Archives de catégorie : Juridique

Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

Publié le par

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite)

Droits voisins : les Etats de l’UE peuvent obliger les réseaux sociaux à rémunérer la presse

Publié le par

Ce ne sont que les conclusions de l’avocat général rendues cet été, mais elles ont de grandes chances d’être suivies par la Cour de justice de l’Union européenne (CJUE) : les réseaux sociaux peuvent être obligés par les Etats membres à rémunérer la presse pour ses contenus qu’ils utilisent.

Les conclusions de l’avocat général de la Cour de justice de l’Union européenne (CJUE) – le Polonais Maciej Szpunar (photo) – ont été rendues le 10 juillet 2025. L’arrêt est donc attendu entre octobre et janvier prochains. Statistiquement, la CJUE suit les conclusions de l’avocat général dans environ 70 % à 80 % des affaires. En substance : « Les Etats membres peuvent adopter des mesures de soutien pour garantir l’effectivité des droits des éditeurs de presse pour autant que ces mesures ne portent pas atteinte à la liberté contractuelle » (1).

Les réseaux sociaux sont bien concernés
Avant d’en venir au fond de l’affaire qui opposait Meta Platforms (Facebook) au régulateur italien des communications (Agcom (2)) sur la question de la rémunération de la presse au titre des droits voisins, signalons que l’avocat général a tenu à lever le doute sur le cas des réseaux sociaux. Car lors de l’audience du 10 février 2025, la CJUE avait posé la question aux participants de savoir si les réseaux sociaux étaient soumis aux droits voisins consacrés par l’article 15 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (« Copyright » (3)) ou en sont au contraire exemptés en tant qu’hébergeur aux responsabilités néanmoins renforcées par l’article 17 de cette même directive. Par cette question générale, les éditeurs en Europe, y compris leurs organisations professionnelles comme l’Alliance de la presse d’information générale (Apig) en France, s’étaient fortement inquiétés du risque de voir les réseaux sociaux comme Facebook, X ou encore LinkedIn échapper aux droits voisins et de n’avoir ainsi rien à payer aux médias pour les contenus qu’ils utilisent. Cette éventualité aurait été redoutable pour les journaux en ligne des Vingt-sept.
Or les conclusions de l’avocat général, (suite)

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite)

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite)

Passage de 4 à 3 opérateurs télécoms dans les Etats de l’Union européenne : nouvelle doctrine ?

Publié le par

La Commission européenne est en train de changer son fusil d’épaule au sujet des concentrations d’opérateurs télécoms au niveau des marchés nationaux des Vingt-sept. Elle prépare les esprits à une nouvelle doctrine du « 4-to-3 », alors qu’en France la vente de SFR pourrait aller dans ce sens.

Par Marta Lahuerta Escolano, avocate associée, et Mathilde Dubois, collaboratrice, Jones Day*

Le passage de quatre à trois opérateurs de télécommunications sur un marché national occupe, depuis plus d’une décennie, le cœur des débats européens en matière de politique de la concurrence et de régulation sectorielle. Longtemps réticente à autoriser des opérations de concentration aboutissant à une telle réduction du nombre d’acteurs, la Commission européenne a, par le passé, systématiquement opposé une forte résistance à ces fusions, invoquant le risque d’une diminution de la concurrence, d’une hausse des prix pour les consommateurs et d’un ralentissement de l’innovation.

De l’ouverture à la fermeté nationale
Cependant, un infléchissement notable de la position de la Commission européenne semble se dessiner récemment. Face à l’évolution rapide du secteur, à la nécessité d’investissements massifs dans les infrastructures numériques (notamment la 5G et la fibre optique) et à la pression croissante de la concurrence mondiale (avec les Etats Unis et la Chine), la Commission européenne amorce un changement doctrinal significatif.
Depuis l’entrée en vigueur du règlement européen de 2004 sur le contrôle des concertations (1), elle évalue les fusions au regard de leur compatibilité avec le marché intérieur, notamment à l’aune de l’entrave significative à la concurrence effective. Dans le secteur des télécommunications, cette grille d’analyse l’a conduit à adopter une vigilance particulière à l’égard des opérations dites « in-market », c’est-à-dire les concentrations entre concurrents directs opérant sur un même marché national. La Commission européenne redoute que (suite)