Photo © Indigita

Par Elena Liotto, Head of Marketing Communications / Data Protection Advisor

Alors que la conformité est souvent associée à des secteurs fortement réglementés tels que la finance, les soins de santé et les industries juridiques, il est crucial de reconnaître qu’en raison du développement technologique sans précédent des dernières années, la conformité numérique s’étend bien au-delà de ces domaines. Les petites et moyennes entreprises (PME), réputées pour leur agilité et leur adaptabilité, sont stratégiquement positionnées pour servir d’intermédiaires d’innovation cruciaux au sein de l’écosystème de la chaîne d’approvisionnement. La conformité numérique englobe le respect des réglementations et des meilleures pratiques concernant l’utilisation des technologies numériques, la protection des données, la cybersécurité et les pratiques commerciales en ligne. Cet article fournit aux PME suisses qui ne proposent pas de services financiers un aperçu des tendances critiques en matière de conformité numérique.

1.-Pertinence de la loi sur l’intelligence artificielle (IA) de l’UE pour les entreprises suisses

Comprendre l’approbation de la loi sur l’IA par le Parlement européen en février 2024 est particulièrement important pour les PME suisses en raison de sa portée extraterritoriale et de ses exigences en matière d’accès au marché, quelle que soit leur taille. Les entreprises suisses ciblant les clients de l’UE ou ayant des filiales dans l’UE doivent mettre en œuvre la loi. La loi impacte tous les acteurs impliqués dans le domaine de l’IA, y compris les utilisateurs, les fournisseurs, les importateurs, les distributeurs et les personnes concernées par les systèmes d’IA.

Réglementation centrée sur l’humain

En un mot, la nouvelle loi introduit une approche centrée sur l’humain pour réglementer l’IA, basée sur sept principes sous-jacents : l’Agence et la Surveillance humaines, la Robustesse technique et la Sécurité, la Confidentialité et la Gouvernance des données, la Transparence, la Diversité, la Non-discrimination et l’Equité, ainsi que le Bien-être Social et Environnemental.

Classification basée sur les risques

Le règlement introduit une classification basée sur les risques pour les systèmes d’IA, distinguant entre les applications à risque inacceptable, à risque élevé, à risque limité et à risque minimal. Alors que la plupart des systèmes d’IA, tels que les chatbots et les deepfakes, présentent un risque limité à nul (par exemple, les jeux vidéo basés sur l’IA) et sont encore soumis à une évaluation documentée, ceux jugés à haut risque (par exemple, les diagnostics médicaux, les transports) seront soumis à des obligations strictes et à des procédures d’enregistrement. Bien que la loi sur l’IA n’exonère pas les PME de la conformité, l’article 55 prévoit les ressources et mesures destinées à les soutenir.

Type d’abonnement et protection des données

Les entreprises utilisant des outils d’IA générative doivent prendre en compte attentivement des facteurs tels que le but du contenu, les droits d’utilisation et les autorisations d’accès. Certains systèmes proposent des versions adaptées aux entreprises conçues pour être conformes aux réglementations en matière de protection des données – comme ChatGPT Team, ChatGPT Enterprise ou la solution API. D’autres, comme Gemini, le successeur de Bard de Google, peuvent présenter des défis, nécessitant une réévaluation, car ils peuvent ne pas être adaptés à une utilisation en entreprise et à la manipulation d’informations sensibles.

Dans l’ensemble, la loi sur l’IA de l’UE reflète les attitudes mondiales à l’égard des défis et des opportunités présentés par l’IA. En octobre 2023, la Chine a introduit le Cadre mondial de gouvernance de l’IA, qui a coïncidé avec l’émission par les États-Unis d’un décret sur la réglementation de l’IA. Par la suite, 29 pays, dont la Suisse, se sont accordés au Royaume-Uni pour plaider en faveur d’un développement de l’IA sécurisé et éthique. La question maintenant est de savoir comment la Suisse amplifiera sa contribution au cadre mondial pour l’IA.

2.-Pratiques commerciales en ligne

Loi sur les services numériques de l’UE (DSA)

Initialement en vigueur en août 2023 pour les grandes entreprises, la DSA a étendu sa portée à partir du 17 février 2024 pour inclure toutes les entreprises. Cette législation, modifiant la directive sur le commerce électronique, offre des implications favorables pour les PME ayant une présence en ligne. Ses effets extraterritoriaux impactent non seulement les entreprises basées dans l’UE, mais aussi de nombreuses entreprises en Suisse desservant des clients de l’UE. La DSA cible les services intermédiaires, les services d’hébergement, les plateformes en ligne et les très grandes plateformes en ligne, dans le but de protéger les droits fondamentaux des utilisateurs au sein de l’UE et de promouvoir la croissance et une concurrence équitable. Bien que certaines exemptions s’appliquent aux petites (moins de 50 employés et un chiffre d’affaires annuel de moins de 10 millions d’euros) et micro-entreprises, toutes les entreprises sont encouragées à s’engager dans des pratiques telles que la réalisation d’audits réguliers, le respect des conditions générales, l’alignement sur les normes de modération de contenu, l’établissement d’un représentant de l’UE et la garantie d’une publicité transparente.

Loi sur les marchés numériques de l’UE (DMA)

Entrée en vigueur le 2 mai 2023, la DMA cible spécifiquement les grandes plateformes en ligne, également connues sous le nom de « gardiens », et vise à favoriser une concurrence équitable et l’innovation dans le marché numérique. Pour les PME, comprendre la DMA est crucial, car les changements de politiques en matière de publicité, de transparence et de modération par ces géants du numérique peuvent affecter significativement les pratiques opérationnelles et commerciales de leurs collaborateurs plus petits. La DMA cherche à équilibrer le terrain de jeu en empêchant les gardiens d’imposer des conditions injustes aux entreprises et aux consommateurs, garantissant ainsi un secteur numérique plus compétitif et dynamique.

3.- Traitement des données personnelles

Les entreprises, qu’elles soient en ligne ou hors ligne, doivent se conformer aux obligations de protection des données personnelles prévues par la Loi fédérale suisse sur la protection des données (LPD) et le Règlement général sur la protection des données (RGPD) de l’UE, tous deux applicables de manière extraterritoriale pour protéger les citoyens suisses et de l’UE. Les entreprises sont tenues de traiter les données de manière légale et de respecter les droits des individus. Alors que la loi suisse peut exempter les PME comptant moins de 250 employés de certaines obligations telles que le Registre des activités de traitement (ROPA), le RGPD ne prévoit aucune exemption basée sur la taille de l’entreprise. Dans l’ensemble, comprendre les nuances de la conformité est essentiel, en se concentrant sur la nature des données plutôt que sur la taille de l’entreprise.

Sécurité de l’information

Les PME sous-estiment souvent le risque des cyberattaques, en supposant que leur taille les rend moins vulnérables. Cette vision augmente malheureusement les vulnérabilités, notamment avec la montée en puissance des solutions basées sur le cloud et de l’externalisation. Malgré l’utilisation de technologies avancées, la responsabilité ultime de la cybersécurité incombe à l’organisation.

Suivre des cadres tels que l’ISO 27001, qui inclut l’évaluation des risques, les politiques de sécurité et la gestion des incidents, entre autres aspects, permet aux PME de renforcer leurs mesures de cybersécurité et de promouvoir une culture de sensibilisation à la sécurité.

Il est crucial pour les PME d’investir dans une formation régulière en cybersécurité pour les employés. Leur enseigner les meilleures pratiques et la reconnaissance des menaces renforce considérablement les capacités défensives de l’organisation.

Conclusion

Une gouvernance d’entreprise efficace est essentielle pour promouvoir la responsabilité, la transparence, l’équité, la fiabilité, la sécurité de l’information et la gestion des risques au sein des PME. En priorisant la cybersécurité, en respectant les réglementations sur la protection des données, en adoptant les principes de gouvernance d’entreprise et en suivant le développement rapide des réglementations en matière d’IA, les entreprises peuvent instaurer la confiance avec leurs clients, protéger leurs actifs et prospérer dans l’économie numérique d’aujourd’hui. Les PME ne devraient pas sous-estimer la valeur des partenariats dans l’amélioration de la conformité numérique. La collaboration avec des fournisseurs de technologie, des experts juridiques et des groupes sectoriels peut offrir aux PME des ressources supplémentaires et des perspectives pour surmonter les défis de conformité.

____

Sources:

La loi sur l’IA: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:52021PC0206

Le Cadre mondial de gouvernance de l’IA / Global AI Governance Initiative: https://www.mfa.gov.cn/eng/wjdt_665385/2649_665393/202310/t20231020_11164834.html

Décret exécutif sur l’intelligence artificielle sûre, sécurisée et digne de confiance  / Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence: https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/

La Déclaration de Bletchley par les pays participant au Sommet sur la sécurité de l’IA, les 1er et 2 novembre 2023 / The Bletchley Declaration by Countries Attending the AI Safety Summit, 1-2 November 2023: https://www.gov.uk/government/publications/ai-safety-summit-2023-the-bletchley-declaration/the-bletchley-declaration-by-countries-attending-the-ai-safety-summit-1-2-november-2023

Règlement sur les services numériques : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022R2065

Règlement sur les marchés numériques : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022R1925

RGPD: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679&qid=1711452776322

LPD : https://www.fedlex.admin.ch/eli/cc/2022/491/frISO 27001 : https://www.iso.org/fr/standard/27001

Retrouvez l’ensemble de nos articles Décryptage