Récapitulatif des lois numériques en 2025
Alors que les législateurs et les autorités de contrôle en Europe, en Chine et ailleurs se concentrent sur la manière de simplifier la conformité, de renforcer la surveillance des technologies émergentes et de mettre en place des cadres qui encouragent l'innovation sans compromettre les droits fondamentaux, il est clair que le droit numérique en 2025 a pris un tournant intéressant.
À l'approche de la fin de l'année, les organisations se retrouvent confrontées à un ensemble d'attentes plus coordonnées mais aussi de plus en plus exigeantes en matière de gouvernance de l'IA, de cybersécurité, d'accès et d'utilisation des données, et d'opérations numériques transfrontalières. Ce tour d'horizon rassemble les développements les plus notables de 2025 et met en évidence la direction à prendre à l'approche de 2026.
1. Le paquet numérique européen
L'un des développements les plus significatifs de l'année a été l'introduction par la Commission européenne de son paquet numérique complet, une initiative de grande envergure visant à rationaliser les obligations réglementaires, à réduire la charge administrative et à créer des voies plus prévisibles pour les entreprises qui se développent dans l'UE. Au cœur de ce paquet se trouve un nouveau omnibus numérique, qui consolide les règles relatives à l'intelligence artificielle, à la cybersécurité et aux données dans un cadre plus cohérent. L'objectif de la Commission est de supprimer les couches de complexité inutiles tout en maintenant l'engagement de longue date de l'Europe en faveur de normes élevées en matière de protection, de sécurité et d'équité des données. Les premières analyses d'impact indiquent des économies administratives potentielles pouvant atteindre 5 milliards d'euros d'ici 2029, et d'autres gains d'efficacité sont attendus à mesure que les processus numériques harmonisés arriveront à maturité.
L'une des principales caractéristiques de ce paquet est le projet de « portefeuille européen des entreprises », une solution d'identité numérique unifiée qui permettrait aux entreprises et aux organismes publics de signer, stocker et échanger des documents vérifiés dans les 27 États membres. Pour les entreprises qui jonglent actuellement avec des systèmes nationaux fragmentés, les 150 milliards d'euros d'économies annuelles prévues donnent une idée de l'impact que cet outil pourrait avoir sur la gestion des opérations transfrontalières.
Le paquet revisite également la loi européenne sur l'IA, en introduisant des ajustements pragmatiques destinés à rendre sa mise en œuvre plus réaliste pour les entreprises, en particulier les PME. Les délais de mise en conformité pour les systèmes d'IA à haut risque seront liés à la disponibilité des normes techniques, certaines obligations ne devant entrer en vigueur qu'en 2027 ou 2028.
La simplification de la documentation et l'élargissement de l'accès aux bacs à sable réglementaires s'étendront au-delà des PME pour inclure les petites entreprises de taille intermédiaire, allégeant ainsi la charge de conformité pour un plus grand nombre d'organisations. La surveillance des systèmes construits à l'aide de modèles d'IA à usage général sera de plus en plus centralisée par le biais du Bureau de l'IA, ce qui réduira la fragmentation qui préoccupait auparavant l'industrie. Il est important de noter que les fournisseurs et les déployeurs disposeront d'une nouvelle base juridique pour traiter les données de catégorie spéciale dans le but de détecter et de corriger les biais, bien que cette autorisation restera strictement contrôlée et soumise à des garanties détaillées. Dans l'ensemble, ces ajustements reflètent une approche plus mesurée et axée sur le déploiement de la gouvernance de l'IA, qui maintient la protection tout en reconnaissant la réalité opérationnelle.
Le paquet numérique propose également une refonte majeure des rapports sur la cybersécurité. À l'heure actuelle, les entreprises sont confrontées à des obligations qui se chevauchent et sont souvent redondantes dans des régimes tels que NIS2, GDPR et DORA. La création d'une interface de rapport sécurisée unique vise à regrouper ces exigences en un processus rationalisé. Bien que le développement d'un tel système nécessite des tests approfondis, son impact final sur la réduction de la complexité opérationnelle pourrait être considérable.
Un certain nombre de défis de longue date en matière de réglementation des données et des cookies sont également visés. Les mises à jour de la loi sur les données clarifieront les règles relatives à l'accès aux données et au changement de cloud, prévoiront des exemptions pour les petites organisations et proposeront des contrats types afin de réduire l'incertitude juridique. La gestion des cookies, longtemps critiquée pour son expérience utilisateur fastidieuse, sera également réformée. Des mécanismes de préférence centralisés, tels que les contrôles au niveau du navigateur, devraient remplacer les bannières répétitives, les choix en un clic devenant la norme. Prises ensemble, ces mesures soutiennent l'ambition plus large de la Commission de réduire les frais généraux réglementaires de 25 % d'ici 2029.
2. Stratégie de l'Union des données : élargir l'accès tout en protégeant la souveraineté
Parallèlement à l'Omnibus numérique, la Commission a élaboré une stratégie pour l'Union des données, une feuille de route qui vise à débloquer des ensembles de données de haute qualité pour le développement de l'IA et l'utilisation industrielle, tout en renforçant la protection des données sensibles de l'UE. La stratégie prévoit la création de nouveaux laboratoires de données et d'environnements à accès contrôlé qui soutiendront la recherche et l'innovation dans des domaines tels que la santé, la mobilité et le climat. Un service d'assistance dédié à la loi sur les données guidera les organisations à travers les exigences complexes en matière de conformité, les aidant à comprendre des obligations souvent difficiles à interpréter. La stratégie introduit également de nouveaux outils visant à renforcer la souveraineté des données, tels que des cadres visant à prévenir les fuites de données et des critères plus clairs pour évaluer la manière dont les données provenant de l'UE sont traitées en dehors du bloc. Collectivement, cela marque un changement notable vers une approche plus favorable, qui maintient des garanties solides tout en facilitant une utilisation responsable et compétitive des données.
3. Chine : expansion rapide des services d'IA générative
Au-delà de l'Europe, la Chine a continué à développer son infrastructure réglementaire pour l'IA générative à un rythme sans précédent. En novembre 2025, les autorités avaient officiellement enregistré 611 services d'IA générative au niveau national, et plus de 300 applications utilisant ces modèles enregistrés, allant des interfaces de chat aux fonctionnalités d'IA intégrées, avaient été enregistrées par les régulateurs locaux du cyberespace. Cette expansion rapide reflète à la fois la maturité du système d'enregistrement chinois dans le cadre des mesures de 2023 sur l'IA générative et l'accélération du rythme de déploiement dans le pays. Pour les multinationales opérant ou entrant sur le marché chinois, cette tendance témoigne d'un environnement réglementaire de plus en plus structuré, prévisible et exigeant sur le plan administratif.
4. Nouvelles orientations du CEPD : l'accent sur la gestion des risques liés à l'IA
Le Contrôleur européen de la protection des données (CEPD) a donné un nouvel élan au paysage réglementaire en publiant des orientations détaillées sur la gestion des risques liés aux systèmes d'IA utilisés par les institutions de l'UE. Bien que destinées au secteur public, ces orientations sont tout aussi instructives pour les organisations privées qui utilisent l'IA pour traiter des données à caractère personnel. Elles renforcent l'importance de l'équité, en exhortant les organisations à traiter de manière systématique les biais algorithmiques et ceux liés aux ensembles de données. Elles soulignent également la nécessité de contrôles de précision rigoureux, en particulier en ce qui concerne la dérive des modèles et la fiabilité des résultats dans le temps. Les lignes directrices mettent l'accent sur la minimisation des données lors du développement de l'IA, décourageant les pratiques de collecte de données à grande échelle qui ne sont pas clairement justifiées. Les risques de sécurité tels que les fuites de modèles, les attaques par inférence et les API non sécurisées sont également abordés, reflétant le paysage de menaces de plus en plus sophistiqué qui entoure les systèmes d'IA.
Une contribution particulièrement importante de ces lignes directrices est la distinction qu'elles établissent entre interprétabilité et explicabilité. L'interprétabilité concerne la compréhension du fonctionnement interne d'un système d'IA, tandis que l'explicabilité se concentre sur la communication du raisonnement qui sous-tend un résultat spécifique. Cette distinction devrait devenir centrale à mesure que les organisations se préparent aux exigences de transparence et de contrôle humain énoncées dans la loi sur l'IA, ce qui en fait un domaine critique à prendre en compte dès le début.
5. Royaume-Uni : préparer la main-d'œuvre à l'IA et aux technologies disruptives
Au Royaume-Uni, le gouvernement a réaffirmé son intention de se concentrer sur la préparation de la main-d'œuvre à l'IA et aux technologies émergentes, en chargeant la Financial Services Skills Commission (FSSC) de réaliser une évaluation complète des besoins futurs du secteur en matière de compétences. Cette initiative reflète la prise de conscience que le maintien de la position du Royaume-Uni en tant que centre financier mondial de premier plan dépendra non seulement de la souplesse réglementaire, mais aussi de la capacité à attirer, former et retenir une main-d'œuvre capable d'adopter et de déployer à grande échelle les nouvelles technologies.
L'étude, qui doit être achevée d'ici la mi-2027, examinera quelles technologies disruptives sont susceptibles de remodeler les modèles commerciaux, la productivité régionale et les résultats pour les clients au cours de la prochaine décennie, et évaluera les compétences nécessaires à un déploiement réussi, depuis la maîtrise avancée des données et la supervision de l'IA jusqu'à la cyber-résilience et la capacité de transformation numérique. Le FSSC a été chargé d'élaborer un plan concret à l'échelle du système pour développer ces compétences, en impliquant les employeurs, les prestataires de formation, les organismes gouvernementaux et les partenaires industriels, et en s'appuyant, le cas échéant, sur une analyse coûts-avantages.
En ancrant ce travail dans la stratégie plus large de croissance et de compétitivité des services financiers, le Royaume-Uni place le développement des compétences au centre de sa compétitivité à long terme, signalant ainsi que la capacité à exploiter l'IA de manière sûre et efficace sera aussi importante que les technologies elles-mêmes.
À quoi s'attendre en 2026
Avec les négociations sur le Digital Omnibus prévues début 2026 et son adoption potentiellement dès le premier trimestre, les organisations doivent s'attendre à une année de transition, de préparation et d'exigences opérationnelles accrues. Les règles relatives à l'IA à haut risque se rapprocheront de leur mise en œuvre pratique, ce qui rendra indispensable pour les organisations de suivre la publication des normes techniques qui déclencheront des obligations de conformité.
Les processus numériques transfrontaliers devraient connaître une automatisation importante avec l'émergence des projets pilotes du European Business Wallet. La notification des incidents de cybersécurité devrait être davantage harmonisée et moins redondante à mesure que l'interface de notification unique progressera. Les réformes techniques des cadres de consentement aux cookies devraient modifier l'expérience utilisateur et les modèles publicitaires, en particulier lorsque la gestion des préférences basée sur le navigateur deviendra la norme. Dans le même temps, les régulateurs tant à l'intérieur qu'à l'extérieur de l'UE convergent vers des principes fondamentaux d'équité, de transparence et de responsabilité en matière d'IA, en mettant de plus en plus l'accent sur une gestion rigoureuse des risques.
Pour les organisations opérant dans plusieurs juridictions, 2026 sera une année charnière pour renforcer la gouvernance interne, mettre à niveau les systèmes techniques et se préparer à un environnement de conformité numérique plus interconnecté et plus exigeant.
Comment Gerrish Legal peut vous aider?
Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.
Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.
Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations.
Article de Nathalie Pouderoux, Consultante pour Gerrish Legal