Archives par mot-clé : Cnil

L’Omnibus numérique controversé de la Commission européenne bute sur les données personnelles

Publié le par

Le Digital Omnibus veut « réviser » des textes européens, dont le RGPD et l’EUDPR, afin de les rendre plus innovation-compatibles. Mais la remise en question de la notion de données à caractère personnel provoque une levée de boucliers des « Cnil » européennes et des défenseurs de la vie privée.

L’avis conjoint du Comité européen de la protection des données (CEPD/EDPB), qui regroupe les « Cnil » européennes, et de son Contrôleur européen de la protection des données (CEPD/EDPS) était très attendu sur la proposition d’Omnibus numérique que la Commission européenne a présentée le 19 novembre 2025. Celle-ci vise à simplifier le cadre réglementaire numérique des Vingt-sept, à réduire la charge administrative et à renforcer la compétitivité des entreprises européennes. L’avis conjoint, lui, a été publié le 11 février 2026 et il n’est pas tendre avec certaines modifications proposées car elles « suscitent d’importantes préoccupations ».

Notion de données personnelles menacée
Le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs » (le Parlement européen et le Conseil de l’Union européenne) à ne pas adopter les modifications proposées – par la Commission européenne – à la définition des données à caractère personnel, « étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD », le règlement général sur la protection des données. L’EDPB et l’EDPS estiment en outre que ces modifications concernant la définition des données à caractère personnel « ne reflètent pas exactement et vont clairement au-delà de la jurisprudence » de la Cour de justice de l’Union européenne (CJUE), et elles « aboutiraient à une réduction significative de la notion de données à caractère personnel ».
Les « Cnil » européennes et l’autorité de supervision distincte considèrent ensemble que « la Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui n’est plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données ». Et la présidente du comité EDPB, Anu Talus (photo de gauche), d’insister (suite) : « Nous demandons instamment aux colégislateurs de ne pas adopter les modifications proposées dans la définition des données à caractère personnel, car elles risquent d’affaiblir considérablement la protection des données individuelles ». Et le président du contrôleur EDPS, Wojciech Wiewiórowski (photo de droite), d’abonder : « Nous devons veiller à ce que toute modification du RGPD et du RPDUE [règlement 23 octobre 2018 pour la protection des données à caractère personnel dans l’Union européenne et leur libre circulation] clarifie réellement les obligations et apporte une sécurité juridique tout en maintenant la confiance et un niveau élevé de protection des droits et libertés individuels ».
La proposition « Digital Omnibus » ajouterait un nouveau paragraphe à l’article 4 du RGPD (1) et à l’article 3 de l’EUDPR (2) pour redéfinir les données personnelles de la façon suivante : « Les informations relatives à une personne physique ne sont pas nécessairement des données personnelles pour toute autre personne ou entité, simplement parce qu’une autre entité peut identifier cette personne physique. Les informations ne sont pas personnelles pour une entité donnée lorsque cette entité ne peut pas identifier la personne physique à laquelle les informations se rapportent, en tenant compte des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne deviennent pas personnelles pour cette entité simplement parce qu’un destinataire ultérieur potentiel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent » (3).Cette modification proposée par la Commission européenne veut « codifier » les interprétations de la CJUE, notamment en ce qui concerne la pseudonymisation des données personnelles, en se référant notamment à l’arrêt « EDPS contre SRB » (4) rendu le 4 septembre 2025. C’est là que le bât blesse aux yeux du comité et du contrôleur de la protection des données : « Les modifications proposées introduisent des changements significatifs dans cette définition qui vont au-delà de l’objectif déclaré d’introduire des amendements “ciblés” ou “techniques” au RGPD et à l’EUDPR. […] Modifier la définition des données personnelles aurait un impact direct sur [leur] champ d’application matériel ».

Respecter jurisprudence et droits fondamentaux
Dans leur avis conjoint d’une cinquantaine de pages (5), l’EDPB et l’EDPS tiennent à rappeler que « la définition des données à caractère personnel est au cœur même de la législation de l’UE en matière de protection des données, notamment l’article 8 de la Charte des droits fondamentaux (6) et l’article 16 du traité sur le fonctionnement de l’UE (7) ». Autrement dit, la Commission européenne doit non seulement respecter la jurisprudence de la CJUE mais aussi se conformer aux textes fondamentaux. L’arrêt « EDPS contre SRB », qui a notamment confirmé la jurisprudence précédente telle que celle issue de l’arrêt « GVA contre Scania » (8) du 9 novembre 2023, a rappelé que « des données impersonnelles peuvent devenir de nature personnelle lorsqu’elles sont mises à la disposition d’un destinataire (tout destinataire) avec des moyens raisonnablement susceptibles d’être utilisés pour identifier un sujet de données ».

Digital Omnibus, risque d’insécurité juridique
La CJUE a confirmé que « dans de tels cas, ces données sont des données à caractère personnel tant pour le destinataire que, indirectement, pour l’entité qui met les données à la disposition de ce dernier ». Et les « Cnil » européennes, avec leur contrôleur des données personnelles, d’enfoncer le clou : « Les modifications proposées auraient pour effet de restreindre considérablement la notion de données à caractère personnel, ce qui porterait atteinte au droit fondamental à la protection des données. De plus, la modification proposée pourrait inciter les responsables du traitement à rechercher des failles dans le régime de protection des données et à tenter de contourner l’application du RGPD ou de l’EUDPR. La proposition néglige en outre des éléments clés du concept de données à caractère personnel au titre du considérant 26 du RGPD, tels que le concept de “singularisation” [singling out dans le texte, ndlr] ».
Il est donc reproché à la Commission européenne de créer de la confusion et d’accroître l’insécurité juridique, d’autant que la définition des données à caractère personnel contenue dans le RGPD est mentionnée ou alignée sur d’autres actes juridiques importants de l’UE, tels que la directive « Police-Justice » (9) du 27 avril 2016. « Modifier la définition des données à caractère personnel dans le RGPD pourrait donc avoir des répercussions imprévues sur d’autres actes juridiques et porter atteinte à la cohérence globale du cadre juridique de l’UE », sans parler « des risques de fragmentation avec d’autres cadres juridiques internationaux – comme en particulier la Convention 108 du Conseil de l’Europe (10) – ou avec des lois nationales dans les pays tiers qui jusqu’à présent sont largement alignées ou équivalentes à la définition actuelle dans le cadre du RGPD ». Pour toutes ces raisons, le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs à ne pas adopter les modifications proposées de la définition des données à caractère personnel ». Par ailleurs, l’avis conjoint des gendarmes des données rappelle que l’EDPB est en train de préparer des orientations actualisées sur la pseudonymisation et d’élaborer un nouvel ensemble de lignes directrices sur l’anonymisation, qui tiendront compte, entre autres, de l’arrêt « EDPS contre SRB ». A ce propos, les « Cnil » européennes et leur contrôleur se disent « préoccupés par le fait que la proposition permettrait de préciser davantage – au moyen d’un acte d’exécution – les moyens et critères qui déterminent si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités ». En effet, la Commission européenne serait habilitée à adopter de tels « actes d’exécution » (11), qui s’appliqueraient également au traitement des données à caractère personnel dans le cadre de l’EUDPR.
Cette modification compléterait la modification proposée à la définition de données personnelles. « La délimitation de ce qui constitue (et de ce qui ne constitue pas) des données à caractère personnel affecte directement le champ d’application du droit de l’UE en matière de protection des données. Un acte d’exécution tel que proposé pourrait de facto affecter le champ d’application matériel de la législation européenne sur la protection des données, redéfinissant effectivement le champ d’application du moment et du destinataire des informations considérées comme des données personnelles », mettent en garde l’EDPB et l’EDPS, lesquels considèrent que « les incidences pratiques de la mise en œuvre des “moyens et critères” énoncés dans les actes d’exécution restent floues et entraînent des difficultés de conformité ». Pour toutes ces raisons encore, l’EDPB et l’EDPS suggèrent donc de « supprimer » la proposition d’acte d’exécution.
L’organisation autrichienne de protection de la vie privée Noyb (nom issu du slogan « None Of Your Business ») s’est aussitôt félicitée de cet avis conjoint : « Les autorités indépendantes ont identifié les changements clés pour ce qu’ils sont : ni “changements techniques” ni “simplification”, mais des limitations du droit à la protection des données pour les résidents de l’UE », a déclaré (12) son dirigeant Max Schrems (photo ci-dessus).

Data et IA : Noyb (Max Schrems) déçu
En outre, du côté de l’entraînement des IA fondé sur « un intérêt légitime » (également traité dans l’avis conjoint du 11 février 2026), Noyb regrette que les « Cnil » européennes et leur contrôleur des données personnelles « ne clarifient pas la question », notamment sur l’utilisation des données à caractère personnel. « De nombreuses autres questions clés concernant l’utilisation des données à caractère personnel dans la formation à l’IA ne seraient pas résolues par la proposition ». @

Charles de Laubier

Gouvernance des autorités pour l’AI Act : multiplier les régulateurs pourrait être contreproductif

Publié le par

La France va se doter – si une loi était adoptée en 2026 – d’une gouvernance sectorielle pour l’IA, pilotée par la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). Mais la multiplicité des régulateurs pourrait compliquer la tâche des entreprises.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

La Direction générale des entreprises (DGE), qui dépend du ministère de l’Economie et des Finances, a publié le 9 septembre 2025 un projet de désignation des autorités nationales chargées de la mise en œuvre en France du règlement européen sur l’intelligence artificielle (AI Act). Sous la coordination de la DGE et de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), ce projet instaure un schéma décentralisé et sectoriel de gouvernance s’appuyant sur les régulateurs existants en France.

La DGCCRF centralise la coordination
Ce modèle s’inscrit dans le cadre de l’AI Act (1) et des dispositions de son article 70 qui impose la désignation d’autorités nationales de notification et de surveillance du marché dans chaque Etat membre. Cette proposition de gouvernance sectorielle et décentralisée doit être présentée au Parlement sous la forme d’un projet de loi. Il ne sera donc définitif qu’après un vote législatif, très probablement dans le courant du premier semestre 2026. Le schéma retenu par le gouvernement prévoit que la mise en œuvre effective de ce règlement européen sur l’IA sera supervisée par plusieurs autorités compétentes, conformément aux orientations proposées par cet AI Act. Dès lors, les administrations, agences et autorités spécialisées – selon leur secteur d’intervention – auront la charge de contrôler les systèmes d’intelligence artificielle, une fois mis sur le marché ou en service.
La DGCCRF centralisera la coordination opérationnelle entre diverses autorités sectorielles impliquées dans le contrôle des systèmes d’IA. Elle sera ainsi l’interlocuteur principal pour les autorités européennes et facilitera l’échange d’informations et la coopération entre les différents régulateurs nationaux. Elle agira comme un point de contact unique, pour la France auprès des instances européennes, sur les questions liées à la surveillance du marché de l’IA. Ce rôle de coordination s’inscrit dans une organisation bicéphale où la DGCCRF assurera la supervision pratique sur le terrain, tandis que la DGE apportera son soutien à la mise en œuvre de l’AI Act. A ce titre, la DGE jouera un rôle-clé dans l’organisation de la gouvernance nationale de ce règlement européen, notamment en (suite) assurant la représentation française et en veillant à un alignement dans l’application des règles sur tout le territoire national, au sein du Comité européen de l’IA. Cet « AI Board » (2), dont le secrétariat est assuré par le Bureau de l’IA (« AI Office ») de la Commission européenne (3), est une instance qui rassemble les représentants des autorités nationales compétentes pour coordonner l’application – justement harmonisée – du règlement européen « établissant des règles harmonisées concernant l’intelligence artificielle ».
Le souhait du gouvernement français est de permettre une surveillance adaptée, mobilisant les compétences spécifiques de chaque autorité en fonction des usages et risques associés aux systèmes d’IA concernés. Les autorités nationales s’inscriraient ainsi comme des acteurs pivots dans la chaîne de surveillance et de contrôle. En pratique, chaque entreprise ou organisation continuera de s’adresser prioritairement à son régulateur de secteur pour respecter les exigences de l’AI Act. Pour les aspects techniques, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et le Pôle d’expertise de la régulation numérique (PEReN) fourniront un appui transversal aux régulateurs qui bénéficieront d’un « socle mutualisé d’expertises ». Ils pourront ainsi les accompagner dans l’analyse technique, la cybersécurité et l’audit des algorithmes d’IA. La Commission nationale de l’informatique et des libertés (Cnil) et l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) figurent comme des interlocuteurs majeurs pour les enjeux relatifs à la protection des données et à la régulation des contenus auprès des collectivités publiques. Bercy n’a pas publié le 9 septembre 2025 de rapport complet (4) mais un aperçu du schéma proposé – accompagné d’un graphique (5)) qui identifie le périmètre d’intervention des autorités compétentes selon quatre critères : les pratiques interdites (6), les obligations spécifiques de transparence (7), les systèmes d’IA à haut risque (8), les systèmes d’IA à haut risque (9).

Au titre des pratiques interdites
La DGCCRF et l’Arcom veillent au respect de l’interdiction des systèmes d’IA qui utilisent des techniques subliminales, manipulatrices ou trompeuses, et qui exploitent les vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique. La Cnil et la DGCCRF contrôlent le respect de l’interdiction sur les systèmes d’IA dédiés à l’évaluation, la classification ou notation sociale. La Cnil joue un rôle central dans le contrôle des pratiques interdites puisqu’elle est seule chargée du contrôle des autres pratiques interdites : police prédictive, création de bases de données de reconnaissance faciale via moissonnage non ciblé, inférence des émotions sur lieu de travail et établissements d’enseignement, catégorisation biométrique, identification biométrique à distance en temps réel à des fins répressives.

Transparence et IA à haut risque
La DGCCRF et Arcom contrôlent les systèmes d’IA interagissant directement avec les personnes ou générant des contenus synthétiques et hypertrucages. L’Arcom surveille également les systèmes générant ou manipulant des textes destinés à informer le public sur des questions d’intérêt public. La Cnil contrôle, quant à elle, le respect des obligations de transparence concernant les systèmes de reconnaissance des émotions et de catégorisation biométrique. Les autorités de surveillance du marché compétentes pour les systèmes d’IA à haut risque voient leur périmètre élargi pour le contrôle de l’intégration de l’IA dans ces produits classés « à haut risque » selon l’annexe I du règlement IA. Ainsi, par exemple, la DGCCRF est en charge de veiller à la sécurité des jouets, et avec l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) pour les dispositifs médicaux.
Pour les systèmes d’IA à haut risque relevant de l’annexe III, les Hauts fonctionnaires de défense et de sécurité (HFDS) des ministères économiques, financiers, industriels et écologiques contrôlent les IA liées aux infrastructures critiques. L’Autorité de contrôle prudentiel et de résolution (ACPR) contrôle les IA destinées à être utilisées pour évaluer la solvabilité des personnes physiques, établir les notes de crédit, et évaluer les risques et la tarification en matière d’assurance-vie et d’assurance maladie. Le Conseil d’Etat, la Cour de cassation et la Cour des comptes supervisent, quant à eux, les systèmes d’IA mis en service ou utilisés par les autorités judiciaires à des fins d’administration de la justice. Enfin, la Cnil contrôle les IA dans l’enseignement, la formation professionnelle (avec la DGCCRF), les processus démocratiques (avec l’Arcom), la biométrie, la gestion des ressources humaines, les usages répressifs, la migration, l’asile, ainsi que le contrôle des frontières. Le schéma « DGE-DGCCRF » proposé vise à éviter la création d’une superstructure, tout en valorisant l’expertise existante au sein des autorités déjà en place.
Le gouvernement français mise ainsi sur les autorités déjà opérationnelles, qui disposent chacune d’une expertise fine dans leurs domaines respectifs. Cette gouvernance « IA » devrait permettre d’apporter une proximité sectorielle avec les acteurs régulés, ainsi qu’une meilleure compréhension des pratiques spécifiques pour une régulation adaptée et un contrôle plus efficace. Pour autant, et c’est là que le bât blesse, cette gouvernance morcelée pourrait générer une complexité accrue pour les entreprises multi-secteurs, avec des points de contacts multiples et une articulation parfois difficile entre exigences sectorielles et obligations transversales de l’AI Act. Ainsi, les PME risquent d’être confrontées à une multiplicité d’interlocuteurs et à une compréhension plus complexe des règles applicables. En effet, les sociétés devront entreprendre des démarches spécifiques selon leur secteur d’activité, rajoutant alors des points de complexité dans leur mise en conformité aux exigences de l’AI Act. Cette gouvernance éclatée pourrait également entraîner une charge administrative accrue, des difficultés de compréhension des exigences applicables et un risque d’interprétations divergentes entre autorités.
Si la DGCCRF joue un rôle d’orientation clé, la multiplication des intervenants et la fragmentation normative s’avèrent particulièrement complexes pour les PME, qui disposent souvent de ressources juridiques limitées pour mener des programmes de mise en conformité de leurs pratiques. La multiplicité des organismes implique aussi un risque de dilution des responsabilités, surtout en cas d’incidents ou de litiges impliquant différents aspects de l’IA (par exemple, un système de scoring biométrique utilisé à des fins publicitaires). En l’absence d’un chef de file unique clairement identifié, cette configuration peut retarder la prise de décision ou compliquer la coordination des sanctions.
Le Conseil d’Etat, dans une étude publiée en 2022 intitulée « Intelligence artificielle et action publique : construire la confiance, servir la performance » (10), avait préconisé une transformation profonde de la Cnil en autorité nationale de contrôle responsable de la régulation des systèmes d’IA. Il soulignait que pour garantir la cohérence et la sécurité juridique, il serait préférable d’adosser la gouvernance de l’IA à une autorité unique renforcée, la Cnil étant le choix naturel compte tenu de son expérience reconnue en matière de protection des données personnelles et de régulation numérique. Confronté à la diversité des secteurs d’application de l’IA, cette piste a été écartée. La mise en œuvre de l’AI Act et la gouvernance proposée imposent donc aux entreprises une coordination et une gestion rigoureuse de leurs risques. Elles doivent concilier les exigences spécifiques à chaque secteur d’activité tout en assurant une sécurité juridique dans un environnement réglementaire à la fois complexe et en constante évolution.

Les entreprises attendues au tournant
Face aux enjeux de l’intelligence artificielle, les entreprises et organisation devront mettre en place un pilotage rigoureux de leurs pratiques. A ce titre, elles devront identifier et évaluer les risques liés à leurs systèmes d’IA, documenter leur fonctionnement, assurer la transparence des interactions, mettre en place un contrôle humain et des procédures de gestion des incidents, tout en respectant des échéances progressives jusqu’en 2026 pour assurer leur conformité à l’AI Act. Sinon, gare aux sanctions. @

* Antoine Gravereaux est avocat associé chez FTPA Avocats,
au département « Technologies, Data & Cybersécurité ».

Avec les milliards de données de leurs abonnés, les opérateurs télécoms sont des cybercibles de choix

Publié le par

L’été 2025 n’aura pas été de tout repos pour les « telcos ». En France, Bouygues Telecom a été victime début août d’une cyberattaque. Peu avant, fin juillet, Orange a aussi été la cible d’une cyberattaque. L’an dernier, SFR puis Free avaient eux aussi fait l’objet d’une fuite massive de données.

Les quatre opérateurs télécoms français, que sont Orange, Bouygues Telecom, SFR et Free, sont plus que jamais exposés à des cyberattaques de leurs systèmes d’information, où sont gérées et stockées des milliards de données personnelles de leurs plusieurs dizaines de millions d’abonnés mobiles et fixes. Devenus encore plus redoutables et imprévisibles avec l’intelligence artificielle, ces cyberpiratages massifs inquiètent de plus en plus leurs clients.

Données personnelles : open bar ?
Orange compte en France près de 22,1 millions d’abonnés mobiles et plus de 14 millions d’abonnés fixes, et totalise presque 300 millions de clients dans le monde. Bouygues Telecom a, lui, plus de 18 millions d’abonnés mobiles et 5,3 millions d’abonnés fixes, toujours sur l’Hexagone. SFR, c’est 19,3 millions d’abonnés mobiles et 6,1 millions d’abonnés fixes. Quant à Free, il compte en France 15,5 millions d’abonnés mobiles et 7,6 millions d’abonnés fixes, avec un total d’environ 51 millions avec les quelques autres pays où le groupe est présent. Autant dire que les quatre « telcos » français regorgent de données personnelles qui suscitent les convoitises de hackers et cybercriminels désireux de s’en emparer pour demander une rançon et/ou les vendre sur le dark web. Coup sur coup, cet été, Orange puis Bouygues Telecom ont subi une violation de leur système d’information respectif. Or, ce n’est pas la première fois que (suite) des opérateurs télécoms sont victimes de cyberattaques massives visant leurs millions de données.
« Bouygues Telecom a été victime d’une cyberattaque ayant permis l’accès non autorisé à certaines données personnelles de 6,4 millions de comptes clients, a fait savoir le 6 août 2025 la filiale du groupe de BTP et de communication Bouygues à propos de cette cyberintrusion détectée le 4 août. L’opérateur a notifié la Cnil (1) et déposé plainte auprès des autorités judiciaires. Tous les clients concernés ont reçu ou vont recevoir un mail ou un SMS pour les en informer et nos équipes restent pleinement mobilisées pour les accompagner ». Bouygues Telecom a voulu rassurer en affirmant que « la situation a[vait] été résolue dans les plus brefs délais » par ses équipes techniques et que « toutes les mesures complémentaires nécessaires ont été mises en place » (2). L’opérateur télécom dirigé par Benoît Torloting (photo de gauche) a mis en place une page web dédiée à cette cyberattaque du 4 août (3) ainsi qu’un numéro vert au 0801 239 901, tandis qu’un dossier « Cybersécurité » (4) informe les abonnés. « Nous tenons une nouvelle fois à vous présenter nos excuses pour cet incident », est-il indiqué en préambule d’une page mise en ligne le 13 août (5).
De son côté, le groupe Orange a communiqué le 28 juillet 2025 sur la cyberintrusion dont il a été victime trois jours avant par un : « Le vendredi 25 juillet, le groupe Orange a détecté une cyberattaque sur un de ses systèmes d’information. Immédiatement alertées, avec le support d’Orange Cyber-defense, les équipes se sont pleinement mobilisées pour isoler les services potentiellement concernés et limiter les impacts. Cependant, ces opérations d’isolement ont eu pour conséquence de perturber certains services et plateformes de gestion pour une partie de nos clients […]. Une plainte a été déposée et les autorités compétentes ont été alertées. Nous travaillons avec elles en parfaite collaboration » (6).
L’opérateur télécoms historique, dirigé par Christel Heydemann (photo du milieu), indiquait ce jour-là qu’« aucun élément ne laisse penser que des données de nos clients ou d’Orange auraient été exfiltrées ». Mais le 28 août, Bloomberg révélait qu’avaient été publiées sur le dark web des données qu’un porte-parole d’Orange a qualifiées « d’obsolètes ou de faible sensibilité » (7). SFR (8) et Free ont eux aussi été cybervisités de façon malveillante – respectivement le 3 septembre et le 17 octobre 2024. SFR et Free n’ont, eux, pas publié de communiqué, mais confirmé cette cyberattaque auprès de leurs clients, le 19 septembre pour SFR (9) et le 28 octobre pour Free après des révélations dès le 22 octobre (10).

Avant Orange et Bouygues, SFR et Free
Alors que le cybervol massif chez Free a touché 19,2 millions de clients (11), le directeur général de la maison mère Iliad, Thomas Reynaud (photo de droite), avait affirmé à l’AFP le 14 novembre 2024 qu’« il n’y a[vait] pas eu d’impact opérationnel ». L’enquête et l’instruction se poursuivent par la Cnil, laquelle pourrait infliger des amendes en cas de manquements, tandis que des abonnés pourraient attaquer leur opérateur télécoms devant la justice (12). Quant à l’Arcep, elle a enfin publié le 15 septembre 2025 son avis de 2024 (13) sur le projet de loi renforçant la cybersécurité (NIS2). @

Charles de Laubier

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite) la base légale et la transparence d’un tel traitement. Le 4 septembre 2024, la DPC avait alors demandé au Comité européen sur la protection des données (EDPB) de rendre un avis sur l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA (7). Tenant compte de cet avis du 17 décembre (8), Meta a réévalué certaines modalités de son projet (notamment le renforcement des mesures de filtrage pour réduire le risque que des données personnelles soient mémorisées par les modèles d’IA lors de la phase d’entraînement) et a fourni à la DPC une documentation actualisée dans l’optique de débuter l’entraînement de ses modèles d’IA le 27 mai 2025.
Après avoir examiné les propositions de Meta et recueilli les commentaires des autres autorités de contrôle européennes, la DPC a formulé un certain nombre de recommandations qui ont été appliquées par Meta, parmi lesquelles la simplification des formulaires d’opposition au traitement et leur accessibilité pendant plus d’un an, la fourniture d’une information claire sur les moyens permettant aux utilisateurs de contrôler les données utilisées (paramétrage des contenus en mode privé), et un délai plus long entre ces informations et le lancement du projet pour leur permettre réellement de s’y opposer (9). L’annonce de ce projet a suscité une levée de boucliers par plusieurs associations, telles que UFC-Que Choisir (10) en France ou Noyb en Autriche. Cette dernière a notamment adressé à l’entreprise une mise en demeure (11), se réservant la possibilité d’intenter une action de groupe au civil. En parallèle, une association de consommateurs allemande (VZNRW) a saisi en référé le tribunal régional supérieur de Cologne – Oberlandesgericht Köln (OLG Köln) – afin qu’il soit interdit à Meta de traiter les données personnelles partagées publiquement par les utilisateurs sur les services Facebook et Instagram afin de développer et améliorer ses IA. Dans une décision (12) rendue le 23 mai 2025, le tribunal rejette la demande de l’association (après un examen qu’il qualifie de sommaire de l’affaire, mais qui est pourtant très étayé), et ne remet pas en cause la légalité du projet de Meta. En effet, en s’appuyant sur une argumentation documentée, conforme à l’avis de l’EDPB et enrichie de l’avis circonstancié des autorités de contrôle des Länder du Bade-Wurtemberg et d’Hambourg, il a écarté, un à un, les griefs soulevés tenant à : la violation du Digital Markets Act (DMA) ; l’impossibilité pour Meta de fonder le traitement sur l’intérêt légitime ; et l’absence d’exception autorisant le traitement de données sensibles. L’OLG Köln a d’abord estimé que la constitution d’une base de données d’entraînement au moyen des données publiques issues des services Facebook et Instagram ne violait pas le DMA (13) – Meta étant désigné comme contrôleur d’accès par la Commission européenne pour ces services essentiels.

Gatekeeper : pas de violation du DMA
Le DMA interdit à tout contrôleur d’accès de combiner, sans consentement préalable de l’utilisateur, les données personnelles provenant d’un service essentiel, qu’il propose aux utilisateurs, avec celles provenant d’un autre service. Selon le tribunal, le fait que Meta introduise des données partiellement désidentifiées et fragmentées provenant de deux services de plateforme dans un ensemble non structuré de données d’entraînement ne constitue pas une combinaison de données, au sens du DMA, en l’absence de lien et mise en relation des données personnelles d’un utilisateur provenant d’un service à celles du même utilisateur provenant d’un autre service. L’OLG Köln valide ensuite le recours à l’intérêt légitime comme base légale de traitement, en réalisant une analyse complète, s’appuyant sur les différents critères exigés par l’EDPB. Le tribunal y reconnaît ainsi que l’intérêt poursuivi, à savoir proposer une IA générative optimisée en fonction des habitudes régionales, quoique commercial, est légitime, puis que le traitement envisagé par Meta s’avère nécessaire pour atteindre cet intérêt en l’absence d’un moyen moins intrusif.

Rapport de Meta pour octobre 2025
Pour démontrer cette nécessité, le tribunal de Cologne mobilise l’AI Act (14) qui reconnaît expressément que le développement et l’entraînement des modèles d’IA génératifs requièrent un accès à de grandes quantités de données (15). S’agissant des moyens moins intrusifs proposés notamment par l’association – à savoir le fait d’utiliser uniquement des données anonymisées ou synthétiques (données qui ne sont pas issues d’une observation réelle, mais qui sont créées artificiellement via des simulations), ou de restreindre l’entraînement aux seules données d’interaction avec les systèmes d’IA –, ils ne permettraient pas, selon l’OLG Köln, d’obtenir des résultats comparables.
Enfin, la mise en balance de l’intérêt légitime poursuivi par Meta avec les intérêts et droits des personnes concernées est jugée adéquate. Le tribunal allemand a identifié les conséquences négatives du traitement, notamment les atteintes aux droits des personnes de décider et contrôler l’usage de leurs données et au droit à l’effacement. Ces conséquences négatives sont toutefois tempérées en raison, d’une part, du caractère public des données traitées limitant les risques liés à une divulgation (puisque ces données sont déjà accessibles librement), et, d’autre part, des mesures de mitigation mises en place par Meta. Sont soulignées les mesures visant à réduire le caractère identifiant des données (incluant la tokenisation) et à les rassembler sous une forme non structurée. Sont également mises au crédit de Meta les possibilités offertes aux utilisateurs pour empêcher l’inclusion de leurs données dans la base d’entraînement : le retrait du statut « public » de leurs publications ou de leur compte ainsi que l’opposition au traitement spécifique des données pour entraîner les modèles d’IA par l’intermédiaire de deux formulaires disponibles en ligne. L’OLG Köln a estimé que l’opposition pouvait ainsi être exercée sans difficulté et de manière éclairée par l’utilisateur dans un délai suffisant (six semaines avant la mise en œuvre effective du traitement). La décision laisse toutefois en suspens la question du caractère effectif de cette possibilité d’opposition pour les tiers non-utilisateurs cités dans les publications ou commentaires. Concernant les attentes raisonnables des personnes concernées, le traitement des données publiées à partir du 26 juin 2024 est jugé prévisible pour les utilisateurs qui ont été informés de ce traitement par l’annonce du 10 juin 2024. S’agissant des données publiées antérieurement, leur traitement n’est, en revanche, pas jugé prévisible car sa finalité n’est pas d’améliorer les services existants de Meta mais de développer des IA utilisables de manière autonome et accessibles à tous. Cette absence de prévisibilité n’est toutefois pas vue comme une difficulté pour la juridiction qui justifie l’absence d’interdiction de traiter ces données au motif que les utilisateurs disposent d’un instrument d’opposition efficace. Enfin, le traitement des données sensibles des utilisateurs est autorisé car il porte sur des données manifestement rendues publiques par l’utilisateur, l’une des exceptions prévues à l’article 9 du RGPD. S’agissant des données sensibles de tiers partagées par les utilisateurs via des publications, le tribunal de Cologne reconnaît que l’exception précédente ne peut pas être mobilisée, mais estime – en s’appuyant notamment sur une jurisprudence de la Cour de Justice de l’UE de 2019 (qui n’aborde pourtant pas cette problématique précise (16)) et sur le fait qu’une application littérale de l’article 9 du RGPD ne permettrait pas d’atteindre les objectifs de l’AI Act – que Meta peut traiter ces données de manière incidente et résiduelle jusqu’à ce que l’interdiction de le faire soit sollicitée par le tiers concerné. Cette décision de l’OLG Köln, couplée aux échanges avec la DPC et à la mise en place des mesures proposées par cette dernière – enrichies de l’avis des autres autorités de l’UE –, entérinent donc la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA. Mais l’entreprise ne bénéficie pas d’un blanc-seing pour autant.
La DPC suit de près le déploiement du projet et attend un rapport complet de Meta pour le mois d’octobre 2025 contenant, entre autres, des développements sur l’efficacité et l’adéquation des mesures. En parallèle, les autorités de l’UE collaborent (17) pour évaluer plus largement la conformité des traitements envisagés par Meta, notamment en lien avec la phase de déploiement des systèmes d’IA qui pose d’autres questions au regard du RGPD. Meta n’est donc pas totalement à l’abri de l’engagement d’une procédure de sanction par la DPC si des manquements sont constatés. Enfin, bien que la Cnil ne se soit pas officiellement positionnée sur la licéité des pratiques de Meta, la récente mise à jour de ses fiches sur la mobilisation de l’intérêt légitime pour développer un système d’IA (18) témoigne d’une certaine tolérance concernant ce type de pratiques.

Position de la Cnil sur l’intérêt légitime
La Cnil, ayant pris en compte les retours du terrain, y a notamment précisé que l’intérêt commercial entourant les projets de développement de systèmes d’IA par les entreprises constituait un intérêt légitime à part entière. Elle a également admis que cette base légale pouvait être mobilisée par un réseau social qui collecte des données d’utilisateurs rendues librement accessibles et manifestement publiques sur son forum en ligne afin de développer un agent conversationnel. Cette prise en compte par la Cnil des réalités économiques et opérationnelles est bienvenue et rassurera les développeurs de systèmes d’IA qui envisagent d’utiliser ou de constituer de grandes bases de données pour entraîner leurs modèles. @

Pourquoi Google renonce à la fin des cookies tiers

Publié le par

En fait. Le 22 avril, Google a confirmé le maintien des cookies tiers dans son navigateur Chrome, abandonnant ainsi son projet « Privacy Sandbox » annoncé en 2019. La filiale d’Alphabet avait reporté à plusieurs reprises la fin de ces « mouchards » publicitaires, qui sont pourtant intrusifs dans la vie privée.

En clair. Après l’avoir annoncé en juillet 2024, voici que Google passe de la parole aux actes en confirmant en avril 2025 le maintien des cookies tiers qui devaient disparaître cette année après de multiples reports. « Au lieu de déprécier les cookies tiers, nous introduirons une nouvelle expérience dans Chrome qui permet aux utilisateurs de faire un choix éclairé s’appliquant à l’ensemble de leur navigation web, et ils seraient en mesure d’ajuster ce choix à tout moment », avait expliqué l’été dernier la filiale d’Alphabet (1).
Ces cookies dits tiers sont ces traceurs numériques qui sont déposés dans le terminal de l’utilisateur pour suivre les sites web qu’il visite et connaître ses « comportements » (navigation, clics sur les publicités, achats en ligne, géolocalisation, temps passé, etc.). Vice-président chez Google en charge de « Privacy Sandbox », programme alternatif qui devait remplacer les cookies tiers jugés intrusifs (2), Anthony Chavez a (suite)

justifié le 22 avril le maintien de ces derniers : « Beaucoup de choses ont changé depuis que nous avons annoncé l’initiative Privacy Sandbox en 2019 et que nous avons conclu en 2022 un engagement officiel avec le CMA et l’ICO [respectivement l’autorité de la concurrence et la “Cnil” britanniques, ndlr]. Par exemple, l’adoption de mesures d’amélioration de la protection de la vie privée technologies s’est accélérée. De nouvelles opportunités pour protéger et sécuriser les expériences de navigation avec l’IA ont émergé. Et le paysage réglementaire dans le monde a considérablement évolué. Nous avons donc décidé de maintenir notre approche actuelle pour offrir aux utilisateurs un choix de cookies tiers dans Chrome » (3). Dès juillet 2024, Stephen Bonner, membre de l’ICO avait déclaré : « Nous sommes déçus que Google ait changé ses plans ». Le 23 avril dernier, le Movement for an Open Web (Mow), coalition britannique d’acteurs technologiques et publicitaires, a interprété le revirement de Google comme une reconnaissance des obstacles réglementaires insurmontables, estimant le projet Privacy Sandbox comme « une tentative avortée de Google de prendre le contrôle » sur le marché de la publicité numérique (4).
En France, l’association Alliance Digitale a salué cette décision « inéluctable au regard des nombreuses lacunes techniques dont souffrait le projet et des risques toujours importants en matière de concurrence ». @