Dans la lignée de ses précédentes initiatives, l’Europe a considérablement renforcé son arsenal réglementaire pour encadrer des secteurs devenus hautement stratégiques : intelligence artificielle, infrastructures cloud, cybersécurité. Tour d’horizon des derniers textes votés à Bruxelles.  

L’Europe régule l’IA… mais temporise

Un an après être officiellement entré en vigueur, l'AI Act européen a franchi une nouvelle étape cet été. Malgré la publication tardive du Code de bonnes pratiques destiné à aider les entreprises à se mettre en conformité, les modèles d'IA dits “à usage général” doivent désormais respecter de nouvelles obligations sur le continent. Celles-ci portent notamment sur la transparence du processus d’entraînement des modèles d’intelligence artificielle générative: les développeurs devront publier un résumé “suffisamment détaillé” des données qu'ils ont utilisées.

Inflexible au début de l'été, la Commission européenne a assoupli infléchi sa position. Face aux critiques pointant les effets potentiellement négatifs de cette réglementation, elle propose désormais de repousser plusieurs mesures, dans le cadre du paquet numérique qu'elle a présenté mi-novembre.

En particulier, les exigences visant les modèles dits “à hauts risques” ne s’appliqueraient pas en août 2026, mais en décembre 2027. Une période de grâce d’un an pourrait aussi être accordée avant la mise en place obligatoire de dispositifs de marquage des contenus générés par l’IA. Ces propositions doivent encore être approuvées par le Conseil et le Parlement européens, une étape loin d’être acquise.

Bruxelles veut favoriser les clouds européens

Dans le cloud, l’année 2025 a été marquée par une “prise de conscience”, affirmait récemment Octave Klaba, le fondateur et patron d’OVHcloud. En témoigne, la dernière initiative de Bruxelles: le “Cloud Sovereignty Framework”. Ce nouveau référentiel prévoit de classer les offres de cloud en fonction de leur degré de souveraineté, selon huit critères comme la gouvernance, la chaîne d'approvisionnement ou la sécurité. Bruxelles encourage les institutions publiques du continent à utiliser cette grille dans leurs appels d'offres.

Cette mesure intervient au moment où les plateformes européennes promettent d’accélérer le déploiement du projet Gaia-X, qui vise à déployer une infrastructure interopérable et sécurisée répondant aux standards européens. Elles se sont notamment engagées à labelliser jusqu’à 3.000 services conformes aux spécifications Gaia‑X d’ici la fin de l'année.

La montée en puissance espérée des clouds européens doit également s’appuyer sur le Data Act, conçu pour lever les principales barrières mises en place par les géants américains afin de dissuader les migrations vers d’autres prestataires. Bruxelles vient aussi d’ouvrir des enquêtes pour déterminer si Amazon Web Services et Microsoft Azure, les deux leaders du marché, doivent être soumis au Digital Markets Act européen. Un tel changement leur imposerait de nouvelles contraintes, notamment en matière d’interopérabilité, au profit de leurs concurrents.

L’Europe veut imposer la cybersécurité by design

Côte cybersécurité, l’Europe a adopté fin 2024 le Cyber Resilience Act. Cette nouvelle réglementation, qui entrera en vigueur à partir de septembre 2026, durcira les exigences imposées aux fabricants de produits connectés, de logiciels et d’équipements industriels. L’ambition de Bruxelles : imposer une approche intégrant les impératifs de cybersécurité by design, c’est-à-dire dès les premières étapes de conception.

Ce texte viendra compléter deux autres législations européennes déjà adoptées. D’abord, la directive DORA (Digital Operational Resilience Act), adoptée en janvier et qui doit être transposée dans les droits nationaux. Elle impose aux institutions financières, comme les banques et les assureurs, ainsi qu’à leurs fournisseurs, de nouvelles obligations destinées à réduire les risques informatiques, notamment les cyberattaques.

Votée il y a trois ans mais toujours en attente des décrets d'application en France, la directive NIS2 (Network and Information Systems) prévoit un renforcement de la protection des opérateurs d’importance vitale - environ 250 entités en France dans la banque, la santé, l’énergie, l’alimentaire ou encore les télécoms. Le texte rend obligatoires des plans d’urgence détaillés, des mises à jour régulières et des tests de sécurité fréquents.