Actualités Législatives et Réglementaires – Janvier 2025

France – Publication par l’ACPR de documents relatifs à l’entrée en vigueur du Règlement DORA

Dans le prolongement de la réunion de place du 9 octobre 2024, et à l’occasion de l’entrée en vigueur du Règlement UE 2022/2554 sur la résilience opérationnelle numérique du secteur financier (« Règlement DORA ») le 17 janvier 2025, l’Autorité de Contrôle Prudentiel et de Résolution (« ACPR ») a publié des documents visant à apporter des précisions opérationnelles sur les obligations applicables aux entités financières. L’ACPR a ainsi publié une FAQ sur le Règlement et la Directive DORA précisant le champ d’application du Règlement DORA y compris la définition des services liés aux Technologies de l’Information et de la Communication (« TIC ») en opérant un renvoi à la réponse apportée par la Commission Européenne en la matière le 22 janvier 2025 (voir la brève ci-dessous). La FAQ précise également les obligations en matière de reporting, y compris les modalités d’externalisation concernant la déclaration des incidents majeurs liés aux TIC et des incidents opérationnels ou de sécurité liés au paiement, ainsi qu’en matière de notification des cybermenaces importantes. A cet égard l’ACPR a publié des modèles permettant aux entités financières relevant du domaine de la banque et du domaine de l’assurance d’effectuer l’ensemble de ces déclarations.

La FAQ apporte également des clarifications concernant les modalités de remise du registre d’information dont la première remise est attendue pour le 15 avril 2025 au plus tard. Elle opère aussi un rappel des règles applicables en matière de gestion des risques liés aux prestataires tiers de services TIC, en particulier concernant les diligences à mettre en œuvre à l’occasion de la négociation et de la conclusion des contrats relatifs à des services TIC soutenant des fonctions critiques ou importantes.

Pour rappel, le Règlement DORA vise à garantir une gestion efficace et prudente du risque lié aux TIC au sein des entités financières, en mettant en place une structure de gouvernance globale et des systèmes de contrôle pour identifier et atténuer ces risques. 

Source : ACPR – Publication de deux documents relatifs à l’entrée en vigueur du Règlement DORA

Union Européenne – Publication de deux directives par le Parlement européen et le Conseil dans le secteur des assurances et des réassurances

La Directive 2025/1 du Parlement européen et du Conseil 27 novembre 2024 établissant un cadre pour le redressement et la résolution des entreprises d’assurance et de réassurance, et modifiant les directives 2002/47/CE, 2004/25/CE, 2007/36/CE, 2014/59/UE et 2017/1132/UE et les règlements (UE) 1094/2010, (UE) 648/2012, (UE) 806/2014 et (UE) 2017/1129 (« IRRD ») ainsi que la Directive 2025/2 du Parlement européen et du Conseil du 27 novembre 2024 modifiant la Directive 2009/138/CE en ce qui concerne la proportionnalité, la qualité du contrôle, la communication d’informations, les mesures relatives aux garanties à long terme, les outils macroprudentiels, les risques en matière de durabilité et le contrôle de groupe et le contrôle transfrontière, et modifiant les directives 2002/87/CE et 2013/34/UE (« Directive Révision Solvabilité II ») ont été publiées au Journal Officiel de l’Union Européenne le 8 janvier 2025. 

Pour rappel, IRRD créée un cadre harmonisé de redressement pour les entreprises d’assurance et de réassurance et les groupes de l'UE, tandis que la Directive Révision Solvabilité II apporte des modifications en vue de renforcer le rôle du secteur de l’assurance et de la réassurance en tant que fournisseur de sources d’investissement privées à long terme pour les entreprises européennes, et augmenter la résilience de ce secteur, afin de protéger au mieux les assurés. Pour plus de détails, nous vous renvoyons à la brève du mois de mai 2024.

Les Etats membres sont tenus de transposer ces directives au plus tard le 29 janvier 2027, avec une entrée en vigueur le 30 janvier 2027. 

Source : Directive (EU) 2025/1 IRRD et Directive (EU) 2025/2 modifiant la Directive 2009/138/CE (Directive Solvabilité II)

Union Européenne - Rejet par la commission Européenne des normes techniques réglementaire sur la sous-traitance dans le cadre du Règlement DORA 

Le 21 janvier 2025, la Commission Européenne a rejeté le projet de normes techniques réglementaires (« Regulatory Technical Standard ») (« Draft RTS ») sur la sous-traitance des services liés aux Technologies de l’Information et Communication (« TIC »), soumis par les Autorités Européennes de Surveillance (ESMA, EBA et EIOPA) (« AES ») le 17 juillet 2024 dans le cadre du Règlement sur la résilience opérationnelle numérique du secteur financier (« Règlement DORA »). 

Ce projet de normes techniques vise à préciser les modalités d’évaluation et de gestion par les entités financières des contrats de sous-traitance des services TIC pour les fonctions critiques. La Commission Européenne a notamment considéré que les dispositions de l’article 5 relatives au contrôle de la chaîne de sous-traitance de services TIC soutenant une fonction critique ou importante de l’entité financière excédait le mandat donné aux AES par l’article 30(5) du Règlement DORA. 

Les AES disposent de 6 semaines pour modifier le projet de norme technique et le soumettre de nouveau à la Commission Européenne. Si ce nouveau projet de norme technique n’est toujours pas conforme selon la Commission, elle pourra alors le modifier ou le rejeter de nouveau. 

Source : Lettre de rejet de la Commission Européenne du projet de normes techniques réglementaire (Draft RTS) dans le cadre du Règlement DORA 

Union Européenne – Clarification par la Commission Européenne de la définition de services TIC dans le cadre du Règlement DORA, sur demande de l’EIOPA 

Le 22 janvier 2025, dans sa Q&A concernant le Règlement sur la résilience opérationnelle numérique du secteur financier (« Règlement DORA »), la Commission Européenne a fourni des précisions sur la définition de services liés aux Technologies de l’Information et Communication (« TIC ») suite à la demande de l’Autorité Européenne des Assurances et des Pensions Professionnelles (« EIOPA »), lorsqu’une entité financière fournit à une autre entité financière un ou plusieurs services financiers intégrant une composante TIC. Dans un tel cas, un service TIC peut être considéré comme étant principalement un service financier et ne pas être un service TIC au sens du Règlement DORA si deux conditions cumulatives sont remplies : 

• le service en question relève de la définition des services TIC au sens du Règlement DORA ; et

• l'entité financière prestataire et les services financiers qu’elle fournit sont réglementés par le droit de l’UE ou par toute législation nationale d’un État membre ou d’un pays tiers.

Si une entité financière fournit des services financiers réglementés et que le service TIC n’est pas lié ou est indépendant de ces services financiers réglementés, alors ledit service qu’elle fournit doit être considéré comme un service TIC au sens du règlement DORA.  La Commission Européenne a également précisé qu’un service accessoire qui est un service financier règlementé ou un service inséparable, indivisible, préparatoire ou nécessaire à la fourniture d’un service financier règlementé, et qui n’est pas fourni de manière indépendante, ne doit pas être considéré comme un service TIC au sens du Règlement DORA.

Source : Q&A Clarification de la définition de service TIC par la Commission Européenne dans le cadre du Règlement DORA

Union Européenne – Publication d’un avis technique par l’EIOPA sur la mise en œuvre du nouveau cadre de proportionnalité conformément à Solvabilité II

L’Autorité Européenne des Assurances et des Pensions Professionnelles (« EIOPA ») a publié le 30 janvier 2025 un avis technique sur la mise en œuvre du nouveau cadre de proportionnalité conformément aux modifications apportées à la Directive 2009/138/CE (« Directive Solvabilité II ») (« EIOPA-BoS-24-590 »). Cet avis rappelle que la révision de la Directive Solvabilité II introduit un cadre de proportionnalité qui réduit les exigences réglementaires pour les entreprises considérées comme petites et non complexes. L’EIOPA considère que la méthodologie telle que prévue dans la Directive Solvabilité II modifiée par la Directive 2025/2 pour identifier les entreprises petites et non complexes (« Small and Non-Complex Undertakings ») (« SNCU »), consistant à prendre en compte plusieurs critères, notamment la taille, le profil de risque et de gouvernance de l’entreprise, est suffisamment claire et complète et que des spécifications supplémentaires ne sont pas nécessaires. 

Par ailleurs, l’EIOPA rappelle que certaines entreprises qui n'atteignent pas les seuils pour être considérées comme une SNCU peuvent néanmoins bénéficier de certaines mesures de proportionnalité (telles qu’à titre illustratif en matière de fréquence de remise du rapport régulier au contrôleur, de cumul de certaines fonctions clés par un même individu, de mise à jour des politiques écrites ou de calcul des provisions techniques) si leur profil de risque le justifie, et sous réserve d’obtenir l’accord préalable de leur autorité de supervision. A cet égard, afin de guider les autorités de supervision dans l’instruction des demandes d’autorisation (ou de retrait) d’application de mesures de proportionnalité, l’EIOPA propose d’identifier des conditions générales communes à toutes les mesures de proportionnalité et des conditions spécifiques en fonction de chaque type de mesure, et ces conditions doivent reposer à la fois sur des facteurs qualitatifs et quantitatifs. Afin de bénéficier d’une mesure de proportionnalité, l’entreprise doit satisfaire toutes les conditions pertinentes y afférentes.

Ce nouveau cadre vise à avoir un paysage réglementaire plus équilibré et efficace, tout en assurant une gestion des risques adéquate, et en allouant les ressources aux entreprises les plus à risque. 

Source : EIOPA - Publication d’un avis technique sur la mise en œuvre du nouveau cadre de proportionnalité conformément à Solvabilité II

Authored by Ghina Farah and Maxime Kaya.

France – Proposition de loi visant à renforcer l’effectivité des droits voisins de la presse 

La proposition de loi visant à renforcer l’effectivité des droits voisins de la presse a été déposée le mardi 21 janvier 2025 à l’Assemblée nationale. Institués par la directive européenne 2019/790 sur le droit d’auteur et les droits voisins dans le marché unique numérique, les droit voisins doivent permettre aux éditeurs et agences de presse de se faire rémunérer lorsque leurs contenus sont réutilisés sur internet par les grandes entreprises du numérique. Les objectifs de cette proposition de loi sont de renforcer la procédure de négociation des droits voisins (Art. 1) et de renforcer le caractère dissuasif des amendes correspondantes (Art. 2). Elle sera prochainement discutée auprès de la Commission des affaires culturelles et de l'éducation avant de faire l'objet d'une discussion en séance publique le 6 mars prochain. 

Authored by Anaïs Le Coq and Raphaëlle Métaireau.

France - La Direction générale de la concurrence, de la consommation et de la répression des fraudes (« DGCCRF ») voit son rôle précisé dans la surveillance des fournisseurs de services intermédiaires numériques

Le décret n° 2025-9 du 3 janvier 2025 précise le rôle de la DGCCRF dans l’application du Règlement (UE) 2022/2065, également nommé Digital Services Act (« DSA »). Ce règlement vise à encadrer les services numériques en imposant aux fournisseurs de services intermédiaires numériques (tels que les plateformes en ligne, ou les fournisseurs de services d’hébergement) des obligations renforcées en matière de transparence, de protection des consommateurs et de lutte contre les contenus illicites.

Pour rappel, la loi n°2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique (dite « loi SREN ») a modifié l’article 7 de la loi du n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique afin de désigner « l’autorité administrative chargée de la concurrence et de la consommation » comme l’une des autorités compétentes pour la surveillance du respect du DSA par les fournisseurs de services intermédiaires numériques. Le décret du 3 janvier 2025 vient préciser cette désignation en identifiant le directeur général de la DGCCRF comme étant l’autorité administrative visée par l’article 7 de la loi du 21 juin 2004 .

En application de la loi SREN, le directeur général de la DGCCRF, le chef du service national des enquêtes ainsi que les autorités des services déconcentrés sont compétents pour saisir la juridiction civile, en vertu de l’article L.133-2 du Code de la consommation, afin d’enjoindre à un fournisseur de places de marché de se conformer aux obligations définies à l’article L.133-1 du même code, qui transpose plusieurs dispositions du DSA. Ces obligations concernent notamment la conception, l’organisation et l’exploitation des interfaces en ligne des plateformes pour éviter les pratiques trompeuses ou manipulatrices, la traçabilité des professionnels utilisant les plateformes en ligne pour proposer des produits ou services aux consommateurs, la conformité des interfaces afin de garantir la transmission des informations requises sur les produits et services mis en ligne, ainsi que le droit à l’information des consommateurs, en particulier lorsqu’un produit ou service illégal est mis en ligne.

La DGCCRF joue ainsi un rôle clé dans la régulation du numérique et la protection des consommateurs, en veillant à l’application stricte des nouvelles obligations imposées aux fournisseurs de services numériques.

Source : Décret n° 2025-9 du 3 janvier 2025 désignant l'autorité administrative chargée de la concurrence et de la consommation compétente en matière de saisine de la juridiction civile en application de l'article L. 133-2 du code de la consommation et compétente en application de l'article 7 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique. 

Authored by Floriane Cadio de Kermainguy and Camille Raymond.

France - Commande publique : précisions sur les modalités de déclaration de la part des dépenses relatives à l'acquisition de biens issus du réemploi ou de la réutilisation ou intégrant des matières recyclées 

L’arrêté du 13 janvier 2025 fixant les modalités de déclaration de la part des dépenses relatives à l'acquisition de biens issus du réemploi ou de la réutilisation ou intégrant des matières recyclées, publié au JORF du 18 janvier 2025, apporte des précisions sur l’application de cette obligation de déclaration à la charge des personnes publiques. 

Cet arrêté est pris en application de l'article 3 du décret n° 2024-134 du 21 février 2024 (Voir Actualités législatives et réglementaires – Février 2024) lui-même pris en application de l'article 58 de la loi n° 2020-105 du 10 février 2020 relative à la lutte contre le gaspillage et à l'économie circulaire (dite « loi AGEC »). Pour rappel, cette loi impose depuis 2021 que les biens acquis par l’Etat et les collectivités territoriales et leurs groupements soient, dans une certaine proportion (entre 20 et 100%), issus du réemploi ou de la réutilisation, ou intègrent des matières recyclées.

L’arrêté liste les données à déclarer et précise que celles-ci sont à déclarer sur le portail national de données ouvertes dans les six mois suivant le 31 décembre de l'année civile concernée.

Il est applicable aux données antérieures à sa date de publication et n'ayant pas encore fait l'objet d'une déclaration annuelle.

Authored by Bruno Cantier, Astrid Layrisse and Elisa Brunet.

Union Européenne – Règlement relatif aux emballages et aux déchets d'emballages.

Le règlement (UE) 2025/40 du Parlement européen et du Conseil du 19 décembre 2024 relatif aux emballages et aux déchets d'emballages, modifiant le règlement (UE) 2019/1020 et la directive (UE) 2019/904, et abrogeant la directive 94/62/CE a été publié au Journal Officiel de l'Union Européenne le 22 janvier 2025 (le « Règlement »).

Pour rappel, la directive 94/62/CE du Parlement européen et du Conseil du 20 décembre 1994 relative aux emballages et aux déchet d'emballages avait fixé les exigences concernant la composition, la réutilisation et la valorisation des emballages. Afin de rendre ces exigences plus concrètes et plus efficaces, le Règlement instaure "des règles couvrant l'ensemble du cycle de vie des emballages […] tout en prévenant et en réduisant les effets néfastes des emballages et des déchets d'emballages sur l'environnement et la santé humaine". Ce faisant, le Règlement harmonise ainsi les pratiques des Etats membres en la matière.

Le Règlement introduit de nouvelles règles afin de réduire les déchets d’emballages et de favoriser leur réemploi. En substance, le Règlement :

• Encadre la conception des emballages en :
  • limitant la mise sur le marché des emballages destinés à entrer en contact avec des denrées alimentaires dont la teneur en substances d’alkyle perfluoré et polyfluoré (« PFAS ») dépassent certains seuils ;
  • imposant des restrictions concernant certains emballages à usage unique, notamment pour certaines denrées alimentaires (e.g., fruits et légumes, condiments, etc.), produits cosmétiques et de toilette ainsi que pour les sacs en plastique légers ;
  • fixant un pourcentage minimal de contenu recyclé ou encore la réduction du poids et du volume des emballages ; et
  • instaurant de nouvelles exigences en matière d’étiquetage, marquage et information sur les emballages afin de faciliter l’information des consommateurs et le tri de ces déchets.

• Améliore la fin de vie des déchets et encourage le recyclage en :
  • fixant de nouveaux objectifs de réemploi contraignants pour 2030 (allant de 10 % à 40 % suivant le type d’emballage) ainsi que des objectifs indicatifs pour 2040 ; et
  • améliorant le tri et la collecte des déchets en instaurant des systèmes de consigne et de collecte séparés des emballages de boissons en plastique et métalliques.

Directement applicable dans tous les États membres, le Règlement, qui est entré en vigueur le 11 février 2025, sera applicable à partir du 12 août 2026. 

Authored by Laure Nguyen, Julie Paladian and Ilia Sedoikin.