Bonjour Ilenia, pouvez-vous vous présenter brièvement et expliquer en quoi votre rôle de Head of Legal & DPO chez Last Mile Solutions vous place au cœur des enjeux AFIR, Data Act et AI Act appliqués à l’électromobilité en Europe ?
Bonjour, Je suis Ilenia Lombardo, juriste internationale avec, maintenant, plus de 18 ans d'expérience. Diplômée de l’Université de Turin en droit du commerce international et des contrats je suis actuellement installée aux Pays-Bas Après mon installation hollandaise, j’ai fondé Art of Contracts en 2009, un cabinet spécialisé en droit du commerce international, droit des contrats et droit italien.Par la suite, J'ai travaillé sur des dossiers couvrant, entre autre, la Chine, l'Inde, le Brésil et, bien évidemment l'Italie, avant de rejoindre BYD Europe en tant que Senior Legal Counsel. J'y pilotai les appels relatifs aux marchés publics européen et y rédigeai les contrats en trois langues.
Depuis environ fin 2021, je suis Head of Legal & DPO chez Last Mile Solutions. J'y négocie les contrats digitaux de notre plateforme SaaS pour la mobilité électrique, ainsi que des accords dits de “roaming” avec les opérateurs du secteur.
Trois règlementations europèennes viennent encadrer mon quotidien :
D’abord l’AFIR: L'itinérance et l'interopérabilité des services de recharge reposent sur la publicité de certains jeux de données Je vérifie que nos contrats et nos pratiques intègrent les obligations de publicité (localisation, disponibilité, prix) et de transparence, en particulier tarifaire.
Ensuite, le Data Act: Notre plateforme échange en continu des données entre opérateurs de bornes, gestionnaires de flotte et prestataires de services en nuage. Je dois donc structurer les conditions d'accès à ces données pour les tiers, et les articuler avec le RGPD du moment qu'une donnée permet d'identifier un conducteur.
Enfin l’AI Act: L'optimisation de la recharge, le smart charging et la tarification dynamique reposent de plus en plus sur des outils d'IA. J'anticipe leur classification par niveau de risque et donc adapte notre gouvernance en conséquence.
Mon rôle s’est transformé dans l'entreprise : j'interviens en amont des projets, sur la structuration contractuelle et la gouvernance, plutôt qu'en contrôle a posteriori. Dans un secteur où nos clients sont soumis aux mêmes textes que nous, une conformité bien exécutée devient une obligation commerciale et une garantie de continuité d'activité.
Vous accompagnez un acteur technologique paneuropéen basé aux Pays-Bas : concrètement, comment l’AFIR redessine-t-il votre manière de concevoir, d’exploiter et de contractualiser les infrastructures de recharge, notamment en matière d’interopérabilité, de transparence tarifaire et de droits des utilisateurs ?
En tant qu'entreprise bien établie dans le secteur de la mobilité électrique, Last Mile Solutions a joué un rôle de premier plan dans l'élaboration d'un grand nombre des règles et réglementations qui régissent aujourd'hui notre secteur. C'est certainement le cas pour l'AFIR. Pour un acteur néerlandais opérant à l'échelle européenne, l'AFIR transforme des pratiques commerciales jusqu'ici volontaires (paiement ouvert, transparence des prix, données en temps réel) en obligations uniformes dans toute l'Union. Le règlement renforce la confiance des consommateurs et améliore l'expérience utilisateur lors de la recharge des véhicules. La différenciation entre plateformes se joue donc sur la qualité d'exécution de cette couche de conformité : paiement, données, interopérabilité.
Le Data Act vise à encadrer l’accès et le partage des données issues des objets connectés : dans un écosystème de bornes, véhicules et plateformes, quels sont selon vous les points de tension les plus complexes (gouvernance des données, portabilité, partage avec des tiers, secret d’affaires) et comment Last Mile Solutions les adresse-t-elle dans ses contrats et sa tech ?
La contradiction principale réside dans le fait que le Data Act instaure des impératifs d’ouverture alors que le secret d’affaires recherche la protection et la confidentialité.
Cette tension place les entreprises dans une position parfois délicate devant à la fois partager, innover et protéger leurs données. Cette position risque de freiner l'innovation et l'investissement et les PME sont particulièrement vulnérables, faute de moyens suffisants pour se défendre. En négligeant la protection des secrets d'affaires, le Data Act pourrait ainsi nuire à la compétitivité européenne.
A mon avis la transparence ne doit pas engendrer la vulnérabilité. Le Data Act prévoit un « trade secrets handbrake », c'est-à-dire une limitation de l'obligation de partage des données en cas d'informations confidentielles. Toutefois, cette clause s'avère difficile à appliquer en pratique, ce qui peut fragiliser la protection des secrets d'affaires.
Last Mile Solutions donne beaucoup d'importance à la protection de la propriété intellectuelle, ce qui inclus les secrets d’affaires, et cela se reflète dans nos contrats. En plus, pour rester compétitifs et préserver notre avantage concurrentiel, nous investissons de manière significative dans l'acquisition, le développement et l'exploitation de notre savoir-faire.
Du point de vue d’une juriste et DPO, où se situent les zones grises ou les contradictions potentielles entre RGPD, Data Act et les exigences de l’AFIR dans la mobilité électrique, et comment articulez-vous ces textes dans la pratique pour éviter à la fois le sous‑ et le sur‑compliance ?
Le RGPD et le Data Act produisent des effets apparaissant comme contradictoires sur plusieurs points.
Premier problème : les objets connectés produisent des données à la fois personnelles et non personnelles, impossibles à séparer. Les entreprises se doivent donc d’appliquer les règles les plus strictes par mesure de prudence.
Deuxième problème : le Data Act oblige à partager les données, mais ne donne pas le droit de le faire au sens du RGPD, surtout quand l'utilisateur n'est pas la personne dont proviennent les données. De plus, chaque texte prévoit ses propres règles pour transférer les données, sans que l'on sache clairement lesquelles appliquer.
Autre contradiction : le RGPD demande de collecter le moins de données possible, alors que le Data Act pousse à les rendre accessibles. Le Data Act permet aussi de faire payer l'accès aux données, ce que les autorités voient d'un mauvais œil quand il s'agit de données personnelles.
Enfin, les deux textes ne définissent pas les rôles des acteurs de la même manière : on peut donc respecter l'un tout en violant l'autre.
En résumé, même si le RGPD prévaut en cas de conflit, cela ne règle pas tout en pratique. Les entreprises doivent identifier leurs données, préciser lesquelles sont personnelles et adapter leurs contrats, dans l'attente de lignes directrices européennes. Pour éviter le sous-compliance comme le sur-compliance, les exigences des deux textes doivent entrer dès la conception du produit : l'accès aux données par défaut se conçoit avec la minimisation et la protection dès la conception. Cela passe par des mécanismes granulaires, qui permettent à l'utilisateur de récupérer ses données sans exposer celles de tiers ni les secrets d'affaires. Il faut aussi une gouvernance commune : un comité data, une procédure unique de traitement des demandes d'accès, un registre couvrant les deux régimes. Une même demande peut relever des deux textes ; la procédure interne doit prévoir ce cas et déterminer quel régime appliquer selon le demandeur et les données visées.
L’AI Act va progressivement s’appliquer aux solutions d’optimisation des charges, de tarification dynamique ou de maintenance prédictive : pouvez-vous partager un exemple concret de cas d’usage IA chez Last Mile Solutions et expliquer comment vous évaluez le niveau de risque, la qualification (éventuelle) « haut risque » et les obligations associées ?
En tant qu'exemple concret, on peut parler du produit Edge Smart Charging.
Son niveau de risque est évalué par un processus interne en cinq étapes : description, classification, évaluation d'impact, garde-fous, approbation, avec une revue possible par le Legal ou le CISO. Notre politique retient une fourchette allant de risque limité à haut risque, car la qualification dépend de l'interprétation de la notion de « composant de sécurité » d'une infrastructure critique : entendue largement, elle ferait basculer le smart charging en haut risque.
Par prudence, nous appliquons déjà les exigences correspondantes : gestion des risques et surveillance humaine avec capacité réelle d'intervention. Si le haut risque se confirme s'y ajouteront le monitoring continu, la conservation des logs, une FRIA/DPIA combinée, le signalement des incidents graves et l'enregistrement national. Dernier point de vigilance : une modification substantielle du système nous ferait passer du statut de déployeur aux obligations, plus lourdes, de fournisseur. La phase de classification mérite donc une attention constante, à chaque évolution du produit.
À horizon 3 à 5 ans, comment imaginez-vous l’écosystème de l’électromobilité une fois l’AFIR pleinement en vigueur et les premiers effets du Data Act et de l’AI Act visibles ? Pensez-vous que ces réglementations vont favoriser la consolidation du marché, l’émergence de nouveaux modèles d’affaires ou au contraire alourdir les barrières à l’entrée ?
Une fois l'AFIR pleinement en vigueur, j'imagine un écosystème de la mobilité électrique beaucoup plus structuré et interopérable. L'AFIR pose les fondations d'un référentiel commun : chaque acteur, opérateur de points de charge comme fournisseur de services de mobilité, disposera d'un identifiant unique délivré et géré par un organisme d'enregistrement national, l'IDRO. Cette identification harmonisée conditionne la fluidité des échanges entre les milliers d'acteurs du marché.
Parallèlement, l'obligation pour chaque exploitant de points de charge accessibles au public de mettre en place une API offrant un accès libre, automatisé et gratuit aux données va transformer la circulation de l'information dans l'écosystème. Combinée au Data Act, qui généralise le partage des données générées par les produits connectés, et à l'AI Act, qui encadre les systèmes intelligents d'optimisation de la recharge, cette ouverture crée un terreau favorable à l'innovation.
Je pense que ces textes vont faire émerger de nouveaux business model. L'accès standardisé aux données de recharge permettra à de nouveaux entrants de développer des services à valeur ajoutée (agrégation, tarification intelligente, optimisation pour le réseau) sans pour autant qu’ils aient à déployer leur propre infrastructure. Sur ce plan, l'interopérabilité vient abolir les barrières à l'entrée.
Le coût de la conformité vient, en quelque sorte, en vent contraire. Mettre en place les API, gérer les identifiants et articuler AFIR, Data Act et AI Act demande des ressources que les petits acteurs peuvent avoir du mal à financer, ce qui pourrait accélérer la consolidation du marché. L'écosystème de demain sera donc plus ouvert sur les données, mais plus exigeant en maturité opérationnelle. Les plateformes capables d'industrialiser la conformité en sortiront renforcées.
Pour conclure, quel conseil très opérationnel donneriez-vous à une scale-up ou un opérateur de mobilité électrique qui se sent submergé par la complexité réglementaire : par où commencer, quelles erreurs éviter absolument et quel état d’esprit adopter pour transformer la conformité en avantage compétitif ?
Commencer par changer de regard : la conformité est devenue une caractéristique du produit. Dans l'e-mobilité, nos clients (exploitants de points de recharge, prestataire de services de mobilité, flottes, énergéticiens) doivent respecter les mêmes règles que nous. Si notre plateforme leur fournit directement les API prévues par l'AFIR, un partage de données conforme au Data Act et une IA transparente, nous leur simplifions leur propre conformité en même temps que nous leur vendons un service. Dans les appels d'offres et face aux grands comptes, cet argument vient pèser.
En pratique, trois réflexes. Associer le juridique dès le début d'un projet. Confier à une personne la vue d'ensemble sur toutes les réglementations. Et avancer étape par étape : mieux vaut une conformité imparfaite mais réelle et documentée qu'un plan parfait qui ne voit jamais le jour.
Pour en savoir plus : https://www.lastmilesolutions.com/