Naviguer le Paysage Réglementaire
EU AI Act, NIS2, RGPD, UNECE R155 — la surface réglementaire s'étend. Nous traduisons les exigences légales en actions d'ingénierie.
Laconformitén'estpasunexercicedecasesàcocher—c'estundéfid'ingénierie.L'EUAIActintroduitdesobligationsbaséessurlerisque.NIS2étendlesexigencesdecybersécurité.UNECER155conditionnel'homologationvéhiculaireàunmanagementdecybersécuritécertifié.
| Sector | EU AI Act | NIS2 | UNECE R155 | GDPR |
|---|---|---|---|---|
| Automotive | ||||
| Healthcare | ||||
| Finance | ||||
| Energy | ||||
| Tech / SaaS |
EU AI Act
Classification de risque de vos systèmes d'IA (Inacceptable / Élevé / Limité / Minimal). Cartographie des obligations, préparation de la documentation technique, support à l'évaluation de conformité.
Directive NIS2
Gestion des risques de cybersécurité pour entités essentielles et importantes. Procédures de notification d'incidents, sécurité de la chaîne d'approvisionnement, continuité d'activité.
UNECE R155 et Homologation
La certification CSMS est obligatoire pour l'homologation véhiculaire. Nous implémentons le Système de Management de la Cybersécurité selon les critères ISO/PAS 5112.
RGPD pour l'IA et Véhicules Connectés
Analyses d'impact sur la protection des données pour les systèmes d'IA traitant des données personnelles. Télémétrie véhiculaire, analytique comportementale, données V2X.
Questions Fréquentes
L'EU AI Act utilise une classification à quatre niveaux de risque : Inacceptable (interdit — notation sociale, surveillance biométrique en temps réel), Élevé (nécessite une évaluation de conformité — dispositifs médicaux, emploi, forces de l'ordre, infrastructures critiques), Limité (obligations de transparence — chatbots, deepfakes) et Minimal (aucune obligation). La plupart des systèmes d'IA d'entreprise relèvent des catégories Élevé ou Limité.
NIS2 s'applique aux organisations de 18 secteurs critiques (énergie, transport, santé, infrastructure numérique, gestion des services TIC, etc.) comptant plus de 50 employés ou un chiffre d'affaires annuel supérieur à 10 M€. Elle s'applique également à toute organisation désignée par un État membre comme essentielle, quelle que soit sa taille. Les sanctions peuvent atteindre 10 M€ ou 2 % du chiffre d'affaires annuel mondial.
UNECE R155 est l'exigence réglementaire — elle impose aux constructeurs automobiles de disposer d'un Système de Management de la Cybersécurité (CSMS) certifié pour l'homologation. ISO/SAE 21434 est la norme d'ingénierie qui décrit COMMENT implémenter la cybersécurité sur l'ensemble du cycle de vie du véhicule. Suivre ISO 21434 produit les preuves techniques qui satisfont les exigences d'audit R155.
Une analyse d'écart pour une réglementation unique (EU AI Act, NIS2 ou UNECE R155) prend généralement 4 à 6 semaines. Cela comprend l'examen documentaire, les entretiens avec les parties prenantes, l'évaluation technique et une feuille de route de remédiation avec des actions priorisées. L'accompagnement complet — de l'analyse d'écart à l'état prêt pour l'audit — s'étend de 3 à 9 mois selon la maturité organisationnelle.