Anticiper l’entrée en application de la directive NIS II et du futur IA ACT à la lumière du RGPD

📅 Calendrier de ces différentes normes européennes
Alors que le RGPD s’applique depuis plus de 5 ans, la nouvelle directive 2022/2555 « NIS II » sera applicable à partir du 18 octobre 2024. Le règlement sur l’intelligence artificielle « IA Act », quant à lui, devrait être applicable 24 mois après son entrée en vigueur.

Anticiper ces différentes normes européennes
🔰 NIS II et le RGPD
Certaines dispositions de la directive NIS II s’imbriquent avec celles du RGPD de sorte que les acteurs concernés doivent anticiper les obligations et les enjeux croisés que recouvrent ces textes.

Depuis l’entrée en vigueur du RGPD en 2018, les entités ont en effet l’obligation de prendre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données personnelles. La directive NIS II prévoit une obligation connexe concernant la cybersécurité des réseaux et des systèmes d’informations, qui inclut la prise de mesures techniques, opérationnelles et organisationnelles fondées sur le risque.

Il faut souligner que les exigences de cybersécurité prévues par NIS II prévoient que : « La sécurité des réseaux et des systèmes d’information devrait inclure la sécurité des données stockées, transmises et traitées »¹. En effet, ces mesures favoriseront le respect des obligations de sécurité des données personnelles, prévues par l’article 32 du RGPD, en renforçant les mesures techniques des entités.

De plus, la directive prévoit une politique d’analyse des risques et de sécurité² qui peut s’avérer pertinente à conjuguer avec une analyse d’impact relative à la protection des données telle que prévue par l’article 35 RGPD.

Ainsi, alors que tout PIA contient une partie technique sur les risques sur la sécurité des données et permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données, ces mesures pourront tout à fait s’intégrer aux autres mesures de cybersécurité.

✒️IA ACT et RGPD
L’IA Act s’inscrit dans le prolongement du RGPD. Il est intéressant de noter que ces règlements ont d’ailleurs une base juridique commune « protection des données ». Ainsi, les systèmes d’IA devront prendre en compte le droit de la protection des données personnelles et garantir son efficacité au travers de certains outils, comme les analyses d’impact (PIA).

Ce règlement devra permettre de lutter contre les biais et discriminations qui pourra résulter du traitement de données sensibles³ et devra s’imbriquer avec le RGPD sur la question de la prise de décision automatisée. En effet, le RGPD prévoit qu’une « personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé… »⁴ et si ce n’est pas le cas, elle peut disposer du droit d’obtenir une intervention humaine. L’IA Act ira dans ce sens en prévoyant un rôle de supervision par un « contrôle humain » explicitement consacré.

Cela aura vocation à prévenir ou réduire au minimum les risques liés à l’utilisation d’une IA à haut risque. Il est en effet intéressant de noter que le règlement IA Act se fonde aussi sur une approche sur les risques, à l’instar du RGPD.

Plus d’informations

1) Considérant 77 directive NIS II
2) Art. 21(2)(a) directive NIS II
3) Art.9 RGPD
4) Art.22 RGPD