Bon début de semaine ☕

Et bonne année 2025 ✨ Je nous souhaite de continuer à naviguer l'incertitude avec détermination et curiosité (et La tech est politique continuera de tenter d'apporter de la clarté 😉).

Cette édition de La tech est politique explore les priorités de la Présidence polonaise de l'UE et les auditions pour le poste EDPS. J'ai analysé et décrit les priorités de travail de la Présidence en détail afin que vous puissiez avoir en tête ce cap pour les 6 prochains mois mais aussi pour le passage de flambeau au Danemark au 1 juillet. Pour éviter d'alourdir inutilement, j'ai laissé quelques éléments de côté ; ceux-là sont soit indirectement liés au numérique (e.g., les investissements étrangers), soit concernent des sujets dont la portée sur vous n'est pas immédiate ou directe (e.g., le règlement CSAM).

🔥 Vu l'importance de la Présidence polonaise en matière de numérique, je rends gratuite cette édition premium 💎 pour que tout le monde puisse y accéder. Les ressources 💎 qui y sont associées resteront, toutefois, accessibles uniquement aux abonné-es premium.

Beaucoup de contenus vous parviendront de ma part pour dynamiser ce mois de janvier un tantinet déprimant. C'est en grande partie parce que j'ai eu un souci de santé totalement inattendu qui m'a retardée dans la finalisation de ce que je voulais vous envoyer en décembre. Plus de mal que de peur, mais je suis remise et d'attaque ; alors, à vos lunettes de lecture et carnets de prise de notes 🧠

Cette édition compte 2 489 mots, soit 11 minutes de temps de lecture.

---

La patate chaude : la Pologne aux commandes du numérique européen

Au 1 janvier, la Pologne a pris la présidence du Conseil de l'UE avec un agenda numérique ambitieux. Décryptons-en les enjeux et les défis.

Pourquoi c'est important. Cette présidence s'annonce déterminante pour l'avenir numérique de l'Europe, avec plusieurs échéances majeures. La position particulière de la Pologne, qui est l'un des plus farouches soutiens à une aide inconditionnelle à l'Ukraine et dont la politique nationale ne manquera pas de se mêler, pourrait influencer certains dossiers sensibles. Précision : le président polonais est issu de l'opposition (vis-à-vis de la coalition gouvernementale) ; son mandat, qui devait s'arrêter en mai 2025, sera prolongé jusqu'en août 2025 en raison de la présidence de l'UE, afin d'éviter la collision entre l'élection et les responsabilités européennes.

Contexte. Comme je vous le disais en décembre, la sécurité constitue l'axe politique central de la présidence polonaise de l'UE, arrivant à un moment charnière pour le numérique européen. De nombreuses législations majeures sont en phase d'application ou de révision, tandis que de nouvelles initiatives sont en cours d'élaboration.

Les grands chantiers numériques. Maintenant que le programme de la présidence est officiellement disponible et que diverses déclarations et documents compagnons ont circulé, parlons concrètement. La stratégie de la présidence polonaise en matière de numérique s'articule autour de quatre grandes thématiques :

1. La cybersécurité en première ligne. Cette priorité est motivée par les estimations, relatées dans diverses déclarations du ministre polonais du numérique, que la Pologne est "le pays européen le plus attaqué" (en référence à l'activité cybermalveillante dont la Pologne est sujette).

• Le Blueprint Cyber 2.0 de 2017, le cadre européen de la réponse aux incidents majeurs, a besoin d'une mise à jour. La Présidence polonaise ambitionne de le mettre à jour et de le finaliser d'ici juin 2025, afin d'établir un modèle unique de réponse et de reporting pour les incidents cyber au sein de l'UE. A priori, le modèle concernera la réponse aux incidents majeurs et le reporting de tous les incidents cyber.
• Deux gros morceaux avec lesquels ne pas s'étouffer : il s'agit du suivi de la mise en œuvre de NIS2, la directive sur la cybersécurité des infrastructures critiques, et de l'entrée en application du règlement DORA pour le secteur financier. Concernant NIS2, la directive entre dans une phase cruciale avec une échéance importante en avril pour l'identification des organisations assujetties. En effet, la deadline de 17 avril approche à grands pas ; il s'agit de la date butoir pour constitution de listes d'entités essentielles et importantes par chaque pays membre, lequel doit aussi en communiquer le nombre à la Commission. Quant à DORA, le règlement entre en application... ce 17 janvier, et on peut s'attendre à quelques évolutions en matière de désignation - et donc, d'exigences - pour certains fournisseurs de services numériques tels que le cloud.

2. L'IA et les télécoms.

• En alignement avec les priorités des 100 premiers jours de la Commission, la Présidence polonaise travaillera sur les "usines IA" (AI factories). Une discussion de son document de travail doit avoir lieu dès cette semaine. La Présidence souhaiterait également développer des systèmes IA à double usage (civil et militaire) et veiller à l'articulation de la mise en œuvre de l'AI Act et d'investissements d'innovation dans le domaine.
• La proposition pour un règlement sur les télécoms (le futur Digital Networks Act) figure aussi en bonne position dans les priorités. La Présidence ainsi prévoit de mener un premier débat d'orientation à ce sujet. (Note : je vous renvoie à l'édition de cette lettre du 4 novembre 2024 pour l'analyse des enjeux de ce futur cadre réglementaire.) Le calendrier a d'ailleurs été revu : les premières déclarations de la Présidence polonaise donnaient une proposition de réglement publiée "début 2025" ; la "patrouille" (de la Commission) est passée par là, et la proposition est désormais attendue dans le délai bien plus raisonnable de fin 2025.

3. Cohérence et application des obligations légales européennes en matière de numérique.

• Cybersécurité et santé : comme vous vous en souvenez probablement, il s'agit d'un des engagements de la Commission pour les 100 premiers jours. La Présidence s'est alignée sur le sujet, en prenant une approche plus globale où se croisent la protection des infrastructures et l'impact du numérique sur la santé mentale, notamment des enfants et des ados. Sur ce dernier point, la Présidence vient en (gros) soutien du Commissaire Micallef, le benjamin de la Commission, en charge de la Jeunesse et, entre autres, de l'impact des réseaux sociaux sur la santé mentale des jeunes.
• La Présidence s'efforcera de réduire la charge administrative pesant sur les entreprises, en particulier les PME, notamment en ce qui concerne les obligations de notification. Pour ce faire, elle promeut un point unique de notification des incidents, aussi en liaison avec la notification au titre du RGPD. Il s'agirait de créer un vrai "guichet unique" (gros chantier en vue donc qui ne sera aucunement finalisée sous la présidence polonaise).
• La Présidence polonaise devra également veiller et accompagner la fin de la réforme de l'application du RGPD. Cette dernière a cours depuis des mois maintenant et devrait se finir au premier semestre 2025.
• L'évaluation du Cybersecurity Act, ouvrant la voie à sa possible refonte. La Présidence polonaise prévoit de finaliser un rapport évaluant le Cybersecurity Act (CyberAct pour les intimes), un règlement qui donne son mandat d'exercice à l'ENISA, dont fait partie l'élaboration de schémas de certification cyber de l'UE. Ce rapport devrait ouvrir la voie à une réforme du CyberAct. Le rapport porte sur l'évaluation globale du règlement et de l'action de l'ENISA et il suit un chemin de croix : commencé en 2023, son adoption serait désormais prévue au deuxième trimestre 2025.

4. Diplomatie numérique, gouvernance d'Internet et désinformation. A l'exception notable des sujets liés au spatial et à FIDA, les initiatives ne sont pas d'ordre législatif.

• La Présidence travaillera à renforcer le rôle de l'UE dans les relations extérieures sur le volet numérique. Les discussions porteront, entre autres, sur les politiques de gestion d'Internet, y compris des mondes virtuels, et la promotion d'un Internet ouvert, libre et sécurisé.
• La Présidence polonaise considère que la désinformation est une menace sérieuse pour la démocratie, la stabilité et la sécurité de l'UE. La lutte contre la désinformation est donc une priorité, tant à l'intérieur qu'à l'extérieur de l'Union. Dans ce cadre, la Présidence travaillera à renforcer la coordination dans la lutte contre la désinformation et la manipulation de l'information, y compris sur la manière de soutenir la résilience démocratique des pays candidats à l'adhésion à l'UE face à la manipulation de l'information étrangère.
• Règles spatiales et cadre FIDA. Comme je vous l'ai narré dans l'édition du 9 décembre 2024, deux sujets supplémentaires figurent parmi les priorités de la Présidence polonaise : le premier cadre réglementaire européen sur l'espace et la transparence des données financières (cadre FIDA).

Et maintenant ? Les prochains mois seront décisifs avec :

• La présentation du plan d'action cybersécurité pour la santé : une annonce devrait d'ailleurs avoir lieu dès cette semaine, le mercredi 15 janvier, par la Commissaire au numérique Virkkunen conjointement avec le Commissaire à la santé Varhelyi. Il ne s'agit pas d'annonce réglementaire ; plutôt, l'attente est de voir arriver un mécanisme de financement dédié (plus ou moins articulé avec la conformité NIS2).
• L'échéance d'avril pour NIS2 avec une majorité de pays membres à la traîne en matière de transposition de la Directive.
• Les premières discussions sur la loi spatiale européenne, le débat sur le futur des télécoms et le rapport sur le CyberAct.

---

En approche : Qui sera le prochain Contrôleur européen de la protection des données ?

La procédure de sélection du prochain Contrôleur européen de la protection des données ou CEPD (European Data Protection Supervisor ou EDPS en anglais) entre dans sa phase finale, avec quatre candidat-es pré-sélectionné-es et auditionné-es cette semaine. Ce poste clé veille à ce que les institutions et organes de l'UE respectent le droit des citoyens à la protection de leur vie privée lors du traitement de données à caractère personnel.

Pourquoi c'est important. Le rôle de Contrôleur est crucial pour garantir des normes robustes en matière de protection des données au sein des institutions et agences de l'UE. On pourrait sourire en pensant à la récente déconvenue de la Commission qui s'est fait épingler par la CJUE comme ne respectant pas le RGPD, ce pour quoi elle est condamnée à verser des dommages et intérêts au citoyen allemand qui a intenté la procédure.

Les candidat-es. Parmi les quatre candidat-es en lice figure le Contrôleur actuel, Wojciech Wiewiórowski, qui postule donc pour un nouveau mandat. Il est rejoint par :

• François Pellegrini, ancien membre et vice-président de la Commission Nationale Informatique et Libertés (CNIL) française ;
• Bruno Gencarelli, expert des questions de transfert de données et conseiller du l'ancien Commissaire à la justice de l'UE, Didier Reynders ; et
• Anna Pouliou, présidente de la Commission de protection des données du CERN et enseignante en droit de l'AI à l'Université de Maastricht. Elle a souligné son désir de porter une perspective business et son expertise en matière d'IA dans ce rôle, tout en simplifiant les réglementations de l'UE.

Le processus de sélection. Les représentants permanents des États membres (Coreper 2) auditionnent les candidat-es le 15 janvier 2025, suivi de l'audition par la Commission LIBE du Parlement européen le lendemain. Le Conseil et le Parlement procéderont ensuite à un vote secret pour établir un ordre de préférence parmi les candidat-es, avant des négociations informelles pour parvenir à une décision finale.

---

Le chiffre qui compte

↓

​ ​ 37 %

seulement des organisations ont actuellement des processus pour évaluer la sécurité des outils d'IA avant leur déploiement en place. Pourtant, 66 % des organisations s'attendent à ce que l'IA ait un impact significatif sur la cybersécurité. Ce paradoxe est parmi les observations du rapport Global Cybersecurity Outlook 2025 du World Economic Forum, qui vient de sortir à l'occasion du début, lundi prochain, du sommet de Davos. Le rapport donne quelques exemples des usages intéressants pour les défenseurs à développer en mobilisant des systèmes d'IA. Mais rappelle que la pénurie de compétences reste bien là et qu'il est nécessaire d'investir dans la formation et le développement des compétences.

---

Voyager, c'est vivre

Les Viennois entretiennent un rapport singulier avec la mort. Ils ont développé ce qu'ils appellent la tradition du "beau cadavre" (schöne Leich), qui se caractérise par des enterrements fastueux et des tombes somptueuses. Cette tradition remonte à l'époque de l'impératrice Marie-Thérèse. En sus du faste, les Viennois abordent la mort avec une certaine légèreté ; ils la chantent et plaisantent avec elle, la considérant comme quelque chose de banal.

​

Le Cimetière Central illustre parfaitement ce rapport unique qui vient de fêter ses 150 ans à la Toussaint 2024. Il s'étend sur 240 hectares et compte 330 000 tombes. Aussi, il abrite un musée des pompes funèbres qui présente le cérémonial viennois du deuil, et on y trouve une pâtisserie-café de renom, la Kurkonditorei Oberlaa, soulignant cette relation particulière entre la vie et la mort. Celle-ci fait partie intégrante de l’identité culturelle viennoise, au point que la ville est devenue une destination prisée pour le "tourisme macabre".