6 Évolutions du droit numérique à surveiller en 2025

À mesure que la technologie numérique transforme les entreprises, de nouvelles lois émergent pour gérer ses risques et ses opportunités. Avec la facturation électronique obligatoire dans l'UE et des règles de cybersécurité plus strictes en vertu de la loi sur la cyber-résilience, 2025 apportera des changements juridiques clés qui auront un impact sur les entreprises numériques. Voici une ventilation des principaux changements.

1. Facturation électronique dans l'UE 

À partir du 1er janvier 2025, toutes les entreprises de l'Union européenne seront tenues d'accepter les factures électroniques. Ce changement vise à améliorer le respect des obligations fiscales et à rationaliser les processus de facturation, ce qui permettra un partage plus fluide des données transfrontalières au sein de l'UE. Le Comité européen de normalisation (CEN) a élaboré la norme EN 16931 afin de garantir la compatibilité et la conformité au-delà des frontières, avec différents niveaux de conformité adaptés aux divers besoins des entreprises. Cette initiative s'inscrit dans le cadre du programme numérique plus large de l'UE visant à stimuler l'innovation et à réduire les charges administratives pour les entreprises. Chaque pays a mis en œuvre sa propre législation en la matière. 

2. La loi sur les marchés numériques, la concurrence et les consommateurs (DMCCA) au Royaume-Uni  

Le Royaume-Uni s'apprête à reformer ses marchés numériques, ses règles de concurrence et le droit de la consommation avec l'introduction de la loi sur les marchés numériques, la concurrence et les consommateurs (DMCCA). Cette loi vise à corriger le déséquilibre des pouvoirs sur les marchés numériques en réglementant les entreprises technologiques dominantes et en favorisant une concurrence loyale. Le gouvernement et l'Autorité de la concurrence et des marchés (CMA) ont travaillé en étroite collaboration sur le processus de consultation, et les entreprises doivent s'adapter à ces changements pour rester en conformité. 

3. La loi sur la résilience opérationnelle numérique (DORA) pour le secteur financier 

Le 17 janvier 2025, la loi européenne sur la résilience opérationnelle numérique (DORA) est entrée en pleine vigueur. Cette loi vise à renforcer la sécurité informatique des institutions financières notamment les banques, les compagnies d'assurance et les sociétés d'investissement. Elle prend en compte la dépendance croissante du secteur financier à l'égard de la technologie et garantit que ces organisations restent stables en cas de cyberattaques ou de perturbations. Le règlement imposera aux entités financières de l'UE des règles strictes, contribuant ainsi à un système financier plus sûr. Conformément à la DORA, les entités financières doivent respecter des règles strictes en matière de gestion des risques liés aux TIC (technologies de l'information et de la communication). Elles doivent notamment mettre en place une gouvernance de la cybersécurité, tenir à jour un inventaire de leurs actifs et élaborer des documents clés tels qu'une politique de sécurité de l'information et des plans de continuité des activités. Les entreprises financières devront également revoir leurs relations avec les prestataires de services tiers afin de s'assurer qu'ils respectent des normes de sécurité spécifiques et les obligations contractuelles. Dans certains cas, les entités financières devront effectuer des tests d’intrusion et signaler les incidents majeurs liés aux TIC selon des critères précis. 

Pour les entreprises étrangères, l'impact de la loi DORA est significatif, notamment pour les prestataires de services tiers qui travaillent avec des entités financières basées dans l'UE. Ces prestataires, même non basés dans l'UE, devront se conformer aux exigences de la loi DORA s'ils interviennent dans les fonctions critiques des institutions financières. Cela implique que les prestataires de services internationaux devront revoir et éventuellement mettre à jour leurs contrats avec leurs clients financiers de l'UE pour garantir la conformité. De nombreuses organisations révisent déjà leurs contrats pour se conformer aux normes DORA, et bien que les régulateurs puissent éventuellement proposer des clauses contractuelles types, la conformité dépendra toujours d'une négociation et d'une mise en œuvre minutieuses.  

Le champ d'application de la loi DORA dépasse le cadre des services informatiques : il s'étend aux équipes de direction, qui doivent être formées à la cybersécurité et superviser les processus de gestion des risques. La loi modifiera la façon dont les entités financières gèrent les contrats, les politiques internes et même la façon dont elles interagissent avec les fournisseurs de services, faisant de la résilience numérique une préoccupation centrale à la fois pour le secteur financier et ses partenaires tiers. 

4. La directive NIS2 : Renforcer la cybersécurité dans l'UE  

La directive NIS2 vise à renforcer la cybersécurité dans 18 secteurs critiques de l'UE. À partir de 2025, les États membres seront tenus d'adopter des stratégies nationales de cybersécurité, de mettre en place des mesures de gestion des risques et d'améliorer la collaboration sur les cybermenaces transfrontalières. Grâce à une couverture plus large et à des pouvoirs d'exécution renforcés, la NIS2 vise à améliorer la position globale de l'UE en matière de cybersécurité, assurant une meilleure protection contre les cyberincidents et renforçant la capacité à répondre aux violations de sécurité. La directive complète la NIS 1 en élargissant a davantage de secteurs et en imposant des obligations plus strictes en matière de cybersécurité aux moyennes et grandes entreprises. Les secteurs désormais concernés sont l'énergie, les transports, les soins de santé, la finance, la gestion de l'eau et les infrastructures numériques, ainsi que d'autres secteurs tels que les services publics de communications électroniques, les plateformes sociales, les services postaux, la fabrication de produits critiques et l'administration publique. Les entreprises de ces secteurs doivent mettre en œuvre des mesures efficaces de gestion des risques liés à la cybersécurité afin de se prémunir contre d'éventuelles perturbations ou dommages. 

Pour les entreprises, la NIS2 exige des organisations qu'elles notifient aux autorités nationales tout incident de cybersécurité important, notamment ceux qui pourraient entraîner des perturbations majeures. Cette obligation garantit une plus grande transparence et proactivité des secteurs privé et public face aux cyberrisques. En outre, les entreprises sont désormais tenues d'aligner leurs pratiques de cybersécurité sur les stratégies nationales, notamment en ce qui concerne la sécurité de la chaîne d'approvisionnement, la gestion de la vulnérabilité et la sensibilisation du personnel.  

Pour les entreprises établées en dehors de l'UE, en particulier celles qui fournissent des services essentiels à des entités basées dans l'UE, le NIS2 aura un impact indirect sur leurs activités. Ces entreprises doivent s'assurer que leurs pratiques de cybersécurité sont conformes aux normes européennes si elles collaborent avec des organisations relevant de la directive. 

5. La loi sur les données : De nouvelles règles pour le partage des données  

À compter du 12 septembre 2025, la loi sur les données établira de nouvelles règles pour le partage des données au sein de l'UE, créant ainsi une économie des données plus ouverte et plus transparente. Cette réglementation aura un impact sur les entreprises en les contraignant à conclure des contrats équitables et non discriminatoires lorsqu'elles partagent des données. En outre, la Commission européenne publiera des lignes directrices sur la manière dont les entreprises peuvent protéger les secrets commerciaux et garantir une indemnisation équitable dans les accords de partage de données. Avec l'essor de l'innovation fondée sur les données, la loi sur les données influencera la manière dont les organisations collaboreront, partageront et utiliseront les données dans les années à l’avenir. 

L'un des impacts les plus importants de la loi sur les données est son potentiel à libérer la valeur des données générées par les produits connectés, ce qui pourrait considérablement stimuler l'économie. En facilitant l'accès à ces données, les entreprises peuvent offrir de meilleurs services après-vente (par exemple, réparation, maintenance ou personnalisation des produits) et créer des services entièrement nouveaux, basés sur les données. 

Les consommateurs peuvent également bénéficier d'une personnalisation et d'un contrôle accrus des produits qu'ils possèdent, ainsi que de choix plus éclairés quant à leur utilisation. Par exemple, un lave-linge intelligent pourrait permettre à l'utilisateur de suivre son impact environnemental, en ajustant les cycles pour une efficacité énergétique optimale sur la base de données en temps réel. 

La stratégie européenne pour les données, qui vise à faire de l'UE un leader de l'économie des données, est également soutenue par la loi sur les données. En facilitant la circulation libre et sûre des données à travers les frontières et les secteurs, la loi sur les données joue un rôle essentiel dans la construction d'un marché européen unifié des données. Cela aidera les entreprises à innover et à être compétitives, en assurant une distribution plus équitable de la valeur économique que les données peuvent générer. 

Pour aider les entreprises à faire face à ces changements, la Commission fournira des clauses contractuelles types pour guider les accords de partage de données entre les entreprises. Ces clauses viseront à garantir l'équité dans la manière dont les entreprises partagent les données, en abordant des questions telles que la rémunération et la protection des secrets commerciaux. 

6. La loi sur la cyber-résilience : Renforcer la sécurité des produits 

Les produits et services numériques étant de plus en plus intégrés dans la vie quotidienne, il devient de plus en plus important de garantir la cybersécurité tout au long de leur cycle de vie. La loi sur la cyber résilience, qui entrera en vigueur en 2025, vise à combler les lacunes en matière de sécurité des produits pour les appareils dotés de composants numériques, tels que les montres intelligentes et les moniteurs pour bébés. Les fabricants devront veiller à ce que leurs produits répondent aux normes de cybersécurité, notamment en fournissant des mises à jour de sécurité régulières. Ce règlement aidera les entreprises et les consommateurs à prendre des décisions plus éclairées lors de la sélection des produits, garantissant ainsi un environnement numérique plus sûr. 

La loi sur la cyber-résilience (CRA) aura un impact sur les entreprises, en particulier sur les fabricants et les détaillants de produits connectés. Les entreprises devront investir dans des mesures de cybersécurité tout au long du cycle de vie des produits, de la conception à la maintenance, ce qui entraînera une augmentation des coûts opérationnels. Les produits à haut risque devront faire l'objet d'évaluations par des tiers avant d'être vendus dans l'UE, ce qui ajoutera du temps et des ressources au processus.  

Les fabricants seront davantage responsables de la conformité de leurs produits aux normes de cybersécurité, ce qui déchargera les consommateurs de cette responsabilité. Les produits doivent porter le marquage CE pour accéder au marché de l'UE, ce qui rend la conformité essentielle pour maintenir l'accès au marché et la confiance des consommateurs. Les entreprises devront adapter leurs stratégies de développement de produits, de gestion des risques et de conformité pour répondre à ces nouvelles exigences, ce qui pourrait entraîner des changements opérationnels à long terme. 

Comment Gerrish Legal peut vous aider ? 

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.  

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution. 

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Abigail Lee, Paralegal pour Gerrish Legal