Slides de présentation de l'événement de rentrée exclusif de l'Infopole le 23 janvier 2024 à la Brasserie François à Namur.

2. Programme
Simon
Uyttendaele
CEO - Aeonics
Victor
Tavernier
Sales Manager
- Redsystem
Philippe
Laurent
Expert juridique de l’Infopole
Avocat au barreau de Bruxelles
- MVVP
Jean-Philippe
Parmentier
Directeur- Infopole
Arnaud
Ligot
Président - Infopole
VOEUX 2024
COLLABORATION MEMBRES
LEGISLATIONS: Evolutions
2024

3. Philippe
Laurent
Expert juridique – Infopole
Avocat au barreau de Bruxelles
LEGISLATIONS: Evolutions 2024

4. Tsunami législatif
Factsheet sur
KAIZENNER.EU

5. • DSA (Digital Services Act)
• DMA (Digital Markets Act)
• Data Act
• DGA (Data Governance Act)
• AI act
• AI liability directive
• Product liability
• NIS 2

6. DSA
(Services
Numéiques)
• Règlement (EU) 2022/2065
(du 19/10/22)
• Entrée en application
• 16 November 2022 : certains articles
• 17 February 2024 : TOUT
• service de la société de
l’information
=> intermédiaires, plateformes,
marketplaces, SaaS, moteurs de
recherche, réseaux sociaux…
• Règles sur la limitation de
responsabilité des intermédiaires
• Obligations de diligence pour tous (!)

7. • “service de la société de l’information”: un service tel qu’il est défini à
l’article 1er, paragraphe 1, point b), de la directive (UE) 2015/1535;
=> tout service presté normalement contre rémunération, à distance, par
voie électronique et à la demande individuelle d'un destinataire de services.
Aux fins de la présente définition, on entend par:
i) «à distance», un service fourni sans que les parties soient simultanément
présentes;
ii) «par voie électronique», un service envoyé à l'origine et reçu à destination
au moyen d'équipements électroniques de traitement (y compris la
compression numérique) et de stockage de données, et qui est entièrement
transmis, acheminé et reçu par fils, par radio, par moyens optiques ou par
d'autres moyens électromagnétiques;
iii) «à la demande individuelle d'un destinataire de services», un service
fourni par transmission de données sur demande individuelle.

8. I. Limitation de responsabilité des
intermédiaires
• Simple transport (pure transmission) : aucune (! conditions)
• Mise en cache : aucune (! conditions /
mise à jour)
• Hébergement : notice & action
• Obtempérer aux injunction des autorités (cessation, information)

9. II. Obligations de diligence
• Différentes activités
• Tous
• Hébergement
• Plateforme online
• Plateforme online permettant la creation de
contrats entre un consommateur et pros
• Différentes tailles
• Micro or Small Enterprises (-50 p. & -10mio C.A./bilan)
• Non MSE
• VLOP et VLOSE
https://ec.europa.eu/commission/presscorner/detail/en/IP_23_2413
Tous impactés, dans différentes
mesures : qui doit faire quoi?

10. TOUS
• Point de contact unique => autorités
• Point de contact unique => destinataires du service
• Si hors UE : représentant légal dans l’union
• Conditions générales
• éventuelles restrictions d’utilisation de leur service concernant l’information
du destinataire (politiques, procédures, mesures et outils utilisés à des fins de
modération)
• règlement intérieur de leur système interne de traitement des réclamations
• langage clair, simple, intelligible, aisément abordable et dépourvu
d’ambiguïté/ format facilement accessible et lisible par une machine
• Information sur modification des CG.
• Rapports publics de transparence (modération, notifications, etc…) (exception
MSE!)

11. Tout hébergement
• Mise en place de système de notification et action
• Restriction => Exposé des motifs
• Notification des soupçons d’infractions pénales

12. Plateformes online
“plateforme en ligne”: un service d’hébergement qui, à la
demande d’un destinataire du service, stocke et diffuse au
public des informations, à moins que cette activité ne soit une
caractéristique mineure et purement accessoire d’un autre
service ou une fonctionnalité mineure du service principal qui,
pour des raisons objectives et techniques, ne peut être utilisée
sans cet autre service, et pour autant que l’intégration de cette
caractéristique ou de cette fonctionnalité à l’autre service ne
soit pas un moyen de contourner l’applicabilité du présent
règlement;

13. Plateformes online (exception MSE!)
• Système interne de traitement des réclamations (contre décisions de
retrait/suspension contenu/compte)
• règlement extrajudiciaire des litiges (par organe certifié par le
coordinateur des services numériques de l’état)
• système des « Trusted Flaggers » (signaleurs de confiance)
• Mesures anti-abus (avertissement / suspension)
• Pas de « dark pattern » (interfaces en ligne trompeuses)
• Transparence en matière de pub
• Transparence système de recommandation (infos dans CG! ex.: critères)
• Protection des mineurs

14. Plateforme “contrat à distance” B2C
(exception MSE!)
• Traçabilité des professionnels
(liste d’infos => évaluer infos => ok/suspension)
• Compliance by design
• Informations aux consommateurs (sur produits/services illégaux)

15. VLOP / VLOSE
Very Large Online Platforms:
Alibaba AliExpress, Amazon Store,
Apple AppStore, Booking.com,
Facebook, Google Play, Google
Maps, Google Shopping,
Instagram, LinkedIn, Pinterest,
Snapchat, TikTok, Twitter,
Wikipedia, YouTube, Zalando,
NEW: pornhub, stripchat, Xvideo
Very Large Online Search Engines:
Bing, Google Search

16. Exemples d’interactions DSA avec le RGPD
• … sans prejudice des règles du RGPD
• Les fournisseurs de plateformes en ligne ne présentent pas aux
destinataires du service de publicité qui repose sur du profilage, tel qu’il
est défini à l’article 4, point 4), du règlement (UE) 2016/679, en utilisant les
catégories particulières de données à caractère personnel visées à
l’article 9, paragraphe 1, du règlement (UE) 2016/679.
• Les fournisseurs de plateformes en ligne ne présentent pas sur leur
interface de publicité qui repose sur du profilage, tel qu’il est défini à
l’article 4, point 4), du règlement (UE) 2016/679 en utilisant des données à
caractère personnel concernant le destinataire du service dès lors qu’ils ont
connaissance avec une certitude raisonnable que le destinataire du service
est un mineur.

17. Notification et action : Contenu illicite
“contenu illicite”: toute information qui, en soi ou par rapport à une
activité, y compris la vente de produits ou la fourniture de services,
n’est pas conforme au droit de l’Union ou au droit d’un État membre
qui est conforme au droit de l’Union, quel que soit l’objet précis ou la
nature précise de ce droit.
RGPD = droit de l’union

18. Notification et action : protection des
utilisateurs du service
• …les règles relatives à ces mécanismes de notification et d’action soient
harmonisées au niveau de l’Union, de manière à permettre un traitement
en temps utile, diligent et non arbitraire des notifications sur la base de
règles uniformes, transparentes et claires et qui comportent des garanties
solides protégeant les droits et intérêts légitimes de toutes les parties
affectées, en particulier leurs droits fondamentaux garantis par la Charte,
indépendamment de l’État membre dans lequel ces parties sont établies
ou résident et du domaine juridique en cause. Ces droits fondamentaux
comprennent notamment, sans s’y limiter: pour les destinataires du
service, le droit à la liberté d’expression et d’information, le droit au
respect de la vie privée et familiale, le droit à la protection des données à
caractère personnel,

19. DMA
(Marchés
Numéiques)
• Règlement (EU) 2022/1925
(du 14/09/22)
• Entrée en application
• 18 Janvier 2023
• Régulation des plus gros
(gatekeepers)
=> intermédiaires, plateformes,
marketplaces, moteurs de recherche,
réseaux sociaux…
• Règles du « jeu »
• CONCURRENCE / TRANSPARENCE

20. GATEKEEPERS
Liste au 06/09/23
Alphabet, Amazon,
Apple, ByteDance,
Meta and Microsoft.
Respectent-ils
leurs
obligations vis-
à-vis de vous ?

21. Interdictions
• Les "gatekeepers" ne pourront pas :
- classer leurs propres produits ou services plus haut que ceux des autres
- empêcher les développeurs d'utiliser des plateformes de paiement tierces
pour la vente d'applications
- traiter les données personnelles des utilisateurs à des fins de publicité
ciblée, à moins qu'ils n'y aient consenti
- établir des conditions inéquitables pour les utilisateurs professionnels
- préinstaller certaines applications logicielles ou empêcher les utilisateurs de
les désinstaller facilement
- restreindre l'accès des utilisateurs professionnels aux plateformes.

22. Obligations
• Les "gatekeepers" devront
- offrir plus de choix, comme le choix de certains logiciels sur le système
d'exploitation de l'utilisateur
- veiller à ce qu'il soit aussi facile de se désabonner des services de base de la plate-
forme que de s'y abonner
- fournir des informations sur le nombre d'utilisateurs qui visitent leurs plates-
formes afin de déterminer si la plate-forme peut être identifiée comme un
contrôleur d'accès
- permettre aux utilisateurs professionnels d'accéder à leurs données de marketing
ou de performance publicitaire sur la plateforme
- informer la Commission européenne de leurs acquisitions et fusions
- s'assurer que les fonctionnalités de base des services de messagerie instantanée
sont interopérables, c'est-à-dire qu'elles permettent aux utilisateurs d'échanger des
messages, d'envoyer des messages vocaux ou des fichiers

23. DATA ACT
• Règlement (projet adopté par le
conseil le 27 novembre 2023)
• Entrée en vigueur : dans +- 20 mois
• Accès et utilisation équitables des
données
• Objets connectés (IoT) et services
connexes
• Services de traitement de données
(cloud/SaaS)

24. • Mesures renforcées de portabilité et de partage des données:
=> utilisateurs d'appareils connectés peuvent accéder aux données et les
partager avec des tiers,
=> permet marché secondaires et d'autres services innovants
• Règles sur traitement des données et relation entre détenteur originaire
et tiers utilisateurs. (+ infos précontractuelles / specs!)
• Rééquilibrage du pouvoir de dans les contrats de partage de données.
Des contrats modèles également élaborés par la Commission européenne.
• Pouvoir aux organismes du secteur public d'accéder et d'utiliser les
données détenues par des entreprises privées pour intérêt public élevé (ex:
catastrophes naturelles) sous conditions spécifiques.
• Règles d'interopérabilité (données et cloud) pour changer facilement de
fournisseurs + garanties contre le transfert et l'accès illégaux de données
par des gouvernements tiers.
• Les bases de données contenant des données provenant d'appareils et
d'objets de l'Internet des objets (IoT) pas protégées par le droit sui generis
de base de données.
• Restrictions sur le partage de données avec les « gatekeepers » du DMA.

25. NB
‘data processing service’ means a digital service that is provided to a
customer and that enables ubiquitous and on-demand network access
to a shared pool of configurable, scalable and elastic computing
resources of a centralised, distributed or highly distributed nature that
can be rapidly provisioned and released with minimal management
effort or service provider interaction;
‘user’ means a natural or legal person that owns a connected product
or to whom temporary rights to use that connected product have been
contractually transferred, or that receives related services;

26. This Regulation is without prejudice to Union and national law on the
protection of personal data, privacy and confidentiality of communications
and integrity of terminal equipment, which shall apply to personal data
processed in connection with the rights and obligations laid down herein, in
particular Regulations (EU) 2016/679 and (EU) 2018/1725 and Directive
2002/58/EC, including the powers and competences of supervisory
authorities and the rights of data subjects. Insofar as users are data
subjects, the rights laid down in Chapter II of this Regulation shall
complement the rights of access by data subjects and rights to data
portability under Articles 15 and 20 of Regulation (EU) 2016/679. In the
event of a conflict between this Regulation and Union law on the protection
of personal data or privacy, or national legislation adopted in accordance
with such Union law, the relevant Union or national law on the protection of
personal data or privacy shall prevail.

27. Exemple d’interaction avec le RGPD
Where the user is not the data subject whose personal data is
requested, any personal data generated by the use of a connected
product or related service shall be made available by the data holder to
the user only where there is a valid legal basis for processing under
Article 6 of Regulation (EU) 2016/679 and, where relevant, the
conditions of Article 9 of that Regulation and of Article 5(3) of Directive
(EU) 2002/58 are fulfilled.

28. NB
• Technical protection measures on the unauthorised use or disclosure of
data 1. A data holder may apply appropriate technical protection
measures, including smart contracts and encryption, to prevent
unauthorised access to data, including metadata, and to ensure
compliance with Articles 4, 5, 6, 8 and 9, as well as with the agreed
contractual terms for making data available. Such technical protection
measures shall not discriminate between data recipients or hinder a user’s
right to obtain a copy of, retrieve, use or access data, to provide data to
third parties pursuant to Article 5 or any right of a third party under Union
law or national legislation adopted in accordance with Union law. Users,
third parties and data recipients shall not alter or remove such technical
protection measures unless agreed by the data holder.

29. Smart Contract… with a killswitch?
‘smart contract’ means a computer program used for the automated
execution of an agreement or part thereof, using a sequence of electronic
data records and ensuring their integrity and the accuracy of their
chronological ordering;
Smart contract for sharing data :
[…]
safe termination and interruption: ensure that a mechanism exists
to terminate the continued execution of transactions: the smart contract
shall include internal functions which can reset or instruct the contract to
stop or interrupt the operation to avoid future (accidental) executions;

30. DATA
GOVERNANCE
ACT
• Règlement (EU) 2022/868
• Entrée en vigueur : 23 juin 2022
• Applicable : 24 septembre 2023
• processus et structures pour faciliter
les échanges de données
• les conditions de réutilisation de certaines
catégories de données détenues par des
organismes du secteur public;
• cadre de notification et de surveillance pour la
fourniture de services d’intermédiation de
données;
• cadre pour l’enregistrement volontaire des entités
qui collectent et traitent les données mises à
disposition à des fins altruistes; et
• un cadre pour l’établissement d’un comité
européen de l’innovation dans le domaine des
données.

31. N’influe pas sur PSI/Open Data
règlement est sans préjudice:
a) des dispositions particulières du droit de l’Union ou du droit national
concernant l’accès à certaines catégories de données ou la réutilisation
de celles-ci, notamment en ce qui concerne l’octroi de l’accès à des
documents officiels et leur divulgation; et
b) de l’obligation incombant aux organismes du secteur public au titre
du droit de l’Union ou du droit national d’autoriser la réutilisation des
données ou des exigences liées au traitement des données à caractère
non personnel.

32. N’influe pas sur le RGPD etc.
Le droit de l’Union et le droit national en matière de protection des données à
caractère personnel s’appliquent à toutes les données à caractère personnel
traitées en lien avec le présent règlement. En particulier, le présent règlement est
sans préjudice des règlements (UE) 2016/679 et (UE) 2018/1725 et des directives
2002/58/CE et (UE) 2016/680, y compris en ce qui concerne les pouvoirs et
compétences des autorités de contrôle.
En cas de conflit entre le présent règlement et les dispositions du droit de l’Union
en matière de protection des données à caractère personnel ou du droit national
adopté conformément audit droit de l’Union, les dispositions pertinentes du droit
de l’Union ou du droit national en matière de protection des données à caractère
personnel prévalent.
Le présent règlement ne crée pas de base juridique pour le traitement des
données à caractère personnel et ne modifie pas les droits et obligations énoncés
dans le règlement (UE) 2016/679 ou (UE) 2018/1725 ou dans la directive
2002/58/CE ou (UE) 2016/680.

33. Réutilisation de données protégées
détenues par des organismes du secteur
public
• Données protégées (confidentielles, secrets, P.I., DCP).
• Interdiction des accords d’exclusivité
• Conditions publiques, transparentes, non-discriminatoires, proportionnées,…
• Mesures pour préserver le caractère protégé des données.
Exemples
• Anonymisation des DCP / modification/agrégation/traitement des autres
• Accès à distance, environnement sécurisé
• Accès présentiel, normes de sécurité élevées
• NDA
• Aide à obtenir le consentement
• Transferts hors UE : conditions supplémentaires (contrat, etc.)
• Redevances
• Organisme competent (aide à la mise en place)
• Point d’info unique
• Procédure de demande (réponse dans les 2 mois)

34. Service d’intermédiation de données
• modèle commercial : fourniture d’un environnement sécurisé de partage de données
=> plateformes numériques d’échange de données entre entreprises.
• Notification de l’activité auprès de l’autorité compétente … => LABEL
https://digital-strategy.ec.europa.eu/en/policies/data-intermediary-services
• Respect de 15 conditions (art.12) dont :
• Ne pas utiliser soi-même les données
• Conditions relatives aux formats, services additionnels, accès, interopérabilité…
• procédures anti-fraude et anti-abus
• Mesure de sécurité appropriées pour stockage, traitement, transmission
DCP : => Mise à disposition des moyens techniques ou autres nécessaires pour permettre la fourniture desdits
services, et notamment pour permettre l’exercice des droits des personnes concernées prévus par le RGPD

35. Altruisme en matière de données
• Vise les personnes (physiques/morales) désirant mettre leurs
données (personnelles ou non) à disposition sans contre-partie au
delà de la compensation des coûts et à des fins d’intérêt général
(prévus par le droit national). Ex: recherche médicale
• Basé sur le consentement
• Organisation altruiste:
• S’enregistrer auprès de l’autorité compétente
• Conditions : ASBL, transparence, rapport annuel, sécurité, etc…
• Recueil de règles
• La commission adopte un formulaire européen de consentement

36. Exigences spécifiques visant à préserver les droits et intérêts des
personnes concernées et des détenteurs de données quant à
leurs données
• 1. informe les personnes concernées ou les détenteurs de données préalablement à tout traitement de leurs
données d’une manière claire et aisément intelligible:
• a) des objectifs d’intérêt général et, le cas échéant, de la finalité déterminée, explicite et légitime pour laquelle
les données à caractère personnel doivent être traitées et pour laquelle elle autorise le traitement de données les
concernant par un utilisateur de données;
• b)de la localisation de tout traitement effectué dans un pays tiers et des objectifs d’intérêt général pour lesquels
elle autorise ledit traitement, lorsque le traitement est effectué par l’organisation altruiste en matière de données
reconnue.
• 2. n’utilise pas les données pour des objectifs autres que ceux d’intérêt général pour lesquels la personne
concernée ou le détenteur des données autorise le traitement. L’organisation altruiste en matière de données
reconnue ne recourt pas à des pratiques commerciales trompeuses pour solliciter la fourniture de données.
• 3. fournit des outils permettant d’obtenir le consentement des personnes concernées ou l’autorisation de traiter
des données mises à disposition par des détenteurs de données. L’organisation altruiste en matière de données
reconnue fournit également des outils permettant de retirer facilement ce consentement ou cette autorisation.
• 4. prend des mesures pour assurer un niveau de sécurité approprié pour le stockage et le traitement des données
à caractère non personnel qu’elle a collectées sur le fondement de l’altruisme en matière de données.
• 5. informe, sans retard, les détenteurs de données de tout transfert, de tout accès ou de toute utilisation non
autorisés portant sur les données à caractère non personnel qu’elle a partagées.
• 6. Lorsque l’organisation altruiste en matière de données reconnue facilite le traitement de données par des
tiers, y compris en fournissant des outils permettant d’obtenir le consentement de personnes concernées ou
l’autorisation de traiter des données mises à disposition par des détenteurs de données, elle précise, le cas
échéant, la juridiction du pays tiers où l’utilisation des données est prévue.

37. OPEN DATA
• Directives
• Réutilisation des informations du secteur
public
• PSI: 2013
• Open Data : 2019
Directive (EU) 2019/1024
=> transposition: décrets
24 novembre 2022 (W)
14 décembre 2022 (FWB)
Fédéral : avant-projet de loi (27/10/2023)
https://news.belgium.be/fr/actualisation-des-regles-relatives-la-
reutilisation-des-informations-du-secteur-public-deuxieme

38. Directive (UE) 2019/1024
• Pas applicable « aux documents dont l'accès est exclu ou limité en
application de règles d'accès pour des motifs de protection des données à
caractère personnel, et aux parties de documents accessibles en vertu
desdites règles qui contiennent des données à caractère personnel dont la
réutilisation a été définie par la loi comme étant incompatible avec la
législation concernant la protection des personnes physiques à l'égard du
traitement des données à caractère personnel ou comme portant atteinte
à la protection de la vie privée et de l'intégrité de la personne concernée,
en particulier au regard des dispositions de droit de l'Union ou de droit
national sur la protection des données à caractère personnel »
• Les coûts d’anonymisation peuvent être répercutés aux réutilisateurs

39. Décret Wallon (24/11/2022)
Diffusion Autorisation de
réutilisation
Acte de réutilisation
Respon-
sable
organisme public qui
procède à la diffusion
organisme public qui
autorise la réutilisation
“réutilisateur”
Anonymi-
sation
Possibilité (aussi longtemps
qu'elles peuvent encore être
traitées par l'organisme public pour
la finalité de leur collecte ou de
leur création initiale)
Obligation
Prix Accès gratuit Gratuit (mais le
gouvernement peut autoriser le
recouvrement des coûts
marginaux d’anonymisation et
protection des information
confidentielles commerciales)

40. Décret FWB (14/12/2022)
Autorisation de réutilisation / « publication » (art.15) /
« diffusion »
Responsable organisme public qui autorise la réutilisation
Anonymisation Obligation (& procédure)
Prix Gratuit
/Redevances : critères (dépasse en tout cas pas le coût de leur collecte, de
leur production, de leur reproduction, de leur diffusion et du stockage de données,
tout en permettant un retour sur investissement raisonnable, ainsi que, le cas
échéant, d'anonymisation de données à caractère personnel et de mesures prises
pour protéger des informations confidentielles à caractère commercial)

41. Règlement sur
la libre
circulation des
données
• RÈGLEMENT (UE) 2018/1807
• 14 novembre 2018
• cadre applicable au libre flux des données à
caractère non personnel dans l'Union
européenne
« Les exigences de localisation des données sont
interdites, sauf si elles sont justifiées par des motifs de
sécurité publique dans le respect du principe de
proportionnalité. »
« Le présent règlement n'affecte pas le pouvoir des
autorités compétentes de demander ou d'obtenir l'accès
à des données pour l'accomplissement de leurs fonctions
officielles, conformément au droit de l'Union ou au droit
national. L'accès aux données par les autorités
compétentes ne peut être refusé au motif que les données
sont traitées dans un autre État membre. »
Promotion de la portabilité des données.

42. IA et droit
Droit des logiciels / data & information / services IT
/ telecom / internet / plateformes
/ cloud
Ajouter la couche
“Droit de l’IA” =>
questions juridiques
spécifiques

43. NB: le RGPD s’applique déjà à l’I.A. : EX. art.22
1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement
automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière
significative de façon similaire.
2. Le paragraphe 1 ne s'applique pas lorsque la décision:
a) est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable
du traitement;
b) est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est
soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des
intérêts légitimes de la personne concernée; ou
c) est fondée sur le consentement explicite de la personne concernée.
3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures
appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins
du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement,
d'exprimer son point de vue et de contester la décision.
4.Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à
caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne
s'applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la
personne concernée ne soient en place.

44. EX:
• Décision C-634/21 de la CJUE (SCHUFA)
Attribuer un “score de solvabilité” = décision automatisée/profilage
=> application de l’article 22
• Décision 168/2023 du 19 décembre 2023 de l’APD belge
Suspension automatique d’un compte de « car sharing »
Profile de paiement jugé « risqué »

45. victime
Assureur(s)
distributeur
/ vendeur
Producteur
“solution”
Fournisseur(s)
Hardware /
software / data
Fournisseur(s)
services
exploitant
utilisateur
?

46. contractuelle
responsabilit
é
extra-
contractuelle Régime
spécifiqu
e
comportemen
t (« bon père
de famille »)
Infraction à
une loi
B2B B2C
Responsabilités
spécifiques
(régimes
spécifiques)
FAUTE SANS FAUTE

47. Résumé des projets législatifs sur l’IA en UE
AI Act
• Prévention des dommages
• Approche basée sur le risque
• Interdiction d’IA trop risquées
• Gouvernance + transparence
• Amendes (7% C.A. /35mio EUR)
PREVENTION
INDEMNISATION
AILD
• Plaintes par toute personne
(physique morale)
• Contre toute personne
(fournisseur, développeur,
utilisateur)
• Pour tout type de dommage
• Présomption de cause de
dommage
• Facilitation de l’accès à la preuve
Révision Directive Produit
Système AI & logiciel = produits
• Plainte par personnes physiques
• Contre producteur
• Pour pertes matérielles
• Présomptions défaut / charge de la
prevue
• Obligation de donner des preuves
faute sans faute

48. AI ACT
• Projet de règlement – adopté en trilogue
(« deal » 8 décembre 2023)
• Version consolidée : fév.?
• Doit être formellement adopté par le Conseil
(fév./mars?) et par le parlement (avril?)
• Application progressive (24 mois après entrée en
vigueur)
• mise sur le marché et l'utilisation de produits
et services d'IA dans les pays de l'UE
• Protection des droits fondamentaux (non-
discrimination, liberté d’expression, vie privée/
données personnelles, procès équitable…)
• Normalisation (sécurité, gouvernance, fiabilité,
sécurité juridique)
• Classification des IA en fonction du risque
• Sanctions : < 40 mio eur / 7% C.A annuel

49. What is AI? Final version
(leak 21/01/24)
NEWS

50. Considérant 6
• …it should be based on the key functional key characteristics of the software, in
particular the ability, for a given set of humandefined objectives, to generateartificial
intelligence systems, that distinguish it from simpler traditional software systems or
programming approaches and should not cover systems that are based on the rules
defined solely by natural persons to automatically execute operations.
• A key characteristic of AI systems is their capability to infer. This inference refers to the
process of obtaining the outputs, such as predictions, content, recommendations, or
decisions, which can influence physical and virtual environments and to a capability of AI
systems to derive models and/or algorithms from inputs/data.
• The techniques that enable inference while building an AI system include machine
learning approaches that learn from data how to achieve certain objectives; and logic-
and knowledge-based approaches that infer from encoded knowledge or symbolic
representation of the task to be solved. The capacity of an AI system to infer goes
beyond basic data processing, enable learning, reasoning or modelling

51. AI Act (projet de règlement – en finalisation)
https://www.umontpellier.fr/articles/entre-ethique-et-lois-
qui-peut-gouverner-les-systemes-dintelligence-artificielle

52. Futur Business
club special
A.I. Act ?

53. Risque inacceptable : interdiction
Système d’IA
• déployant des techniques de manipulation ou de tromperie
• exploitant les vulnérabilités des personnes
• à des fins de notation sociale conduisant à des traitements préjudiciables ou
défavorables
• utilisant des systèmes d'identification biométrique à distance en temps réel
dans des espaces publics accessibles

54. Haut risque
Exigences
• établissement, mise en œuvre et maintenance d'un système de gestion des risques ;
• entraînement, validation et contrôle des données, ainsi que la gouvernance des données ;
• documentation technique avant la mise sur le marché d'un système afin de démontrer que le
système d'IA à haut risque est conforme aux exigences imposées par le règlement ;
• tenue de registres afin d'assurer un niveau de traçabilité du fonctionnement du système d'IA
tout au long de sa durée de vie ;
• transparence, afin de permettre aux utilisateurs d'interpréter les résultats du système et de les
utiliser de manière appropriée ;
• la surveillance humaine ;
• un niveau approprié de précision, de robustesse et de cybersécurité.

55. Fournisseurs
• indiquer leur nom, leur nom commercial enregistré ou leur marque déposée, ainsi que leur adresse et
leurs coordonnées sur le système d'IA à haut risque ;
• établir et conserver la documentation technique du système d'IA à haut risque ;
• veiller à ce que le système d'IA à haut risque soit soumis à la procédure d'évaluation de la conformité
avant d'être mis sur le marché ou mis en service ;
• apposer le marquage CE sur le système d'IA à haut risque pour indiquer sa conformité au règlement;
• disposer d'un système de gestion de la qualité, sous la forme de politiques, de procédures ou
d'instructions écrites, qui garantisse la conformité au règlement ;
• prendre les mesures correctives nécessaires et appropriées si un système d'IA à haut risque mis sur
le marché ou mis en service n'est pas conforme au règlement ;
• informer rapidement les autorités nationales de surveillance des États membres dans lesquels le
système d'IA à haut risque a été mis à disposition, dans le cas où le système présente un risque au
sens de l'article 65, en indiquant la nature de la non-conformité et de toute mesure corrective adoptée.

56. importateurs
• s'assurent que la procédure d'évaluation de la conformité a été effectuée par le fournisseur, que la
documentation technique requise par le règlement a été établie et, le cas échéant, qu'un représentant
autorisé a été désigné.
distributeurs
• vérifient que ce système porte le marquage CE de conformité, qu'il est accompagné de la documentation
requise ainsi que des instructions d'utilisation, et que le fournisseur et l'importateur ont tous deux rempli
leurs obligations en vertu du règlement.
déployeurs
• adoption de mesures techniques et organisationnelles appropriées pour garantir que les systèmes d'IA à
haut risque sont utilisés conformément aux instructions d'utilisation pertinentes
• mise en place d'une surveillance humaine,
• contrôle de l'efficacité
• ajustement et la mise à jour des mesures de cybersécurité,
• évaluation de l'impact des systèmes d'IA à haut risque dans le contexte spécifique d'utilisation avant la
mise en service

57. Transparence
• systèmes qui interagissent avec des personnes physiques (tels que les chatbots) :
personnes informées qu'elles interagissent avec un système d’IA
• systèmes de reconnaissance des émotions ou de catégorisation biométrique non :
information sur fonctionnement + consentement préalable au traitement des données
biométriques et autres données à caractère personnel conformément à la législation de l'UE
applicable
• Deep fake : avertissement
General purpose AI
• minimum standard : transparence / copyright
• Règles plus strictes pour les « high impact models » (trained with more than 10^25 FLOPs
(floating-point operations) (= ChatGPT 4 et Gemini)

58. AILD (AI
liability
directive)
(projet)
• Projet de directive publié par la
commission le 28 septembre 2022
• Que responsabilité extra-contractuelle
(pas responsabilité contractuelle, ni
produits défectueux)
• Victime vs Fournisseur, utilisateurs, autres
acteurs identifiés
• Ciblé sur la PREUVE => équilibre dans la
charge de la preuve
(demandes de preuves, présomption de
non-respect d’un devoir de vigilance,
renversement de présomption, etc…,

59. Modification
(remplacement)
Directive
« Produits
Défectueux »
de 1985
(projet)
• Projet de directive du 28 septembre 2022
• Produits défectueux
• Responsabilité objective (sans faute)
• Faire entrer l’IA dans le régime (système
d’IA = Produit)
+ Faciliter la preuve (présomptions de
défectuosité et de lien causal)
=> équilibre => système complexe de
preuve (présomption, probabilité,
contestation,…)

60. • «produit»: tout meuble, même s’il est incorporé dans un autre meuble ou dans un immeuble. Le
terme «produit» comprend l’électricité, les fichiers de fabrication numériques et les logiciels;
• «fichier de fabrication numérique»: une version numérique ou un modèle numérique d’un
meuble;
• «composant»: tout élément, corporel ou incorporel, ou tout service connexe, intégré dans un
produit ou interconnecté avec celui-ci par le fabricant dudit produit ou placé sous le contrôle de
ce fabricant;
• «service connexe»: un service numérique qui est intégré à un produit ou interconnecté avec celui-
ci de telle sorte que son absence empêcherait le produit d’exécuter une ou plusieurs de ses
fonctions;
• «fabricant»: toute personne physique ou morale qui met au point, fabrique ou produit un
produit ou fait concevoir ou fabriquer un produit, ou qui commercialise ce produit sous son
propre nom ou sa propre marque, ou qui met au point, fabrique ou produit un produit pour son
propre usage;
• «plateforme en ligne»: une plateforme en ligne au sens de l’article 2, point h), du règlement
(UE).../... du Parlement européen et du Conseil relatif à un marché intérieur des services
numériques (règlement sur les services numériques)+.

61. « dommage»: les pertes matérielles résultant:
• a) de la mort ou de lésions corporelles, y compris le préjudice,
médicalement reconnu, causé à la santé psychologique;
• b) du préjudice causé à des biens ou de la destruction de biens, à
l’exception:
• i) du produit défectueux lui-même;
• ii) d’un produit endommagé par un composant défectueux de ce produit;
• iii) des biens utilisés exclusivement à des fins professionnelles;
• c) de la perte ou de la corruption de données qui ne sont pas utilisées
exclusivement à des fins professionnelles;

62. NIS 1 & 2
• Directives
• Cybersécurité
• Protection des réseaux et
infrastructures
essentielles/importantes
• NIS 1 : 2016
• NIS 2 : Directive (UE) 2022/2555
=> transposition pour 17 octobre 2024

63. NIS1 => NIS2
• Secteurs : six secteurs de NIS-1 + douze nouveaux secteurs (dont
services publics, industries alimentaire, chimique et de fabrication,
autres types d’organisations dans les secteurs de l’énergie et de la
santé, infrastructures TIC, services de gestion du numérique,
fournisseurs numériques).
• Toutes les grandes et moyennes organisations (+ de 50
collaborateurs / + 10 millions d’euros de chiffre d’affaires annuel) =>
en Belgique : 100 => 2500 entités
+ cas particuliers
• Distinctions : entités « essentielles » et « importantes »
(voir tableau suivant)
• Mesures de sécurité plus détaillées
• Sanctions plus strictes (max 2% C.A. annuel / 10 mio EUR)

64. https://ccb.belgium.be/si
tes/default/files/NIS-
2%20Scope%20visual.pdf

65. CYBERSECURITE RGPD NIS / NIS 2
Concerne • Les données à caractère personnel
• traitées par
• tout responsable de traitement
• Les réseaux et systèmes d’information de
• certaines entreprises dans
• certains secteurs d’activité
Types d’obligations
(pour les entreprises)
Nombreuses 1) Prendre des mesures de sécurité
2) Notifier les incidents
Mesures de sécurité Protection de données, obligation de moyen, analyse de risques => formulation similaire («compte tenu
de l’état des connaissances», «mesures techniques et organisationnelles», «adapté au
risque»,«confidentialité»,«intégrité»,«disponibilité».
Appropriées / compte tenu des coûts de mises
en œuvre + de la nature, de la portée, du
contexte et des finalités de traitement
nécessaires/proportionnées
Notification : - quoi
- condition
- quand
- à quelle autorité
- aux “victimes” ?
- violation de données à caractère personnel
- risque pour droits et liberté des personnes
- 72h après prise de connaissance de l’incident
- Autorité de Protection des Données
- Si risque élevé : notification aux personnes
concernées dans les meilleurs délais
- toute brèche de sécurité/ violation de données
- impact important sur les réseaux et systèmes ou les
utilisateurs + dommage matériel, corporel ou moral
considérable.
- ASAP (« sans retard ») / NIS2 : 24h (puis suivi 72h et
rapport fin de mois)
- CCB + NCCN + CSIRT (via 1 seule déclaration online)
- aux destinataires des services dans les meilleurs
délais

66. Intellectual Property │ copyright, trademarks, models & designs,
patents, trade names, databases, trade secrets, domain names :
protection & filing, management strategy, advising, clearing,
contracts, licensing, litigation,…
ICT Law │ Internet, software development & distribution, cloud
computing, outsourcing, Big Data, IoT, APIs, Artificial Intelligence,
open source,… : licensing, SLAs, terms of use and of services,
liabilities & warranties, supply chains management, distribution,
dispute resolution,…
Commercial & Distribution law │ e-commerce, distributorships,
franchises, commercial agents, advertisement & marketing,
promotional games, trade practices, consumer protection :
advising, contracts, compliance, litigation,…
Data Protection & Privacy │ conformity & compliance strategies
(GDPR, etc.), advising, assessments, DPO as a service, coaching,
training & awareness, privacy policies, contracts, litigation…
Philippe LAURENT
philippe.laurent@mvvp.be
Lawyer at the Brussels Bar
Counsel – MVVP
DPO as a service

67. Labellisations

68. COLLABORATION MEMBRES
Simon
Uyttendaele
CEO
Victor
Tavernier
Sales Manager

69. PRÉSENTATION
AEONICS
Startup deeptech Wallonne qui crée une
plateforme de déploiement d'applications serveur.
Les deux axes prioritaires de la solution Aeonics
sont la Cybersécurité et le Green IT.
REDSYSTEM
Notre mission est de vous conseiller et de vous
accompagner afin de réduire au maximum la
surface des cyberattaques qui peuvent menacer
votre entreprise.

70. PAGE 70
GAIN FINANCIER
Les attaquants peuvent essayer de
voler des données sensibles telles
que des informations de carte de
crédit ou des informations de
connexion qu'ils peuvent utiliser
pour voler de l'argent auprès de
particuliers ou d'organisations.
ESPIONNAGE
Les gouvernements, les entreprises et
d'autres organisations peuvent lancer
des cyberattaques pour recueillir des
renseignements auprès de leurs
rivaux ou concurrents.
HACKTIVISME
Certains individus ou groupes lancent des cyberattaques
pour promouvoir un programme politique ou social.
Ils peuvent défigurer des sites web, divulguer des
informations sensibles ou perturber des services en ligne.
SABOTAGE
Les cyberattaques peuvent également être utilisées pour saboter les
opérations d'une entreprise ou d'une organisation. Les attaquants
peuvent cibler des systèmes critiques tels que les réseaux électriques,
les approvisionnements en eau ou les réseaux de transport.
RANCŒUR PERSONNELLE
Parfois, des individus lancent des
cyberattaques contre des
personnes ou des organisations
car ils ont une rancœur
personnelle. Ils peuvent le faire
pour nuire à leur réputation ou
causer des dommages financiers.
RANÇONGICIEL
Les cybercriminels peuvent
lancer des attaques de
rançongiciel afin de
demander un paiement en
échange de la restauration
de l'accès aux données ou
aux systèmes d'une victime.
LES ENJEUX

71. PAGE 71
LES IMPACTS
IMPACT FINANCIER
➔ Perte de clients et de CA
➔ Perte boursière
➔ Paiement de rançon
➔ Réparation de matériels informatiques
(perte de trésorerie)
➔ Appels à des fournisseurs externes, etc..
IMPACT SUR L’IMAGE DE L’ENTREPRISE
➔ Réputation mise à mal
➔ Mauvaise publicité
➔ Céder aux chantage, etc..
IMPACT ORGANISATIONNEL
➔ Paralysie des systèmes
➔ Désorganisation des équipes internes
➔ Retard ou arrêt de production, etc..
IMPACT JURIDIQUE ET RÉGLEMENTAIRE
➔ Contentieux mettant en cause la responsabilité de l’entreprise
➔ Amende pour non respect des lois (RGPD)
➔ Fuite de données
➔ Espionnage, etc...
IMPACT TECHNIQUE
➔ Pannes
ou arrêt des serveurs
➔ Intrusions
➔ Botnets, etc..
IMPACT HUMAIN
➔ Stress
➔ Chômage technique
➔ Atteinte à la vie privée,
etc..

72. PAGE 72
le coût moyen
d’une cyberattaque
25.000€
Quelques chiffres
des entreprises
ne sont pas préparées
pour faire face à une
cyberattaque
50%
cyberattaques
sur des entreprises
par semaine
en Belgique
650

73. PAGE 73
Entreprises touchées
par une
cyberattaque
PME ?

74. PAGE 74
Qu’est-ce que le
pentesting ?
INFRASTRUCTUREL
➔ Serveurs
➔ Active directory
➔ Réseaux
➔ Wifi
➔ Périphériques
APPLICATIF
➔ Rôles / privilèges
➔ Authentification
➔ Base de donnée
➔ Failles de configuration, de mise à jour
➔ Problèmes d’exposition

75. PAGE 75
White Box
Grey Box
Black Box
Qu’est-ce que le
pentesting ?

76. Framework pour créer des services numériques
Runtime pour faire tourner les serveurs
• Simplicité
• Cybersecurité
• Green IT

77. Github Octoverse - “Security Report” - 2020
80% de dépendances
(500+)
Code
Source
59% de chance d’avoir
une alerte de sécurité
dans les 12 premiers mois

78. npm.anvaka.com

79. BLACK BOX
CRITIQUE 0
HAUT 0
MOYEN 0
FAIBLE 0

80. CRITIQUE 0
HAUT 0
MOYEN 0
FAIBLE 0
GREY BOX

81. WHITE BOX
CRITIQUE 0
HAUT 0
MOYEN 0
FAIBLE 1

82. SECURE BY DESIGN
ü Valider nos forces
ü Découvrir nos faiblesses
ü Regard neutre extérieur
ü Amélioration continue
ü Crédibilité accrue
✕ Eternel
✕ Garantie

83. Quelles aides pour le secteur
?
Céline
Parente Gonçalves
HR & Project Manager

84. Formation à la
création
d’entreprise
Conseil à la
création
d’entreprise
CHEQUES ENTREPRISES
Economie
circulaire
Création Croissance Energie Innovation
Internationalisa
tion
Numérique Transmission
Diagnostic
croissance et
développement
d’entreprise
Accompagnement
croissance et
développement
d’entreprise
Tous les chèques
concernant
l’énergie
Chèques propriété
intellectuelle
Chèque
technologique
Interim Export
Manager
Booster Export
Consultance Export
(PME)
Consultance Export
(starter)
Cybersécurité
Maturité
numérique
Chèque
transmission
Economie
circulaire

86. Violette
Van Nuffelen

87. VOEUX 2024
Jean-Philippe
Parmentier
Directeur
Arnaud
Ligot
Président

88. Boris
Baghdikian
Project Manager
Yannick
Lerusse
Project Manager
Céline
Parente Gonçalves
HR & Project Manager
Violette
Van Nuffelen
Project Manager
Arnaud
Ligot
Président
Jean-Philippe
Parmentier
Directeur
Charlie
Feron
Communication
& Project Manager
Maud
Vanhelleputte
Digital Marketer
Simon
Maladry
Junior Project Manager
Sabrina
Fernandez
Junior Project Manager
NOTRE ÉQUIPE

89. NOS PROCHAINS RENDEZ-VOUS