L’ambition européenne pour un « marché unique numérique » a généré un véritable labyrinthe de textes réglementaires que nul n’est censé ignorer, pas même les start-up et les fintech, sauf à devenir hors-la-loi. Mais à ce patchwork s’ajoute le manque de coordination entre autorités compétentes.

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’Union européenne a une ambition manifeste : réguler de manière exemplaire la transition numérique. Du règlement sur l’intelligence artificielle (AI Act) aux directives concernant les services numériques (DSA/DMA), en passant par la régulation des actifs numériques (MiCA) et la résilience opérationnelle du secteur financier (DORA), le législateur européen ne cesse d’introduire des normes structurantes. Chacun de ces textes, pris séparément, a pour objectif de pallier une carence. Ensemble, ils constituent un écosystème réglementaire complexe, parfois dépourvu de cohérence, souvent difficile à appliquer.

Accumulation de textes sans réelle coordination
Pour les initiatives novatrices, en particulier les start-up et les fintech, cette accumulation de normes peut rapidement devenir complexe. Cela est d’autant plus vrai que les normes et directives techniques ne cessent de croître, changeant constamment le champ de la conformité sans perspective de stabilité à moyen terme ni durabilité juridique. Actuellement, le cadre réglementaire en Europe se fonde sur plusieurs éléments-clés. L’AI Act (1) met en place une catégorisation des systèmes d’intelligence artificielle basée sur leur niveau de risque, imposant des exigences rigoureuses aux systèmes considérés comme étant « à haut risque ». Le DSA (2) et le DMA (3) ont pour objectif de réguler les grandes plateformes numériques tout en offrant une protection accrue aux utilisateurs. MiCA (4) régule la création de jetons et l’offre de services liés aux crypto-actifs. DORA (5) impose des normes rigoureuses de cybersécurité dans le domaine financier. De nombreux intervenants de l’écosystème sont également soumis aux règles (suite) anti-blanchiment. On peut également trouver d’autres documents transversaux, sectoriels ou techniques. Cela constitue un millefeuille réglementaire complexe où les obligations s’accumulent sans véritable coordination, engendrant des superpositions et parfois même des contradictions. Chaque texte s’appuie sur ses propres définitions, logiques, et fait appel à diverses autorités de supervision, sans qu’il y ait une articulation claire entre elles. Une start-up œuvrant dans divers secteurs tels que les actifs numériques et l’intelligence artificielle se voit donc confrontée à des chronologies disparates, des seuils de déclenchement discordants et des demandes de documentation non-uniformes. Ce fractionnement rend les procédures de conformité beaucoup plus lourdes et entrave l’aptitude à innover dans un environnement juridique stable.
Les stablecoins sous MiCA, règlement européen sur les marchés de cryptoactifs, et PSD2, directive européenne sur les services de paiement (6), constituent un cas emblématique. Les jetons de monnaie électronique en eux-mêmes (ou EMT, pour Electronic Money Token, ou E-Money Token), appelés aussi « stablecoins monodevise » (adossés à une monnaie officielle comme l’euro), démontrent les conséquences néfastes que peut engendrer une superposition de la réglementation. Selon MiCA, ces tokens sont considérés comme de la monnaie électronique. Cependant, les transactions de transfert associées peuvent aussi être soumises à la directive PSD2, avec toutes les obligations qui en découlent. Ainsi, un même acteur est soumis à une double contrainte réglementaire : il doit se procurer à la fois une licence en tant que fournisseur de services sur actifs numériques (CASP (7), ou PSCA (8) en français) conformément au règlement MiCA, et une autorisation pour l’établissement de paiement selon PSD2. Ces deux régimes nécessitent des procédures d’approbation différentes, possèdent des critères de capital propre superflus, imposent des responsabilités divergentes et soulèvent des questions concernant la classification juridique de certaines actions, telles que les transferts internes à un utilisateur ou les mouvements vers des portefeuilles autogérés. Malgré les mises en garde des syndicats professionnels, la réaction de certaines autorités de régulation en Europe demeure pour l’instant insuffisante, bien que nos autorités françaises fassent un travail remarquable sur le sujet.

DORA, une usine à conformité pour la finance
Si aucune action n’est entreprise, de nombreux intervenants pourraient abandonner les services de transfert d’EMT, ce qui va à l’encontre des objectifs de MiCA, lequel vise précisément à promouvoir l’adoption de ces actifs numériques. Concernant cette fois le règlement sur la résilience opérationnelle numérique, également connu sous le nom de DORA, il est entré en vigueur à partir de janvier 2025. Il impose aux institutions financières un cadre global de gestion des risques associés aux technologies de l’information. Cela englobe l’élaboration d’un plan de gestion du risque « TIC » (9), l’alerte en cas d’incidents majeurs, la conduite de tests de résilience numérique, ainsi que la nécessité de maintenir un registre précis des contrats avec les fournisseurs de services informatiques tiers. Bien que ces initiatives visent à renforcer la sécurité systémique, leur application s’avère très complexe pour les petites entités. De nombreuses start-up et fintech manquent des ressources et des compétences internes nécessaires pour répondre à ces exigences. La notion de proportionnalité stipulée dans le règlement est fréquemment comprise de façon restrictive et demeure floue quant à ses modalités d’application pratiques.

AI Act : flous techniques, complexité procédurale
La réglementation sur l’intelligence artificielle ajoute une couche additionnelle. L’AI Act impose des exigences strictes aux systèmes classés comme « à haut risque » : documentation technique, supervision humaine, qualité des données, transparence et inscription obligatoire dans une base de données européenne. Il est possible que les sanctions aillent jusqu’à 7 % du chiffre d’affaires à l’échelle mondiale. L’instauration de « bacs à sable réglementaires » est bien prévue, mais leur réalisation prend du temps. Entretemps, les initiatives doivent naviguer entre les réglementations existantes dans leur domaine respectif (santé, automobile, services publics, …) et les exigences récentes imposées par la réglementation sur l’IA, sans aucune coordination entre les autorités compétentes. La définition même de ces systèmes pose problème : IA intégrée, IA générative, open source, … aucune de ces classifications n’est précisément définie, ce qui rend les stratégies de conformité floues. Le dilemme du guichet unique demeure aussi sans solution : une entreprise concevant une IA employée dans divers contextes doit composer avec autant d’autorités qu’il y a de domaines d’application.
Quant aux DSA et DMA, s’ils ciblent prioritairement les grandes plateformes, ces règlements affectent également les plus petits acteurs par ricochet sur l’ensemble de l’écosystème. Une start-up qui propose une solution technique à un acteur qualifié de « gatekeeper » (contrôleur d’accès), se retrouve indirectement soumise à des exigences de conformité étendues : traçabilité, documentation, obligations de transparence, et compatibilité renforcée au RGPD, le règlement général sur la protection des données (10).
Ces obligations s’appliquent même lorsque la start-up ne traite pas directement de données personnelles ou de contenus modérés, mais fournit simplement un service technique – API (Application Programming Interface), infrastructure, algorithmes de recommandation – utilisé en aval par une plateforme réglementée. L’effet est immédiat : elle doit produire des audits, garantir l’interopérabilité, prouver l’absence de pratiques déloyales, et documenter ses choix techniques, parfois en plusieurs langues, à destination des autorités nationales de différents Etats membres. Sans pouvoir de négociation, et sans accès aux ressources de conformité des grands groupes, ces petites structures se retrouvent piégées dans une logique de compliance excessive. Ce n’est plus l’activité elle-même qui génère du risque, mais la simple appartenance à une chaîne de valeur numérique réglementée. Cette situation crée une inégalité de traitement qui freine l’innovation, décourage la prise de risque, et oriente les jeunes pousses vers des marchés plus permissifs. Les investisseurs, eux aussi, deviennent frileux à l’idée d’accompagner des projets exposés à une telle incertitude juridique. Quant aux avocats et aux directions juridiques internes, ils doivent souvent interpréter à l’aveugle des règlements conçus pour des géants du numérique, mais appliqués sans nuance à des entités de dix salariés.
L’approche globale attendue pour tous ces documents devait être celle de la cohérence, de la confiance et de l’indépendance numérique. Toutefois, l’accumulation non-synchronisée de ces réglementations conduit à une situation contradictoire : des normes conçues pour sécuriser les initiatives numériques génèrent l’effet opposé.
La disparité des parties prenantes, les interprétations différentes, les retards d’approbation inconsistants et l’absence de moyens de simplification pour les petites entités rendent le paysage réglementaire de l’Union européenne ardu à déchiffrer. On constate également une instabilité des lignes directrices, qui changent parfois sans consultation préalable ni soutien. Les responsables de la régulation ont également du mal à répondre aux demandes, ce qui prolonge l’incertitude pour les intervenants. Cette complexité induit une réticence à l’innovation, un transfert des projets vers des juridictions plus laxistes, et une constante incertitude juridique. L’Europe dispose à la fois d’expertise et de vision. Cependant, elle a du mal à concilier ses aspirations avec les conditions réelles sur le terrain. Il est crucial de réévaluer la régulation en se basant sur des principes opérationnels : établissement de guichets sectoriels unifiés, standardisation des délais d’autorisation, définition claire des situations de double régulation, application effective du principe de proportionnalité, avancée rapide des mécanismes de bac à sable.

Europe : repenser l’architecture de la régulation
Cela nécessite également d’intensifier la communication entre les instances nationales et européennes, de fournir des modèles de conformité aisément modifiables, et d’établir une direction stratégique de la transition réglementaire par secteur. Les intervenants économiques requièrent de la clarté, de la constance et la possibilité de prévoir. Sans ce remodelage méthodologique, les projets les plus prometteurs risquent de ne plus voir le jour en Europe. Et la régulation, supposée fournir un atout stratégique, se transformera en obstacle persistant à la compétitivité du Continent. Sans parler de la souveraineté numérique européenne qui, face à tant de complexités juridiques, risque de rester un vœu pieu. @