suivants :
● service d’accès à internet – un service de communications électroniques accessible au public qui fournit un accès à internet et, par conséquent, une connectivité à presque tous les points terminaux d’internet, indépendamment de la technologie de réseau et de l’équipement terminal utilisé ;
● service de communications interpersonnelles ;
● services utilisés entièrement ou principalement pour l'envoi de signaux, tels que les services de transmission utilisés pour la fourniture de services entre machines et pour la radiodiffusion.
Par conséquent, la directive sur la vie privée en ligne s’applique aux modèles suivants et aux objets d’approvisionnement sous-jacents.
Note au lecteur : Des liens vers les modèles d’approvisionnement associés seront inclus pour chaque objet d’approvisionnement dans la version internet de la directive.
- Plateforme IdO A.02
- Capteur IdO
- Infrastructure réseau I.02.1
○ Wi-Fi public (réseau internet)
○ Réseau – Équipement réseau
- Infrastructure réseau Wi-Fi public I.02.3
4. Directive sur les réseaux et les systèmes d'information (NIS2)
4.1.1. Quand est-ce que cela est amorcer ?
Le but de cette loi4 est d'atteindre un niveau commun élevé de cybersécurité dans l'ensemble de l'Union. La fourniture et la continuité des services, des fonctions et des opérations critiques basés de plus en plus sur des ressources numériques et le stockage d'informations sensibles sur celles-ci, il est devenu essentiel de maintenir un niveau de sécurité standard dans les systèmes d'information en réseau et leur environnement physique.
La norme NIS 2 contient des exigences strictes pour un large éventail d'acteurs en matière de gestion des risques de cybersécurité, dont des mesures techniques, opérationnelles et organisationnelles afin de gérer les risques posés à la sécurité des réseaux et des systèmes d'information, ainsi que des exigences de notification des incidents concernant les incidents de cybersécurité.
4.1.2. À qui cela s'applique-t-il ?
La loi introduit les notions d'entités essentielles et d'entités importantes. Les États membres devront en établir la liste d'ici le 17 avril 2025. Il s'agit d'entités relevant des secteurs suivants :
● Entités essentielles (catégorie 1) : énergie ; transport ; banque ; infrastructures des marchés financiers ; santé ; eau potable ; eaux usées ; infrastructures numériques ; gestion des services TIC (des technologies de l'information et de la communication) ; administration publique ; espace.
● Entités importantes (catégorie 2) : services postaux et de messagerie ; gestion des déchets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution de produits alimentaires ; fabrication ; fournisseurs numériques ; recherche.
Il est important de souligner que la législation désigne le secteur de l'administration publique comme une « entité essentielle ». Concrètement, elle indique que :
- Cette loi s’applique à « une entité d’administration publique au niveau régional telle que définie par un État membre conformément au droit national qui fournit des services dont la perturbation pourrait avoir un impact significatif sur des activités sociétales ou économiques critiques, sur base d’une évaluation axée sur les risques ».
- Les États membres peuvent prévoir que la présente directive s'applique aux administrations publiques locales. Cela dépend des choix nationaux effectués par chaque État membre lors de la traduction de la directive dans son droit national.
4.1.3. Chronologie
La directive NIS 2 est entrée en vigueur en janvier 2023 et doit être transposée par tous les États membres de l’UE dans leur législation nationale avant le 17 octobre 2024.
4.2. Des exigences légales aux caractéristiques techniques des appels d'offres
4.2.1. Exigences pour les candidats à un appel d'offres
Les exigences fondamentales de cette directive découlent des articles 21 et 23 concernant les fournisseurs de produits et services numériques.
L'article 21 prévoit les exigences fondamentales applicables aux fournisseurs de produits et services numériques et à leurs opérateurs. Il établit une liste de mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques pesant sur la sécurité des réseaux et des systèmes d'information et sur l'environnement physique de ces systèmes :
● Politiques d'analyse des risques et de sécurité des systèmes d'information. Les fournisseurs doivent adopter une approche structurée pour identifier, évaluer et gérer les risques posés sur leurs systèmes d'information.
● Politiques et mécanismes de gestion des incidents conformes aux exigences de l’article 23 ; l'article 23 détaille les obligations de notification concernant les incidents de cybersécurité. Par conséquent, les organisations doivent signaler l'incident à leur équipe de réponse aux incidents de sécurité informatique (Computer Security Incident Response Team, CSIRT) ou à leur autorité nationale dans les 24 heures suivant la prise de connaissance de l'incident, suivi d'un rapport final dans un délai d'un mois.
● La continuité des activités. Plus précisément :
○ La sauvegarde régulière des données et des systèmes critiques pour garantir leur restauration après un incident.
○ Élaborer des plans pour récupérer et restaurer les opérations après des perturbations majeures (cyberattaques, pannes, par exemple).
○ Décrire les protocoles de réponse aux crises, dont les rôles et les responsabilités, les stratégies de communication et les processus de prise de décision.
● La sécurité de la chaîne d’approvisionnement, dont les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services ;
● La sécurité de l'approvisionnement, du développement et de la maintenance des réseaux et des systèmes d'information, dont la vulnérabilité ;
○ La sécurité doit être intégrée dans la conception, le développement et la maintenance des systèmes et des applications.
○ Les systèmes doivent être régulièrement analysés pour détecter les vulnérabilités et des correctifs ou des mises à jour doivent être mis en œuvre pour résoudre les problèmes de vulnérabilités
○ Des pratiques de développement sécurisées doivent être adoptées, telles que des revues de code, des tests de pénétration et le respect des normes de l’industrie.
● Les politiques et des procédures visant à évaluer l'efficacité des mesures de gestion des risques de cybersécurité, telles que la mise en œuvre d'audits, d'examens et d'évaluations réguliers. L’utilisation d'outils tels que les tests d'intrusion, les évaluations de vulnérabilité et les simulations de réponse aux incidents pour valider l'état de préparation.
● Les pratiques de base en cybersécurité et la formation en cybersécurité : La cybersécurité consiste en des mesures de sécurité simples et essentielles, telles que des mots de passe forts, des mises à jour régulières et un logiciel antivirus. La formation comprend des formations sur l'identification des attaques de phishing, la gestion sécurisée des données et le signalement des incidents afin de développer une culture de cybersécurité.
● Les politiques et les procédures concernant l’utilisation de la cryptographie et, le cas échéant, du cryptage ; et les occasions où elle est applicable et méthodes.
● La sécurité des ressources humaines, les politiques de contrôle d'accès et la gestion des actifs. La vérification des antécédents des employés occupant des postes sensibles et la formation à la cybersécurité. Les politiques de contrôle d'accès, telles que le contrôle d'accès basé sur les rôles (Role-Based Access Control, RBAC), garantissent que les employés ont uniquement accès aux systèmes ou aux données nécessaires à leurs fonctions. Tenir un inventaire de tous les actifs matériels, les logiciels et les données, dont leur propriété et leur classification de sécurité.
● L'utilisation de l'authentification multifactorielle (plusieurs facteurs de vérification, mot de passe et biométrie par exemple) ou de solutions d'authentification continue qui surveillent le comportement de l'utilisateur (= les modèles de frappe et la localisation par exemple), les communications vocales, vidéo et textuelles sécurisées et les systèmes de communication d'urgence sécurisés.
Le Règlement d'exécution (UE) 2024/2690 de la Commission5portant sur les exigences techniques et méthodologiques des mesures de gestion des risques de cybersécurité du NIS2 offre des éclaircissements et des explications supplémentaires sur ce que devraient être les mesures ci-dessus pour les soumissionnaires ainsi que des étapes pratiques ou des exemples de conformité.
Pour démontrer leur conformité, chaque État membre peut exiger que certains produits ou services soient certifiés selon des systèmes de certification spécifiques en vertu de la loi sur la cybersécurité (article 24 NIS2). La loi sur la cybersécurité6 appliquée à l'UE qui établit un cadre pour la mise en place de systèmes européens de certification de cybersécurité afin de garantir un niveau adéquat de cybersécurité pour les produits, services et processus TIC et d'éviter la fragmentation des systèmes de certification de cybersécurité au sein de l'Union. Il existe quelques systèmes nationaux de cybersécurité, mais aucun cadre commun n'existe entre les États membres. Les nouveaux systèmes européens de certification de cybersécurité remplacent les systèmes nationaux de certification de cybersécurité au cas où leurs champs d'application se chevauchent.
Chaque système européen comprend les catégories de produits et services couverts, les exigences de cybersécurité (telles que les normes ou les caractéristiques techniques), le type d’évaluation (comme l’auto-évaluation ou l’évaluation par un tiers) et le niveau d’assurance prévu.
Actuellement, il n'existe qu'un seul système publié au niveau de l'UE : le Système de Critères Communs (EUCC) (remplaçant l'ancien cadre d'évaluation des critères communs SOG-IS) et deux autres sont en cours d'élaboration : le Système européen de certification des services sur le cloud (EUCS) et le système européen de certification de cybersécurité pour la 5G. Vous pouvez consulter les systèmes de certification en cours d'élaboration ou publiés sur le site internet de l'Agence de l’Union européenne pour la cybersécurité (European Union Agency for Cybersecurity, ENISA).
4.2.2. Objets pertinents de l'approvisionnement et modèles d'approvisionnement
Cette exigence légale s'applique à tous les objets d’approvisionnement et modèles. Pour garantir la cybersécurité du jumeau numérique local, tous les composants (et donc objets d’approvisionnement) nécessaires à sa mise en œuvre devront respecter les normes de cybersécurité, qu'il s'agisse de logiciels, de middleware ou de matériel.
Les autorités contractantes doivent donc évaluer et prendre en compte la qualité et la résilience globales des produits et services numériques qu'ils souhaitent acquérir. Ils doivent également évaluer l'existence de mesures adéquates de gestion des risques de cybersécurité intégrées à ces produits et services, ainsi que les pratiques de cybersécurité de leurs fournisseurs et prestataires de services, afin de garantir la cybersécurité de l'ensemble de la chaîne d'approvisionnement dont est issu le jumeau numérique local ou toute autre application technologique, et de limiter les risques d'effets en cascade d'incidents de cybersécurité, malveillants ou non.
5. Directive sur les équipements radio (Radio Equipment Directive, RED )
5.1.1. Quand cette directive est-elle mise en oeuvre ?
La RED7 établit un cadre réglementaire pour la mise sur le marché des équipements radio. Il fixe les exigences essentielles en matière de sécurité et de santé, de compatibilité électromagnétique et d'utilisation efficace du spectre radioélectrique. Il inclut des caractéristiques techniques et des exigences en matière de protection de la vie privée, des données personnelles et de lutte contre la fraude. De plus, des aspects supplémentaires sur l'interopérabilité, l'accès aux services d'urgence et la conformité concernant la combinaison des équipements radio et des logiciels existent.
Tel que défini à l'article 2 de la directive, un « équipement radio » désigne un produit électrique ou électronique qui émet et/ou reçoit intentionnellement des ondes radio. Cela concerne les smartphones, les ordinateurs portables, les casques sans fil, les drones, les caméras sans fil et les capteurs sans fil par exemple.
5.1.2. À qui cela s'applique-t-il ?
La directive s'applique aux fabricants, aux mandataires, aux importateurs, aux distributeurs ou aux opérateurs économiques d'équipements radioélectriques mis à disposition ou mis sur le marché de l'UE. Ces acteurs devront se conformer à toutes les obligations procédurales prévues par la loi concernant le marquage CE, la documentation technique et les évaluations de conformité.
Si une autorité contractante souhaite acheter des appareils connectés à internet, il doit évaluer si les fournisseurs de ces équipements respectent les exigences fixées dans la présente directive.
5.1.3. Chronologie
La directive sur les équipements radioélectriques est entrée en vigueur en 2014. En 2021, la Commission a complété la loi8 avec une extension des exigences de cybersécurité pour les appareils connectés à internet et les appareils et produits portables disponibles sur le marché de l'UE.
En 2022, le Parlement européen et le Conseil ont signé un amendement à la directive qui a introduit l’obligation d’être équipés d’un port USB de type C pour tous les appareils électroniques.
5.2. Des exigences légales aux caractéristiques techniques des appels d'offres
5.2.1. Exigences pour les candidats à un appel d'offres
La directive RED vise à garantir la sécurité, la compatibilité électromagnétique (CEM ou electromagnetic compatibility, EMC) et l'utilisation efficace du spectre radioélectrique, tout en abordant des aspects spécifiques supplémentaires tels que la cybersécurité. Elle répond aux préoccupations émergentes en matière de sécurité et de confidentialité des appareils connectés.
Les principales exigences sont entre autres :
● Sécurité : les appareils connectés doivent être conformes aux exigences générales de sécurité décrites à l’article 3 (1)(a), garantissant leur sécurité pour les utilisateurs et l’absence de danger.
● Compatibilité électromagnétique (CEM) : l'article 3 (1)(b) stipule que les équipements sans fil ne peuvent pas interférer avec d'autres appareils et doivent fonctionner correctement en présence de perturbations électromagnétiques.
● Utilisation efficace du spectre radioélectrique : l’article 3 (2) exige que les équipements sans fil utilisent le spectre de manière efficace pour éviter toute interférence nuisible avec d’autres appareils.
● Interopérabilité et accessibilité : les dispositions facultatives de l’article 3 (3) permettent de réglementer des fonctionnalités telles que l’interopérabilité, la protection des données et l’accessibilité des utilisateurs.
● Tests de conformité : les fabricants doivent effectuer des évaluations de conformité pour garantir la conformité aux exigences RED avant de commercialiser des produits.
Adopté en vertu de la directive RED, le règlement délégué (UE) 2022/30 de la Commission ajoute des exigences spécifiques en matière de cybersécurité pour certaines catégories d'équipements radio, notamment les appareils IdO. Il répond aux préoccupations nouvelles en matière de sécurité et de confidentialité des appareils connectés.
Ajouts pertinents :
● Protection du réseau :
○ Les appareils doivent offrir des mesures de protection contre les accès non autorisés ou les falsifications (empêcher le piratage ou les attaques à distance sur les capteurs IoT, par exemple).
○ Assurer l’intégrité des données et la résistance aux perturbations dans les environnements en réseau.
● Protection des données :
○ Les appareils IoT doivent prévoir des mesures pour protéger les données personnelles conformément au RGPD (par cryptage et transmission sécurisée des données, par exemple).
○ Dont la garantie de protocoles de stockage et de transmission de données sécurisés pour protéger la confidentialité des utilisateurs.
● Prévention de la fraude :
○ Le règlement met l’accent sur la prévention de l’utilisation abusive des appareils, comme l’utilisation non autorisée ou la fraude due à la vulnérabilité en matière de sécurité.
● Portée :
○ Ces mesures de cybersécurité s'appliquent aux appareils IdO avec communication directe ou indirecte sur internet (les capteurs domestiques intelligents, les appareils portables et les appareils IdO industriels, par exemple).
5.2.2. Objets pertinents de l'approvisionnement et modèles d'approvisionnement
Note au lecteur : Vous disposerez de liens vers les modèles d’approvisionnement associés pour chaque objet d’approvisionnement dans la version de la directive sur internet.
- Capteurs IdO
- Infrastructure de réseau Wi-Fi public
- Réseau
- Outil de surveillance du réseau
- Matériel d'infrastructure de capacité du réseau
6. Directive sur la résilience des entités critiques (Resilience of Critical Entities, CER)
6.1.1. Quand est-ce que cette résilience est amorcée ?
La directive9 établit les exigences suivantes :
● Les États membres devraient identifier les entités critiques et les aider à respecter les obligations qui leur sont imposées ;
● Obligations pour les entités critiques visant à renforcer leur résilience et leur capacité à fournir des services essentiels ;
● Mesures visant à atteindre un niveau élevé de résilience des entités critiques afin de garantir la fourniture de services essentiels au sein de l’Union et d’améliorer le fonctionnement du marché intérieur.
6.1.2. À qui cela s'applique-t-il ?
« Entités critiques » désigne les entités publiques ou privées identifiées par un État membre. Les secteurs concernés sont l'énergie, les transports, la banque, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux usées, les infrastructures numériques, l'administration publique, l'espace, ainsi que la production, la transformation et la distribution de denrées alimentaires.
Parmi les secteurs couverts par la directive, l'annexe identifie les « entités de l'administration publique des gouvernements centraux telles que définies par les États membres conformément au droit national ». Une autorité contractante locale pourrait ne pas mentionner de cette catégorie, mais de toute autre catégorie lorsqu'une entité publique locale gère les eaux usées et est identifiée comme une entité critique par son État membre, par exemple. Cela étant dit, les fournisseurs des autorités contractantes offrant des services et produits numériques essentiels au fonctionnement, à la surveillance ou au contrôle de services critiques (dans les secteurs de l'énergie, de la santé, des transports ou des infrastructures numériques, entre autres visés par la directive, par exemple) doivent se conformer aux exigences fixées par la présente directive si elles peuvent être considérés comme des infrastructures critiques.
Cela concerne les infrastructures physiques mais aussi les logiciels sur lesquels les infrastructures physiques critiques s’appuient pour fonctionner correctement.
Dans un acte complémentaire10, la Commission établit une liste indicative des types de services essentiels au maintien et au bon fonctionnement des activités sociétales ou économiques vitales et dont la résilience devrait être renforcée comme la directive le prévoit.
6.1.3. Chronologie
La directive est entrée en vigueur le 16 janvier 2023. Au plus tard le 17 octobre 2024, les États membres adoptent et publient les mesures nécessaires pour s'y conformer. Ils en informent immédiatement la Commission et appliquent ces mesures à compter du 18 octobre 2024.
Avant le 17 janvier 2026, chaque État membre adopte une stratégie visant à renforcer la résilience des entités critiques (la « stratégie »). Les États membres devront identifier les entités critiques pour les secteurs définis dans la directive CER avant le 17 juillet 2026. Ils utiliseront cette liste de services essentiels pour réaliser l’évaluation des risques, puis identifier les entités critiques. Une fois identifiées, ces entités doivent prendre des mesures pour renforcer leur résilience.
Au plus tard le 17 juillet 2027, la Commission soumet un rapport évaluant dans quelle mesure chaque État membre a pris les mesures nécessaires pour se conformer à la présente directive au Parlement européen et au Conseil.
6.2. Des exigences légales aux caractéristiques techniques des appels d'offres
6.2.1. Exigences pour les candidats à un appel d'offres
Certaines mesures que les entités critiques devront adopter pour devenir plus résilientes sont énumérées à l’article 13 de la directive :
● Prévenir les incidents en tenant dûment compte des mesures de réduction des risques de catastrophe et d’adaptation au changement climatique ;
● Assurer une protection physique adéquate de leurs locaux et infrastructures critiques, en tenant dûment compte des clôtures, des barrières, des outils et des routines de surveillance du périmètre, des équipements de détection et des contrôles d’accès, par exemple ;
● Réagir et résister aux conséquences des incidents et les atténuer, en tenant dûment compte de la mise en œuvre de procédures et de protocoles de gestion des risques et des crises et de routines d’alerte ;
● Surmonter les incidents, en tenant dûment compte des mesures de continuité des activités et de l’identification de chaînes d’approvisionnement alternatives afin de reprendre la fourniture du service essentiel ;
● Garantir une gestion adéquate de la sécurité des employés, en tenant dûment compte de mesures telles que la définition des catégories de personnel exerçant des fonctions critiques, l'établissement de droits d'accès aux locaux, aux infrastructures critiques et aux informations sensibles, la mise en place de procédures de vérification des antécédents conformément à l'article 14 et la désignation des catégories de personnes soumises à ces vérifications, ainsi que la définition d'exigences de formation et de qualifications appropriées. Les entités critiques doivent tenir compte du personnel des prestataires de services externes lors de la définition des catégories de personnel exerçant des fonctions critiques.
● Sensibiliser le personnel concerné aux mesures mentionnées ci-dessus, en tenant dûment compte des cours de formation, des supports d’information et des exercices.
Le cas échéant, une entité critique peut soit être l’autorité contractante, devant se conformer aux exigences de la directive en effectuant une vérification diligente de ses fournisseurs, soit les fournisseurs eux-mêmes responsables de l'exploitation, de la fourniture ou de la maintenance du service considérés comme critique et sur lequel l’autorité contractante dispose d'un pouvoir décisionnel (sur la sélection des fournisseurs et le déroulement des opérations). Dans tous les cas, ces exigences doivent être incluses dans le processus d’approvisionnement pour les soumissionnaires potentiels.
Vous trouverez de plus amples informations sur la résilience des infrastructures critiques et leur réglementation à ce sujet sur le site officiel de la Commission européenne - lien.
6.2.2. Objets pertinents de l'approvisionnement et modèles d'approvisionnement
Note au lecteur : Vous trouverez des liens vers les modèles d’approvisionnement associés pour chaque objet d’approvisionnement dans la version internet de la directive.
- Infrastructure de réseau Wi-Fi public
- Réseau
- Outil de surveillance du réseau
- Matériel d'infrastructure de capacité réseau
- Services de développement et/ou de maintenance d'applications de plateformes IdO.
- Outil de gestion informatique automatique sur le site,
- Outil de mesures informatiques sur le site
- Outil de provisionnement et de nettoyage informatique sur le site
- Outil de gestion automatique du stockage sur le site,
- Outil de provisionnement et de nettoyage du stockage sur le site
- Outils avancés du cloud computing,
- Outil de gestion automatique du cloud computing
- Outil de mesures du cloud computing
- Outil de provisionnement et de nettoyage du cloud computing
- Outil de gestion automatique du stockage sur le cloud
- Outils d’approvisionnement et de nettoyage du stockage sur le cloud
- Service de connexion au cloud (SaaS)
- Service de connexion au cloud (PaaS)
- Service de connexion au cloud (IaaS)
- Plateforme axée sur l’utilisateur
- Services de développement et/ou de maintenance d'applications logicielles middleware
7. Directive sur les données ouvertes
7.1.1. Quand est-ce que cela est amorcé ?
La présente directive établit le cadre juridique de la réutilisation des informations du secteur public, telles que les informations géographiques, cadastrales, statistiques ou juridiques détenues par des organismes ou des entreprises publiques, ainsi que des données de recherche financées par des fonds publics. Cette dernière est axée sur les données ouvertes, c'est-à-dire les données librement accessibles, exploitables, modifiables et partagées par tous, à toutes fins. Elle est pertinente lorsque les informations traitées par l'objet du marché sont ouvertes, comme dans les exemples ci-dessus (à l'exclusion donc des informations non confidentielles, non personnelles, non soumises à une autre confidentialité ou à une quelconque restriction commerciale).
Les données ouvertes générées ou détenues par les entités gouvernementales jouent un rôle essentiel dans l'enrichissement de la disponibilité des données au sein des espaces de données européens communs. Elles améliorent la qualité et l'interopérabilité des données et facilitent leur réutilisation transfrontalière. La disponibilité de ces données diversifiées permet également d'obtenir des informations intersectorielles et de relever plus efficacement des défis complexes et d’interconnexion.
La directive encourage l'utilisation de données ouvertes (données présentées dans des formats ouverts que les individus peuvent utiliser et partager librement peu importe dans quel objectif). Les organismes et entreprises publics doivent mettre leurs documents à disposition dans tout format ou langue préexistants et, le cas échéant, par voie électronique dans des formats ouverts, lisibles par machine, accessibles, trouvables et réutilisables, accompagnés de leurs métadonnées. Les documents doivent être réutilisables à des fins commerciales ou non commerciales.
7.1.2. À qui cela s'applique-t-il ?
Aux organismes du secteur public, aux organismes de droit public et aux entreprises publiques11. Conformément à l'article 2, il s'agit d'autorités étatiques, régionales ou locales de droit public (ou de groupements de celles-ci).
7.1.3. Chronologie
La directive sur les données ouvertes est entrée en vigueur le 16 juillet 2019 et doit être transposée dans la législation nationale par les États membres avant le 17 juillet 2021.
Au plus tôt le 17 juillet 2025, la Commission européenne évalue la directive et soumet un rapport contenant ses conclusions au Parlement européen, au Conseil et au Comité économique et social européens.
7.2. Des exigences légales aux caractéristiques techniques des appels d'offres
7.2.1. Exigences pour les candidats à un appel d'offres
La directive sur les données ouvertes exige que l'AC adhère aux exigences suivantes qui doivent figurer lors de l'approvisionnement des outils et des composants nécessaires :
● Les outils doivent garantir que les données peuvent être stockées et partagées dans des formats lisibles par machine (CSV, JSON, XML, par exemple).
● Les outils doivent privilégier la compatibilité avec les normes ouvertes pour éviter le verrouillage des fournisseurs et favoriser la réutilisation des données.
● Les outils doivent soutenir la création et la maintenance de métadonnées pour aider à cataloguer et décrire les ensembles de données pour l’accès public.
● Tout outil utilisé pour traiter les données du secteur public doit faciliter la documentation et la transparence, garantissant le respect des principes de responsabilité et d’ouverture.
Vous trouverez de plus amples informations sur la législation européenne relative aux données ouvertes à ce sujet sur le site officiel de la Commission européenne - lien.
7.2.2. Objets pertinents de l'approvisionnement et modèles d'approvisionnement
Note au lecteur : Vous trouverez des liens vers les modèles d’approvisionnement associés pour chaque objet d’approvisionnement dans la version internet de la directive.
- Outil d'analyse de données,
- Outil d'analyse de données pour la modélisation 3D,
- Outil de sauvegarde de données,
- Outil de gouvernance des données,
- Modèles de prédiction et de simulation de données,
- Outils de collecte de données en temps réel,
- Intergiciel
8. Loi sur les données
8.1.1. Quand est-ce que cela est amorcé ?
L'objectif de la loi sur les données12 est de réguler les données obtenues ou générées par les appareils (intelligents) connectés à l'internet des objets et de clarifier qui peut créer de la valeur à partir de cette quantité croissante de données et dans quelles conditions. Elle vise à faciliter le transfert fluide de données précieuses entre les détenteurs de données 13et les utilisateurs des données, tout en préservant leur confidentialité. Elle définit les règles et les modalités contractuelles d'accès et d'utilisation des données générées par les produits connectés et les services associés.
La loi sur les données établit des règles harmonisées, entre autres, sur :
● la mise à disposition des données du produit et des données du service associé à l'utilisateur du produit connecté ou du service associé (internet des objets) ;
● la mise à disposition des données par les détenteurs de données aux destinataires des données ;
● la mise à disposition de données par les détenteurs de données aux organismes du secteur public, à la Commission, à la Banque centrale européenne et aux organismes de l'Union, lorsqu'ils ont exceptionnellement besoin de ces données pour l'exécution d'une mission spécifique effectuée dans l'intérêt public ;
● faciliter la commutation entre les services de traitement de données ;
● introduire des garanties contre l’accès illégal de tiers à des données non personnelles ; et
● le développement de normes d’interopérabilité pour l’accès, le transfert et l’utilisation des données.
La Commission élaborera également des clauses contractuelles types pour aider les acteurs du marché à rédiger et à négocier des contrats de partage de données équitables. Les articles 33 à 36 établissent les exigences essentielles à respecter pour garantir l'interopérabilité des données.
8.1.2. À qui cela s'applique-t-il ?
Fabricants de produits ou de fournisseurs de services connectés à l'IdO, détenteurs de données et services de traitement de données (=l’informatique en nuage et de périphérie, par exemple).
8.1.3. Chronologie
La loi sur les données est entrée en vigueur le 11 janvier 2024 et sera applicable à partir de septembre 2025.
8.2. Des exigences légales aux caractéristiques techniques des appels d'offres
8.2.1. Exigences pour les candidats à un appel d'offres
Les soumissionnaires tels que les détenteurs de données (fabricants ou fournisseurs de produits IdO ou de services connexes qui traitent des données issues de l'utilisation d'appareils IdO) doivent respecter les mesures suivantes (liste indicative prévue par la loi) :
● Les données concernées doivent être accessibles (si ce n'est pas possible, disponibles sur demande) aux utilisateurs (particuliers et entreprises) ainsi que les informations associées, concernant la nature et le volume des données, la manière dont l'utilisateur peut y accéder, etc. par exemple.
● Les détenteurs de données peuvent utiliser les données uniquement en accord avec l'utilisateur, tandis que les utilisateurs ne peuvent pas utiliser les données pour créer un produit concurrent ou divulguer des secrets commerciaux.
● Sur instruction de l'utilisateur, le titulaire des données doit partager les données concernées avec des tiers selon le choix de l'utilisateur.
Elle impose aux entreprises possédant des données issues d'appareils connectés de les mettre à la disposition des organismes du secteur public et des institutions, agences ou organismes de l'Union en cas de besoin exceptionnel (crise sanitaire, inondation, incendie de forêt, par exemple) ou pour accomplir une mission d'intérêt public spécifique explicitement prévue par la loi, si les données ne sont pas disponibles par ailleurs. Elle établit les circonstances dans lesquelles un besoin exceptionnel existe ainsi que les conditions et le contenu de la demande concernée.
Outre ce qui concerne les soumissionnaires qui proposent des services de traitement de données, les obligations suivantes sont concernées :
● cela les oblige à supprimer les obstacles commerciaux, techniques, contractuels et organisationnels qui empêchent un client de passer d'un même type de service à un autre parmi différents fournisseurs de services (résiliation facile du contrat, transférabilité directe des données vers de nouveaux fournisseurs de services, élimination progressive des coûts de changement de fournisseur, équivalence fonctionnelle dans l'environnement informatique du nouveau fournisseur, compatibilité avec les normes ouvertes, par exemple)
● Elle restreint les transferts internationaux ou l’accès des gouvernements non européens aux données non personnelles détenues dans l’Union par les services de traitement de données, lorsque ce transfert peut entrer en conflit avec le droit de l’Union ou le droit national.
La loi fixe également des exigences d’interopérabilité dans les articles 33 à 36 :
● Faciliter les données, les mécanismes de partage de données et les services auxquels les opérateurs d’espaces de données européens communs doivent se conformer.
● En établissant des spécifications d’interopérabilité ouvertes et des normes ouvertes pour l’interopérabilité, la transférabilité des actifs numériques et l’équivalence fonctionnelle entre différents fournisseurs de services de traitement de données du même type de services, dont les exigences essentielles pour les contrats intelligents dans le cadre des accords de partage de données concernant les services de traitement de données.
8.2.2. Objets pertinents de l'approvisionnement et modèles d'approvisionnement
Note au lecteur : Vous trouverez des liens vers les modèles d’approvisionnement associés pour chaque objet d’approvisionnement dans la version internet de la directive.
- Capteurs IdO
- Outil d'analyse de données (services de modélisation 3D),
- Outil de collecte de données en temps réel
- Outil de sauvegarde de données
- Modèles de prédiction et de simulation de données
- Outil d'analyse de données en temps réel
- Service de connexion au cloud (SaaS)
- Service de connexion au cloud (IaaS)
- Plateforme axée sur l’utilisateur
- Services de développement et/ou de maintenance d'applications logicielles middleware
9. Loi sur l'intelligence artificielle
9.1.1. Quand est-ce que cela est amorcé ?
La loi sur l'intelligence artificielle (AI Act) récemment publiée14 par l'Union européenne vise à réglementer l'intelligence artificielle (IA) afin de garantir la sécurité, la transparence et la protection des droits fondamentaux. Ce règlement a un impact sur les organisations privées et publiques opérant au sein de l'UE. La loi sur l'IA s'applique aux fournisseurs et aux utilisateurs de systèmes d'IA15 au sein de l'UE, ainsi que dans l'UE, si les systèmes d'IA affectent des personnes au sein de l'UE, dont les organismes du secteur public déployant des systèmes d'IA dans le cadre de leurs activités.
Des algorithmes simples aux modèles complexes d'apprentissage automatique, elle couvre un large éventail de systèmes d'IA. Elle classe les systèmes d'IA selon des niveaux de risque : inacceptable, élevé, limité et minimal. Chaque catégorie est soumise à des exigences et obligations spécifiques.
9.1.2. À qui cela s'applique-t-il ?
Le présent règlement s'applique à :
● Les fournisseurs qui mettent sur le marché ou mettent en service des systèmes d’IA ou qui mettent sur le marché des modèles d’IA à usage général dans l’Union, que ces fournisseurs soient établis ou situés dans l’Union ou dans un pays tiers ;
● Les déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans l’Union ;
● Les fournisseurs et déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans un pays tiers, où les résultats produits par le système d’IA sont utilisés dans l’Union ;
● Les importateurs et les distributeurs de systèmes d’IA ;
● Les fabricants de produits mettant sur le marché ou mettant en service un système d’IA avec leur produit et sous leur propre nom ou marque ;
● Représentants autorisés des prestataires qui ne sont pas établis dans l’Union ;
● Personnes concernées qui se trouvent dans l’Union.
Les exceptions et dispositions plus spécifiques concernant l’applicabilité de la loi sont prévues par l’article 2 de la loi.
9.1.3. Chronologie
Le règlement est entré en vigueur le 2 août 2024, mais son applicabilité générale commence le 2 août 2026. Néanmoins, certaines dispositions particulières du règlement ont une date d'entrée en vigueur différente :
● Les interdictions, ainsi que les dispositions générales du présent règlement (chapitres I et II), s'appliquent déjà à compter du 2 février 2025.
● Les dispositions relatives aux organismes notifiés, à la structure de gouvernance, aux sanctions et aux obligations des fournisseurs de modèles d'IA à usage général s'appliquent à compter du 2 août 2025 (chapitre III section 4, chapitre V, chapitre VII et chapitre XII et article 78 à l'exception de l'article 101).
● Les dispositions relatives à la classification des systèmes d’IA et aux obligations correspondantes du présent règlement s’appliquent à compter du 2 août 2027 (article 6 (1)).
Afin de faciliter la transition pendant la période de mise en œuvre de la loi, la Commission a lancé le Pacte « IA », une initiative volontaire pour les développeurs d'IA dans l'UE désireux de se conformer au préalable aux obligations pertinentes de la loi sur l'IA.
9.2. Des exigences légales aux caractéristiques techniques des appels d'offres
9.2.1. Exigences pour les candidats à un appel d'offres
Différentes règles, exigences et conditions s’appliquent selon la catégorie de système d’IA à mettre en service ou à mettre sur le marché :
● Systèmes d'IA soumis à un risque inacceptable Les utilisations délétères de l’IA contraires aux valeurs de l’UE (telles que la notation sociale par les gouvernements ou les systèmes déployant des techniques subliminales, manipulatrices ou trompeuses pour influencer le comportement) sont interdites conformément à l’article 5 de la loi sur l’IA en raison du risque inacceptable qu’elles posent.
● Systèmes d'IA à haut risque Un certain nombre de systèmes d'IA (énumérés à l'annexe III) ayant un impact négatif sur la sécurité des personnes ou leurs droits fondamentaux sont considérés comme à haut risque. Afin de garantir la confiance et un niveau élevé et constant de protection de la sécurité et des droits fondamentaux, une série d'exigences obligatoires (dont une évaluation de la conformité) s'appliqueront à tous les systèmes à haut risque. Les fournisseurs de systèmes d'IA à haut risque doivent réaliser des évaluations complètes des risques, documenter les détails du système et s'enregistrer auprès des autorités, garantissant ainsi la conformité réglementaire, la transparence et l'atténuation des impacts négatifs.
Cette catégorie de systèmes d'IA est soumise à des exigences en matière de systèmes de gestion des risques (article 9), d'ensembles de données de haute qualité et de gouvernance des données (article 10), de documentation technique détaillée (article 11), de tenue de registres (article 12), de transparence (article 13), de supervision humaine (article 14), d'exactitude, de robustesse et de cybersécurité (article 15), et d'évaluation de la conformité (articles 43 à 48). De plus, ces systèmes devront être enregistrés dans un registre public avant d'être mis sur le marché ou mis en service (article 49). Ces exigences sont définies au chapitre III de la loi sur l'IA.
Il est important de souligner l’obligation des déployeurs, qui sont des organismes de droit public ou des entités privées offrant des services publics, de procéder à une évaluation de l’impact sur les droits fondamentaux conformément aux exigences énumérées à l’article 27.
Le Bureau de l’IA (Commission européenne) élaborera un modèle de questionnaire, comprenant un outil automatisé pour faciliter le respect de cette exigence.
● Systèmes d'IA à risque limité Certains systèmes d'IA, comme les chatbots, seront soumis à un ensemble limité d'obligations (transparence, supervision humaine, exactitude, par exemple) prévues au chapitre IV (article 50). À cet égard, les fournisseurs sont tenus de divulguer les fonctionnalités, les processus décisionnels et les risques des systèmes d'IA afin de garantir la confiance des utilisateurs et la surveillance réglementaire. En termes de transparence, il convient de garantir que les « systèmes d'IA destinés à interagir directement avec des personnes physiques sont conçus et développés afin que les personnes physiques concernées soient informées qu'elles interagissent avec un système d'IA, à moins que cela ne soit évident du point de vue d'une personne physique raisonnablement informée, attentive et avisée, compte tenu des circonstances et du contexte d'utilisation ».
● Modèles d'IA à usage général.16 Réglementé au chapitre V de la loi, le règlement établit une distinction entre les modèles d'IA à usage général (IAUG) et les modèles d'IAUG présentant des risques systémiques lorsque les conditions de l'article 51 sont remplies. Les obligations des fournisseurs des premiers sont prévues par l'article 53 et celles des seconds à l'article 55.
Par ailleurs, afin de garantir la bonne application des exigences définies pour les modèles GPAI (modèles d'IA à usage général), le Bureau de l'IA facilitera l'élaboration de codes de bonnes pratiques au niveau de l'UE. À cet égard, le premier Code de bonnes pratiques pour l'IA à usage général détaillera les règles de la loi sur l'IA applicables aux fournisseurs de modèles d'IA à usage général et de modèles d'IA à usage général présentant des risques systémiques. Le premier jet a déjà été publié le 14 novembre 2024.
Parallèlement au processus du Code de bonnes pratiques, le Bureau de l’IA élabore également un modèle sur le résumé suffisamment détaillé des données de formation que les fournisseurs de modèles d’IA à usage général sont tenus de rendre publiques conformément à l’article 53 (1) d) de la loi sur l’IA.
● Systèmes d'IA à risque minimal Tous les autres systèmes d'IA peuvent être développés et utilisés dans l'UE sans obligations légales supplémentaires par rapport à la législation existante. Les filtres antispam en sont un exemple.
9.2.2. Objets pertinents de l'approvisionnement et modèles d'approvisionnement
Comme indiqué dans la directive sur l’IA-ML (Machine Learning ou apprentissage automatique en français), les technologies d’IA/AA ont de nombreuses applications dans les initiatives de villes intelligentes, notamment la maintenance prédictive, l’optimisation des transports, la gestion des ressources et l’engagement des citoyens.
À cet égard, les objets d’approvisionnement tels que les modèles de prédiction et de simulation de données ou les outils de collecte de données en temps réel peuvent nécessiter des technologies d'IA/AA pour fonctionner. Par conséquent, outre toute autre législation numérique de l'UE applicable à ces objets d’approvisionnement (le RGPD ou la directive NIS 2, par exemple), il sera nécessaire d'intégrer les exigences découlant de la loi sur l'IA. Selon le cas d'utilisation concret et les caractéristiques du système d'IA à acquérir, différentes exigences s'appliquent, comme indiqué ci-dessus.
Quelle que soit la catégorie, il est important de toujours garder à l’esprit les principes fondamentaux de transparence, d’explicabilité, d’exactitude, de robustesse, de surveillance humaine, d’équité et de responsabilité, ainsi que de garantir une utilisation de l’IA responsable et centrée sur l’humain.
9.2.3. Matériel de base
● Commission européenne, Living-in.EU et Big Buyers Working Together, clauses contractuelles types de l'UE relatives à l'IA pour les systèmes d'IA à haut risque et non à haut risque – ici.
● Commission européenne, Bureau de l'IA, Modèles d'IA à usage général dans la loi sur l'IA – Questions et réponses – ici.
● Groupe d'experts de haut niveau sur l'intelligence artificielle de la Commission européenne, « Directives éthiques pour une IA digne de confiance » (2019) – ici
● Agence des droits fondamentaux de l'Union européenne, « Préparer l'avenir. Intelligence artificielle et droits fondamentaux » (2020) – ici
● Agence des droits fondamentaux de l'Union européenne, « #BigData : Discrimination dans la prise de décision fondée sur les données » (2018) – ici
● Agence des droits fondamentaux de l'Union européenne, « Qualité des données et intelligence artificielle – atténuer les biais et les erreurs pour protéger les droits fondamentaux » (2019) – ici
● Comité d'experts sur les intermédiaires fournisseurs d’internet du Conseil de l'Europe, « Algorithmes et droits de l'homme. Étude sur les dimensions des techniques automatisées de traitement des données relatives aux droits de l'homme et leurs éventuelles implications réglementaires » (2018) – ici
- 1Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
- 2« Traitement » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, la synchronisation ou le rapprochement, la limitation, l’effacement ou la destruction (article 4 (2) du RGPD).
- 3Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive ePrivacy).
- 4Directive (UE) 2022/2555 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'Union (directive NIS 2)
- 5Règlement d'exécution (UE) 2024/2690 de la Commission portant modalités d'application de la directive (UE) 2022/2555 en ce qui concerne les exigences techniques et méthodologiques des mesures de gestion des risques en matière de cybersécurité et précisant les cas dans lesquels un incident est considéré comme important [...]
- 6Règlement (UE) 2019/881 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de la cybersécurité des technologies de l'information et des communications (loi sur la cybersécurité)
- 7Directive 2014/53/UE relative à l'harmonisation des législations des États membres concernant la mise à disposition sur le marché des équipements radioélectriques
- 8Règlement délégué (UE) 2022/30 concernant l'application des exigences essentielles visées à l'article 3, paragraphe 3, points d), e) et f), de la Directive 2014/53/UE (Directive RED)
- 9Directive (UE) 2022/2557 relative à la résilience des entités critiques (Directive CER)
- 10Règlement délégué de la Commission complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil en établissant une liste de services essentiels [C/2023/4878 final]
- 11Les entreprises publiques sont toutes les entreprises sur lesquelles les organismes du secteur public exercent une influence dominante par le biais de la propriété, de la participation financière ou des règles qui les régissent ; il s'agit notamment des entreprises agissant en tant qu'opérateurs publics de transport routier ou ferroviaire de voyageurs, des transporteurs aériens et des armateurs de l'UE remplissant des obligations de service public.
- 12Règlement (UE) 2023/2854 relatif à des règles harmonisées en matière d'accès équitable aux données et d'utilisation équitable de ces données et modifiant la loi sur les données
- 13Il peut s'agir des fabricants et des concepteurs de produits connectés ou des fournisseurs des services associés, mais il peut également s'agir du vendeur, du locataire ou du bailleur d'un produit connecté (quand il n'est pas fabricant/concepteur), s'il peut contrôler la mise à disposition des données concernées.
- 14Règlement (UE) 2024/1689 établissant des règles harmonisées en matière d'intelligence artificielle (loi sur l'intelligence artificielle)
- 15« Un « système d’IA » désigne un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d’autonomie et qui peut faire preuve d’adaptabilité après déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (article 3 (1) de la loi sur l’IA).
- 16« Modèle d'IA à usage général désigne un modèle d'IA, y compris lorsqu'un tel modèle d'IA est constitué d’une grande quantité de données en utilisant l'auto-supervision à grande échelle, qui présente une généralité significative et est capable d'exécuter avec compétence un large éventail de tâches distinctes quelle que soit la manière dont le modèle est mis sur le marché et qui peut être intégré en aval à une variété de systèmes ou d'applications, à l'exception des modèles d'IA qui sont utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché (article 3 (63) de la loi sur l'IA).