Aperçu de l’année 2026 : Évolutions réglementaires numériques européennes à surveiller
Alors que nous accueillons la nouvelle année, il est important de prendre conscience des enjeux clés sur lesquels les législateurs et régulateurs vont se concentrer dans les mois à venir.
Principaux enjeux réglementaires numériques européens à surveiller en 2026
1) Les législateurs européens vont débattre de la relaxation des réglementations numériques existantes. En novembre 2025, la Commission européenne a publié des propositions visant à simplifier le cadre juridique de l’UE concernant le traitement des données et l’IA, initiant un processus législatif qui s’étendra jusqu’en 2026, voire au-delà.
Les propositions seront élaborées dans les domaines suivants :
a) Réformes du Règlement Général sur la Protection des Données (RGPD). La Commission européenne propose de reconnaître le développement et le fonctionnement des systèmes d’IA comme un « intérêt légitime » au sens du RGPD, et d’introduire une nouvelle base légale pour le traitement de données de catégories spéciales pour l’entraînement de modèles d’IA. Plus largement, les propositions visent à réduire le fardeau de conformité pour les entreprises en assouplissant le seuil à partir duquel une violation de données doit être signalée et en élargissant les situations dans lesquelles les données peuvent être considérées comme « anonymes ».
b) Report de certains aspects de la Loi sur l’IA. La Commission européenne propose de retarder l’application des règles de la Loi sur l’IA pour les systèmes d’IA à haut risque, de sorte qu’elles entrent en vigueur en décembre 2027 plutôt qu’en août 2026. Compte tenu du calendrier habituel pour l’adoption de nouvelles législations, la mise en œuvre de ce report pourrait s’avérer difficile. Certaines obligations seraient également simplifiées pour les petites et moyennes entreprises (PME) et les fournisseurs de petites et moyennes entreprises, réduisant ainsi leur fardeau de conformité global.
c) Loi sur les données. Les propositions modifieraient les règles de changement et d’interopérabilité, qui sont entrées en vigueur en septembre 2025, en prévoyant des exemptions pour certains prestataires de services de traitement de données personnalisées, ainsi que pour les PME et les petites et moyennes entreprises. Les secrets commerciaux seraient également exclus du champ d’application des obligations de partage de données.
2) Un chevauchement de plus en plus significatif entre la protection de la vie privée et d’autres domaines de la réglementation numérique est à anticiper. À mesure que de nouveaux régimes réglementaires se stabilisent et que des actions d’application sont menées, nous nous attendons à ce que davantage de chevauchements émergent. Des exemples notables incluent la conception et le fonctionnement des services en ligne, qui pourraient être réglementés sous la Loi sur les Services Numériques (DSA), le RGPD et les lois sur la protection des consommateurs, notamment en ce qui concerne l’utilisation de soi-disant « motifs sombres ». Un autre domaine clé est le développement et le déploiement de systèmes d’IA, que nous prévoyons d’être abordés tant par les régulateurs de la vie privée que par ceux spécifiques à l’IA dans les années à venir.
3) Les régulateurs et les entreprises vont réagir à la récente jurisprudence sur le concept de pseudonymisation. En septembre 2025, la Cour de Justice de l’Union Européenne (CJUE) a rendu une décision significative dans l’affaire EDPS v SRB (C-413/23 P), confirmant que les données pseudonymisées peuvent ne pas être considérées comme des données personnelles entre les mains d’un destinataire, à condition que des mesures techniques et organisationnelles suffisantes soient en place pour empêcher que les données en question ne soient attribuées à un sujet de données. En 2026, nous verrons les implications de ce jugement commencer à se matérialiser, avec la publication par l’EDPB de lignes directrices mises à jour sur la pseudonymisation.
4) Les propositions pour un nouveau Digital Fairness Act vont accroître la complexité pour les fournisseurs de services en ligne. En juillet 2025, la Commission européenne a lancé une consultation publique sur le projet de Digital Fairness Act, qui vise à combattre les « pratiques commerciales déloyales » telles que les motifs sombres, les fonctionnalités de design addictives et la personnalisation exploitante, y compris celles liées aux agents d’IA. Bien que certaines de ces questions soient déjà abordées par la DSA, la Commission a noté que ces pratiques concernent « tous les types de commerçants », et pas seulement ceux dont les modèles économiques reposent sur l’intermédiation de contenu.
5) La première vague d’application de la DSA. En décembre 2025, la Commission a infligé une amende à une entreprise en raison de multiples violations de la DSA, notamment pour des conceptions trompeuses et un manque de transparence, et plusieurs enquêtes étaient toujours ouvertes sous la législation. Au cours de l’année à venir, nous pouvons nous attendre à ce que la Commission rende des décisions finales concernant davantage de ces enquêtes. La CJUE a rendu des décisions significatives sous le régime de la DSA en 2025, et nous prévoyons que d’autres affaires soient renvoyées à la cour en 2026 et au-delà, alors que les entreprises cherchent de plus en plus à contester l’application de cette législation controversée.
6) Un accent continu sur la sûreté en ligne, y compris les données des mineurs. L’année passée a vu un certain nombre d’évolutions significatives concernant la sécurité des mineurs en ligne, y compris l’entrée en vigueur des obligations de protection des mineurs dans le cadre de la Loi sur la Sécurité en Ligne au Royaume-Uni, et la publication par la Commission de lignes directrices sur la protection des mineurs et la vérification de l’âge. Nous prévoyons un accent continu de la part des législateurs et des régulateurs sur la sécurité et la vie privée des mineurs au cours de l’année à venir, y compris dans les négociations de l’UE concernant le projet de DFA.
7) Les divergences entre les cadres juridiques du Royaume-Uni et de l’UE continueront à émerger et à se prononcer. En 2025, le Royaume-Uni a adopté la Loi sur l’Utilisation et l’Accès aux Données, entraînant des réformes ciblées dans le régime de protection des données du pays et démontrant le potentiel d’émergence de différences significatives dans la réglementation. Notamment, le Royaume-Uni n’a pas introduit de législation équivalente à la Loi sur l’IA, et la Loi sur la Sécurité en Ligne, en certains points équivalente à la DSA, impose des obligations uniques d’évaluation et de mitigation des risques aux entreprises régulées. En 2026, alors que l’UE explore la simplification de son cadre numérique, nous prévoyons que d’autres divergences émergent entre les juridictions, avec une incertitude actuelle quant à savoir si le Royaume-Uni suivra l’UE dans l’assouplissement de ses lois sur la protection des données.
