Guide : décryptage des principaux enjeux de conformité pour les entreprises de la tech

Face au foisonnement normatif qui se joue au niveau européen et national, les entreprises de la tech sont assujetties à des exigences de conformité de plus en plus complexes et contraignantes. Julien Smadja et Jade Griffaton, avocats spécialisés en droit des nouvelles technologies au sein du cabinet DJS Avocats, proposent dans ce guide un décryptage des principales règlementations auxquelles ces entreprises doivent impérativement s’attacher à respecter pour pérenniser leur activité.

 

Les obligations de conformité existantes

La transformation numérique des entreprises implique d’une part une mise en conformité générale avec des obligations applicables à toutes les entreprises, telles que les règlementations applicables en matière de lutte contre la corruption, le blanchiment d’argent et le terrorisme. Ces règles prennent une dimension particulièrement importante pour les entreprises tech qui mettent en œuvre de nouveaux outils technologiques propice au développement de la fraude. D’autre part, les entreprises numériques sont soumises à une conformité plus spécifique inhérente à leur activité, et notamment les exigences en matière de protection des données à caractère personnel.

 

Pour prendre conscience de l’utilité de ces obligations, les entreprises doivent parvenir à en comprendre l’enjeu principal qui est au centre de chaque règlementation :

1. La Vigilance: La loi Sapin 2 a imposé aux entreprises un devoir de vigilance accrue qui se caractérise notamment par une exigence sur la transparence. Cette exigence est d’autant plus importante dans le domaine d’activité de la blockchain et des cryptomonnaies, qui requiert une vigilance accrue eu égard aux risques encourus. Elles doivent adopter un plan renforcé de lutte contre la corruption, et sont fortement incitées à le faire par le biais de la mise en place systèmes de gestion des alarmes et alertes.

 

Les entreprises doivent notamment mettre en place :

• Une cartographie des risques prenant la forme d’une documentation régulièrement actualisée et destinée à identifier, analyser et hiérarchiser les risques d’exposition de la société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d’activités et des zones géographiques dans lesquels la société exerce son activité ;
• Des procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques.

Le manquement aux prescriptions de la loi, peut être sévèrement sanctionné, puisque la peine prévue peut atteindre 1 million d’euros.

 

2. La Protection: L’exigence de protéger les données personnelles et la vie privée des personnes a conduit la Commission européenne à régir la collecte d’informations personnelles, par le biais du Règlement Général sur la Protection des Données (RGPD). Or, des enquêtes ont démontré que la plupart des entreprises technologiques (59%) ne sont pas prêtes, et ce, en raison de leur respect partiel de la règlementation. Si la mise en place d’un registre des traitements est majoritairement respectée, très peu d’entreprises ont prévu l’établissement de règles internes en cas de fuites de données, ou ont créé un canal de communication dédié à la gestion des droits des personnes concernées. Pour éviter toute sanction financière, pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, mais aussi tout déficit d’image de l’entreprise, la question du respect de la règlementation apparaît pour les entreprises tech plus que jamais, une nécessité. 

 

Les obligations de conformité à venir

De gros chantiers sont en cours pour les entreprises tech et visent à créer un environnement sécurisé et confiant.

 

1. La Confiance: L’Artificial Intelligence Act, projet de règlement proposé par l’Union européenne, s’adresse principalement aux fournisseurs qui distribuent ou proposent des systèmes d’Intelligence Artificielle (IA), et aux utilisateurs de système d’IA. Il a pour vocation principale de garantir que les systèmes d’IA sur le marché de l’Union, soient sûr et conformes à la législation existante sur les droit fondamentaux et les valeurs de l’Union. Il vise à garantir la sécurité juridique pour faciliter l’investissement dans l’innovation, mais aussi, à créer un environnement de l’IA sûr, et digne de confiance. Le projet de règlement européen sur l’IA va exiger des tests de conformité et un marquage « CE » pour tout système d’IA à haut risque mis sur le marché en Europe.

 

2. L’Information: La loi REEN pour Réduire l’Empreinte Environnementale du Numérique en France, vient d’être adoptée et s’appliquera à compter de 2022. Elle vise à responsabiliser tous les acteurs du numérique à travers 5 volets : faire prendre conscience de l’impact environnemental du numérique, limiter le renouvellement des appareils numériques, favoriser des usages numériques écologiquement vertueux, promouvoir des datacenters et des réseaux moins énergivores et promouvoir une stratégie numérique responsable dans les territoires. Cette règlementation n’est pas achevée puisque certains rapports doivent bientôt être présentés par le gouvernement sur l’empreinte environnementale des cryptomonnaies et de l’impact du minage.

 

3. La Sécurité Juridique: La proposition de règlement Markets in crypto-Assets (MiCA), en cours d’adoption, révèle un ensemble de règlementation qui visent à atteindre quatre objectifs sur les marchés des crypto-actifs : la sécurité juridique liée au soutien de l’innovation, à la garantie d’une protection des consommateurs, et à la garantie de la stabilité financière. La proposition de règlement établit des règles pour les émetteurs de crypto-actifs (les fondations, les développeurs et les entreprises à l’origine des crypto-monnaies), et les fournisseurs de services de crypto-actifs (les bourses et les dépositaires). Elle définit également les crypto-actifs qui seront soumis à une réglementation stricte telle que la monnaie électronique et les jetons référencés par des actifs (stablecoins). Seuls les « établissements de crédit et les établissements de monnaie électronique » pourront demander une licence pour émettre des stablecoins. Cela signifie essentiellement que seuls les cryptos officiellement approuvés pourront opérer dans l’UE. Les autres crypto-actifs qui ne promettent pas une valeur stable ou qui ne sont pas des jetons utilitaires seront également soumis à une certaine réglementation. La proposition de règlement MiCa établit également des règles strictes pour les dépositaires de crypto-actifs, telle que l’obligation d’appliquer pour une autorisation officielle d’un des états membres de l’UE. Des responsabilités existeront désormais envers les clients afin de protéger au mieux leurs intérêts et leurs actifs.

 

4. L’Harmonisation: La Commission européenne a publié une première ébauche du Data Act. Il a pour but d’harmoniser les conditions de mise à disposition et d’exploitation des données industrielles générées dans l’UE, en permettant de mettre les utilisateurs et les fournisseurs sur un pied d’égalité en termes d’accès aux données. La loi sur les données permettra d’utiliser davantage de données et établira des règles sur qui peut utiliser et accéder à quelles données et à quelles fins dans tous les secteurs économiques de l’Union Européenne.  Les PME sont exemptées de ces obligations, mais dans l’ensemble, les exigences impliquent que la Commission européenne a opté pour une solution unique qui oblige toutes les entreprises à s’adapter.

 

5. La Régulation: Le Digital Market Act (DMA), proposé par la Commission européenne en décembre 2020 pour réglementer les « gardiens » du monde numérique, progresse vers sa finalisation. Le DMA a pour objectif de réguler le comportement des grandes plateformes en ligne qui font office de « Gatekeeper » (contrôleurs d’accès), au regard du droit de la concurrence en mettant en place des conditions de concurrence équitables pour favoriser l’innovation, la croissance et la compétitivité tant à l’échelle européenne qu’à l’échelle mondiale.

 

6. L’Autodétermination : Le Parlement européen a adopté, il y a quelques jours, le Digital Services Act, un texte qui doit permettre de mieux réguler le fonctionnement des plateformes et de bannir les contenus illégaux en ligne. Deux missions qui nécessitent la mise en place de réglementations sur les algorithmes des plateformes. Le Digital Services Act vise à imposer de nouvelles obligations en matière de contenus aux intermédiaires en ligne, en particulier les plateformes en ligne telles que les médias sociaux et les places de marché, et impose également une « transparence renforcée » sur les algorithmes utilisés par ces plateformes.

 

Ces mesures établissent « une procédure de notification et d’action, ainsi que des garanties pour la suppression de produits, services ou contenus illicites ». Les entreprises qui violeront ces dispositions pourront se voir infliger des amendes allant jusqu’à 6 % de leur chiffre d’affaires annuel.

 

<<< À lire également : Les députés européens adoptent le DSA | Deux plaintes invoquent la responsabilité de Meta dans la répression contre les rohingyas >>>