Archives par mot-clé : CJUE

L’Omnibus numérique controversé de la Commission européenne bute sur les données personnelles

Publié le par

Le Digital Omnibus veut « réviser » des textes européens, dont le RGPD et l’EUDPR, afin de les rendre plus innovation-compatibles. Mais la remise en question de la notion de données à caractère personnel provoque une levée de boucliers des « Cnil » européennes et des défenseurs de la vie privée.

L’avis conjoint du Comité européen de la protection des données (CEPD/EDPB), qui regroupe les « Cnil » européennes, et de son Contrôleur européen de la protection des données (CEPD/EDPS) était très attendu sur la proposition d’Omnibus numérique que la Commission européenne a présentée le 19 novembre 2025. Celle-ci vise à simplifier le cadre réglementaire numérique des Vingt-sept, à réduire la charge administrative et à renforcer la compétitivité des entreprises européennes. L’avis conjoint, lui, a été publié le 11 février 2026 et il n’est pas tendre avec certaines modifications proposées car elles « suscitent d’importantes préoccupations ».

Notion de données personnelles menacée
Le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs » (le Parlement européen et le Conseil de l’Union européenne) à ne pas adopter les modifications proposées – par la Commission européenne – à la définition des données à caractère personnel, « étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD », le règlement général sur la protection des données. L’EDPB et l’EDPS estiment en outre que ces modifications concernant la définition des données à caractère personnel « ne reflètent pas exactement et vont clairement au-delà de la jurisprudence » de la Cour de justice de l’Union européenne (CJUE), et elles « aboutiraient à une réduction significative de la notion de données à caractère personnel ».
Les « Cnil » européennes et l’autorité de supervision distincte considèrent ensemble que « la Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui n’est plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données ». Et la présidente du comité EDPB, Anu Talus (photo de gauche), d’insister (suite) : « Nous demandons instamment aux colégislateurs de ne pas adopter les modifications proposées dans la définition des données à caractère personnel, car elles risquent d’affaiblir considérablement la protection des données individuelles ». Et le président du contrôleur EDPS, Wojciech Wiewiórowski (photo de droite), d’abonder : « Nous devons veiller à ce que toute modification du RGPD et du RPDUE [règlement 23 octobre 2018 pour la protection des données à caractère personnel dans l’Union européenne et leur libre circulation] clarifie réellement les obligations et apporte une sécurité juridique tout en maintenant la confiance et un niveau élevé de protection des droits et libertés individuels ».
La proposition « Digital Omnibus » ajouterait un nouveau paragraphe à l’article 4 du RGPD (1) et à l’article 3 de l’EUDPR (2) pour redéfinir les données personnelles de la façon suivante : « Les informations relatives à une personne physique ne sont pas nécessairement des données personnelles pour toute autre personne ou entité, simplement parce qu’une autre entité peut identifier cette personne physique. Les informations ne sont pas personnelles pour une entité donnée lorsque cette entité ne peut pas identifier la personne physique à laquelle les informations se rapportent, en tenant compte des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne deviennent pas personnelles pour cette entité simplement parce qu’un destinataire ultérieur potentiel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent » (3).Cette modification proposée par la Commission européenne veut « codifier » les interprétations de la CJUE, notamment en ce qui concerne la pseudonymisation des données personnelles, en se référant notamment à l’arrêt « EDPS contre SRB » (4) rendu le 4 septembre 2025. C’est là que le bât blesse aux yeux du comité et du contrôleur de la protection des données : « Les modifications proposées introduisent des changements significatifs dans cette définition qui vont au-delà de l’objectif déclaré d’introduire des amendements “ciblés” ou “techniques” au RGPD et à l’EUDPR. […] Modifier la définition des données personnelles aurait un impact direct sur [leur] champ d’application matériel ».

Respecter jurisprudence et droits fondamentaux
Dans leur avis conjoint d’une cinquantaine de pages (5), l’EDPB et l’EDPS tiennent à rappeler que « la définition des données à caractère personnel est au cœur même de la législation de l’UE en matière de protection des données, notamment l’article 8 de la Charte des droits fondamentaux (6) et l’article 16 du traité sur le fonctionnement de l’UE (7) ». Autrement dit, la Commission européenne doit non seulement respecter la jurisprudence de la CJUE mais aussi se conformer aux textes fondamentaux. L’arrêt « EDPS contre SRB », qui a notamment confirmé la jurisprudence précédente telle que celle issue de l’arrêt « GVA contre Scania » (8) du 9 novembre 2023, a rappelé que « des données impersonnelles peuvent devenir de nature personnelle lorsqu’elles sont mises à la disposition d’un destinataire (tout destinataire) avec des moyens raisonnablement susceptibles d’être utilisés pour identifier un sujet de données ».

Digital Omnibus, risque d’insécurité juridique
La CJUE a confirmé que « dans de tels cas, ces données sont des données à caractère personnel tant pour le destinataire que, indirectement, pour l’entité qui met les données à la disposition de ce dernier ». Et les « Cnil » européennes, avec leur contrôleur des données personnelles, d’enfoncer le clou : « Les modifications proposées auraient pour effet de restreindre considérablement la notion de données à caractère personnel, ce qui porterait atteinte au droit fondamental à la protection des données. De plus, la modification proposée pourrait inciter les responsables du traitement à rechercher des failles dans le régime de protection des données et à tenter de contourner l’application du RGPD ou de l’EUDPR. La proposition néglige en outre des éléments clés du concept de données à caractère personnel au titre du considérant 26 du RGPD, tels que le concept de “singularisation” [singling out dans le texte, ndlr] ».
Il est donc reproché à la Commission européenne de créer de la confusion et d’accroître l’insécurité juridique, d’autant que la définition des données à caractère personnel contenue dans le RGPD est mentionnée ou alignée sur d’autres actes juridiques importants de l’UE, tels que la directive « Police-Justice » (9) du 27 avril 2016. « Modifier la définition des données à caractère personnel dans le RGPD pourrait donc avoir des répercussions imprévues sur d’autres actes juridiques et porter atteinte à la cohérence globale du cadre juridique de l’UE », sans parler « des risques de fragmentation avec d’autres cadres juridiques internationaux – comme en particulier la Convention 108 du Conseil de l’Europe (10) – ou avec des lois nationales dans les pays tiers qui jusqu’à présent sont largement alignées ou équivalentes à la définition actuelle dans le cadre du RGPD ». Pour toutes ces raisons, le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs à ne pas adopter les modifications proposées de la définition des données à caractère personnel ». Par ailleurs, l’avis conjoint des gendarmes des données rappelle que l’EDPB est en train de préparer des orientations actualisées sur la pseudonymisation et d’élaborer un nouvel ensemble de lignes directrices sur l’anonymisation, qui tiendront compte, entre autres, de l’arrêt « EDPS contre SRB ». A ce propos, les « Cnil » européennes et leur contrôleur se disent « préoccupés par le fait que la proposition permettrait de préciser davantage – au moyen d’un acte d’exécution – les moyens et critères qui déterminent si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités ». En effet, la Commission européenne serait habilitée à adopter de tels « actes d’exécution » (11), qui s’appliqueraient également au traitement des données à caractère personnel dans le cadre de l’EUDPR.
Cette modification compléterait la modification proposée à la définition de données personnelles. « La délimitation de ce qui constitue (et de ce qui ne constitue pas) des données à caractère personnel affecte directement le champ d’application du droit de l’UE en matière de protection des données. Un acte d’exécution tel que proposé pourrait de facto affecter le champ d’application matériel de la législation européenne sur la protection des données, redéfinissant effectivement le champ d’application du moment et du destinataire des informations considérées comme des données personnelles », mettent en garde l’EDPB et l’EDPS, lesquels considèrent que « les incidences pratiques de la mise en œuvre des “moyens et critères” énoncés dans les actes d’exécution restent floues et entraînent des difficultés de conformité ». Pour toutes ces raisons encore, l’EDPB et l’EDPS suggèrent donc de « supprimer » la proposition d’acte d’exécution.
L’organisation autrichienne de protection de la vie privée Noyb (nom issu du slogan « None Of Your Business ») s’est aussitôt félicitée de cet avis conjoint : « Les autorités indépendantes ont identifié les changements clés pour ce qu’ils sont : ni “changements techniques” ni “simplification”, mais des limitations du droit à la protection des données pour les résidents de l’UE », a déclaré (12) son dirigeant Max Schrems (photo ci-dessus).

Data et IA : Noyb (Max Schrems) déçu
En outre, du côté de l’entraînement des IA fondé sur « un intérêt légitime » (également traité dans l’avis conjoint du 11 février 2026), Noyb regrette que les « Cnil » européennes et leur contrôleur des données personnelles « ne clarifient pas la question », notamment sur l’utilisation des données à caractère personnel. « De nombreuses autres questions clés concernant l’utilisation des données à caractère personnel dans la formation à l’IA ne seraient pas résolues par la proposition ». @

Charles de Laubier

Réviser la DADVSI en faveur de l’ebook d’occasion

Publié le par

En fait. Le 28 septembre, deux mois ont passé depuis l’avis du Conseil d’Etat estimant que « la rémunération des auteurs sur la vente de livres [imprimés] d’occasion » est constitutionnelle, mais contraire à la directive européenne « DADVSI » de 2001. La réviser en incluant aussi les ebooks d’occasion ?

En clair. Le gouvernement français devra convaincre la Commission européenne de réviser la directive « Droit d’auteur et des droits voisins dans la société de l’information » (DADVSI) de 2001 pour y prévoir la taxe sur la vente de livres d’occasion imprimés. Car le Conseil d’Etat, qu’il avait saisi le 2 mai 2025, lui a répondu que son projet d’instaurer « un principe de rémunération sur les livres d’occasion [papier] au bénéfice des auteurs » serait contraire au droit de l’Union européenne, notamment à la directive DADVSI. L’avis consultatif a été publié le 28 juillet dernier (1).
Si les sages du Palais-Royal estiment que le projet de taxation (officiellement « mécanisme de rémunération ») respecte les principes constitutionnels, ils sont en revanche catégoriques : « La règle de l’épuisement du droit de distribution à première cession [une fois un livre vendu, sa revente échappe au droit d’auteur, ndlr], telle qu’elle résulte de la directive [DADVSI], fait obstacle à la création d’un dispositif de droit national […] imposant la perception d’une rémunération lors du commerce ultérieur de livres imprimés d’occasion » (2). Le Syndicat national de l’édition (SNE) (suite) et le Conseil permanent des écrivains (CPE), qui sont à l’origine d’un lobbying soutenu auprès du gouvernement pour instaurer cette taxe sur les livres d’occasion papier, n’ont, eux, pas la même lecture que le Conseil d’Etat (3). Qu’à cela ne tienne, la révision de la directive DADVSI sera nécessaire pour y parvenir. Aussi, Edition Multimédi@ se demande si cette révision européenne ne serait pas l’occasion – justement ! – d’y inclure aussi les ebooks d’occasion ? Alors que le gouvernement français, aiguillonné par le duo SNE-CPE qui avait demandé à la juriste Sarah Dormont un avis portant sur le seul livre imprimé, exclut d’emblée les ebooks. Sous quel prétexte ? « Le livre numérique n’est pas concerné par l’épuisement, n’étant pas un exemplaire matériel », a justifié Sarah Dormont, comme l’a fait la CJUE dans son arrêt « Kabinet » de 2019.
Sauf à changer la « DADVSI », car la blockchain et les NFT permettent désormais de sécuriser la vente d’ebooks d’occasion. Cela pourrait être une première législative mondiale. La société française Liwé (lire EM@316, p. 3) et les américaines Book.io et Publica sont parmi les pionniers à avoir essuyé les plâtres pour montrer la voie de l’ebook d’occasion. @

Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

Publié le par

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite) obtenir l’annulation de cette décision. Son argumentaire reposait sur cinq moyens juridiques, allant de la violation des droits fondamentaux (9) à l’insuffisance des garanties prévues par le règlement général sur la protection des données (RGPD) (10). Selon le député français (MoDem), le DPF n’était qu’une version retouchée du Privacy Shield, condamné à subir le même sort. Dans son arrêt du 3 septembre 2025, le TUE balaie ces critiques. Certes, il reconnaît que le droit américain repose encore sur un décret présidentiel, donc un instrument réversible. Mais il estime qu’à la date de l’adoption de la décision d’adéquation, les garanties offertes suffisaient à assurer un niveau « substantiellement équivalent » à celui de l’UE, conformément à l’article 45 du RGPD (11).
Deux points retiennent particulièrement l’attention. D’abord, l’indépendance de la Data Protection Review Court (DPRC), que le TUE juge réelle malgré la création de ce tribunal américain de révision de la protection des données par voie exécutive. Les juges de cette cour spécialisée (12) sont nommés pour un mandat fixe et ne peuvent être révoqués qu’en cas de faute grave, ce qui constitue, selon le TUE, une garantie suffisante contre l’arbitraire (13). Ensuite, le rôle de la Commission européenne, érigée en vigie permanente : « Lorsqu’elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission en informe les autorités des Etats-Unis et, si nécessaire, elle décide de suspendre, de modifier, d’abroger la décision attaquée ou d’en restreindre le champ d’application » (14). En somme, le TUE ne ferme pas les yeux sur les fragilités du système, mais choisit d’accorder le bénéfice du doute aux Etats-Unis, tout en rappelant la responsabilité de la Commission européenne.

Une victoire pour les entreprises…
L’arrêt du Tribunal de l’UE est d’abord un soulagement économique. Les entreprises européennes – de la startup exploitant une solution cloud américaine au groupe bancaire traitant des transactions transatlantiques – bénéficient ainsi d’un cadre juridique stabilisé. Elles n’ont plus à multiplier les montages juridiques complexes (clauses contractuelles types, audits techniques, mesures supplémentaires) pour transférer légalement des données aux Etats-Unis. La stabilité instaurée par le cadre transatlantique constitue un élément de sécurité juridique essentiel. Dans un contexte où l’économie numérique repose sur des échanges massifs d’informations, la moindre insécurité juridique peut coûter cher. Les avocats d’affaires le savent : une opération de fusion-acquisition ou un partenariat international peut être fragilisé si les flux de données ne reposent pas sur une base légale solide. L’arrêt du TUE offre donc une assise juridique bienvenue.

… mais une victoire fragile
Pour les défenseurs de la vie privée, le ton est bien différent. Le juriste autrichien Max Schrems (15) et son organisation non gouvernementale Noyb (nom issu du slogan « None Of Your Business ») dénoncent une décision complaisante, qui, selon lui, se satisfait de garanties superficielles. Leur argument est simple : ce qui est fondé sur un décret présidentiel peut être défait par un autre décret (16). Qu’adviendrait-il si Donald Trump – multipliant les « Executive Order » – ou une future administration américaine décidait d’assouplir les contraintes imposées aux agences de renseignement ?
Le risque est d’autant plus grand que la jurisprudence de la CJUE en matière de transferts est constante : elle exige des garanties effectives et durables, pas de simples promesses politiques. « Il est clair que le tribunal de première instance s’écarte ici massivement de la jurisprudence de la CJUE. Nous sommes très surpris de ce résultat. Il se peut que le [TUE] n’ait pas disposé de suffisamment de preuves – ou qu’il veuille s’écarter de la CJUE », a commenté Max Schrems, à l’origine des affaires « Schrems I » et « Schrems II ». Le Tribunal de l’UE a choisi une lecture pragmatique, mais la CJUE, en cas de pourvoi, pourrait se montrer plus sévère.
Pour les particuliers, tout du moins pour les 450 millions d’Européens, la question n’est pas théorique. Chaque jour, leurs données (photos, e-mails, dossiers médicaux ou financiers) traversent l’Atlantique. Le DPF prétend leur offrir un recours effectif en cas d’abus, via la DPRC. Mais combien d’Européens saisiront effectivement cette juridiction américaine spécialisée ? Combien même en auront connaissance ? Le paradoxe est là : juridiquement, un mécanisme existe ; sociologiquement, il restera probablement invisible pour la grande majorité des citoyens. Ce décalage entre le droit sur le papier et la protection vécue nourrit la méfiance des associations de défense des consommateurs et des droits numériques. L’histoire nous a appris à la prudence. Chaque accord validé par la Commission européenne a fini devant la CJUE, et chaque fois, celle-ci a tranché en faveur d’une protection stricte des droits fondamentaux. Le DPF fera-t-il exception ? Rien n’est moins sûr. Un pourvoi est possible et, si la CJUE reprend la main, la bataille judiciaire pourrait durer encore plusieurs années. Selon les règles de procédure de l’UE, le délai pour introduire un pourvoi devant la CJUE est de deux mois à compter de la notification de l’arrêt du Tribunal. L’arrêt ayant été rendu le 3 septembre 2025, le citoyen français Philippe Latombe a donc jusqu’au 4 novembre 2025 pour faire appel. Et un éventuel arrêt « Schrems III » pourrait tomber entre fin 2026 et mi-2027.
En attendant, les entreprises disposent d’une fenêtre de stabilité, mais une stabilité conditionnée : l’obligation de la Commission européenne de surveiller en continu l’application du DPF est une épée de Damoclès. Les juristes d’entreprise et les avocats savent qu’il faut rester vigilants, intégrer des clauses de sauvegarde et anticiper l’hypothèse d’un retour à l’insécurité juridique. Le jugement du 3 septembre 2025 ne règle donc pas définitivement la question des transferts transatlantiques, mais il offre un répit. Ce répit est précieux pour l’économie numérique européenne, qui repose sur la fluidité des données, et un répit stratégique pour la Commission européenne, qui peut désormais surveiller la mise en œuvre américaine. « La décision rendue par le TUE confirmant la décision d’adéquation sous-jacente à ce cadre [DPF] est une victoire pour les plus de 3.400 entreprises américaines qui dépendent des flux de données transatlantiques pour mener à bien leurs activités », a déclaré William Kimmitt, sous-secrétaire américain au Commerce international (ITA), le 3 septembre 2025 (17), auprès de l’Association internationale des professionnels de la protection de la vie privée (IAPP). Quant à la Business Software Alliance (BSA), elle s’est aussi félicitée : « Ce résultat apporte stabilité et assurance aux entreprises et aux consommateurs des deux côtés de l’Atlantique » (18).

Incertitude : vers un « Schrems III » ?
Reste une interrogation : s’agit-il d’une victoire durable, marquant enfin la fin de la saga des Safe Harbor et Privacy Shield, ou d’un simple sursis avant un nouvel épisode Schrems III ?
Une chose est certaine : le droit des données personnelles n’est pas une matière figée. Il évolue au gré des rapports de force politiques, des révélations technologiques et des arbitrages judiciaires. L’arrêt du TUE rappelle que l’équilibre entre protection des droits et circulation des données reste fragile. Pour les avocats, il confirme surtout une leçon : dans le domaine des transferts internationaux, la seule constante est l’incertitude. @

* Anne-Marie Pecoraro est avocate spécialisée
en droit de la propriété intellectuelle,
des médias et des technologies.

Droits voisins : les Etats de l’UE peuvent obliger les réseaux sociaux à rémunérer la presse

Publié le par

Ce ne sont que les conclusions de l’avocat général rendues cet été, mais elles ont de grandes chances d’être suivies par la Cour de justice de l’Union européenne (CJUE) : les réseaux sociaux peuvent être obligés par les Etats membres à rémunérer la presse pour ses contenus qu’ils utilisent.

Les conclusions de l’avocat général de la Cour de justice de l’Union européenne (CJUE) – le Polonais Maciej Szpunar (photo) – ont été rendues le 10 juillet 2025. L’arrêt est donc attendu entre octobre et janvier prochains. Statistiquement, la CJUE suit les conclusions de l’avocat général dans environ 70 % à 80 % des affaires. En substance : « Les Etats membres peuvent adopter des mesures de soutien pour garantir l’effectivité des droits des éditeurs de presse pour autant que ces mesures ne portent pas atteinte à la liberté contractuelle » (1).

Les réseaux sociaux sont bien concernés
Avant d’en venir au fond de l’affaire qui opposait Meta Platforms (Facebook) au régulateur italien des communications (Agcom (2)) sur la question de la rémunération de la presse au titre des droits voisins, signalons que l’avocat général a tenu à lever le doute sur le cas des réseaux sociaux. Car lors de l’audience du 10 février 2025, la CJUE avait posé la question aux participants de savoir si les réseaux sociaux étaient soumis aux droits voisins consacrés par l’article 15 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (« Copyright » (3)) ou en sont au contraire exemptés en tant qu’hébergeur aux responsabilités néanmoins renforcées par l’article 17 de cette même directive. Par cette question générale, les éditeurs en Europe, y compris leurs organisations professionnelles comme l’Alliance de la presse d’information générale (Apig) en France, s’étaient fortement inquiétés du risque de voir les réseaux sociaux comme Facebook, X ou encore LinkedIn échapper aux droits voisins et de n’avoir ainsi rien à payer aux médias pour les contenus qu’ils utilisent. Cette éventualité aurait été redoutable pour les journaux en ligne des Vingt-sept.
Or les conclusions de l’avocat général, (suite) estimant que « le débat […] semble avoir révélé certains malentendus », ont de quoi rassurer la presse européenne : « Il est certes clair que le service de réseau social tel que Facebook, proposé par Meta, répond à la définition de “service de la société de l’information” […] Le réseau Facebook ne se limite pas à être un lieu passif de partage de contenus entre utilisateurs. A l’aide d’algorithmes sophistiqués, il propose aux utilisateurs des contenus concrets en fonction de leurs centres d’intérêt supposés, sans que ces utilisateurs n’aient effectué de recherche sur ces contenus ou que ceux-ci leurs soient proposés par d’autres utilisateurs. Facebook est donc un véritable fournisseur de contenus autonome, dont la spécificité est que les contenus ne sont ni créés ni achetés par lui : ils sont téléversés par les utilisateurs et c’est ensuite Facebook qui se charge de proposer ces contenus aux utilisateurs », développe Maciej Szpunar.
Et d’ajouter : « Une telle utilisation ne saurait, à mon avis, être attribuée aux utilisateurs, mais doit être considérée comme effectuée par le fournisseur des services de la société de l’information qu’est Meta et, par conséquent, dans la mesure où elle concerne des publications de presse, comme relevant des droits exclusifs des éditeurs ». Pour autant, l’avocat général précise que lorsque les éditeurs de presse partagent eux-mêmes leurs propres publications sur un réseau social comme Facebook, ils ne sauraient prétendre à aucune rémunération au titre des droits voisins prévus à l’article 15 de cette directive « Copyright ». « Cela découle de la nature de ces droits en tant que droits exclusifs, expliquet-il. Le titulaire d’un tel droit ayant lui-même mis à la disposition du public l’objet protégé sur un réseau social ou tout autre service de la société de l’information devrait en effet être supposé avoir donné son autorisation pour les utilisations de cet objet conformes aux conditions de fourniture du service en cause ». Même si – comme l’a fait remarquer à l’audience la Commission européenne – la procédure devant la CJUE n’était pas de savoir si l’article 15 s’appliquait aux réseaux sociaux comme Facebook, la question posée a eu le mérite de lever le doute et de confirmer la responsabilité des réseaux sociaux au regard des droits voisins de la presse.

« Compensation équitable » : décision italienne
Le litige entre Meta Platforms Ireland Limited et le régulateur Agcom portait sur la compatibilité de la législation italienne transposant la directive « Copyright ». La maison mère de Facebook, d’Instagram et de WhatsApp a introduit en 2023 un recours devant le tribunal administratif régional pour le Latium (Italie) visant à annuler une décision de l’Agcom datée du 19 janvier 2023 et ayant pour objet le « règlement portant définition des critères de référence aux fins de la détermination de la compensation équitable pour l’utilisation en ligne de publications de presse » (4), conformément à la loi italienne « Protection du droit d’auteur » (5). Cette décision fixe notamment un taux pouvant aller jusqu’à 70 %, applicable sur les recettes publicitaires des prestataires de services de la société de l’information tels que Facebook « provenant de l’utilisation en ligne des publications de presse de l’éditeur, déduction faite des recettes de l’éditeur provenant de la redirection du trafic sur son site Internet ». Cette décision italienne, contraignante, réglemente même la procédure permettant de demander à l’Agcom de déterminer le montant de la compensation équitable, voire de décider unilatéralement ce montant. Pour Meta, c’en est trop.

Recours de Meta contre l’Agcom
La firme de Menlo Park (Californie), cofondée et dirigée par Mark Zuckerberg (photo ci-dessous), fait notamment valoir que la décision de l’Agcom est contraire à l’article 15 de la directive « Copyright », « qui consacre non pas des droits de rémunération, mais des droits de nature exclusive ». En outre, Meta estime que cette réglementation italienne – avec ses obligations imposées aux plateformes numériques, ses limitations significatives de la liberté contractuelle des opérateurs économiques et des pouvoirs confiés à l’Agcom – serait également contraire à la liberté d’entreprise, garantie par la charte des droits fondamentaux de l’Union européenne (6), et, en particulier, au principe de libre concurrence. De plus, Meta souligne l’absence de proportionnalité et d’adéquation des mesures adoptées par le législateur italien. Autrement dit, l’Italie est-elle aller trop loin dans la transposition et l’interprétation de la directive « Copyright » ? La Botte a en effet opté pour une régulation sectorielle bien plus contraignante que par exemple celle de l’Hexagone, ce qui a naturellement soulevé des interrogations juridiques.
La France a adopté une approche plus souple et consensuelle que celle de l’Italie, les négociations entre éditeurs et plateformes (notamment Google) ayant été encadrées par l’Autorité de la concurrence, mais sans intervention directe dans la fixation des montants. La Péninsule, elle, a mis en place un système très structuré : une « compensation équitable » obligatoire en faveur des éditeurs, des obligations de négociation imposées aux plateformes, un rôle actif de l’Agcom dans la fixation des montants de rémunération. Plutôt que de trancher, le tribunal administratif italien a décidé de surseoir à statuer et de poser à la CJUE pas moins de trois questions préjudicielles :
1 . L’article 15 de la directive « Copyright » peut-il être interprété en ce sens qu’il s’oppose à l’introduction de dispositions nationales – telles que celles prévues par la loi italienne « Protection du droit d’auteur » et celles figurant dans la décision de l’Agcom ?
2 . L’article 15 de la directive « Copyright » s’oppose-til à des dispositions nationales, telles que celles visées dans la première question, qui imposent aux plateformes numériques une obligation de divulgation de données soumise au contrôle de l’Agcom, et dont le non-respect entraîne l’application de sanctions administratives ?
3 . Les principes de la liberté d’entreprise, de libre concurrence, et de proportionnalité, s’opposent-ils à des dispositions nationales, telles que des droits à rémunération en sus des droits exclusifs, des obligations de négocier avec les éditeurs une compensation équitable, des pouvoirs conférés à l’Agcom de surveillance, de sanction voire de fixer le montant exact de la compensation équitable ?
La demande de décision préjudicielle est parvenue à la CJUE le 21 décembre 2023. Des observations écrites ont été déposées notamment par le gouvernement français, présent parmi les participants à l’audience qui s’est tenue le 10 février 2025. Après avoir analysé dans le détail les trois questions pré-judicielles posées, l’avocat général « propose » de répondre aux première et deuxième questions que : « l’article 15 de la directive [« Copyright »] doit être interprété en ce sens qu’il ne s’oppose pas aux dispositions internes d’un Etat membre [comme le prévoit l’Italie via l’Agcom, ndlr], sous réserve que ces dispositions ne privent pas les éditeurs de la possibilité de refuser de donner une telle autorisation ni de la donner à titre gratuit, qu’elles n’imposent aux fournisseurs des services de la société de l’information aucun paiement sans lien avec une utilisation effective ou envisagée de telles publications, et qu’elles ne limitent pas de manière contraignante la liberté contractuelle des parties ». Concernant la troisième question sur la liberté d’entreprise (Charte), d’une part, et sur la libre concurrence (TFUE), d’autre part, Maciej Szpunar évacue d’emblée le second principe car « [les articles 119 et 109 du TFUE] ne sont pertinents aux fins du contrôle de la conformité des dispositions nationales en cause ».

Libre concurrence et liberté d’entreprendre
Pour la libre concurrence, il rappelle qu’elle comporte notamment l’interdiction de l’abus de position dominante sur le marché, consacrée en droit de l’Union européenne (7). « Ainsi, conclut l’avocat général, les mesures destinées à renforcer le pouvoir de négociation des éditeurs doivent être considérées non pas comme portant atteinte à la libre concurrence, mais comme la favorisant ». Par conséquent, la liberté d’entreprendre ne s’oppose pas à des limitations aux droits consacrés ni à des dispositions nationales. @

Charles de Laubier

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @