Archives de catégorie : Juridique

Gouvernance des autorités pour l’AI Act : multiplier les régulateurs pourrait être contreproductif

Publié le par

La France va se doter – si une loi était adoptée en 2026 – d’une gouvernance sectorielle pour l’IA, pilotée par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Mais la multiplicité des régulateurs pourrait compliquer la tâche des entreprises.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

La Direction générale des entreprises (DGE), qui dépend du ministère de l’Economie et des Finances, a publié le 9 septembre 2025 un projet de désignation des autorités nationales chargées de la mise en œuvre en France du règlement européen sur l’intelligence artificielle (AI Act). Sous la coordination de la DGE et de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), ce projet instaure un schéma décentralisé et sectoriel de gouvernance s’appuyant sur les régulateurs existants en France.

La DGCCRF centralise la coordination
Ce modèle s’inscrit dans le cadre de l’AI Act (1) et des dispositions de son article 70 qui impose la désignation d’autorités nationales de notification et de surveillance du marché dans chaque Etat membre. Cette proposition de gouvernance sectorielle et décentralisée doit être présentée au Parlement sous la forme d’un projet de loi. Il ne sera donc définitif qu’après un vote législatif, très probablement dans le courant du premier semestre 2026. Le schéma retenu par le gouvernement prévoit que la mise en œuvre effective de ce règlement européen sur l’IA sera supervisée par plusieurs autorités compétentes, conformément aux orientations proposées par cet AI Act. Dès lors, les administrations, agences et autorités spécialisées – selon leur secteur d’intervention – auront la charge de contrôler les systèmes d’intelligence artificielle, une fois mis sur le marché ou en service.
La DGCCRF centralisera la coordination opérationnelle entre diverses autorités sectorielles impliquées dans le contrôle des systèmes d’IA. Elle sera ainsi l’interlocuteur principal pour les autorités européennes et facilitera l’échange d’informations et la coopération entre les différents régulateurs nationaux. Elle agira comme un point de contact unique, pour la France auprès des instances européennes, sur les questions liées à la surveillance du marché de l’IA. Ce rôle de coordination s’inscrit dans une organisation bicéphale où la DGCCRF assurera la supervision pratique sur le terrain, tandis que la DGE apportera son soutien à la mise en œuvre de l’AI Act. A ce titre, la DGE jouera un rôle-clé dans l’organisation de la gouvernance nationale de ce règlement européen, notamment en (suite) assurant la représentation française et en veillant à un alignement dans l’application des règles sur tout le territoire national, au sein du Comité européen de l’IA. Cet « AI Board » (2), dont le secrétariat est assuré par le Bureau de l’IA (« AI Office ») de la Commission européenne (3), est une instance qui rassemble les représentants des autorités nationales compétentes pour coordonner l’application – justement harmonisée – du règlement européen « établissant des règles harmonisées concernant l’intelligence artificielle ».
Le souhait du gouvernement français est de permettre une surveillance adaptée, mobilisant les compétences spécifiques de chaque autorité en fonction des usages et risques associés aux systèmes d’IA concernés. Les autorités nationales s’inscriraient ainsi comme des acteurs pivots dans la chaîne de surveillance et de contrôle. En pratique, chaque entreprise ou organisation continuera de s’adresser prioritairement à son régulateur de secteur pour respecter les exigences de l’AI Act. Pour les aspects techniques, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et le Pôle d’expertise de la régulation numérique (PEReN) fourniront un appui transversal aux régulateurs qui bénéficieront d’un « socle mutualisé d’expertises ». Ils pourront ainsi les accompagner dans l’analyse technique, la cybersécurité et l’audit des algorithmes d’IA. La Commission nationale de l’informatique et des libertés (Cnil) et l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) figurent comme des interlocuteurs majeurs pour les enjeux relatifs à la protection des données et à la régulation des contenus auprès des collectivités publiques. Bercy n’a pas publié le 9 septembre 2025 de rapport complet (4) mais un aperçu du schéma proposé – accompagné d’un graphique (5)) qui identifie le périmètre d’intervention des autorités compétentes selon quatre critères : les pratiques interdites (6), les obligations spécifiques de transparence (7), les systèmes d’IA à haut risque (8), les systèmes d’IA à haut risque (9).

Au titre des pratiques interdites
La DGCCRF et l’Arcom veillent au respect de l’interdiction des systèmes d’IA qui utilisent des techniques subliminales, manipulatrices ou trompeuses, et qui exploitent les vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique. La Cnil et la DGCCRF contrôlent le respect de l’interdiction sur les systèmes d’IA dédiés à l’évaluation, la classification ou notation sociale. La Cnil joue un rôle central dans le contrôle des pratiques interdites puisqu’elle est seule chargée du contrôle des autres pratiques interdites : police prédictive, création de bases de données de reconnaissance faciale via moissonnage non ciblé, inférence des émotions sur lieu de travail et établissements d’enseignement, catégorisation biométrique, identification biométrique à distance en temps réel à des fins répressives.

Transparence et IA à haut risque
La DGCCRF et Arcom contrôlent les systèmes d’IA interagissant directement avec les personnes ou générant des contenus synthétiques et hypertrucages. L’Arcom surveille également les systèmes générant ou manipulant des textes destinés à informer le public sur des questions d’intérêt public. La Cnil contrôle, quant à elle, le respect des obligations de transparence concernant les systèmes de reconnaissance des émotions et de catégorisation biométrique. Les autorités de surveillance du marché compétentes pour les systèmes d’IA à haut risque voient leur périmètre élargi pour le contrôle de l’intégration de l’IA dans ces produits classés « à haut risque » selon l’annexe I du règlement IA. Ainsi, par exemple, la DGCCRF est en charge de veiller à la sécurité des jouets, et avec l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) pour les dispositifs médicaux.
Pour les systèmes d’IA à haut risque relevant de l’annexe III, les Hauts fonctionnaires de défense et de sécurité (HFDS) des ministères économiques, financiers, industriels et écologiques contrôlent les IA liées aux infrastructures critiques. L’Autorité de contrôle prudentiel et de résolution (ACPR) contrôle les IA destinées à être utilisées pour évaluer la solvabilité des personnes physiques, établir les notes de crédit, et évaluer les risques et la tarification en matière d’assurance-vie et d’assurance maladie. Le Conseil d’Etat, la Cour de cassation et la Cour des comptes supervisent, quant à eux, les systèmes d’IA mis en service ou utilisés par les autorités judiciaires à des fins d’administration de la justice. Enfin, la Cnil contrôle les IA dans l’enseignement, la formation professionnelle (avec la DGCCRF), les processus démocratiques (avec l’Arcom), la biométrie, la gestion des ressources humaines, les usages répressifs, la migration, l’asile, ainsi que le contrôle des frontières. Le schéma « DGE-DGCCRF » proposé vise à éviter la création d’une superstructure, tout en valorisant l’expertise existante au sein des autorités déjà en place.
Le gouvernement français mise ainsi sur les autorités déjà opérationnelles, qui disposent chacune d’une expertise fine dans leurs domaines respectifs. Cette gouvernance « IA » devrait permettre d’apporter une proximité sectorielle avec les acteurs régulés, ainsi qu’une meilleure compréhension des pratiques spécifiques pour une régulation adaptée et un contrôle plus efficace. Pour autant, et c’est là que le bât blesse, cette gouvernance morcelée pourrait générer une complexité accrue pour les entreprises multi-secteurs, avec des points de contacts multiples et une articulation parfois difficile entre exigences sectorielles et obligations transversales de l’AI Act. Ainsi, les PME risquent d’être confrontées à une multiplicité d’interlocuteurs et à une compréhension plus complexe des règles applicables. En effet, les sociétés devront entreprendre des démarches spécifiques selon leur secteur d’activité, rajoutant alors des points de complexité dans leur mise en conformité aux exigences de l’AI Act. Cette gouvernance éclatée pourrait également entraîner une charge administrative accrue, des difficultés de compréhension des exigences applicables et un risque d’interprétations divergentes entre autorités.
Si la DGCCRF joue un rôle d’orientation clé, la multiplication des intervenants et la fragmentation normative s’avèrent particulièrement complexes pour les PME, qui disposent souvent de ressources juridiques limitées pour mener des programmes de mise en conformité de leurs pratiques. La multiplicité des organismes implique aussi un risque de dilution des responsabilités, surtout en cas d’incidents ou de litiges impliquant différents aspects de l’IA (par exemple, un système de scoring biométrique utilisé à des fins publicitaires). En l’absence d’un chef de file unique clairement identifié, cette configuration peut retarder la prise de décision ou compliquer la coordination des sanctions.
Le Conseil d’Etat, dans une étude publiée en 2022 intitulée « Intelligence artificielle et action publique : construire la confiance, servir la performance » (10), avait préconisé une transformation profonde de la Cnil en autorité nationale de contrôle responsable de la régulation des systèmes d’IA. Il soulignait que pour garantir la cohérence et la sécurité juridique, il serait préférable d’adosser la gouvernance de l’IA à une autorité unique renforcée, la Cnil étant le choix naturel compte tenu de son expérience reconnue en matière de protection des données personnelles et de régulation numérique. Confronté à la diversité des secteurs d’application de l’IA, cette piste a été écartée. La mise en œuvre de l’AI Act et la gouvernance proposée imposent donc aux entreprises une coordination et une gestion rigoureuse de leurs risques. Elles doivent concilier les exigences spécifiques à chaque secteur d’activité tout en assurant une sécurité juridique dans un environnement réglementaire à la fois complexe et en constante évolution.

Les entreprises attendues au tournant
Face aux enjeux de l’intelligence artificielle, les entreprises et organisation devront mettre en place un pilotage rigoureux de leurs pratiques. A ce titre, elles devront identifier et évaluer les risques liés à leurs systèmes d’IA, documenter leur fonctionnement, assurer la transparence des interactions, mettre en place un contrôle humain et des procédures de gestion des incidents, tout en respectant des échéances progressives jusqu’en 2026 pour assurer leur conformité à l’AI Act. Sinon, gare aux sanctions. @

* Antoine Gravereaux est avocat associé chez FTPA Avocats,
au département « Technologies, Data & Cybersécurité ».

Entre l’AI Act, le RGPD, le droit d’auteur et la protection des bases de données, l’articulation est cornélienne

Publié le par

Les fournisseurs de système d’IA et les entreprises utilisatrices de ces solutions – exploitant quantités de données, personnelles comprises – doivent se conformer à plusieurs réglementations européennes : de l’AI Act au RGPD, en passant les directives « Copyright » et « Bases de données ».

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’AI Act – règlement européen sur l’intelligence artificielle (1) – représente un changement significatif dans la régulation technologique au sein des Vingt-sept. Il ne substitue pas aux régimes existants, mais les enrichit, engendrant une superposition complexe avec le règlement général sur la protection des données (RGPD) et la législation sur le droit d’auteur. Cela nécessite des entreprises de mettre en place une gouvernance juridique intégrée, impliquant juristes, techniciens et responsables de la conformité.

Pas d’IA contre les droits fondamentaux
L’incertitude jurisprudentielle, l’accroissement des obligations et le danger financier associé aux sanctions exigent une vigilance accrue. Cependant, cette contrainte peut se transformer en atout concurrentiel : les entreprises qui réussissent à prévoir et à incorporer la conformité progressive gagneront la confiance de leurs utilisateurs et de leurs partenaires. La capacité des acteurs à convertir ces obligations en normes de qualité et de confiance déterminera l’avenir de l’intelligence artificielle (IA) en Europe. La régulation, plutôt que d’être un simple obstacle, pourrait se transformer en un outil stratégique de souveraineté numérique et de développement durable de l’IA.
Première législation mondiale dédiée à cette innovation technologique, l’AI Act est entré en vigueur le 1er août 2024, mais ses obligations sont mises en œuvre progressivement. Les mesures prohibées ont commencé à s’appliquer en février 2025 ; les normes relatives aux modèles d’IA à usage général ont commencé à s’appliquer en août 2025 (2) ; les règles concernant les systèmes à haut risque seront mises en œuvre en août 2026. Cette mise en application progressive a pour but de donner aux entreprises le temps nécessaire pour s’adapter, tout en se concentrant d’abord sur les risques considérés comme les plus critiques. A l’inverse du RGPD, qui a mis en place en 2018 un cadre uniforme immédiatement applicable à tous les traitements de données, l’AI Act opère (suite) sur la base d’une approche progressive. Cette stratégie illustre le désir du législateur européen de soutenir l’innovation tout en prévenant des disruptions trop violentes pour les acteurs économiques. Elle reflète aussi une reconnaissance de la variété des applications de l’IA, certaines étant avantageuses et peu dangereuses, d’autres risquant d’avoir un impact sévère sur les droits fondamentaux. Il s’agit d’une législation structurante qui ne remplace pas le RGPD ni le droit d’auteur, mais qui s’y superpose. La loi sur l’IA se fonde sur une catégorisation des systèmes d’IA en fonction de leur degré de risque. L’IA s’appuie sur l’exploitation d’une grande quantité de données, dont un bon nombre pourrait être considéré comme des données personnelles. Le RGPD rend obligatoire la détermination d’une base légale pour chaque acte de collecte ou d’utilisation (3). Selon la situation, le traitement peut se baser sur le consentement de l’individu concerné, sur l’exécution d’un contrat, sur un devoir légal, sur la protection des intérêts essentiels, sur une tâche d’intérêt public, ou encore sur le bénéfice légitime du gestionnaire du traitement. Ce fondement peut être considéré pour la formation des modèles. Cependant, il doit toujours être précédé d’une évaluation de proportionnalité et d’un contrôle de compatibilité avec les objectifs initiaux de la collecte.
L’obtention de l’accord est primordiale, particulièrement en ce qui concerne les données sensibles telles que définies par l’article 9, ou lorsque les traitements ne sont pas suffisamment justifiés par une autre base légale. De plus, si les données sont réutilisées pour un but différent de celui qui a motivé leur collecte, le RGPD demande une vérification de la concordance de cette nouvelle finalité (4). Cette évaluation prend en considération le rapport entre l’objectif initial et l’objectif modifié, le contexte de la collecte des données, la nature de ces dernières, les implications pour les individus concernés, ainsi que la présence de sécurités comme le cryptage ou la pseudonymisation.

Le droit de s’opposer au profilage
Le RGPD donne également la possibilité aux Etats membres d’établir des règles spécifiques, en particulier pour les traitements basés sur une obligation légale ou une mission d’intérêt public, afin de définir clairement les conditions de légalité et de structurer les modalités pratiques de leur application. Et toute personne a le droit de ne pas être soumise à une décision exclusivement automatisée, y compris le profilage, si cette décision engendre des conséquences juridiques ou a un impact significatif sur elle (5). Trois exceptions sont prévues à ce principe : la décision peut être valide si elle est indispensable à l’application d’un contrat, si elle est stipulée par la législation de l’UE ou d’un Etat membre, ou si elle repose sur l’accord explicite de l’individu concerné. Quoi qu’il en soit, des assurances particulières doivent être mises en place, notamment le droit d’exiger une intervention humaine, de faire part de ses remarques et de contester la décision.

Délicate soumission à plusieurs textes
De plus, le RGPD proscrit la prise de ces décisions sur des types spécifiques de données sensibles (6), à moins que l’une des exceptions ne soit applicable et que des mesures de protection accrues soient instaurées (7). Cette mesure est particulièrement cruciale pour les systèmes d’IA à risque élevé, notamment dans les domaines du crédit, de l’embauche ou de l’assurance, où la ligne entre automatisation et intervention humaine doit être strictement observée.
Concernant cette fois la propriété intellectuelle, l’AI Act exige une plus grande transparence sur les données utilisées pour la formation, sans toutefois établir un droit de refus. Le choix de sortie cité dans certaines études découle de la directive européenne « Droit d’auteur et droits voisins dans le marché unique numérique » de 2019, directive dite « Copyright » (8) : elle établit une dérogation pour l’extraction de textes et de données à des fins scientifiques (9), alors qu’elle permet l’extraction à des fins commerciales, à condition que les détenteurs des droits ne s’y soient pas formellement opposés (10). On peut également mentionner la protection spécifique des bases de données prévue par la directive « Bases de données » de 1996 (11), qui proscrit l’extraction substantielle ou la réutilisation non permise de contenus.
La coordination entre ces divers systèmes d’IA est délicate. Un projet donné peut être soumis à la fois au RGPD, au droit d’auteur, au droit des bases de données et à l’AI Act en même temps. Les obligations peuvent s’accumuler sans forcément être cohérentes entre elles, ce qui contraint les acteurs à adopter une démarche globale de conformité. Cette dernière comprend la sauvegarde des données personnelles, la reconnaissance des droits de propriété intellectuelle, ainsi que les exigences techniques spécifiques au règlement sur l’IA.
Considérons un cas de figure où un générateur de contenus commerciaux utilise des profils d’utilisateurs (RGPD), des articles de presse (droit d’auteur) et des bases documentaires publiques (AI Act). Conformément au RGPD : obligation de communication, protection des droits individuels, assurances pour les transferts internationaux (12). Conformément au « Copyright » : contrôle des licences, observation des opt-out et considération des exceptions. Conformément à l’AI Act : documentation technique, gestion des données, protocoles de traitement des incidents, contrôle humain et évaluation de conformité réalisée par des entités notifiées. En cas d’infractions, l’AI Act instaure un système de sanctions particulièrement dissuasif, qui s’ajoute et parfois se superpose à celui du RGPD, selon trois niveaux de gravité :
La transgression des prohibitions strictes, telles que manipulation subliminale, exploitation de vulnérabilités, notation sociale, usage abusif de la biométrie, etc., expose les opérateurs à une amende qui pourrait s’élever jusqu’à 35 millions d’euros ou représenter 7 % du chiffre d’affaires annuel global de la société, le montant le plus élevé étant pris en compte (13).
Les infractions aux obligations imposées à divers intervenants de la chaîne (fournisseurs, mandataires, importateurs, distributeurs, déployeurs) ou aux entités notifiées, ainsi que les violations des règles de transparence (14), sont passibles d’une amende pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. En définitive, la communication d’informations fausses, partielles ou induisant en erreur aux instances de régulation peut conduire à une sanction pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires.
La réglementation prévoit un régime allégé pour les PME et les start-up, pour lesquels le seuil applicable est le plus bas entre les montants absolus et les pourcentages mentionnés précédemment. L’AI Act précise également les paramètres d’aggravation ou de mitigation pris en compte par les autorités nationales (15). Chaque Etat membre est tenu d’établir des normes procédurales nationales, de définir l’étendue à laquelle les amendes peuvent s’appliquer aux autorités ou institutions publiques, et d’assurer aux opérateurs des voies de recours juridictionnelles effectives.
On prévoit l’émergence des premiers litiges dès 2025, en particulier concernant les pratiques prohibées par l’AI Act (16), en vigueur depuis le 2 février. Dès le 2 août 2026, les conflits pourraient englober les systèmes à haut risque, avec une prolongation jusqu’en 2027 pour certains équipements inclus dans des produits soumis à réglementation, en particulier dans les domaines financier et médical. Etant donné que la Commission européenne a abandonné sa proposition de directive sur la responsabilité civile de l’IA, le cadre repose désormais sur la directive « Responsabilité du fait des produits défectueux » de 2024, qui englobe les systèmes d’IA et doit être mise en œuvre d’ici décembre 2026.

Les entreprises doivent vite se préparer
Pour être prêtes et en conformité, les entreprises doivent mettre en place des procédures internes solides pour anticiper. Cette préparation sera facilitée par des outils utiles tels que des tableaux de comparaison RGPD/AI Act/ Copyright ou des listes de vérification pour assurer la conformité. Quant aux transferts internationaux de données UE-US, ils demeurent un enjeu majeur. Ils restent soumis au RGPD et aux exigences renforcées des arrêts « Schrems », malgré la confirmation fragile en septembre 2025 (17) du Data Privacy Framework. @

Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

Publié le par

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite) obtenir l’annulation de cette décision. Son argumentaire reposait sur cinq moyens juridiques, allant de la violation des droits fondamentaux (9) à l’insuffisance des garanties prévues par le règlement général sur la protection des données (RGPD) (10). Selon le député français (MoDem), le DPF n’était qu’une version retouchée du Privacy Shield, condamné à subir le même sort. Dans son arrêt du 3 septembre 2025, le TUE balaie ces critiques. Certes, il reconnaît que le droit américain repose encore sur un décret présidentiel, donc un instrument réversible. Mais il estime qu’à la date de l’adoption de la décision d’adéquation, les garanties offertes suffisaient à assurer un niveau « substantiellement équivalent » à celui de l’UE, conformément à l’article 45 du RGPD (11).
Deux points retiennent particulièrement l’attention. D’abord, l’indépendance de la Data Protection Review Court (DPRC), que le TUE juge réelle malgré la création de ce tribunal américain de révision de la protection des données par voie exécutive. Les juges de cette cour spécialisée (12) sont nommés pour un mandat fixe et ne peuvent être révoqués qu’en cas de faute grave, ce qui constitue, selon le TUE, une garantie suffisante contre l’arbitraire (13). Ensuite, le rôle de la Commission européenne, érigée en vigie permanente : « Lorsqu’elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission en informe les autorités des Etats-Unis et, si nécessaire, elle décide de suspendre, de modifier, d’abroger la décision attaquée ou d’en restreindre le champ d’application » (14). En somme, le TUE ne ferme pas les yeux sur les fragilités du système, mais choisit d’accorder le bénéfice du doute aux Etats-Unis, tout en rappelant la responsabilité de la Commission européenne.

Une victoire pour les entreprises…
L’arrêt du Tribunal de l’UE est d’abord un soulagement économique. Les entreprises européennes – de la startup exploitant une solution cloud américaine au groupe bancaire traitant des transactions transatlantiques – bénéficient ainsi d’un cadre juridique stabilisé. Elles n’ont plus à multiplier les montages juridiques complexes (clauses contractuelles types, audits techniques, mesures supplémentaires) pour transférer légalement des données aux Etats-Unis. La stabilité instaurée par le cadre transatlantique constitue un élément de sécurité juridique essentiel. Dans un contexte où l’économie numérique repose sur des échanges massifs d’informations, la moindre insécurité juridique peut coûter cher. Les avocats d’affaires le savent : une opération de fusion-acquisition ou un partenariat international peut être fragilisé si les flux de données ne reposent pas sur une base légale solide. L’arrêt du TUE offre donc une assise juridique bienvenue.

… mais une victoire fragile
Pour les défenseurs de la vie privée, le ton est bien différent. Le juriste autrichien Max Schrems (15) et son organisation non gouvernementale Noyb (nom issu du slogan « None Of Your Business ») dénoncent une décision complaisante, qui, selon lui, se satisfait de garanties superficielles. Leur argument est simple : ce qui est fondé sur un décret présidentiel peut être défait par un autre décret (16). Qu’adviendrait-il si Donald Trump – multipliant les « Executive Order » – ou une future administration américaine décidait d’assouplir les contraintes imposées aux agences de renseignement ?
Le risque est d’autant plus grand que la jurisprudence de la CJUE en matière de transferts est constante : elle exige des garanties effectives et durables, pas de simples promesses politiques. « Il est clair que le tribunal de première instance s’écarte ici massivement de la jurisprudence de la CJUE. Nous sommes très surpris de ce résultat. Il se peut que le [TUE] n’ait pas disposé de suffisamment de preuves – ou qu’il veuille s’écarter de la CJUE », a commenté Max Schrems, à l’origine des affaires « Schrems I » et « Schrems II ». Le Tribunal de l’UE a choisi une lecture pragmatique, mais la CJUE, en cas de pourvoi, pourrait se montrer plus sévère.
Pour les particuliers, tout du moins pour les 450 millions d’Européens, la question n’est pas théorique. Chaque jour, leurs données (photos, e-mails, dossiers médicaux ou financiers) traversent l’Atlantique. Le DPF prétend leur offrir un recours effectif en cas d’abus, via la DPRC. Mais combien d’Européens saisiront effectivement cette juridiction américaine spécialisée ? Combien même en auront connaissance ? Le paradoxe est là : juridiquement, un mécanisme existe ; sociologiquement, il restera probablement invisible pour la grande majorité des citoyens. Ce décalage entre le droit sur le papier et la protection vécue nourrit la méfiance des associations de défense des consommateurs et des droits numériques. L’histoire nous a appris à la prudence. Chaque accord validé par la Commission européenne a fini devant la CJUE, et chaque fois, celle-ci a tranché en faveur d’une protection stricte des droits fondamentaux. Le DPF fera-t-il exception ? Rien n’est moins sûr. Un pourvoi est possible et, si la CJUE reprend la main, la bataille judiciaire pourrait durer encore plusieurs années. Selon les règles de procédure de l’UE, le délai pour introduire un pourvoi devant la CJUE est de deux mois à compter de la notification de l’arrêt du Tribunal. L’arrêt ayant été rendu le 3 septembre 2025, le citoyen français Philippe Latombe a donc jusqu’au 4 novembre 2025 pour faire appel. Et un éventuel arrêt « Schrems III » pourrait tomber entre fin 2026 et mi-2027.
En attendant, les entreprises disposent d’une fenêtre de stabilité, mais une stabilité conditionnée : l’obligation de la Commission européenne de surveiller en continu l’application du DPF est une épée de Damoclès. Les juristes d’entreprise et les avocats savent qu’il faut rester vigilants, intégrer des clauses de sauvegarde et anticiper l’hypothèse d’un retour à l’insécurité juridique. Le jugement du 3 septembre 2025 ne règle donc pas définitivement la question des transferts transatlantiques, mais il offre un répit. Ce répit est précieux pour l’économie numérique européenne, qui repose sur la fluidité des données, et un répit stratégique pour la Commission européenne, qui peut désormais surveiller la mise en œuvre américaine. « La décision rendue par le TUE confirmant la décision d’adéquation sous-jacente à ce cadre [DPF] est une victoire pour les plus de 3.400 entreprises américaines qui dépendent des flux de données transatlantiques pour mener à bien leurs activités », a déclaré William Kimmitt, sous-secrétaire américain au Commerce international (ITA), le 3 septembre 2025 (17), auprès de l’Association internationale des professionnels de la protection de la vie privée (IAPP). Quant à la Business Software Alliance (BSA), elle s’est aussi félicitée : « Ce résultat apporte stabilité et assurance aux entreprises et aux consommateurs des deux côtés de l’Atlantique » (18).

Incertitude : vers un « Schrems III » ?
Reste une interrogation : s’agit-il d’une victoire durable, marquant enfin la fin de la saga des Safe Harbor et Privacy Shield, ou d’un simple sursis avant un nouvel épisode Schrems III ?
Une chose est certaine : le droit des données personnelles n’est pas une matière figée. Il évolue au gré des rapports de force politiques, des révélations technologiques et des arbitrages judiciaires. L’arrêt du TUE rappelle que l’équilibre entre protection des droits et circulation des données reste fragile. Pour les avocats, il confirme surtout une leçon : dans le domaine des transferts internationaux, la seule constante est l’incertitude. @

* Anne-Marie Pecoraro est avocate spécialisée
en droit de la propriété intellectuelle,
des médias et des technologies.

Droits voisins : les Etats de l’UE peuvent obliger les réseaux sociaux à rémunérer la presse

Publié le par

Ce ne sont que les conclusions de l’avocat général rendues cet été, mais elles ont de grandes chances d’être suivies par la Cour de justice de l’Union européenne (CJUE) : les réseaux sociaux peuvent être obligés par les Etats membres à rémunérer la presse pour ses contenus qu’ils utilisent.

Les conclusions de l’avocat général de la Cour de justice de l’Union européenne (CJUE) – le Polonais Maciej Szpunar (photo) – ont été rendues le 10 juillet 2025. L’arrêt est donc attendu entre octobre et janvier prochains. Statistiquement, la CJUE suit les conclusions de l’avocat général dans environ 70 % à 80 % des affaires. En substance : « Les Etats membres peuvent adopter des mesures de soutien pour garantir l’effectivité des droits des éditeurs de presse pour autant que ces mesures ne portent pas atteinte à la liberté contractuelle » (1).

Les réseaux sociaux sont bien concernés
Avant d’en venir au fond de l’affaire qui opposait Meta Platforms (Facebook) au régulateur italien des communications (Agcom (2)) sur la question de la rémunération de la presse au titre des droits voisins, signalons que l’avocat général a tenu à lever le doute sur le cas des réseaux sociaux. Car lors de l’audience du 10 février 2025, la CJUE avait posé la question aux participants de savoir si les réseaux sociaux étaient soumis aux droits voisins consacrés par l’article 15 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (« Copyright » (3)) ou en sont au contraire exemptés en tant qu’hébergeur aux responsabilités néanmoins renforcées par l’article 17 de cette même directive. Par cette question générale, les éditeurs en Europe, y compris leurs organisations professionnelles comme l’Alliance de la presse d’information générale (Apig) en France, s’étaient fortement inquiétés du risque de voir les réseaux sociaux comme Facebook, X ou encore LinkedIn échapper aux droits voisins et de n’avoir ainsi rien à payer aux médias pour les contenus qu’ils utilisent. Cette éventualité aurait été redoutable pour les journaux en ligne des Vingt-sept.
Or les conclusions de l’avocat général, (suite) estimant que « le débat […] semble avoir révélé certains malentendus », ont de quoi rassurer la presse européenne : « Il est certes clair que le service de réseau social tel que Facebook, proposé par Meta, répond à la définition de “service de la société de l’information” […] Le réseau Facebook ne se limite pas à être un lieu passif de partage de contenus entre utilisateurs. A l’aide d’algorithmes sophistiqués, il propose aux utilisateurs des contenus concrets en fonction de leurs centres d’intérêt supposés, sans que ces utilisateurs n’aient effectué de recherche sur ces contenus ou que ceux-ci leurs soient proposés par d’autres utilisateurs. Facebook est donc un véritable fournisseur de contenus autonome, dont la spécificité est que les contenus ne sont ni créés ni achetés par lui : ils sont téléversés par les utilisateurs et c’est ensuite Facebook qui se charge de proposer ces contenus aux utilisateurs », développe Maciej Szpunar.
Et d’ajouter : « Une telle utilisation ne saurait, à mon avis, être attribuée aux utilisateurs, mais doit être considérée comme effectuée par le fournisseur des services de la société de l’information qu’est Meta et, par conséquent, dans la mesure où elle concerne des publications de presse, comme relevant des droits exclusifs des éditeurs ». Pour autant, l’avocat général précise que lorsque les éditeurs de presse partagent eux-mêmes leurs propres publications sur un réseau social comme Facebook, ils ne sauraient prétendre à aucune rémunération au titre des droits voisins prévus à l’article 15 de cette directive « Copyright ». « Cela découle de la nature de ces droits en tant que droits exclusifs, expliquet-il. Le titulaire d’un tel droit ayant lui-même mis à la disposition du public l’objet protégé sur un réseau social ou tout autre service de la société de l’information devrait en effet être supposé avoir donné son autorisation pour les utilisations de cet objet conformes aux conditions de fourniture du service en cause ». Même si – comme l’a fait remarquer à l’audience la Commission européenne – la procédure devant la CJUE n’était pas de savoir si l’article 15 s’appliquait aux réseaux sociaux comme Facebook, la question posée a eu le mérite de lever le doute et de confirmer la responsabilité des réseaux sociaux au regard des droits voisins de la presse.

« Compensation équitable » : décision italienne
Le litige entre Meta Platforms Ireland Limited et le régulateur Agcom portait sur la compatibilité de la législation italienne transposant la directive « Copyright ». La maison mère de Facebook, d’Instagram et de WhatsApp a introduit en 2023 un recours devant le tribunal administratif régional pour le Latium (Italie) visant à annuler une décision de l’Agcom datée du 19 janvier 2023 et ayant pour objet le « règlement portant définition des critères de référence aux fins de la détermination de la compensation équitable pour l’utilisation en ligne de publications de presse » (4), conformément à la loi italienne « Protection du droit d’auteur » (5). Cette décision fixe notamment un taux pouvant aller jusqu’à 70 %, applicable sur les recettes publicitaires des prestataires de services de la société de l’information tels que Facebook « provenant de l’utilisation en ligne des publications de presse de l’éditeur, déduction faite des recettes de l’éditeur provenant de la redirection du trafic sur son site Internet ». Cette décision italienne, contraignante, réglemente même la procédure permettant de demander à l’Agcom de déterminer le montant de la compensation équitable, voire de décider unilatéralement ce montant. Pour Meta, c’en est trop.

Recours de Meta contre l’Agcom
La firme de Menlo Park (Californie), cofondée et dirigée par Mark Zuckerberg (photo ci-dessous), fait notamment valoir que la décision de l’Agcom est contraire à l’article 15 de la directive « Copyright », « qui consacre non pas des droits de rémunération, mais des droits de nature exclusive ». En outre, Meta estime que cette réglementation italienne – avec ses obligations imposées aux plateformes numériques, ses limitations significatives de la liberté contractuelle des opérateurs économiques et des pouvoirs confiés à l’Agcom – serait également contraire à la liberté d’entreprise, garantie par la charte des droits fondamentaux de l’Union européenne (6), et, en particulier, au principe de libre concurrence. De plus, Meta souligne l’absence de proportionnalité et d’adéquation des mesures adoptées par le législateur italien. Autrement dit, l’Italie est-elle aller trop loin dans la transposition et l’interprétation de la directive « Copyright » ? La Botte a en effet opté pour une régulation sectorielle bien plus contraignante que par exemple celle de l’Hexagone, ce qui a naturellement soulevé des interrogations juridiques.
La France a adopté une approche plus souple et consensuelle que celle de l’Italie, les négociations entre éditeurs et plateformes (notamment Google) ayant été encadrées par l’Autorité de la concurrence, mais sans intervention directe dans la fixation des montants. La Péninsule, elle, a mis en place un système très structuré : une « compensation équitable » obligatoire en faveur des éditeurs, des obligations de négociation imposées aux plateformes, un rôle actif de l’Agcom dans la fixation des montants de rémunération. Plutôt que de trancher, le tribunal administratif italien a décidé de surseoir à statuer et de poser à la CJUE pas moins de trois questions préjudicielles :
1 . L’article 15 de la directive « Copyright » peut-il être interprété en ce sens qu’il s’oppose à l’introduction de dispositions nationales – telles que celles prévues par la loi italienne « Protection du droit d’auteur » et celles figurant dans la décision de l’Agcom ?
2 . L’article 15 de la directive « Copyright » s’oppose-til à des dispositions nationales, telles que celles visées dans la première question, qui imposent aux plateformes numériques une obligation de divulgation de données soumise au contrôle de l’Agcom, et dont le non-respect entraîne l’application de sanctions administratives ?
3 . Les principes de la liberté d’entreprise, de libre concurrence, et de proportionnalité, s’opposent-ils à des dispositions nationales, telles que des droits à rémunération en sus des droits exclusifs, des obligations de négocier avec les éditeurs une compensation équitable, des pouvoirs conférés à l’Agcom de surveillance, de sanction voire de fixer le montant exact de la compensation équitable ?
La demande de décision préjudicielle est parvenue à la CJUE le 21 décembre 2023. Des observations écrites ont été déposées notamment par le gouvernement français, présent parmi les participants à l’audience qui s’est tenue le 10 février 2025. Après avoir analysé dans le détail les trois questions pré-judicielles posées, l’avocat général « propose » de répondre aux première et deuxième questions que : « l’article 15 de la directive [« Copyright »] doit être interprété en ce sens qu’il ne s’oppose pas aux dispositions internes d’un Etat membre [comme le prévoit l’Italie via l’Agcom, ndlr], sous réserve que ces dispositions ne privent pas les éditeurs de la possibilité de refuser de donner une telle autorisation ni de la donner à titre gratuit, qu’elles n’imposent aux fournisseurs des services de la société de l’information aucun paiement sans lien avec une utilisation effective ou envisagée de telles publications, et qu’elles ne limitent pas de manière contraignante la liberté contractuelle des parties ». Concernant la troisième question sur la liberté d’entreprise (Charte), d’une part, et sur la libre concurrence (TFUE), d’autre part, Maciej Szpunar évacue d’emblée le second principe car « [les articles 119 et 109 du TFUE] ne sont pertinents aux fins du contrôle de la conformité des dispositions nationales en cause ».

Libre concurrence et liberté d’entreprendre
Pour la libre concurrence, il rappelle qu’elle comporte notamment l’interdiction de l’abus de position dominante sur le marché, consacrée en droit de l’Union européenne (7). « Ainsi, conclut l’avocat général, les mesures destinées à renforcer le pouvoir de négociation des éditeurs doivent être considérées non pas comme portant atteinte à la libre concurrence, mais comme la favorisant ». Par conséquent, la liberté d’entreprendre ne s’oppose pas à des limitations aux droits consacrés ni à des dispositions nationales. @

Charles de Laubier

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @