‹ Retour aux articles

MiCA, DGA, CRA, Data Act, IA Act : enjeux, opportunités et perspectives 

Temps de lecture : 14 minutes
Date de modification : 16 janvier 2026

Lors de la dernière édition des Assises de la sécurité d’octobre 2024 [1], les thématiques juridiques relatives à NIS2 [2] et DORA [3] ont été largement évoquées. Il est apparu important cependant de faire un point sur d’autres règlementations qui sont plus méconnues bien qu’étant toutes aussi importantes. En effet, le dynamisme de la Commission européenne semble actuellement sans limites avec des textes tels que MiCA [4], DGA [5], Data Act [6], CRA [7], IA Act [8]… Sous l’apparence d’un « mille-feuille règlementaire d’acronymes », il apparaît essentiel de détecter le fil rouge qui conduit la démarche européenne en matière de cybersécurité. Une présentation de ces textes au prisme des objectifs poursuivis apparait dès lors essentiel.

La stratégie européenne consiste à définir un cadre harmonisé permettant aux acteurs économiques et aux Etats membres de tirer parti du potentiel des données numériques et de favoriser l’innovation tout en préservant la sécurité des systèmes d’information. Cette stratégie se décline autour de principes clés. 

cybersecurite MiCA, DGA, CRA, Data Act, IA Act

Les points à retenir

  • La stratégie européenne en matière de cybersécurité vise à instaurer un cadre réglementaire harmonisé favorisant l’innovation numérique tout en renforçant la sécurité, la confiance et la protection des usagers.
  • Les règlements MiCA et Cyber Resilience Act renforcent la confiance des utilisateurs en encadrant strictement les crypto-actifs et la cybersécurité des produits numériques tout au long de leur cycle de vie.
  • Le Digital Governance Act et le Data Act organisent un accès et un partage encadrés des données afin de stimuler l’économie de la donnée tout en respectant le RGPD et la souveraineté européenne.
  • L’IA Act introduit une approche fondée sur les risques pour encadrer l’intelligence artificielle, avec des obligations graduées selon l’impact des systèmes sur les droits fondamentaux et la sécurité.
  • L’ensemble de ces textes prévoit des sanctions financières dissuasives et impose aux organisations une anticipation forte en matière de conformité, de gouvernance et de cybersécurité.

Instaurer la confiance des usagers 

Un des points communs des différentes réglementations est de favoriser, renforcer la confiance et la protection des usagers. Tel est le cas, du règlement MiCA, Markets in Crypto-Assets, qui fait partie du paquet législatif « Digital Financial Package [9] » visant à uniformiser les émissions et les services sur les crypto-actifs, les levées de fonds par émission de jetons fournissant un cadre juridique cohérent et renforcé pour mieux protéger les usagers. L’article 3.1(5) du règlement MiCA définit donc un crypto-actif comme « une représentation numérique d’une valeur ou d’un droit pouvant être transférée et stockée de manière électronique, au moyen de la technologie des registres distribués ou d’une technologie similaire ». L’article 3.1(9) ajoute qu’un jeton utilitaire est « un type de crypto-actif destiné uniquement à donner accès à un bien ou à un service fourni par son émetteur » [10].

Ainsi, à compter du 30 Décembre 2024, seuls les prestataires de services de crypto-actifs (PSCA), autorisés préalablement à l’exercice de leur activité, peuvent fournir ce type de services. Dans cette logique, l’Autorité des marchés financiers met en garde les usagers contre les activités d’acteurs non autorisés et accompagne les prestataires dans leur démarche [12]. En effet, l’un des objectifs de ce règlement est de tracer les transferts de crypto-actifs au même titre que toute transaction afin de lutter contre la manipulation de marché, contre le blanchiment des capitaux, le financement du terrorisme et toute activité criminelle.

Concernant les produits (software et hardware) numériques, la Commission européenne a également choisi la voie d’un règlement. Le Cyber Resilience Act qui vient d’être adopté, vise à mettre en place le cadre nécessaire au développement de produits sécurisés, en s’assurant qu’ils sont mis sur le marché avec moins de vulnérabilités, et que leurs fabricants assurent leur sécurité durant leur cycle de vie. Pour ce faire, ce règlement introduit des exigences en matière de cybersécurité pour les produits (matériels et logiciels) tout au long de leur cycle de vie. En effet, ce texte établit une liste de critères spécifiques auxquels les produits comportant des éléments numériques fabriqués ou distribués au sein du marché intérieur devront répondre. L’ensemble de la chaîne des acteurs économiques est concerné par le respect de ces exigences, à savoir le fabricant, le distributeur et l’importateur des produits. Cette approche globale est une innovation. Les dispositions de ce texte s’articulent avec d’autres réglementations européennes, en particulier la directive dite « NIS 2 » qui vise à renforcer le niveau de sécurité au sein des États membres [13]. En effet, cette dernière met en place des exigences en matière de cybersécurité, y compris des mesures de sécurité de la chaîne d’approvisionnement et des obligations de notification des incidents pour les entités essentielles et importantes, en vue d’accroître la résilience des services qu’elles fournissent. Par conséquent, l’amélioration du niveau de la cybersécurité des produits contenant des éléments numériques faciliterait la mise en conformité des entités relevant du champ d’application de la directive NIS 2 et renforcerait la sécurité de l’ensemble de la chaîne d’approvisionnement.

Enfin, le Cyber Resilience Act ambitionne de créer les conditions qui permettront aux utilisateurs de faire de la cybersécurité un véritable facteur dans le choix et l’usage d’un produit comportant un élément numérique. Ce règlement est donc un texte majeur pour la confiance des utilisateurs.

Une transparence encadrée 

Le Digital Governance Act et le Data Act visent, tous deux, à promouvoir l’accès, le partage et la réutilisation des données au sein de l’UE, dans le respect de la protection des données personnelles, en particulier du règlement général sur la protection des données (RGPD) [14]. Ces deux textes s’inscrivent dans la stratégie européenne sur les données [15], visant à renforcer la compétitivité et la souveraineté de l’UE. En d’autres termes, leur objectif est de définir un cadre harmonisé permettant aux acteurs économiques et aux États membres de l’UE de tirer parti du potentiel des données et de favoriser l’innovation, notamment en matière de santé, de mobilité, d’adaptation au changement climatique, etc.

D’une part, l’un des principaux objectifs du DGA est d’encourager les organismes du secteur public à réutiliser les données ainsi que de proposer un cadre pour améliorer la disponibilité de ces données en favorisant un climat de confiance dans les intermédiaires de données et en renforçant les mécanismes existants de partage des données. Le DGA prévoit aussi la possibilité pour les entreprises de réutiliser les données détenues par les organismes du secteur public y compris les données dites « à caractère protégé ». Toutefois, ces dernières pourront être réutilisées à condition notamment d’avoir été traitées au préalable pour ne plus contenir de données à caractère personnel (obligation d’anonymisation), ni de porter atteinte au secret des affaires ou aux droits d’auteur. Rappelons que, selon le texte, l’altruisme en matière de données fait référence à la mise à disposition volontaire de données par les particuliers ou les entreprises pour des objectifs d’intérêt général (par exemple, la santé publique, la lutte contre le changement climatique, etc.).

D’autre part, l’objectif du Data Act est, selon la Cnil [16], d’assurer une meilleure répartition de la valeur issue de l’utilisation des données personnelles et non personnelles entre les acteurs de l’économie de la donnée, notamment liées à l’utilisation des objets connectés et au développement de l’internet des objets. En outre, le règlement sur les données vise, en son article 25, à favoriser la concurrence sur le marché du cloud en réduisant les obstacles au passage d’un service cloud à un autre. À cet égard, il prévoit la suppression totale des frais de sortie des données et des frais de changement de fournisseur trois ans après son entrée en vigueur [17] .

Ces deux textes s’inscrivent dans une volonté de définir un cadre normatif harmonisé de l’accès, du partage et de la (ré)-utilisation de données, en adéquation avec le RGDP et la finalité desdites données. Ces derniers sont également à mettre en perspective avec le règlement européen sur l’intelligence artificielle et son approche par les risques.

Une approche par les risques systématisée 

L’utilisation de l’intelligence artificielle (IA) s’est considérablement accrue ces dernières années et continue de se généraliser, à tous secteurs et tous types d’activités. Ces usages ne sont pas sans risques et soulèvent des questions juridiques, notamment au regard des droits fondamentaux (non-discrimination, respect de la vie privée…), de la protection des données à caractère personnel, des droits de propriété intellectuelle, etc. Le règlement européen sur l’intelligence artificielle (AI Act), en créant un cadre juridique harmonisé (au sein de l’UE), vise à promouvoir le développement d’une IA « digne de confiance » et l’innovation en matière d’IA dans l’Union européenne, tout en respectant les droits et valeurs fondamentaux de celle-ci (« y compris la démocratie, l’état de droit et la protection de l’environnement […] » [18]. Ces objectifs rejoignent également ceux du Conseil de l’Europe et de la convention-cadre du Conseil de l’Europe sur l’intelligence artificielle [19] visant à garantir que les activités menées dans le cadre du cycle de vie des systèmes d’intelligence artificielle sont pleinement compatibles avec les droits humains.

Le règlement repose sur une approche de l’IA fondée sur les risques et introduit une distinction entre les systèmes d’IA selon les risques qu’ils représentent pour « la santé, la sécurité ou les droits fondamentaux des personnes » : risque inacceptable, élevé et faible ou minimal. Selon les risques qu’ils induisent, les systèmes d’IA sont soit totalement interdits [20], soit autorisés et soumis à des obligations.

A titre d’illustration, le règlement sur l’IA fixe des obligations spécifiques applicables aux systèmes d’IA à haut risque. Pour pouvoir être mis sur le marché, ces derniers devront notamment répondre aux exigences suivantes :

  • Systèmes adéquats d’évaluation et d’atténuation des risques;
  • Haute qualité des ensembles de données alimentant le système afin de minimiser les risques et les résultats discriminatoires;
  • Enregistrement des activités afin d’assurer la traçabilité des résultats;
  • Documentation détaillée fournissant toutes les informations nécessaires sur le système et son objet pour permettre aux autorités d’évaluer sa conformité;
  • Haut niveau de robustesse, de sécurité et d’exactitude ; etc.

Les entités vont devoir s’adapter, en amont, mais aussi tout au long de leurs processus internes, et mettre en place une série de mécanismes pour rester en conformité.

Quant aux systèmes d’IA à risque limité, ces derniers seront soumis à des obligations spécifiques en matière de transparence, notamment :

  • Informer les utilisateurs lors de l’utilisation de systèmes d’IA comme les chatbots pour qu’ils puissent prendre des décisions éclairées;
  • Assurer l’identification du contenu généré par l’IA par les fournisseurs :
  • Étiqueter les textes générés par l’IA, publiés dans un but d’information du public sur des questions d’intérêt public, comme étant générés artificiellement.

En dernier lieu, les systèmes d’IA à risque minimal ou nul : ce sont la grande majorité des systèmes d’IA actuellement utilisés dans l’UE relèvent de cette catégorie (applications de jeux utilisant des systèmes d’IA, filtres anti-spam…). Cette règlementation ambitieuse entrera en application sur plusieurs années et la Commission européenne souhaite recueillir l’adhésion des différents acteurs : le pacte sur l’IA encourage donc cette approche au sein des entreprises [21].

Ainsi, même si l’approche européenne repose sur l’adoption d’un certain nombre de textes, comme autant de pièces d’un puzzle, un autre constat commun à ces derniers peut être dressé : l’ensemble des textes ont des sanctions administratives conséquentes, faisant suite à une période permettant aux entreprises de se mettre en conformité et d’avoir un accompagnement par les autorités.

Par exemple, le Cyber Resilience Act dispose qu’en cas de non-conformité, les acteurs s’exposeront à des sanctions pouvant atteindre jusqu’à 15 millions d’euros ou 2,5% du chiffre d’affaires total sur l’exercice annuel précédent, le montant le plus élevé étant choisi. De plus, un produit jugé non conforme ou présentant un risque pourra faire l’objet de restrictions allant jusqu’au retrait du marché, imposées par les autorités de contrôle des marchés désignées par les États membres.

Quant au règlement sur l’IA, son article 99 dispose que, concernant les pratiques interdites en matière d’IA, les amendes administratives peuvent atteindre jusqu’à 35 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu. La non-conformité aux dispositions du règlement, autres que celles énoncées à l’article 5, peut donner lieu à une amende administrative pouvant aller jusqu’à 15 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 3 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

De plus, la fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 7,5 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 1 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

Conclusion

Pour conclure, malgré une réelle complexité, l’harmonisation est en route avec des champs d’application précis : l’ensemble de ces textes visent à créer un cadre réglementaire global qui garantit aux citoyens, aux acteurs des marchés et services numériques sûrs, une concurrence équitable, une cybersécurité renforcée et dans le respect des droits fondamentaux, de la protection des données personnelles et des impératifs de développement durable. La formation et la sensibilisation de l’ensemble des acteurs est une nécessité impérative pour appréhender efficacement les enjeux et opportunités business souhaités par ces textes.

Anticipez les exigences européennes : échangez avec nos experts

Références

[1] https://www.lesassisesdelacybersecurite.com/

[2] Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555

[3] Règlement sur la résilience opérationnelle numérique – https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554&from=FR

[4] Règlement (UE) 2023/1114 du Parlement européen et du Conseil du 31 mai 2023 sur les marchés de crypto-actifs, JOUE L.150/40, 9 juin 2023

[5] Règlement sur la gouvernance des données https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R0868

[6] Règlement sur les données (Data Act) 2023/2854 du 13 décembre 2023 sur les règles harmonisées relatives à l’accès équitable aux données et à leur utilisation et modifiant le règlement (UE) 2017/2394 et la directive (UE) 2020/1828 (règlement sur les données). https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L_202302854

[7] Règlement relatif aux exigences de cybersécurité applicables aux produits comportant des éléments numériques https://www.consilium.europa.eu/fr/press/press-releases/2024/10/10/cyber-resilience-act-council-adopts-new-law-on-security-requirements-for-digital-products/

[8] Règlement établissant des règles harmonisées concernant l’intelligence artificielle, https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=OJ:L_202401689

[9] https://finance.ec.europa.eu/publications/digital-finance-package_en

[10] En revanche, les jetons non fongibles, les NFT sont exclus du règlement.

[11] https://www.amf-france.org/fr/actualites-publications/dossiers-thematiques/mica#Calendrier_dapplication_du_rglement_MiCA

[12] https://www.amf-france.org/fr/actualites-publications/communiques/communiques-de-lamf/crypto-actifs-lautorite-des-marches-financiers-met-en-garde-le-public-contre-les-activites-de-0

[13] Cette Directive, qui entrera en application le 17 octobre 2024, est en cours de transposition dans les États membres. Les définitions des notions clés telles que «?vulnérabilité?» et «?incident?» sont donc issues de cette directive NIS 2 et servent de référence pour la définition des critères de sécurité des produits.

[14] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

[15] https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_fr#gouvernance-des-donn%C3%A9es

[16] https://www.cnil.fr/fr/strategie-europeenne-pour-la-donnee-la-cnil-et-ses-homologues-se-prononcent-sur-le-data-governance

[17] Ce règlement entrera en vigueur en 2025, la Commission européenne a publié, le 6 septembre 2024, une foire aux questions afin de permettre aux acteurs concernés de bien cerner les atouts de ce texte. https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act

[18] Considérant 1, Règlement sur l’IA

[19] https://rm.coe.int/1680afae3d

[20] Article 5 du Règlement

[21] https://digital-strategy.ec.europa.eu/fr/policies/ai-pact

Clause de non-responsabilité

Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.

L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Evidency. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.

A propos de l’auteur

Myriam Quemener et Garance Mathias
Myriam Quéméner est magistrate et docteure en droit, reconnue pour son expertise approfondie en cybercriminalité et en droit du numérique. Forte de près de quarante années d’expérience acquise au sein des plus hautes institutions judiciaires et administratives françaises et européennes, elle a largement contribué à la doctrine par la publication de nombreux ouvrages de référence consacrés au cyberespace. Garance Mathias est avocate associée et fondatrice du cabinet Mathias Avocats. Spécialiste du droit du numérique, de la protection des données et de la cybersécurité, elle accompagne depuis plus de vingt ans entreprises et institutions dans la gestion de problématiques juridiques complexes et publie régulièrement des analyses faisant autorité sur la conformité et les technologies innovantes.

Article précédent

Article suivant

Recommandés
pour vous