Gouvernance
Data, IA, et si la loi devenait un moteur de l’innovation
Par Anne-Laure De La Rivière, publié le 22 juillet 2025
Et si plutôt que comme une course d’obstacles, les évolutions du cadre règlementaire étaient vues comme autant d’opportunités pour stimuler l’innovation et renforcer la résilience des entreprises ? Les nouveaux textes, en 2025 notamment, invitent les acteurs de la tech à mieux se connaître, à structurer leurs pratiques et à préparer l’avenir. L’enjeu est avant tout de poser un diagnostic clair sur son organisation. Une clé stratégique pour tracer son chemin.
L’année 2025 a commencé sur les chapeaux de roue. Plus que jamais, les incertitudes géopolitiques et économiques pèsent sur les stratégies des DSI. Et quand aux certitudes, elles ne valent guère mieux ! Leur tâche peut sembler écrasante face à la multiplication des cadres législatifs à intégrer – NIS2, DORA, l’AI Act, le Data Act, pour ne citer que ceux-là.
La liste pourrait en faire pâlir plus d’un. Mais elle pourra aussi représenter autant d’opportunités à saisir pour faire la différence, à condition d’adopter une posture proactive.
L’IA et la data sont plus que jamais au cœur des grandes tendances. Dans les deux cas, l’innovation est réelle, mais est devenue dans le même temps une zone de vigilance accrue pour le régulateur. Comme le rappelle Eric Le Quellenec, avocat associé en droit du numérique chez Flichy Grangé Avocats : « Il est demandé aux DSI de tracer et de recenser tout type d’intelligence artificielle suite à la mise en application progressive de l’AI Act depuis 2025. En fonction de leur classification, certaines IA seront interdites. » L’intelligence artificielle étant désormais présente dans tous les services de l’entreprise, la tâche semble immense. « Prenons les ressources humaines par exemple, elle y est partout. Elle intervient pour calculer les points de promotion, évaluer les performances ou encore planifier la mobilité des collaborateurs. », ajoute-t-il.
La loi est claire : il faudra désormais évaluer ces outils, mesurer leur impact et déterminer leur niveau de risque.
Eric Le Quellenec
Spécialiste du numérique et avocat associé chez Flichy Grangé Avocats
« Ces réglementations visent à créer un écosystème de données plus transparent et compétitif au sein de l’Union européenne. »
De la même manière, le Data Governance Act, applicable depuis le 24 septembre 2023, et le Data Act, en vigueur à compter du 12 septembre 2025, élargiront dès cette année l’accès aux données industrielles et de maintenance pour les utilisateurs. « Ces réglementations visent à créer un écosystème de données plus transparent et compétitif au sein de l’Union européenne », précise Eric Le Quellenec.
Avec le Data Act, les organisations seront donc contraintes de partager leurs données, officiellement pour stimuler l’innovation. Cela doit favoriser l’avènement d’un nouveau gisement de valeurs qu’il va falloir mettre à disposition via les plateformes d’intermédiation de données créées par le DGA. L’idée est de permettre une concurrence plus libre et non faussée sur le territoire européen. Ainsi, dans le secteur de la santé publique, les données hospitalières anonymisées par le secret statistique (comme le nombre de lits ou les diagnostics) pourront être mises à disposition des chercheurs pour développer de nouveaux traitements ou identifier des tendances épidémiologiques. De même, les données collectées par les services publics de transport (flux de passagers, itinéraires préférés) pourront être réutilisées par des start-up pour améliorer les applications de mobilité urbaine.
Comprendre les marchés qui s’ouvrent grâce à la loi
Comme l’explique Garance Mathias, avocate associée en droit du numérique chez Mathias avocats, pour l’entreprise, « l’enjeu est de se saisir de tous les textes réglementaires pour comprendre par rapport à son métier et son secteur d’activité, quelles parts de marché ces textes vont pouvoir lui faire gagner ».
L’ampleur de la tâche a tout de même de quoi faire peur. La Commission européenne prévoit une augmentation de 530 % du volume mondial des données en 2025 par rapport à 2018. Les DSI devront donc réfléchir aux défis organisationnels qu’engendrent ces nouvelles masses : comment tracer, structurer et mettre à disposition ces données tout en respectant la propriété intellectuelle des entreprises ?
Pour cela, elles pourront envisager de cartographier les données en fonction des différents défis qui se posent. « Elles vont les aider à s’organiser notamment au regard des usages et des projets », poursuit Garance Mathias, qui dresse une liste de priorités et de questions (voir encadré ci-dessous) à se poser.
Garance Mathias
Avocate associée en droit du numérique chez Mathias avocats
« Il conviendra de commencer la mise en conformité aux lois européennes dès maintenant, sans attendre les lois françaises. »
En particulier, la maturité de son entreprise par rapport à sa chaîne de sous-traitance doit progresser. À titre d’illustration, ces acteurs sont-ils tous répertoriés et sécurisés ? Un audit sera particulièrement pertinent ici. Est-ce que l’on connaît en profondeur tous ces intervenants (transparence) ? Quelles sont les conséquences opérationnelles techniques et juridiques en cas de défaillance d’un acteur entraînant une résiliation contractuelle, et quels sont les délais pour cela ? Est-ce seulement possible (faisabilité) ?
Cette démarche systémique permet d’aboutir à une vision claire et structurée, permettant non seulement de répondre efficacement aux exigences réglementaires, mais aussi de les anticiper.
« Il conviendra de commencer la mise en conformité aux lois européennes dès maintenant, sans attendre les lois françaises », aime à rappeler Garance Mathias. C’est au prix de cette anticipation que les organisations pourront transformer les contraintes en leviers stratégiques et s’inscrire dans une dynamique proactive.
Les six recommandations de Garance Mathias, avocate, pour être prêts
1 – Savoir tracer sa data : quelles sont les origines des données de mon organisation, pour quels usages ? Ai-je l’autorisation d’utiliser les data qui proviennent d’un IoT tiers par exemple. Ou le contrat qui nous garantit le droit de réutilisation des données ?
2 – Référencer les usages : quels sont les usages internes et pour mes clients, mes partenaires ? Puis-je améliorer les services proposés ou en développer de nouveaux ? Les usages dépendront bien sûr du secteur d’activité et des métiers.
3 – Identifier le futur propriétaire de la donnée qui sera mise à disposition : en fonction des réglementations et de l’usage cité plus haut, le partage des données pourra être proposé aux organismes publics européens et internationaux dans le cadre du Data Act, tout en respectant les réglementations spécifiques comme le RGPD et le secret des affaires.
4 – Sécuriser ses données : un aspect essentiel pour préserver l’intégrité, la sécurité, la confidentialité ainsi que la traçabilité de la chaîne de soustraitance. Exemple de questions : les données de l’organisme sontelles accessibles aux sous-traitants d’applications tierces (quelle est la gestion des droits d’habilitation, etc.) ? Dans quelles conditions de sécurité les données peuvent-elles être transférées à des applications tierces ?
5 – Partager ses données : avec quels organismes, comment et avec quels mécanismes rend-t-on possible le partage des données ?
6 – Suivre le déploiement réglementaire : de nombreuses réglementations entrent en application progressivement au cours des prochains mois. Les organisations avec ces cartographies déjà dressées en tireront parti plus rapidement.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
