
Hogan Lovells 2024 Election Impact and Congressional Outlook Report
Le bureau Parisien de Hogan Lovells a le plaisir de vous adresser sa lettre d'information mensuelle qui vous présente les Actualités législatives et réglementaires du mois de février 2025. Ces Actualités législatives et réglementaires vous sont communiquées à titre d'information. Elles n'ont pas vocation à être exhaustives ou à constituer un avis juridique.
A la une en février : Publication de la loi visant à protéger la population des risques liés aux substances perfluoroalkylées et polyfluoroalkylées (PFAS) ; Lancement du RDAP en remplacement du WHOIS ; Réforme du régime des nullités en droit des sociétés
Retrouvez toutes les actualités par thème : Assurances ; Données personnelles ; Droit public économique ; Environnement ; Marchés de capitaux ; Propriété intellectuelle ; Sociétés
Le 13 février 2025, la Commission Européenne a publié le Règlement délégué (UE) 2025/295 du 24 octobre 2024 qui complète le Règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« Règlement DORA »).
Ce Règlement délégué comporte des normes techniques complémentaires relatives à l’harmonisation des conditions permettant l’exercice des activités de supervision. Il détermine également notamment les informations que les prestataires tiers critiques de services liés aux technologie de l’information et de la communication (« TIC ») doivent fournir lors de leurs échanges avec leur superviseur principal.
Le Règlement délégué donne plusieurs précisions concernant notamment :
Ce Règlement délégué est en vigueur depuis le 5 mars 2025.
strong>Source : Règlement délégué (UE) 2025/295
Le 20 février 2025, la Commission Européenne a publié deux règlements du 23 octobre 2024 complétant le Règlement 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« Règlement DORA »).
Le Règlement délégué (UE) 2025/301, établit des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux technologie de l’information et de la communication (« TIC »), ainsi que pour le rapport intermédiaire, et le rapport final y afférents . Le règlement établit une liste d’information que les entités financières doivent communiquer a minima (tels que pour les besoins de la notification initiale, une description de l’incident lié aux TIC et les critères ayant conduit à classifier l’incident comme majeur, etc.). Il précise également les délais applicable pour soumettre chacun de ces rapports. Ainsi, le rapport initial doit être remis le plus tôt possible, mais en tout état de cause dans un délai de quatre heures à compter de la classification de l’incident lié aux TIC comme majeur et au plus tard 24 heures à compter du moment où l’entité financière en a eu connaissance. Les rapport intermédiaire et le rapport final doivent être remis respectivement au plus tard dans un délai de 72 heures à compter de la soumission de la notification initiale, et au plus tard un mois après la soumission du rapport intermédiaire ou, le cas échéant, après la dernière mise à jour du rapport intermédiaire. Le règlement précise également le contenu de la notification volontaire des cybermenaces importantes.
Le Règlement d’exécution (UE) 2025/302, établit des normes techniques d’exécution en ce qui concerne les formulaires, modèles, et procédures types permettant aux entités financières de notifier un incident majeur lié aux TIC et de notifier une cybermenace importante. Le règlement inclue à cet effet en annexe un modèle pour soumettre la notification initiale, le rapport intermédiaire et le rapport final.
Ces deux règlements sont en vigueur depuis le 12 mars 2025.
Source :Règlement délégué (UE) 2025/301 et Règlement d’exécution (UE) 2025/302
Les Autorités Européennes de Surveillance (ESMA, EBA et EIOPA) (« AES ») ont publié le 18 février 2025 une feuille de route afin de clarifier comment déterminer les prestataires tiers de services liés aux technologies de l’information et communication (« TIC ») d’importances critiques (« critical ICT third-party service providers » - « CTPPs ») pour l’année 2025, dans le cadre du Règlement 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« Règlement DORA »).
>Les AES précisent que la désignation des CTPPs suivra les étapes suivantes :
Les AES rappellent également que les prestataires tiers de services liés aux TIC non désignés comme critiques pourront demander volontairement à être désignés comme tel une fois la liste des CTPPs publiée.
Un atelier en ligne est prévu au cours du deuxième trimestre de 2025 avec les prestataires tiers de services liés aux TIC afin de clarifier notamment le processus de désignation et l’approche de surveillance des AES.
Le 11 février 2025, l'Autorité Bancaire Européenne (« ABE ») a décidé de restreindre la portée de ses lignes directrices en matière de gestion des risques liés aux technologie de l’information et de la communication (« TIC ») afin d'assurer une harmonisation des exigences entre les pays de l'UE conformément au Règlement 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (« Règlement DORA »), applicable aux entités financières des secteurs bancaires et assurantiels.
Le champ d’application des lignes directrices de l’ABE est désormais restreint :
La modification des lignes directrices de l’ABE s’appliquera dans les deux mois suivant la publication des versions traduites.
Authored by Ghina Farah and Maxime Kaya
La CNIL envisage de mettre en place une certification afin d’aider les responsable de traitement dans le choix de leurs sous-traitants.
La certification permettra aux sous-traitants de démontrer que les traitements qu’ils réalisent ont été évalués comme étant conformes aux critères d’un référentiel reconnu par la CNIL. Toute entreprise ou organisme, public ou privé, établi en Europe et agissant en tant que sous-traitant dans le traitement de données personnelles pourra candidater à cette certification.
Pour obtenir la certification, l’organisme candidat devra prouver qu’il respecte les 90 critères du référentiel, qui couvrent toutes les étapes du traitement des données personnelles : contractualisation, préparation de l’environnement du traitement, mise en œuvre, fin du traitement et suivi des actions sur trois ans. L’évaluation, réalisée par un organisme certificateur, portera sur les traitements concernés selon le périmètre défini par le sous-traitant, qu’il s’agisse de services standardisés ou de prestations sur mesure, y compris pour les startups après le lancement effectif de leurs traitements.
La consultation publique sur ce projet de référentiel, qui s'est terminée le 28 février 2025, a permis à tous les acteurs concernés, en particulier les PME, de donner leur avis via un formulaire de 6 questions, individuellement ou par le biais de fédérations ou associations, afin d'aider la CNIL à ajuster son projet
La Commission européenne a publié deux nouvelles lignes directrices les 4 et 6 février 2025 : l’une sur la définition d’un système d’IA et l’autre sur les systèmes d’IA interdits.
Les lignes directrices sur la définition de l’intelligence artificielle (IA) apportent des précisions concrètes permettent d’aider les acteurs de l’IA à déterminer si un système constitue ou non un système d’IA. Par exemple, elles expliquent qu’une des conditions pour qu’un système soit qualifié d’IA est qu’il repose sur une machine. Elles illustrent cette condition en précisant que les composants matériels d’un système d’IA peuvent inclure des processeurs tels que les CPU, GPU ou TPU, des unités de stockage, de la mémoire vive ou encore des unités de traitement spécialisées. Du côté des composants logiciels, elles citent les algorithmes, les modèles, les instructions programmées ainsi que les interfaces permettant le traitement des données. En s’appuyant sur des exemples précis, ces lignes directrices clarifient chacun des critères définis par l’article 3(1) du règlement (UE) 2024/1689 (IA Act).
Les guidelines sur les IA interdites précisent les critères permettant d’identifier ces systèmes et expliquent, à l’aide d’exemples concrets, chaque interdiction prévue par l’article 5 de l’IA Act.
Par exemple, l’article 5 interdit les systèmes d'IA exploitant les vulnérabilités dues à l'âge, au handicap ou à la situation sociale ou économique spécifique. Les guidelines illustrent cette interdiction avec plusieurs cas, notamment celui d’un chatbot thérapeutique censé soutenir la santé mentale, mais qui manipule ses utilisateurs en leur vendant des médicaments ou des produits.
Elles mettent également en lumière l’articulation de l’IA Act avec d’autres réglementations européennes. Par exemple, la Directive sur les pratiques commerciales déloyales interdit les manipulations commerciales, tandis que l’IA Act a une portée plus large en protégeant l’ensemble des individus et en couvrant des préjudices au-delà du seul domaine économique. Ainsi, une IA recourant à des dark patterns peut être concernée par ces deux textes.
Authored by Anaïs Ligot and Sarina Singh
La Direction des Achats de l’État a publié, entre novembre 2024 et février 2025, des fiches outils pour des achats éco-responsables proposant des exemples de clauses et de critères à utiliser par les acheteurs afin de faciliter l’intégration des enjeux environnementaux dans les marchés de l’État. La publication de ces fiches s’inscrit dans le cadre du Plan national pour des achats durables (PNAD) et de l’article 35 de la loi dite « Climat et Résilience » qui établissent des objectifs précis en matière de réduction des impacts environnementaux des achats publics. A ce jour, treize fiches outils ont été publiées pour la passation de marchés dans des secteurs économiques très divers. Trois d’entre elles portent sur la mise en œuvre de la mesure 7.3 de lacirculaire du 21 novembre 2023 portant engagements pour la transformation écologique de l’État : la première aborde la communication par les fournisseurs d'un bilan des émissions des gaz à effet de serre (« BEGES »), la deuxième est relative aux prestations de transport et de livraison et la dernière concerne la mise en œuvre du cas d'exclusion pour défaut d'établissement du BEGES.
La loi n° 2025-176 du 24 février 2025 d'urgence pour Mayotte, publiée au JORF le 25 février 2025, instaure des adaptations et dérogations temporaires en matière de commande publique pour la reconstruction de Mayotte après le passage du cyclone Chido les 13 et 14 décembre 2024. Ces mesures sont applicables aux marchés pour lesquels une consultation est engagée ou un avis de publicité est envoyé à la publication à compter de l'entrée en vigueur de la loi et jusqu’au 26 février 2027.
Tout d’abord, la loi assouplit les règles de passation des marchés publics. Elle prévoit une dispense de publicité et de mise en concurrence pour les marchés de travaux, de fournitures et de services nécessaires pour remédier aux conséquences du cyclone dont le montant est inférieur à 100 000 euros hors taxes, et supprime l’obligation de publicité pour les marchés de travaux portant sur la reconstruction des équipements publics et des bâtiments touchés par le cyclone dont le montant est inférieur à 2 millions d’euros hors taxes. Les marchés attribués dans ces conditions doivent toutefois être publiés sur les sites de la préfecture de Mayotte et de l’établissement public chargé de coordonner les travaux de reconstruction de Mayotte.
Par ailleurs, les acheteurs publics sont autorisés à passer des marchés nécessaires pour remédier aux conséquences du cyclone sans allotissement et à recourir aux marchés de conception-réalisation sans satisfaire les conditions prévues par l’article L. 2171-2 du Code de la commande publique.
Afin de soutenir les entreprises locales, la loi instaure un dispositif de réservation des marchés publics qui permet notamment de réserver jusqu’à 30% du montant des marchés passés dans le cadre des dérogations prévues par la loi pour les microentreprises, PME et artisans qui avaient leur siège social à Mayotte le 13 décembre 2024.
Enfin, la loi met en place une faculté de contrôle par les acheteurs, lesquels peuvent notamment demander aux titulaires des marchés passés dans le cadre des dérogations de fournir les éléments comptables et techniques justifiant le coût de revient des prestations.
>L’Autorité de régulation des transports (« ART ») a publié le 27 février 2025 le rapport intégral sur le marché français du transport ferroviaire en 2023 qui complète le rapport relatif à l’essentiel du marché du transport ferroviaire, publié en décembre 2024 (Voir Actualités législatives et réglementaires de décembre 2024). Ce rapport s’inscrit dans le cadre des dispositions de l’article L. 2131-1 du Code des transports selon lequel l’ART a la mission de veiller « au suivi et au bon fonctionnement, dans ses dimensions techniques, économiques et financières, du système de transport ferroviaire national, notamment du service public et des activités concurrentielles, au bénéfice des usagers et clients des services de transport ferroviaire » et de l’article L. 2133-1-1 du même code, qui prévoit que l’ART établit chaque année un état des lieux de l’ouverture à la concurrence des services de transport ferroviaire. Dans ce rapport, l’ART note que le coût élevé des services conventionnés régionaux en France révèle l'existence de marges d'efficience pouvant être exploitées grâce à l'ouverture à la concurrence et que l'état des infrastructures témoigne d'un besoin soutenu de financement pour leur entretien et leur renouvellement.
Authored by Bruno Cantier, Astrid Layrisse et Elisa Brunet
La loi n° 2025-188 du 27 février 2025 visant à protéger la population des risques liés aux substances perfluoroalkylées et polyfluoroalkylées a été publiée au Journal Officiel du 28 février 2025 (la « Loi »).
Créant un nouveau chapitre sur la prévention des risques résultant de l'exposition aux substances perfluoroalkylées et polyfluoroalkylées (les « PFAS ») au sein du Code de l'environnement, la Loi prévoit un certain nombre de dispositions dont l'objectif est d’encadrer davantage l'utilisation des PFAS, substances qualifiées de « polluants éternels » et déjà partiellement interdites au niveau européen.
Les principales nouveautés de la Loi sont les suivantes :
les agences régionales de santé rendent public le programme des analyses des PFAS dans les eaux destinées à la consommation humaine, notamment les eaux conditionnées en bouteille, ainsi que les résultats de ce programme. A partir de ces résultats, un bilan national de la qualité de l'eau au robinet du consommateur en France au regard des PFAS est publié chaque année ;
dans un délai d'un an à compter de la promulgation de la Loi, le Gouvernement devra (i) remettre au Parlement un rapport proposant des normes sanitaires actualisées pour les PFAS dans les eaux destinées à la consommation humaine, et (ii) se doter d’un plan d'action interministériel pour le financement de la dépollution des eaux destinées à la consommation humaine gérées par les collectivités territoriales responsables des services publics d'eau potable et d'assainissement ;
L'instruction technique DGPE/SDPE/2025-93 de la Direction générale de la performance économique et environnementale des entreprises, de la Direction générale de l’énergie et du climat et de la Direction générale de l’aménagement, du logement et de la nature relative à l’application des dispositions réglementaires relatives aux installations agrivoltaïques et photovoltaïques au sol dans les espaces naturels, agricoles et forestiers a été publiée au Bulletin Officiel du 18 février 2025 (l'« Instruction Ministérielle »).
Pour rappel, l'article 54 de la loi n° 2023-175 du 10 mars 2023 relative à l'accélération de la production d'énergies renouvelables (la « Loi APER »), a défini les conditions de développement de l’agrivoltaïsme et du photovoltaïque au sol dans les espaces agricoles, naturels et forestiers. Ces dispositions ont été complétées et précisées par le décret n° 2024-318 du 8 avril 2024 relatif au développement de l'agrivoltaïsme et aux conditions d'implantation des installations photovoltaïques sur des terrains agricoles, naturels ou forestiers et l'arrêté du 5 juillet 2024.
L’Instruction Ministérielle détaille et précise le cadre législatif et réglementaire applicable, depuis l’entrée en vigueur de la Loi APER, à la construction et à l’exploitation des projets agrivoltaïques, des projets agricompatibles, aux projets de serres, hangars et ombrières à usage agricole supportant des panneaux photovoltaïques.
L'Instruction Ministériel contient notamment :
Datée du 18 février 2025, l'Instruction ministérielle est d'application immédiate.
Authored by Laure Nguyen, Julie Paladian and Ilia Sedoikin.
L’arrêté du 3 février 2025 portant homologation de modifications du règlement général de l'Autorité des marchés financiers modifie notamment les chapitres relatifs aux offres au public et demandes d'admission à la négociation de crypto-actifs et aux prestataires de services sur crypto-actifs pour prendre en compte le règlement (UE) 2023/1114 sur les marchés de crypto-actifs(règlement MiCA), étant précisé que les titres relatifs aux prestataires de services sur crypto-actifs n’entreront en vigueur qu’à compter du 30 juin 2026.
Authored by Charlotte Bonsch
Le 3 février 2025, l'OEB a prépublié les versions anglaises des Directives relatives à l'examen pratiqué à l'OEB (Directives CBE) et des Directives relatives à la recherche et à l'examen pratiqués à l'OEB agissant en qualité d'administration PCT (Directives PCT de l'OEB), ainsi que la toute première édition des Directives relatives au brevet unitaire. Ces séries de Directives entreront en vigueur le 1er avril 2025, offrant ainsi aux utilisateurs un mois supplémentaire pour se familiariser avec leur contenu.
Les utilisateurs sont invités à participer à la consultation annuelle des utilisateurs sur les Directives, qui sera ouverte aux commentaires jusqu'au 7 avril 2025.
Depuis le 28 janvier 2025, le Registration Data Access Protocol (RDAP) est devenu la référence officielle pour consulter les données d’enregistrement des noms de domaine génériques de premier niveau (gTLD), prenant ainsi le relais du système WHOIS, désormais obsolète.
Historiquement utilisé pour interroger les bases de données des noms de domaine, le WHOIS présentait plusieurs lacunes, notamment un manque de standardisation, des failles en matière de sécurité et d’accès, ainsi qu’une incompatibilité avec les normes récentes de protection des données, telles que le RGPD.
Le RDAP apporte des améliorations significatives en permettant notamment l’authentification des utilisateurs et un contrôle granulaire des informations affichées, adaptant l'affichage des données en fonction du type de demandeur (par exemple, un particulier, une autorité légale ou un organisme accrédité peuvent voir des informations différentes). Ce protocole respecte également les exigences de confidentialité en rendant certaines informations invisibles au grand public, tout en les maintenant accessibles aux entités autorisées. De plus, il introduit un système d’accès sécurisé basé sur l’authentification.
Par ailleurs, l’ICANN a introduit le Registration Data Request Service (RDRS), un programme expérimental visant à encadrer et simplifier les demandes d’accès aux données d’enregistrement masquées pour des raisons de confidentialité. Ce service agit comme un intermédiaire entre les requérants (tels que les autorités et les chercheurs) et les bureaux d’enregistrement, en harmonisant et rationalisant ces demandes.
Les 26 et 28 février 2025, l’Organisation mondiale du commerce (OMC) a procédé au deuxième examen de la politique et des pratiques commerciales de l’Ukraine, sur la base d’un rapport du Secrétariat de l’OMC et d’un rapport fourni par le gouvernement ukrainien. Le précédent examen remontait à 2016.
Depuis cette date, l’Ukraine a engagé une réforme profonde de son cadre législatif en matière de propriété intellectuelle afin de l’harmoniser avec les standards européens et de renforcer son rôle dans le développement du système national d’innovation. Cette modernisation s’est traduite par la mise en place de réformes institutionnelles et par la modification ou le remplacement de plusieurs lois clés. Fin 2023, le pays estimait que sa législation en propriété intellectuelle était alignée à 98 % sur l’acquis de l’Union européenne.
Dans le cadre de son rapprochement avec l’UE, l’Ukraine a signé en juillet 2023 un mémorandum d’accord entre son Office national de la propriété intellectuelle et de l’innovation (UANIPIO) et l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO). Cet accord vise à renforcer le système de propriété intellectuelle ukrainien et à accroître ses capacités institutionnelles. Un plan de travail couvrant la période 2024-2025 a également été adopté.
Par ailleurs, en raison de la loi martiale en vigueur en Ukraine depuis le 24 février 2022, plusieurs délais relatifs aux procédures de propriété intellectuelle ont été suspendus afin d’éviter la perte de droits pendant cette période exceptionnelle. Cette suspension concerne notamment le dépôt d’objections contre des enregistrements internationaux en Ukraine, le renouvellement de droits expirés, la contestation de décisions de l’UANIPIO devant les juridictions compétentes, ainsi que les demandes d’invalidation de brevets.
Authored by Anna Revidi and Léonie Barrat
L’ordonnance n° 2025-229 du 12 mars 2025 portant réforme du régime des nullités en droit des sociétés a été publiée le 13 février.
L’essentiel des mesures entrent en vigueur à compter du 1er octobre 2025 (art. 70). La seule exception concerne une disposition relative à la CSRD, applicable à compter du 1er janvier 2027, et relative à la nullité des décisions encourue en cas de défaut de désignation d'un CAC ou d'un OTI en matière de durabilité,.
Le texte poursuit un double objectif, également précisé dans le rapport au président de la République relatif à l'ordonnance n° 2025-229 du 12 mars 2025 portant réforme du régime des nullités en droit des sociétés :
L’ordonnance prévoit un affinement du contrôle du juge sur les nullités avec la fin de l’automaticité de la nullité au profit d’un triple test : Contrôle du grief, Contrôle de l’influence de l’irrégularité sur le processus de décisions (référence à la jurisprudence de ces deux dernières années : Cass. com. 15 mars 2023, n° 21-18.324, Cass. com. 11 oct. 2023, n° 21-24.646 ; Cass. com 29 mai 2024, n° 21-21.559) et Contrôle de proportionnalité (C. civ., art. 1844-12-1, nouv.) (C. civ., art. 1844-12, nouv.).
Le rapport au Président précise incidemment que « l'ensemble de causes de nullité a été revu afin d'identifier celles qu'il apparaissait nécessaire de faire échapper au contrôle du juge ».
Elle prévoit également d’encadrer les effets des nullités, avec deux dispositifs pour limiter les effets des nullités « en cascade » (C. civ., art. 1844-15-1, nouv. et art. 1844-15-2, nouv.) .
Enfin, le délai de prescription de droit commun est réduit de trois à deux ans, avec une exception pour les opérations d’augmentation du capital qui font l’objet d’un régime spécial (C. com., art. L. 22-10-55-1, nouv. et art. L. 225-149-4 et L. 225-149-5, nouv.).
L’ordonnance procède à la reclassification des règles applicables, avec l’inscription du droit commun des nullités de sociétés dans le Code civil (not. C. civ., art. 1844-10-1 et 1844-10-2, nouv.).
Elle le droit français en conformité avec la directive 2017/1132 du 14 juin 2017.
Elle procède à une évolution de terminologie avec la substitution de la notion de « décisions sociales » à celles « d’actes et de délibérations » issue de la loi du 24 juillet 2966 (not. C. civ., art. 1844-10, nouv. – C. civ., art. 1844-17, nouv. Ou encore C. com., art. L. 22-10-45) afin que « le régime des nullités des décisions sociales s'applique donc exclusivement aux actes décisionnels internes de la société ».
Enfin, une clarification de la nullité pour violation des statuts est proposée avec « principe général d'exclusion est posé, qui réserve la possibilité de dispositions dérogatoires » (C. civ., art. 1844-10-1, 4e al. nouv). Un dispositif spécial est mis en place pour les SAS, , dont les statuts pourront prévoir la nullité des décisions sociales prises en violation des règles qu'ils ont établies (C. com., art. L. 227-20-1, nouv.). La réforme prévoit donc la suppression du4e alinéa de l’article L. 227-9 du Code de commerce.
Authored by L.-N. Ricard