JAVASCRIPT
<h3>Qu'est-ce que l'AI literacy ?</h3>
<p>L'AI literacy (article 4 AI Act) est l'obligation pour tout fournisseur ou déployeur d'IA de s'assurer que son personnel dispose d'un niveau suffisant de compréhension de l'IA, proportionné au contexte d'usage.</p>
<p>Opposable depuis le 2 février 2025, sanctions applicables au 2 août 2026, sans seuil de taille. Pour les <a href="https://letzagents.lu/fr/solutions/avocats-notaires">cabinets d'avocats et notaires</a>, documenter les formations IA est prioritaire. Source : <a href="https://artificialintelligenceact.eu/article/4/" rel="noopener">article 4 AI Act</a>.</p>
<h3>Qu'est-ce que le Digital Services Act (DSA) ?</h3>
<p>Le DSA (Règlement UE 2022/2065) encadre les services intermédiaires numériques (plateformes, places de marché, moteurs de recherche) avec obligations de modération, transparence des recommandations et régime renforcé pour les très grandes plateformes.</p>
<p>Pour une PME, le DSA s'applique rarement en direct mais affecte tout acteur qui publie un chatbot IA en frontal visiteurs ou des contenus IA sur une plateforme couverte. Source : <a href="https://eur-lex.europa.eu/eli/reg/2022/2065/oj" rel="noopener">règlement UE 2022/2065</a>.</p>
<h3>Qu'est-ce que le Digital Markets Act (DMA) ?</h3>
<p>Le DMA (Règlement UE 2022/1925) encadre les "contrôleurs d'accès" (gatekeepers), grandes plateformes numériques structurantes, pour garantir la contestabilité des marchés numériques.</p>
<p>Cible les gatekeepers désignés (Alphabet, Amazon, Apple, Meta, Microsoft, ByteDance, Booking). Une PME qui dépend de Microsoft Copilot ou Google Workspace AI bénéficie indirectement des obligations d'interopérabilité imposées. Source : <a href="https://eur-lex.europa.eu/eli/reg/2022/1925/oj" rel="noopener">règlement UE 2022/1925</a>.</p>JAVASCRIPT
<h3>Qu'est-ce que l'arrêt Schrems II ?</h3>
<p>L'arrêt Schrems II (CJUE, C-311/18, 16 juillet 2020) a invalidé le Privacy Shield au motif que les lois américaines de surveillance ne garantissent pas un niveau de protection équivalent au RGPD.</p>
<p>C'est pourquoi tout transfert de données personnelles vers les États-Unis nécessite un DPF valide ou des clauses contractuelles types renforcées. Point de départ de toute analyse souveraineté. Voir notre cas d'usage <a href="https://letzagents.lu/fr/cas-usage/proteger-donnees-ia-privee">protéger vos données avec une IA privée</a>. Source : <a href="https://curia.europa.eu/juris/liste.jsf?num=C-311/18" rel="noopener">arrêt C-311/18</a>.</p>
<h3>Qu'est-ce que le Cloud Act ?</h3>
<p>Le Cloud Act (H.R.4943, 23 mars 2018) est la loi américaine qui permet aux autorités US d'exiger d'un fournisseur de nationalité américaine la communication de données qu'il héberge, quel que soit le pays d'hébergement physique, y compris un data center UE.</p>
<p>Un fournisseur IA US reste compétent avec un data center à Dublin ou à Francfort. Argument structurel pour une IA hébergée par un acteur non américain. Voir notre <a href="https://letzagents.lu/fr/blog/ai-act-cloud-act-rgpd-ia-entreprise-luxembourg">comparatif RGPD, Cloud Act et AI Act</a>. Source : <a href="https://www.congress.gov/bill/115th-congress/house-bill/4943" rel="noopener">H.R.4943</a>.</p>
<h3>Qu'est-ce que le Data Privacy Framework (DPF) ?</h3>
<p>Le DPF (décision d'adéquation de la Commission européenne, 10 juillet 2023) autorise le transfert de données personnelles UE vers des entreprises américaines certifiées DPF, sous engagements de limitation de l'accès des autorités US.</p>
<p>Vérifier la certification DPF d'un fournisseur américain est un prérequis opérationnel. Elle ne vaut pas immunité Cloud Act. Le DPF reste sous surveillance judiciaire, plusieurs recours étant pendants devant le Tribunal de l'UE. Source : <a href="https://cnpd.public.lu/fr/dossiers-thematiques/transferts-internationaux-donnees-personnelles/transferts-usa.html" rel="noopener">dossier CNPD transferts USA</a>.</p>JAVASCRIPT
<h3>Qu'est-ce que NIS2 ?</h3>
<p>NIS2 (Directive UE 2022/2555) est la directive européenne sur la cybersécurité qui étend le périmètre de NIS1 à davantage de secteurs (santé, distribution, administration, services numériques) et renforce les obligations de gestion des risques et de notification d'incidents.</p>
<p>Transposition luxembourgeoise en cours. Concerne les entités "essentielles" et "importantes", à partir du seuil de moyenne entreprise. Un déploiement IA dans une entité NIS2 hérite des obligations cyber associées. Les <a href="https://letzagents.lu/fr/solutions/entreprises-publiques">entités parapubliques et administrations</a> sont particulièrement concernées. Source : <a href="https://eur-lex.europa.eu/eli/dir/2022/2555/oj" rel="noopener">directive UE 2022/2555</a>.</p>
<h3>Qu'est-ce que le Data Act ?</h3>
<p>Le Data Act (Règlement UE 2023/2854) porte sur l'accès équitable aux données générées par les objets connectés et les services numériques, imposant le partage vers l'utilisateur et encadrant les contrats B2B.</p>
<p>Applicable depuis le 12 septembre 2025. Concerne les PME qui fabriquent ou déploient des objets connectés (industrie, santé connectée, télématique assurantielle). Source : <a href="https://eur-lex.europa.eu/eli/reg/2023/2854/oj" rel="noopener">règlement UE 2023/2854</a>.</p>
<h3>Qu'est-ce que le Data Governance Act (DGA) ?</h3>
<p>Le DGA (Règlement UE 2022/868) crée un cadre pour la réutilisation de données protégées détenues par le secteur public et pour les services d'intermédiation de données (data spaces européens).</p>
<p>Applicable depuis le 24 septembre 2023. Utile pour une PME qui souhaite accéder à des données sectorielles (santé, mobilité, finance) via les data spaces européens. Source : <a href="https://eur-lex.europa.eu/eli/reg/2022/868/oj" rel="noopener">règlement UE 2022/868</a>.</p>JAVASCRIPT
<div class="article-table">
<table>
<caption>Autorités luxembourgeoises compétentes par texte</caption>
<thead>
<tr>
<th scope="col">Texte</th>
<th scope="col">Autorité principale</th>
<th scope="col">Périmètre</th>
</tr>
</thead>
<tbody>
<tr>
<td>AI Act</td>
<td>CNPD (projet de loi n° 8476)</td>
<td>Systèmes IA, bac à sable réglementaire</td>
</tr>
<tr>
<td>RGPD, DPF, Schrems II</td>
<td>CNPD</td>
<td>Données personnelles, transferts internationaux</td>
</tr>
<tr>
<td>DORA</td>
<td>CSSF</td>
<td>Acteurs financiers, PSF, gestionnaires</td>
</tr>
<tr>
<td>NIS2</td>
<td>HCPN et autorités sectorielles</td>
<td>Entités essentielles et importantes</td>
</tr>
<tr>
<td>DSA, DMA, Data Act, DGA</td>
<td>Ministère Digitalisation et ILR</td>
<td>Plateformes, gatekeepers, partage de données</td>
</tr>
</tbody>
</table>
</div>JAVASCRIPT
<details>
<summary>1. Quelle est la date clé à retenir pour l'AI Act au Luxembourg ?</summary>
<p>Le 2 août 2026 marque la pleine applicabilité du régime haut risque de l'AI Act (Règlement UE 2024/1689). Les sanctions deviennent applicables, y compris sur l'AI literacy opposable depuis le 2 février 2025. La CNPD est l'autorité de référence. Préparer sa conformité n'est pas une option, c'est une obligation calendaire.</p>
</details>
<details>
<summary>2. Quelle est la différence entre RGPD et AI Act ?</summary>
<p>Le RGPD (Règlement UE 2016/679) encadre le traitement des données personnelles depuis 2018. L'AI Act (Règlement UE 2024/1689) encadre les systèmes d'IA selon 4 catégories de risque. Les deux se cumulent : une IA qui traite de la donnée personnelle relève des deux régimes. La CNPD est l'autorité nationale pour les deux.</p>
</details>
<details>
<summary>3. Qu'est-ce que le Cloud Act pour une entreprise européenne ?</summary>
<p>Le Cloud Act (H.R.4943, 23 mars 2018) permet aux autorités US d'exiger d'un fournisseur de nationalité américaine la communication de données qu'il héberge, même dans un data center UE. Un fournisseur IA US reste compétent avec un data center à Dublin ou à Francfort. C'est l'argument structurel pour une IA hébergée par un acteur non américain sur traitements sensibles.</p>
</details>
<details>
<summary>4. La certification Data Privacy Framework suffit-elle pour utiliser une IA américaine ?</summary>
<p>La certification DPF autorise le transfert UE vers un fournisseur américain certifié depuis le 10 juillet 2023. Elle ne neutralise pas le Cloud Act : une autorité US peut toujours exiger les données auprès du fournisseur. Le DPF reste sous surveillance judiciaire. Vérifier la certification est un prérequis, sans dispenser d'une analyse souveraineté.</p>
</details>
<details>
<summary>5. Qu'est-ce que la directive NIS2 pour une PME luxembourgeoise ?</summary>
<p>NIS2 (Directive UE 2022/2555) est la directive européenne sur la cybersécurité en cours de transposition au Luxembourg. Elle concerne les entités "essentielles" et "importantes" (santé, distribution, administration, services numériques), à partir du seuil de moyenne entreprise. Un déploiement IA dans une entité NIS2 hérite des obligations cyber et de notification d'incidents. Vérifier son périmètre est un prérequis à tout projet IA sensible.</p>
</details>
