2024 : Une année de conformité en France

2024 aura assurément été une étape importante dans le monde de la compliance en Europe et plus particulièrement en France. Entre les directives de l’UE prévues de longue date, les mises a jour de lois nationales existantes ou le vote de régulations à mettre en place dans les années a venir, il y a peu de risques à affirmer que ces 12 derniers mois sont à marquer d’une pierre blanche dans la prise en charge des menaces imminentes et futures.

En ce mois de décembre ou l’on fait l’heure des bilans, voici donc un résumé des principales innovations et révisions de règlementations en termes de R&C impactant les politiques en France.

DORA (Digital Operational Resilience Act)

Qu’est-ce c’est ?

La loi sur la résilience opérationnelle numérique a pour objectif de renforcer la sécurité informatique des institutions financières afin de garantir la solidité du secteur financier européen en cas de perturbations opérationnelles majeures. 
Elle est une réponse à la vulnérabilité croissante des institutions financières aux cyberattaques, à mesure qu’elles intègrent de plus en plus de technologies dans leurs opérations. 

Qui est concerné ?

Environ 22 000 sociétés financières européennes telles que les banques, les assureurs, les entreprises d’investissement, les prestataires de services de paiement et leurs services de technologies de l’information et de la communication (TIC).

Que couvre-t-elle ?

DORA normalise les réglementations en matière de résilience opérationnelle pour 20 types différents d’entités financières et de fournisseurs de services TIC tiers au sein du secteur financier. Elle couvre six secteurs clés :

• Tests de résilience opérationnelle numérique
• Incidents lies aux TIC
• Gestion des risques lies aux TIC
• Gestion des risques lies aux TIC pour les tiers
• Partage d’informations
• Supervision des fournisseurs tiers essentiels

Qu’est-ce qui doit être fait ?

Le vaste champ d’application de la loi DORA, qui couvre diverses entités financières et fournisseurs tiers, pose d’importants défis de conformité, en particulier pour les petites entreprises :

• Révision des cadres opérationnels
• Gestion des risques lies aux tiers
• Signalement des cyber incidents
• Intensité des ressources
• Conformité et mise en œuvre a l’échelle de l’UE
• Tests de résilience opérationnelle
• Évolution du paysage des cybermenaces
• Protection des données et de la vie privée
• Coordination avec les réglementations existantes

Quand sera-t-elle appliquée ?

Publication des textes règlementaires : 14 décembre 2022

Entrées en vigueur du règlement et de la directive DORA : 16 janvier 2023

Date limite pour transposer la directive DORA : 17 janvier 2025

Entrée en application du règlement DORA : 17 janvier 2025

Quels sont les risques encourus ?

Le non-respect des exigences de la loi peut avoir de graves conséquences financières pour les parties suivantes :

• Entreprises : Jusqu’à 2 % du chiffre d’affaires annuel mondial OU jusqu’à 1 % du chiffre d’affaires journalier moyen au niveau mondial
• Personnes physiques : Jusqu’à 1 000 000 €
• Fournisseurs de services TIC tiers : Jusqu’à 500 000 euros pour les particuliers et 5 000 000 € pour les entreprises

En savoir plus sur DORA

CSRD (Corporate Sustainability Reporting Directive)

Qu’est-ce c’est ?

La Directive européenne sur le reporting de durabilité des entreprises a pour but de rendre les entreprises plus transparentes sur leurs pratiques en matière de développement durable. En fournissant des informations fiables et comparables, elle permet aux investisseurs d’évaluer les risques liés au climat et aux enjeux sociaux, et de favoriser une transition vers une économie plus verte.

Qui est concerné ?

52 000 entreprises dont plus de 5 000 françaises sont concernées, ainsi que 10 000 sociétés non-européennes. Les micro-entreprises en sont exemptées. Elles se classent selon ces critères :

• Entreprises européennes cotées sur un marché réglementé
• Grandes entreprises ayant atteints au moins deux de ces trois critères : bilan total de 25 millions € ; chiffre d’affaires net de 50 millions € ; nombre moyen d’employés de 250
• Entreprises non-européennes ayant +150 millions € de CA lors des deux derniers exercices financiers et ayant une succursale en France avec un CA de +40 millions €

Que couvre t-elle ?

Les informations demandées se concentrent sur trois domaines : Environnement, Social et Gouvernance. Elles sont définies par les normes ESRS (European Sustainability Reporting Standards), elles-mêmes classées en deux grandes catégories : informations générales et informations ESG.

Informations générales :

• Gouvernance
• Stratégie
• Identification et gestion des impacts
• Objectifs de durabilité et indicateurs (KPI)

Informations Environnement :

• Reporting climatique
• Données sur la pollution
• Eau et ressources marines
• Biodiversité et écosystèmes
• Utilisation des ressources et économie circulaire

Informations Social :

• Main d’œuvre propre à l’entreprise
• Travailleurs de la chaine de valeur
• Communautés affectées
• Utilisateurs et consommateurs finaux

Informations Gouvernance :

• Conduite des affaires

Qu’est-ce qui doit être fait ?

• Double matérialité : Encourage les entreprises à adopter une vision à 360 degrés. Elles doivent non seulement mesurer leur impact sur le monde qui les entoure, mais aussi comprendre comment les évolutions environnementales et sociales peuvent influencer leurs résultats financiers. Cette approche permet une meilleure gestion des risques et des opportunités liées à la durabilité
• Convergence des standards : La CSRD fédère les efforts de différents textes réglementaires, tels que le Pacte Vert pour l’Europe, le SFDR et la Taxonomie verte, pour créer un cadre harmonisé favorisant la transition vers une économie durable et responsable
• Audit des informations : La CSRD impose aux entreprises de faire certifier leurs rapports ESG par un organisme tiers indépendant, assurant ainsi la fiabilité des informations divulguées
• Numérisation : La CSRD favorise la numérisation des rapports ESG, simplifiant ainsi la collecte, la gestion et la diffusion des données pertinentes

Quand sera-t-elle appliquée ?

Adoption par le Parlement européen : Novembre 2022

Entrée en vigueur dans l’UE : 1er janvier 2023

Transposition dans le droit français : 6 décembre 2023

Entrée en vigueur en France : 1er janvier 2024

Premier reporting pour les grandes entreprises soumises a la NFRD : 1er janvier 2025

Pour les autres grandes entreprises : 1er janvier 2026

Pour les PME cotées en bourse :  1er janvier 2027

Pour les entreprises extra-européennes : 1er janvier 2029

Quels sont les risques encourus ?

• Absence de certification des informations en matière de durabilité : 30 000 € d’amende et une peine de deux ans de prison
• Entrave à la certification des informations en matière de durabilité : 75 000 € d’amende et une peine de cinq ans de prison

En savoir plus sur la CSRD

CSDDD (Corporate Sustainability Due Diligence Directive)

Qu’est-ce c’est ?

La Directive sur le devoir de vigilance des entreprises en matière de durabilité se concentre sur des sujets tels que les risques environnementaux, y compris la pollution, la destruction des habitats et les autres impacts des activités commerciales, ainsi que les violations des droits de l’homme et du travail. Elle rend également les organisations responsables des violations commises dans leurs chaînes d’approvisionnement, de sorte que même avec les changements les plus récents, de nombreuses organisations non couvertes seront toujours liées à des fournisseurs, des partenaires ou des tiers qui sont concernés.
Apres de nombreuses révisions durant les deux dernières années, la nouvelle mouture de la directive est entrée en vigueur en juin 2024.

Qui est concerné ?

6 000 entreprises en Union européenne et toutes compagnies extra territorial répondant à des critères précis de taille et de chiffres d’affaires.

• Entreprises de l’UE : 6 000 entreprises de l’UE doivent se conformer à la législation si elles emploient plus de 1 000 personnes et réalisent un chiffre d’affaires global de 450 millions d’euros
• Entreprises hors UE : 900 entreprises hors UE doivent se conformer à la législation si elles ont généré plus de 450 millions d’euros sur le marché de l’UE par an au cours des deux dernières années.
• Secteurs à haut risque : Ils ne sont plus soumis à des seuils inférieurs en termes de nombre d’employés, bien qu’il soit possible que cette question soit réexaminée ultérieurement

Toutes activités de l’entreprise qui peut avoir un effet néfaste sur les droits humains et l’environnement. Cela peut inclure la pollution, la menace sur la biodiversité, le travail des enfants.
Le devoir de vigilance se concentre sur l’intégralité du processus de production jusqu’à la vente du bien ou du service.

Qu’est-ce qui doit être fait ?

Il y a deux axes d’application principaux : le devoir de vigilance et le plan de transition climatique

Devoir de vigilance :

• Intégration du devoir de vigilance dans les politiques de gouvernance et les systèmes de gestion des risques
• Cartographie des risques
• Mise en place de système de gestion des plaintes
• Création de plans de prévention et d’atténuation des impacts négatifs
• Surveillance et rapport sur l’efficacité des politiques de vigilance

Transition climatique :

• Aligner le modèle économique de l’entreprise avec l’objectif de limitation du réchauffement climatique (+1.5 °C)
• Identification et stratégie d’atténuation des risques climatiques
• Inclure des plans de supports financiers

Quand sera-t-elle appliquée ?

Adoption par le Parlement Européen : 24 avril 2024

Entrée en vigueur : 13 juin 2024

Date limite de transposition dans le droit des États membres : 26 juillet 2026

Application aux entreprises : dès le 26 juillet 2027. Elles auront entre 3 et 5 ans à compter de l’été 2024 pour se conformer à la directive :

• Mise en place progressive après 3 ans : plus de 5 000 employés et un chiffre d’affaires annuel de plus de 1,5 milliard €
• Après 4 ans : 3 000+ employés et un chiffre d’affaires annuel de 900+ millions €
• Après 5 ans : 1 000+ employés et un chiffre d’affaires annuel de 450+ millions €

Quels sont les risques encourus ?

La gravité des conséquences dépendra de la violation spécifique et des lois nationales de l’État membre de l’UE où l’affaire est portée. Elle se focalise sur quatre éléments centraux :

• Responsabilité juridique : En cas de non-conformité, les entreprises peuvent être tenues responsables des dommages causés par leur négligence aux personnes ou à l’environnement si leurs actions (ou leur inaction) causent des dommages, y compris lorsqu’une réclamation est faite par un tiers ne faisant pas partie du champ d’application à l’encontre d’une organisation faisant partie du champ d’application des exigences. Cela signifie qu’ils pourraient faire l’objet de poursuites judiciaires et devoir verser des indemnités potentiellement importantes
• Amendes et sanctions : Jusqu’à 5 % du chiffre d’affaires net mondial d’une organisation en cas d’infraction
• Atteintes à la réputation : Les organisations qui ne respectent pas la directive sur le développement durable risquent de ternir leur réputation auprès des consommateurs, des investisseurs et des partenaires commerciaux, qui accordent de plus en plus d’importance aux pratiques éthiques et durables. Elles risquent ainsi de perdre des parts de marché et d’avoir du mal à attirer des talents
• Exclusion des marchés publics : Les entreprises qui enfreignent la CSDDD peuvent se voir interdire de participer à des marchés publics lucratifs et à des appels d’offres

En savoir plus sur la CSDDD

Loi RGPD/CNIL 2024

Qu’est-ce c’est ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) s’est conformée aux dernières exigences du RGPD (Règlement General de la Protection des Données) en incluant cinq nouveaux volets de mesures dédiés aux technologies émergentes et aux p[pratiques courantes. L’objectif est de garantir une protection renforcée des données personnelles dans un environnement numérique en mutation perpétuelle.

Qui est concerné ?

• Délégués a la protection des données (DPD)
• Responsables de la sécurité des systèmes d’information (RSSI)
• Informaticiens
• Juristes en protection de la vie privée

Que couvre t-elle ?

• Applications mobiles
• Cloud
• Intelligence artificielle
• Interfaces de programmation application (API)
• Pilotage de la sécurité des données

Qu’est-ce qui doit être fait ?

• Applications mobiles : Elles sont désormais tenues de limiter strictement la collecte de données à ce qui est indispensable à leur fonctionnement. Cette mesure vise à mieux protéger la vie privée des utilisateurs en réduisant les risques liés à l’exploitation abusive de leurs informations personnelles
• Cloud : Le choix d’un fournisseur de services cloud implique des évaluations de sécurité rigoureuses pour garantir la conformité au RGPD. Des audits réguliers, des contrôles continus et des solutions de sécurité avancées sont indispensables pour protéger les données
• Intelligence artificielle : Les entreprises doivent s’assurer que les données utilisées pour entraîner leurs modèles sont fiables, exemptes de biais et représentatives de la réalité. Un processus rigoureux de collecte, d’annotation et de vérification des données est indispensable, tout comme des contrôles réguliers pour garantir la pérennité de cette qualité
• Interfaces de programmation application (API) : La sécurisation des API est une exigence réglementaire pour de nombreuses entreprises. En effet, la protection des données sensibles transitant par ces interfaces est un enjeu majeur. Pour se conformer aux réglementations en vigueur, les entreprises doivent mettre en œuvre des mesures de sécurité strictes, telles que la gestion des accès, l’authentification forte et la traçabilité des échanges
• Pilotage de la sécurité des données : Le RGPD impose aux entreprises de développer une véritable culture de la sécurité des données. Cette culture doit se traduire par une intégration des mesures de sécurité dans les processus métiers, une formation continue du personnel et une sensibilisation de tous les collaborateurs aux enjeux de la protection des données personnelles

Quand sera-t-elle appliquée ?

Dès le 18 juillet 2024.

Quels sont les risques encourus ?

La CNIL est habilitée a sanctionner les entreprises qui manquent à leur conformité au RGPD. Cela se traduit de quatre manières :

• Amendes : Jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial
• Mises en demeure : Obligation de se mettre en conformité sous peine de pénalités
• Sanctions pénales : jusqu’à 5 ans de prisons et 300 000 € d’amendes pour les personnes physiques ; jusqu’à 1.5 millions € pour les personnes morales
• Atteinte à la réputation : Publication des sanctions par la CNIL

En savoir plus sur le RGPD

EU AI Act

Qu’est-ce c’est ?

Le règlement européen sur l’IA (AI Act) vise à fournir un cadre unique en son genre pour le développement et l’utilisation responsables de l’intelligence artificielle.

Qui est concerné ?

Le règlement européen sur l’IA couvre tous les acteurs impliqués dans la création, la distribution et l’utilisation d’intelligence artificielle au sein de l’UE, qu’il s’agisse des développeurs, des importateurs, des distributeurs ou des utilisateurs finaux. Les systèmes d’IA militaires, de recherche, open-source ou utilisés à des fins personnelles non commerciales sont exemptés.

Que couvre t-il ?

Le défi principal de la loi est de trouver l’équilibre entre préservation des droits des utilisateurs et innovation. Pour ce faire, les systèmes d’IA ont été divises en quatre niveaux selon le niveau de risque qu’ils représentent :

• Risques inacceptables : interdictions totales pour les outils de catégorisation par traits sensibles, reconnaissance faciale non ciblée, scoring social, police prédictive, etc. Ces technologies menacent directement les droits fondamentaux
• Risques élevés : Régulation stricte pour les IA dans les domaines critiques comme la santé, les infrastructures ou la justice. Ces systèmes requièrent des garde-fous solides pour prévenir les dysfonctionnements
• Risques limités : Transparence obligatoire pour les technologies de création et d’échange tels que chatbots, deepfakes. Les utilisateurs doivent être informés lorsqu’ils interagissent avec une IA.
• Risques minimaux : Régulations minimales pour les applications a faible risque comme les jeux vidéo, filtres anti-spam

Qu’est-ce qui doit être fait ?

L’EU AI Act définit des obligations spécifiques pour les fournisseurs de systèmes d’IA à haut risque :

• Développement conforme aux exigences de la loi
• Evaluations de conformité a la loi et tests de fiabilité et sécurité
• Inscription dans une base de données de l’UE
• Déclaration et marquage CE clair
• Surveillance du système des développeurs et fournisseurs
• Surveillance humaine de l’IA à haut risque
• Procédé de plainte des citoyens
• Explicabilité
• Bacs à sable réglementaires
• Audit du contenu de formation des technologies d’IA à usage général (GPAI)

Quand cela sera-t-il appliqué ?

Adoption du règlement AI ACT : 13 mars 2024

Entrée en vigueur : 1er août 2024

Entrée en application échelonnée :

• 2 février 2025 pour les interdictions d’IA à risque inacceptable
• 2 août 2025 pour le règlement sur les IA à usage général
• 2 août 2026 pour les règles de tous les échelons de risques des IA

Quels sont les risques encourus ?

Les sanctions et amendes prévues par l’Act dépendent de la gravite de l’infraction :

• Non-respect de l’interdiction des pratiques d’IA : Jusqu’à 35 millions € OU 7 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé
• Infractions mineures : Jusqu’à 15 millions € OU 3 % du CA annuel mondial, selon le montant le plus élevé
• Fourniture d’informations inexactes ou trompeuses aux autorités compétentes : Jusqu’à 7.5 millions € OU 1 % du CA annuel mondial, selon le montant le plus élevé
• Retrait des systèmes d’IA non conformes du marché

En savoir plus sur l'AI Act

NIS2

Qu’est-ce c’est ?

La directive NIS2, officiellement connue sous le nom de directive (UE) 2022/2555, est un texte législatif adopté par l’Union européenne pour renforcer la cybersécurité. Elle s’appuie sur la directive NIS initiale, qui portait sur la sécurité des réseaux et des systèmes d’information. Toutefois, elle va plus loin en s’attaquant au champ de cybermenaces en constante évolution. Si la première directive NIS a jeté les bases, NIS2 en est la rénovation complète.
La directive vise à renforcer la cybersécurité et la résilience numérique dans l’ensemble de l’UE, en veillant à ce que les États membres et les entreprises opérant au sein de l’Union respectent des normes élevées. Tout cela fait partie de la stratégie de l’UE visant à créer un espace numérique plus sûr où les cybers incidents peuvent être gérés efficacement, qu’ils soient causés par des pirates informatiques, des défaillances de systèmes ou même des catastrophes naturelles.

Qui est concerné ?

Le champ d’application de NIS2 est beaucoup plus large que celui de la directive originale. Elle ne vise pas seulement les entreprises technologiques ou les grands fournisseurs de services numériques. Elle regroupe environ 600 types de sociétés pour un total de plus de 160 000 entités allant des moyennes entreprises aux multinationales au sein de 18 secteurs d’activité. Elle introduit deux catégories d’entités réglementées :

• Entités essentielles : Industries considérées comme vitales pour la société et l’économie. Pensez à l’énergie, aux soins de santé, aux transports, aux services financiers et à l’infrastructure numérique. Si une cyberattaque perturbe ces secteurs, les retombées pourraient être massives
• Entités importantes : Elles ne sont peut-être pas aussi critiques que les entités essentielles, mais leur défaillance peut avoir des conséquences considérables. Des secteurs comme les services postaux, l’approvisionnement alimentaire et la fabrication de produits chimiques entrent dans cette catégorie. Si l’impact d’une attaque sur ces secteurs n’est pas catastrophique, il n’en demeure pas moins qu’elle entraînerait des perturbations importantes

Que couvre t-elle ?

La directive impose de nouvelles obligations dans quelques domaines clés et le respect de ces exigences constituera un défi pour certaines organisations :

• Un champ d’application et des secteurs élargis
• Des obligations accrues en matière de cybersécurité
• Formation obligatoire
• Signalement des incidents

Qu’est-ce qui doit être fait ?

L’un des principaux objectifs de NIS2 est d’harmoniser les réglementations en matière de cybersécurité dans l’ensemble de l’UE. En théorie, cela signifie que tous les États membres suivront les mêmes règles, ce qui permettra aux entreprises opérant dans plusieurs pays de rester plus facilement en conformité. Cependant, l’alignement sur les différentes interprétations de la directive dans les différentes régions pose encore des problèmes.
Vous pouvez prendre des mesures pour assurer la conformité et, plus important encore, améliorer votre position globale en matière de cybersécurité. Voici quelques bonnes pratiques à prendre en compte :

• Mettre en œuvre des mesures de gestion des risques, y compris des évaluations régulières de la sécurité, le cryptage et la formation continue du personnel
• Veiller à ce que les incidents soient signalés en temps utile : Disposer d’une procédure simple pour détecter, évaluer et signaler les incidents aux autorités dans les délais requis
• Mettre l’accent sur la gouvernance et la responsabilité : Faire de la cybersécurité une priorité au niveau de la direction et attribuer des rôles de supervision clairs
• Sécurisez votre chaîne d’approvisionnement en évaluant les pratiques de sécurité de vos fournisseurs tiers et en veillant à ce qu’ils respectent les normes nécessaires
• Élaborez et testez des plans d’intervention : Disposez d’un plan de continuité des activités que vous testez et mettez à jour régulièrement afin de réduire au minimum les temps d’arrêt en cas d’attaque
• Utiliser des outils spécialement conçus pour faciliter la mise en conformité, comme la plateforme NAVEX One

Quand sera-t-elle appliquée ?

Publication du texte règlementaire : 14 décembre 2022

Entrée en vigueur de la directive : 16 janvier 2023

Transposition dans le droit français : 17 octobre 2024

Publication des entités concernées : jusqu’au 17 avril 2025

Quels sont les risques encourus ?

Sanctions pénales pour les dirigeants d’entités essentielles :

• Suspension temporaire de la certification ou l’autorisation de l’entité
• Interdiction temporaire de l’exercice de fonctions de direction

Sanctions financières pour les deux types d’entité :

• Entités essentielles : Jusqu’à 10 millions € OU 2 % de leur chiffre d’affaires annuel mondial
• Entités importantes : Jusqu’à 7 millions € OU 1,4 % de leur chiffre d’affaires annuel mondial

En savoir plus sur la NIS2

Conclusion

Quelle année, n’est-il pas ! Mais ce n’est pas fini, loin de là ! 2025 s’annonce tout aussi active, voire plus encore avec l’Acte Européen sur l’Accessibilité entre autres.

En attendant, toute l‘équipe de NAVEX vous souhaite de passer de très bonnes et conformes fêtes de fin d’année !