Séquence 4 — Cybersécurité, IA et régulations systémiques

La directive NIS2 marque une rupture nette avec l'approche antérieure de la cybersécurité fondée sur les bonnes pratiques. Désormais, la sécurité des systèmes d'information devient une obligation juridique opposable, intégrée dans la gouvernance des organisations.

Contrairement à la première directive NIS, NIS2 élargit considérablement son champ d'application en intégrant de nombreux secteurs auparavant exclus. Cette extension reflète une approche fonctionnelle du risque : ce n'est plus le secteur en tant que tel qui compte, mais l'impact potentiel d'un incident sur la société et l'économie.

NIS2 adopte une approche fondée sur le risque, imposant des mesures proportionnées à la criticité des systèmes. Cette logique impose aux organisations une capacité d'analyse, de hiérarchisation et de justification de leurs choix de sécurité. La conformité ne repose plus sur des check-lists, mais sur une démonstration raisonnée de maîtrise du risque.

Les entités soumises à NIS2 doivent mettre en œuvre des mesures techniques et organisationnelles couvrant la prévention, la détection, la réponse et la continuité d'activité. Cela inclut la gestion des accès, la surveillance, les plans de reprise et la sécurisation des chaînes d'approvisionnement.

La directive introduit une responsabilité explicite des organes de direction dans la stratégie de cybersécurité. Les décisions techniques sont désormais indissociables de la gouvernance, et les dirigeants peuvent être tenus responsables en cas de manquement.

NIS2 étend les exigences de sécurité à la chaîne de sous-traitance, reconnaissant que les vulnérabilités proviennent souvent de prestataires tiers. Les choix d'architecture et d'externalisation doivent intégrer des critères juridiques et contractuels de sécurité.

NIS2 impose des délais stricts de notification des incidents significatifs aux autorités compétentes. Cette obligation suppose une capacité technique de détection rapide et une organisation interne claire. L'absence de visibilité sur les incidents constitue désormais une faute en soi.

Au-delà de la notification, la gestion de crise impose une traçabilité complète des actions entreprises. Logs, décisions et mesures correctives doivent être documentés afin de démontrer la diligence de l'organisation. La preuve devient un élément clé de la conformité.

NIS2 introduit un régime de sanctions dissuasif, incluant des amendes significatives et des mesures correctrices. La sanction vise moins l'erreur technique que l'absence de gouvernance, d'anticipation ou de réaction appropriée face au risque.

L'AI Act introduit une régulation inédite fondée non sur la technologie elle-même, mais sur les risques générés par les usages de l'IA. Cette approche marque une rupture avec les cadres juridiques antérieurs, en abandonnant la neutralité technologique au profit d'une logique d'impact sur les droits fondamentaux.

Le règlement distingue plusieurs catégories de systèmes d'IA : risque inacceptable, risque élevé, risque limité et risque minimal. Cette classification conditionne directement l'autorisation, l'interdiction ou l'encadrement des systèmes. Elle impose aux concepteurs une capacité de qualification juridique dès la phase de conception.

Certains usages de l'IA sont explicitement interdits en raison de leur incompatibilité avec les valeurs fondamentales de l'Union européenne, notamment la surveillance de masse ou la manipulation comportementale. Ces interdictions traduisent une volonté normative forte : certaines capacités techniques sont jugées juridiquement inacceptables.

Les systèmes d'IA à haut risque doivent reposer sur des jeux de données gouvernés, représentatifs et exempts de biais manifestes. La qualité des données devient une exigence juridique, engageant la responsabilité des concepteurs. Le droit reconnaît ici que les biais algorithmiques sont souvent des biais de données.

L'AI Act impose une supervision humaine effective des systèmes d'IA à haut risque. Cette supervision ne peut être purement formelle : elle suppose une capacité réelle d'intervention, de suspension ou de correction des décisions algorithmiques. L'ingénieur doit concevoir des systèmes contrôlables.

Les systèmes à haut risque doivent être documentés de manière exhaustive afin de permettre leur audit, leur compréhension et leur contrôle. Cette documentation couvre les choix techniques, les données utilisées, les tests réalisés et les limites identifiées. La traçabilité devient une condition de licéité.

L'AI Act distingue les responsabilités des différents acteurs : concepteurs, fournisseurs, intégrateurs et utilisateurs professionnels. Cette répartition reflète une vision réaliste des chaînes de valeur de l'IA et empêche la dilution de la responsabilité. Chaque acteur est responsable de la part de maîtrise qu'il exerce sur le système.

La conformité d'un système d'IA n'est jamais acquise définitivement. Les évolutions du contexte, des données ou des usages peuvent modifier son niveau de risque. L'AI Act impose donc une logique de surveillance continue, intégrant mises à jour, réévaluations et ajustements techniques.

Le non-respect des obligations de l'AI Act expose les acteurs à des sanctions financières lourdes et à des interdictions de mise sur le marché. Le droit assume ici une fonction dissuasive forte, affirmant que l'innovation algorithmique ne peut se faire au détriment des droits fondamentaux.

Les États-Unis privilégient une approche fragmentée de la régulation numérique, reposant sur des normes sectorielles et un contrôle a posteriori par le contentieux. Cette logique favorise l'innovation rapide, mais laisse une large place à l'interprétation judiciaire et à l'autorégulation des acteurs privés.

La régulation chinoise du numérique s'inscrit dans une logique de contrôle étatique fort, intégrant cybersécurité, données et IA dans une stratégie de souveraineté. Les plateformes et systèmes d'IA sont considérés comme des instruments de stabilité politique et sociale.

La coexistence de régimes juridiques hétérogènes crée une fragmentation normative mondiale. Les entreprises opérant à l'international doivent arbitrer entre des exigences parfois contradictoires, transformant la conformité en un enjeu stratégique et géopolitique.

L'Union européenne revendique une application extraterritoriale de ses normes numériques lorsque les systèmes affectent des personnes situées sur son territoire. Cette logique étend l'influence normative européenne bien au-delà de ses frontières.

Les conflits de lois peuvent contraindre les ingénieurs à effectuer des choix techniques différenciés selon les zones géographiques. L'architecture logicielle devient un outil de gestion juridique, permettant d'isoler, segmenter ou adapter les traitements.

Les violations de normes numériques peuvent engager des responsabilités simultanées dans plusieurs juridictions. Cette exposition multiplie les risques financiers, réputationnels et opérationnels, imposant une vision globale de la conformité.

L'ingénieur doit intégrer une veille réglementaire active afin d'anticiper les évolutions normatives. La conception des systèmes doit rester adaptable pour intégrer de nouvelles obligations sans refonte complète.

Les choix techniques structurent durablement la conformité et la responsabilité des systèmes. L'ingénieur participe ainsi à des décisions qui engagent l'organisation bien au-delà du code, dans une logique de responsabilité professionnelle accrue.

La convergence progressive des régulations numériques impose une gouvernance intégrée, associant juristes, ingénieurs et dirigeants. L'ingénieur devient un acteur clé de cette gouvernance, à l'interface entre technique, droit et stratégie.