DMA, DGA, DSA, DA : quels sont ces nouveaux règlements ?

De nouveaux règlements européens viennent s’ajouter au RGPD, élargissant ainsi la protection des données. Cette évolution règlementaire a un impact majeur sur les entreprises et les utilisateurs. Il est donc impératif de se tenir informé des dernières réglementations pour maintenir la conformité et anticiper les évolutions à venir. Cet article examine quatre règlements essentiels : le Digital Markets Act (DMA), le Data Governance Act (DGA), le Digital Services Act (DSA) et le Digital Act (DA). Chacun de ces règlements exerce une influence significative sur le paysage numérique, abordant des sujets allant de la régulation des géants de la technologie à la gestion des données et à la protection de la vie privée.

DMA : Digital Markets Act

Qu’est-ce que le DMA et quels sont les objectifs ?

Le Digital Markets Act (DMA) est une législation régissant les marchés numériques, principalement les grandes plateformes en ligne dites « contrôleurs d’accès ». Son objectif est de rétablir un équilibre dans ce secteur en régulant les pratiques et les abus des géants du numérique en matière de concurrence. Cela vise à promouvoir la diversité des acteurs sur le marché, offrant ainsi un plus large éventail de choix aux consommateurs.

Qui sont les contrôleurs d’accès ?

Les entreprises qualifiées de « contrôleurs d’accès » doivent répondre à trois critères :

  • Fournir au moins un service de plateforme essentiel dans un minimum de trois pays européens.
  • Réaliser un chiffre d’affaires annuel d’au moins 7,5 milliards d’euros en Europe sur les trois dernières années.
  • Enregistrer plus de 45 millions d’utilisateurs européens par mois et 10 000 entreprises par an au cours des trois dernières années.

Quelles sont les obligations et les interdictions du DMA ?

Ce règlement introduit de nouvelles obligations et interdictions pour les fournisseurs d’accès concernés, telles que précisées par la Commission européenne :

  • Permettre aux tiers d’interagir avec leurs propres services dans des situations spécifiques.
  • Autoriser les entreprises utilisatrices à accéder aux données générées par leurs activités.
  • Fournir des outils et des informations aux entreprises publicitaires pour vérifier indépendamment les annonces hébergées par le fournisseur d’accès.
  • Autoriser les entreprises utilisatrices à promouvoir leur offre et à conclure des contrats avec leurs clients en dehors de la plateforme du contrôleur d’accès.
  • Interdiction de favoriser les produits et services proposés en termes de classement par rapport à des produits et services similaires proposés par des tiers.
  • Interdiction d’entraver l’accès des consommateurs aux services d’entreprises en dehors de leurs plateformes.
  • Interdiction d’empêcher les utilisateurs de désinstaller des logiciels ou des applications préinstallés, s’ils le souhaitent.

Interdiction de suivre les utilisateurs en dehors de leur service de plateforme essentiel à des fins de publicité ciblée sans un consentement explicite.

Quelles sont les sanctions prévues par le DMA ?

Les contrôleurs d’accès ne respectant pas les obligations et interdictions susmentionnées s’exposeront à des sanctions, notamment :

  • Une amende pouvant aller jusqu’à 10 % de leur chiffre d’affaires mondial.
  • Une amende pouvant atteindre 20 % de leur chiffre d’affaires mondial en cas de récidive.
  • Une astreinte pouvant représenter jusqu’à 5 % de leur chiffre d’affaires quotidien mondial.

En cas de trois violations enregistrées sur une période de 8 ans, des mesures correctives pourront être prises à la suite d’une enquête de marché spécifiquement ouverte à cet effet.

Les dates clés du DMA

  • Entrée en vigueur : 1er novembre 2022
  • Applicabilité : 2 mai 2023
  • Conformité obligatoire : mars 2024

DSA : Digital Services Act

Qu’est-ce que le DSA et quels sont les objectifs ?

Le Digital Services Act (DSA) a pour objectif de renforcer la protection des internautes européens en luttant contre les contenus et produits illégaux présents sur les plateformes en ligne. En appliquant une surveillance plus rigoureuse, le DSA vise à rendre la navigation sur le web plus sûre pour les utilisateurs.

Qu’est-ce que le DSA et quels sont les objectifs ?

Le Digital Services Act concerne les fournisseurs de services intermédiaires en ligne, notamment :

  • Les services d’hébergement
  • Les plateformes en ligne
  • Les très grandes plateformes et les très grands moteurs de recherche

Quelles sont les mesures mises en place par le DSA ?

Les acteurs soumis au DSA doivent respecter de nouvelles obligations, qui varient en fonction de leur taille et de la nature de leurs services. Les très grandes plateformes et les très grands moteurs de recherche sont soumis à des exigences plus strictes, et ces obligations sont regroupées en trois catégories :

  • Lutte contre les contenus illicites : mise en place d’un mécanisme de signalement facilité pour les contenus illicites.
  • Transparence en ligne : création d’un système interne de gestion des réclamations, explication du fonctionnement des algorithmes, mise en place d’un système de recommandation de contenus non basé sur le profilage, publication d’un registre publicitaire contenant diverses informations et interdiction de la publicité ciblée envers les mineurs.
  • Atténuation des risques et réponse aux crises : analyse annuelle des risques systématiques, audits indépendants de réduction des risques (annuel) et mise à disposition des algorithmes des interfaces.

Quelles sont les sanctions prévues par le DSA ?

Chaque État membre doit nommer un coordinateur de services numériques chargé de surveiller, contrôler et sanctionner les fournisseurs de services intermédiaires en ligne ne respectant pas les obligations imposées par le DSA. Pour les très grandes plateformes en ligne, la Commission européenne sera responsable de veiller au respect des règles.

Si les acteurs concernés ne respectent pas cette réglementation, des sanctions peuvent être appliquées. Pour les très grandes plateformes, des amendes pouvant atteindre 6 % de leur chiffre d’affaires mondial peuvent être infligées.

Les dates d’application du DSA

  • 25 août 2023 pour les plateformes en ligne et les moteurs de recherche comptant plus de 45 millions d’utilisateurs.
  • 17 février 2024 pour le reste des plateformes.

DGA : Digital Governance Act

Qu’est-ce que le DGA et quels sont les objectifs ?

Le Digital Governance Act (DGA) est une loi européenne relative à la gouvernance des données. Son objectif est de faciliter le partage et la réutilisation des données entre les États membres, tout en veillant à la protection des données personnelles conformément aux dispositions du RGPD.

Cette loi vise également à renforcer le contrôle des individus sur leurs données, leur permettant de décider précisément qui peut y accéder et à quelles fins.

Quelles sont les obligations du DGA ?

Le DGA introduit plusieurs obligations, notamment :

  • Définir les conditions permettant la réutilisation des données détenues par des organismes du secteur public et régir leur accès.
  • Établir les modalités de prestation de services d’intermédiation de données.
  • Créer un cadre pour que des entités puissent collecter et traiter des données à des fins altruistes.
  • Instaurer un Comité européen de l’innovation dans le domaine des données.

Une autorité nationale sera chargée de contrôler et de sanctionner le respect des mesures du règlement. Elle sera également le point de contact pour les réclamations.

Les dates clés du DGA

  • Entrée en vigueur : 23 juin 2022
  • Applicabilité : 24 septembre 2023

Data Act

Qu’est-ce que le Data Act ?

Le Data Act a pour objectif d’assurer une répartition équitable de la valeur générée par l’utilisation des données personnelles et non personnelles dans l’économie des données, notamment en relation avec les objets connectés et le développement de l’Internet des objets. L’objectif principal est de favoriser l’émergence d’une économie des données compétitive et équitable, qui bénéficie à la fois aux utilisateurs et aux entreprises européennes.

Quels sont les objectifs du Data Act ?

Le Data Act vise à atteindre plusieurs objectifs :

  • Faciliter le partage des données issues d’objets connectés.
  • Permettre l’accès et l’utilisation de ces données par les organismes publics des États membres et les institutions de l’UE lorsque cela est justifié.
  • Établir des règles pour la transmission de données non personnelles dans le cadre de la coopération internationale.
  • Lutter contre les accès non autorisés de gouvernements de pays tiers aux données en mettant en place des garanties appropriées.
  • Simplifier le processus de changement de fournisseur de services de traitement de données.
Contactez-nous

Je partage

Derniers articles

Illustration de sécurité WordPress avec logo central et éléments numériques de sécurité

Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur

Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !

Lire l'article

Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client

Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?

Lire l'article