Archives par mot-clé : Europe

Réviser la DADVSI en faveur de l’ebook d’occasion

Publié le par

En fait. Le 28 septembre, deux mois ont passé depuis l’avis du Conseil d’Etat estimant que « la rémunération des auteurs sur la vente de livres [imprimés] d’occasion » est constitutionnelle, mais contraire à la directive européenne « DADVSI » de 2001. La réviser en incluant aussi les ebooks d’occasion ?

En clair. Le gouvernement français devra convaincre la Commission européenne de réviser la directive « Droit d’auteur et des droits voisins dans la société de l’information » (DADVSI) de 2001 pour y prévoir la taxe sur la vente de livres d’occasion imprimés. Car le Conseil d’Etat, qu’il avait saisi le 2 mai 2025, lui a répondu que son projet d’instaurer « un principe de rémunération sur les livres d’occasion [papier] au bénéfice des auteurs » serait contraire au droit de l’Union européenne, notamment à la directive DADVSI. L’avis consultatif a été publié le 28 juillet dernier (1).
Si les sages du Palais-Royal estiment que le projet de taxation (officiellement « mécanisme de rémunération ») respecte les principes constitutionnels, ils sont en revanche catégoriques : « La règle de l’épuisement du droit de distribution à première cession [une fois un livre vendu, sa revente échappe au droit d’auteur, ndlr], telle qu’elle résulte de la directive [DADVSI], fait obstacle à la création d’un dispositif de droit national […] imposant la perception d’une rémunération lors du commerce ultérieur de livres imprimés d’occasion » (2). Le Syndicat national de l’édition (SNE) (suite) et le Conseil permanent des écrivains (CPE), qui sont à l’origine d’un lobbying soutenu auprès du gouvernement pour instaurer cette taxe sur les livres d’occasion papier, n’ont, eux, pas la même lecture que le Conseil d’Etat (3). Qu’à cela ne tienne, la révision de la directive DADVSI sera nécessaire pour y parvenir. Aussi, Edition Multimédi@ se demande si cette révision européenne ne serait pas l’occasion – justement ! – d’y inclure aussi les ebooks d’occasion ? Alors que le gouvernement français, aiguillonné par le duo SNE-CPE qui avait demandé à la juriste Sarah Dormont un avis portant sur le seul livre imprimé, exclut d’emblée les ebooks. Sous quel prétexte ? « Le livre numérique n’est pas concerné par l’épuisement, n’étant pas un exemplaire matériel », a justifié Sarah Dormont, comme l’a fait la CJUE dans son arrêt « Kabinet » de 2019.
Sauf à changer la « DADVSI », car la blockchain et les NFT permettent désormais de sécuriser la vente d’ebooks d’occasion. Cela pourrait être une première législative mondiale. La société française Liwé (lire EM@316, p. 3) et les américaines Book.io et Publica sont parmi les pionniers à avoir essuyé les plâtres pour montrer la voie de l’ebook d’occasion. @

Cloud & AI Development Act : le futur règlement de la Commission européenne veut changer la donne

Publié le par

Pour que l’Union européenne devienne un « continent de l’IA », dans le cadre des objectifs de son Digital Decade à l’horizon 2030, le futur règlement sur « le développement de l’informatique en nuage et de l’IA » devra éviter de renforcer la position dominante du triumvirat Amazon-Microsoft-Google.

Alors qu’un triumvirat de l’informatique en nuage est en train de se renforcer dans l’Union européenne, constitué par les trois Big Tech américaines Amazon avec Amazon Web Services (AWS), Microsoft avec Microsoft Azur et Google avec Google Cloud, la Commission européenne s’apprête à proposer d’ici la fin de l’année 2025 un projet de règlement sur « le développement de l’informatique en nuage et de l’IA ». Ce Cloud & AI Development Act sera ensuite débattu au Parlement européen début 2026. Pour une entrée en application en 2027 ?

Triopole américain renforcé dans l’UE
Le temps long réglementaire est loin d’être celui du temps ultra-rapide des technologies. Lorsque le Cloud & AI Development Act (« CAIDA ») entrera en vigueur, d’ici deux ans, la position dominante des trois Big Tech américaines Amazon, Microsoft et Google dans le cloud aura sans aucun doute encore augmentée pour atteindre une part de marché – dans les infrastructures de cloud en Europe – plus importante qu’elle ne l’est déjà actuellement. Le triumvirat tend à devenir un triopole, qui échappe à toute régulation susceptible de favoriser la concurrence dans les Vingt-sept.
Pour l’heure, Amazon, Microsoft et Google viennent d’atteindre les 70 % de parts de marché dans les infrastructures de cloud dans l’Union européenne (UE). Tandis que la part de marché de leurs concurrents d’origine européenne – SAP, Deutsche Telekom, OVHcloud, Telecom Italia, ou encore Orange – se réduit à peau de chagrin, à savoir 15 % environ de part de marché en Europe, contre près de 30 % en 2017, d’après Synergy Research Group (voir graphique ci-dessous). « Pendant que les fournisseurs de cloud américains continuent d’investir des dizaines de milliards d’euros chaque trimestre dans des programmes d’investissement européens, cela représente une pente impossible à gravir pour toutes les entreprises qui souhaitent sérieusement contester leur leadership sur le marché », estime John Dinsdale (photo), analyste en chef de ce cabinet d’étude américain basé à Reno, dans le Nevada, aux Etats-Unis. Et cet ancien analyste en chef de chez Gartner d’ajouter : (suite) « Par conséquent, les fournisseurs de cloud européens se sont principalement installés comme fournisseurs de services à des groupes locaux de clients ayant des besoins locaux spécifiques, travaillant parfois en partenariat avec les grands fournisseurs de cloud américains. Bien que de nombreux fournisseurs de cloud européens continuent de croître, il est peu probable qu’ils fassent beaucoup bouger les lignes en termes de part de marché européenne globale » (1). Les principaux bénéficiaires de la croissance du marché depuis sept ans sont le quasi-triopole Amazon, Microsoft et Google, ces « hyperscaler » capables déployer et gérer des infrastructures de cloud de façon massive, de réparties sur des centaines de datacenters à travers le monde leur puissance informatique dans le nuage, d’offrir des services de calcul, de stockage, d’IA, de réseau et de sécurité à l’échelle planétaire, et de faire évoluer dynamiquement leurs ressources en fonction de la demande grâce à leurs architectures de cloud. AWS, Azur et Google Cloud règnent donc toujours en maîtres, non seulement dans l’Union européenne qu’ils ont colonisée, mais aussi dans le reste du monde.
Alors que le marché mondial des infrastructures de cloud à destination des entreprises approche de la barre des 100 milliards de dollars de chiffre d’affaires rien qu’au deuxième trimestre 2025, toujours d’après Synergy Research Group, pour un total sur un an de 366 milliards de dollars (en hausse annuelle d’environ 25 %), le quasi-triopole s’arroge respectivement 30 % (Amazon), 20 % (Microsoft) et 13 % (Google) de parts de marché mondiale. « Nous prévoyons que la croissance annuelle moyenne au cours des cinq prochaines années restera supérieure à 20 %, a encore indiqué John Dinsdale. Nous pouvons remercier GenAI [intelligence artificielle générative capable de produire du contenu original – texte, image, code, musique, vidéo – à partir de données existantes, ndlr] d’avoir surdimensionné ce qui était déjà un marché important et à forte croissance ».

L’IA et GenAI favorables… au triopole
Au second trimestre 2025, Synergy Research Group a en effet constaté une croissance de 140 % à 180 % des services cloud spécifiques à GenAI, et l’intelligence artificielle (IA) a contribué également à la croissance des services cloud sur un marché plus élargi – de plus en plus d’entreprises et de plateformes grand public adoptant l’IA. « Au-delà des services cloud d’entreprise, constate John Dinsdale, l’IA alimente également l’expansion des revenus d’autres services numériques. Nous constatons une forte croissance à deux chiffres des revenus provenant des médias sociaux et de la recherche en ligne » (2). Si les Etats-Unis restent de loin le plus grand marché du cloud, l’Europe progresse mais ses plus grands marchés nuagiques sont le Royaume-Uni et l’Allemagne, tandis que les grands marchés européens avec les taux de croissance les plus élevés sont l’Irlande, l’Espagne et l’Italie. La France est au ralenti.

Changer de cloud facilement, sans frais
Avec le futur règlement Cloud & AI Development Act, Bruxelles vise à « tripler les capacités des centres de données de l’UE dans les cinq à sept années à venir ». Car, actuellement, l’UE accuse dans ce domaine un retard par rapport aux Etats-Unis et à la Chine. Le CAIDA a pour objectif de lever les barrières qui empêchent le développement de la capacité des centres de données dans les Vingt-sept : difficultés d’accès aux ressources naturelles (énergie, eau, terres), d’obtention d’autorisations (complexités différentes selon les Etats membres), de se fournir en composants technologiques, et de lever des capitaux pour investir. La montée en puissance du quasi-triopole de l’informatique en nuage fait aussi craindre, pour les entreprises et les particuliers, un verrouillage de leurs données par leur fournisseur de cloud.
D’où la question cruciale, à laquelle répond partiellement le Data Act (3) qui est entré en vigueur ce 12 septembre 2025 mais sur laquelle fait l’impasse la consultation (4) de la Commission européenne en vue de proposer un CAIDA : comment faciliter la possibilité de changer de fournisseur cloud et assurer la portabilité des données ? « En mai 2024, la loi visant à sécuriser et réguler l’espace numérique [loi dite SREN] a confié à l’Arcep de nouvelles missions sur le cloud justement pour lever les barrières techniques et commerciales au changement de fournisseur », a rappelé Laure de La Raudière (photo ci-dessus), présidente de l’Arcep, à l’occasion de la conférence Cloudweek Paris qui s’est tenue le 17 septembre 2025. Le régulateur français des télécoms entend exercer son pouvoir d’intervention sur le marché du cloud. « Concernant les barrières commerciales, a-t-elle précisé, nous avons la mission d’encadrer les frais de transfert de données lors d’un changement de fournisseur. […] Ces frais doivent être, selon nous, égaux à zéro, en dehors des prestations complémentaires ou de spécificités demandées par les clients ».
Mais ce n’est pas tout, l’enjeu porte surtout sur les données des clients dans le cloud : « Concernant les barrières techniques, nous avons la mission de préciser les règles et modalités de mise en œuvre des exigences essentielles par les fournisseurs cloud relatives à la portabilité et de l’interopérabilité » (5). Transparence, droit à la portabilité et droit à l’interopérabilité sont aussi des obligations qui s’imposent aux fournisseurs de services cloud (6), dans le cadre européen du Data Act. Mais est-ce suffisant ?

L’Arcep prône une régulation ex-ante
L’Arcep, qui est membre du réseau des régulateurs européens Berec, se prépare de longue date à « réguler les réseaux du futur » (7) et s’apprête à publier une recommandation qui vise à encourager la transparence et la mise en place de bonnes pratiques de documentation et de mise à jour des API (Application Programming Interface, ou interface de programmation d’application). Pour le futur CAIDA, la France suggère surtout à la Commission européenne de prévoir une régulation ex-ante du cloud et de l’IA, où les règles contraignantes sont fixées à l’avance (8). @

Charles de Laubier

Entre l’AI Act, le RGPD, le droit d’auteur et la protection des bases de données, l’articulation est cornélienne

Publié le par

Les fournisseurs de système d’IA et les entreprises utilisatrices de ces solutions – exploitant quantités de données, personnelles comprises – doivent se conformer à plusieurs réglementations européennes : de l’AI Act au RGPD, en passant les directives « Copyright » et « Bases de données ».

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’AI Act – règlement européen sur l’intelligence artificielle (1) – représente un changement significatif dans la régulation technologique au sein des Vingt-sept. Il ne substitue pas aux régimes existants, mais les enrichit, engendrant une superposition complexe avec le règlement général sur la protection des données (RGPD) et la législation sur le droit d’auteur. Cela nécessite des entreprises de mettre en place une gouvernance juridique intégrée, impliquant juristes, techniciens et responsables de la conformité.

Pas d’IA contre les droits fondamentaux
L’incertitude jurisprudentielle, l’accroissement des obligations et le danger financier associé aux sanctions exigent une vigilance accrue. Cependant, cette contrainte peut se transformer en atout concurrentiel : les entreprises qui réussissent à prévoir et à incorporer la conformité progressive gagneront la confiance de leurs utilisateurs et de leurs partenaires. La capacité des acteurs à convertir ces obligations en normes de qualité et de confiance déterminera l’avenir de l’intelligence artificielle (IA) en Europe. La régulation, plutôt que d’être un simple obstacle, pourrait se transformer en un outil stratégique de souveraineté numérique et de développement durable de l’IA.
Première législation mondiale dédiée à cette innovation technologique, l’AI Act est entré en vigueur le 1er août 2024, mais ses obligations sont mises en œuvre progressivement. Les mesures prohibées ont commencé à s’appliquer en février 2025 ; les normes relatives aux modèles d’IA à usage général ont commencé à s’appliquer en août 2025 (2) ; les règles concernant les systèmes à haut risque seront mises en œuvre en août 2026. Cette mise en application progressive a pour but de donner aux entreprises le temps nécessaire pour s’adapter, tout en se concentrant d’abord sur les risques considérés comme les plus critiques. A l’inverse du RGPD, qui a mis en place en 2018 un cadre uniforme immédiatement applicable à tous les traitements de données, l’AI Act opère (suite) sur la base d’une approche progressive. Cette stratégie illustre le désir du législateur européen de soutenir l’innovation tout en prévenant des disruptions trop violentes pour les acteurs économiques. Elle reflète aussi une reconnaissance de la variété des applications de l’IA, certaines étant avantageuses et peu dangereuses, d’autres risquant d’avoir un impact sévère sur les droits fondamentaux. Il s’agit d’une législation structurante qui ne remplace pas le RGPD ni le droit d’auteur, mais qui s’y superpose. La loi sur l’IA se fonde sur une catégorisation des systèmes d’IA en fonction de leur degré de risque. L’IA s’appuie sur l’exploitation d’une grande quantité de données, dont un bon nombre pourrait être considéré comme des données personnelles. Le RGPD rend obligatoire la détermination d’une base légale pour chaque acte de collecte ou d’utilisation (3). Selon la situation, le traitement peut se baser sur le consentement de l’individu concerné, sur l’exécution d’un contrat, sur un devoir légal, sur la protection des intérêts essentiels, sur une tâche d’intérêt public, ou encore sur le bénéfice légitime du gestionnaire du traitement. Ce fondement peut être considéré pour la formation des modèles. Cependant, il doit toujours être précédé d’une évaluation de proportionnalité et d’un contrôle de compatibilité avec les objectifs initiaux de la collecte.
L’obtention de l’accord est primordiale, particulièrement en ce qui concerne les données sensibles telles que définies par l’article 9, ou lorsque les traitements ne sont pas suffisamment justifiés par une autre base légale. De plus, si les données sont réutilisées pour un but différent de celui qui a motivé leur collecte, le RGPD demande une vérification de la concordance de cette nouvelle finalité (4). Cette évaluation prend en considération le rapport entre l’objectif initial et l’objectif modifié, le contexte de la collecte des données, la nature de ces dernières, les implications pour les individus concernés, ainsi que la présence de sécurités comme le cryptage ou la pseudonymisation.

Le droit de s’opposer au profilage
Le RGPD donne également la possibilité aux Etats membres d’établir des règles spécifiques, en particulier pour les traitements basés sur une obligation légale ou une mission d’intérêt public, afin de définir clairement les conditions de légalité et de structurer les modalités pratiques de leur application. Et toute personne a le droit de ne pas être soumise à une décision exclusivement automatisée, y compris le profilage, si cette décision engendre des conséquences juridiques ou a un impact significatif sur elle (5). Trois exceptions sont prévues à ce principe : la décision peut être valide si elle est indispensable à l’application d’un contrat, si elle est stipulée par la législation de l’UE ou d’un Etat membre, ou si elle repose sur l’accord explicite de l’individu concerné. Quoi qu’il en soit, des assurances particulières doivent être mises en place, notamment le droit d’exiger une intervention humaine, de faire part de ses remarques et de contester la décision.

Délicate soumission à plusieurs textes
De plus, le RGPD proscrit la prise de ces décisions sur des types spécifiques de données sensibles (6), à moins que l’une des exceptions ne soit applicable et que des mesures de protection accrues soient instaurées (7). Cette mesure est particulièrement cruciale pour les systèmes d’IA à risque élevé, notamment dans les domaines du crédit, de l’embauche ou de l’assurance, où la ligne entre automatisation et intervention humaine doit être strictement observée.
Concernant cette fois la propriété intellectuelle, l’AI Act exige une plus grande transparence sur les données utilisées pour la formation, sans toutefois établir un droit de refus. Le choix de sortie cité dans certaines études découle de la directive européenne « Droit d’auteur et droits voisins dans le marché unique numérique » de 2019, directive dite « Copyright » (8) : elle établit une dérogation pour l’extraction de textes et de données à des fins scientifiques (9), alors qu’elle permet l’extraction à des fins commerciales, à condition que les détenteurs des droits ne s’y soient pas formellement opposés (10). On peut également mentionner la protection spécifique des bases de données prévue par la directive « Bases de données » de 1996 (11), qui proscrit l’extraction substantielle ou la réutilisation non permise de contenus.
La coordination entre ces divers systèmes d’IA est délicate. Un projet donné peut être soumis à la fois au RGPD, au droit d’auteur, au droit des bases de données et à l’AI Act en même temps. Les obligations peuvent s’accumuler sans forcément être cohérentes entre elles, ce qui contraint les acteurs à adopter une démarche globale de conformité. Cette dernière comprend la sauvegarde des données personnelles, la reconnaissance des droits de propriété intellectuelle, ainsi que les exigences techniques spécifiques au règlement sur l’IA.
Considérons un cas de figure où un générateur de contenus commerciaux utilise des profils d’utilisateurs (RGPD), des articles de presse (droit d’auteur) et des bases documentaires publiques (AI Act). Conformément au RGPD : obligation de communication, protection des droits individuels, assurances pour les transferts internationaux (12). Conformément au « Copyright » : contrôle des licences, observation des opt-out et considération des exceptions. Conformément à l’AI Act : documentation technique, gestion des données, protocoles de traitement des incidents, contrôle humain et évaluation de conformité réalisée par des entités notifiées. En cas d’infractions, l’AI Act instaure un système de sanctions particulièrement dissuasif, qui s’ajoute et parfois se superpose à celui du RGPD, selon trois niveaux de gravité :
La transgression des prohibitions strictes, telles que manipulation subliminale, exploitation de vulnérabilités, notation sociale, usage abusif de la biométrie, etc., expose les opérateurs à une amende qui pourrait s’élever jusqu’à 35 millions d’euros ou représenter 7 % du chiffre d’affaires annuel global de la société, le montant le plus élevé étant pris en compte (13).
Les infractions aux obligations imposées à divers intervenants de la chaîne (fournisseurs, mandataires, importateurs, distributeurs, déployeurs) ou aux entités notifiées, ainsi que les violations des règles de transparence (14), sont passibles d’une amende pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. En définitive, la communication d’informations fausses, partielles ou induisant en erreur aux instances de régulation peut conduire à une sanction pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires.
La réglementation prévoit un régime allégé pour les PME et les start-up, pour lesquels le seuil applicable est le plus bas entre les montants absolus et les pourcentages mentionnés précédemment. L’AI Act précise également les paramètres d’aggravation ou de mitigation pris en compte par les autorités nationales (15). Chaque Etat membre est tenu d’établir des normes procédurales nationales, de définir l’étendue à laquelle les amendes peuvent s’appliquer aux autorités ou institutions publiques, et d’assurer aux opérateurs des voies de recours juridictionnelles effectives.
On prévoit l’émergence des premiers litiges dès 2025, en particulier concernant les pratiques prohibées par l’AI Act (16), en vigueur depuis le 2 février. Dès le 2 août 2026, les conflits pourraient englober les systèmes à haut risque, avec une prolongation jusqu’en 2027 pour certains équipements inclus dans des produits soumis à réglementation, en particulier dans les domaines financier et médical. Etant donné que la Commission européenne a abandonné sa proposition de directive sur la responsabilité civile de l’IA, le cadre repose désormais sur la directive « Responsabilité du fait des produits défectueux » de 2024, qui englobe les systèmes d’IA et doit être mise en œuvre d’ici décembre 2026.

Les entreprises doivent vite se préparer
Pour être prêtes et en conformité, les entreprises doivent mettre en place des procédures internes solides pour anticiper. Cette préparation sera facilitée par des outils utiles tels que des tableaux de comparaison RGPD/AI Act/ Copyright ou des listes de vérification pour assurer la conformité. Quant aux transferts internationaux de données UE-US, ils demeurent un enjeu majeur. Ils restent soumis au RGPD et aux exigences renforcées des arrêts « Schrems », malgré la confirmation fragile en septembre 2025 (17) du Data Privacy Framework. @

Le Tribunal de l’UE valide le DPF : répit fragile pour les transferts transatlantiques de données

Publié le par

« Safe Harbor », « Privacy Shield », « Data Privacy Framework », … Les cadres transatlantiques UE-US de protection des données des Européens se suivent et… se ressemblent. L’actuel DPF a obtenu de la part du Tribunal de l’UE un sursis, mais un recours devant la CJUE est possible et risqué.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le Tribunal de l’Union européenne (TUE) a rendu, le 3 septembre 2025, une décision (1) qui marque un tournant dans la saga des transferts de données transatlantiques. Saisi par le député français Philippe Latombe, le TUE a confirmé la validité du Data Privacy Framework (DPF), l’accord adopté par la Commission européenne en juillet 2023 pour encadrer les flux de données personnelles vers les Etats-Unis.

Une histoire de rendez-vous manqués
Derrière ce sigle technique « DPF » se cache un enjeu colossal : le fonctionnement quotidien de milliers d’entreprises européennes, la protection des données de centaines de millions de citoyens et, plus largement, l’équilibre fragile entre sécurité nationale américaine et droits fondamentaux européens. L’histoire du DPF, censé fixer un cadre transatlantique de protection des données, s’inscrit dans une série d’accords avortés.
En 2015, la Cour de justice de l’Union européenne (CJUE) invalidait le Safe Harbor dans le cadre de l’affaire dite « Schrems I » (2) en raison de la surveillance de masse pratiquée par les Etats-Unis (3). Cinq ans plus tard, avec cette fois l’affaire « Schrems II » (4), c’était au tour du Privacy Shield de tomber, la CJUE jugeant que les recours offerts aux citoyens européens étaient illusoires face à la puissance des agences de renseignement américaines (5).
A chaque fois, le scénario fut identique : la Commission européenne tentait de bâtir un pont numérique avec Washington, immédiatement « dynamité » par la CJUE au nom de la protection des citoyens de l’Union européenne. De là naît une interrogation récurrente : peut-on réellement concilier le droit américain de la sécurité nationale et les exigences européennes en matière de vie privée ?
En juillet 2023, malgré de nombreuses frictions avec le droit de l’UE (6), la Commission européenne adoptait la décision (7) instaurant le DPF. A ses yeux, les Etats-Unis avaient corrigé les failles mises en lumière par Schrems II, notamment grâce au décret présidentiel pris par Joe Biden en 2022 – Executive Order n°14086 sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (8) – instaurant de nouveaux garde-fous et créant la Data Protection Review Court (DPRC). Mais très vite, la contestation s’est organisée. Philippe Latombe a saisi le Tribunal de l’UE pour (suite) obtenir l’annulation de cette décision. Son argumentaire reposait sur cinq moyens juridiques, allant de la violation des droits fondamentaux (9) à l’insuffisance des garanties prévues par le règlement général sur la protection des données (RGPD) (10). Selon le député français (MoDem), le DPF n’était qu’une version retouchée du Privacy Shield, condamné à subir le même sort. Dans son arrêt du 3 septembre 2025, le TUE balaie ces critiques. Certes, il reconnaît que le droit américain repose encore sur un décret présidentiel, donc un instrument réversible. Mais il estime qu’à la date de l’adoption de la décision d’adéquation, les garanties offertes suffisaient à assurer un niveau « substantiellement équivalent » à celui de l’UE, conformément à l’article 45 du RGPD (11).
Deux points retiennent particulièrement l’attention. D’abord, l’indépendance de la Data Protection Review Court (DPRC), que le TUE juge réelle malgré la création de ce tribunal américain de révision de la protection des données par voie exécutive. Les juges de cette cour spécialisée (12) sont nommés pour un mandat fixe et ne peuvent être révoqués qu’en cas de faute grave, ce qui constitue, selon le TUE, une garantie suffisante contre l’arbitraire (13). Ensuite, le rôle de la Commission européenne, érigée en vigie permanente : « Lorsqu’elle est en possession d’éléments indiquant qu’un niveau de protection adéquat n’est plus assuré, la Commission en informe les autorités des Etats-Unis et, si nécessaire, elle décide de suspendre, de modifier, d’abroger la décision attaquée ou d’en restreindre le champ d’application » (14). En somme, le TUE ne ferme pas les yeux sur les fragilités du système, mais choisit d’accorder le bénéfice du doute aux Etats-Unis, tout en rappelant la responsabilité de la Commission européenne.

Une victoire pour les entreprises…
L’arrêt du Tribunal de l’UE est d’abord un soulagement économique. Les entreprises européennes – de la startup exploitant une solution cloud américaine au groupe bancaire traitant des transactions transatlantiques – bénéficient ainsi d’un cadre juridique stabilisé. Elles n’ont plus à multiplier les montages juridiques complexes (clauses contractuelles types, audits techniques, mesures supplémentaires) pour transférer légalement des données aux Etats-Unis. La stabilité instaurée par le cadre transatlantique constitue un élément de sécurité juridique essentiel. Dans un contexte où l’économie numérique repose sur des échanges massifs d’informations, la moindre insécurité juridique peut coûter cher. Les avocats d’affaires le savent : une opération de fusion-acquisition ou un partenariat international peut être fragilisé si les flux de données ne reposent pas sur une base légale solide. L’arrêt du TUE offre donc une assise juridique bienvenue.

… mais une victoire fragile
Pour les défenseurs de la vie privée, le ton est bien différent. Le juriste autrichien Max Schrems (15) et son organisation non gouvernementale Noyb (nom issu du slogan « None Of Your Business ») dénoncent une décision complaisante, qui, selon lui, se satisfait de garanties superficielles. Leur argument est simple : ce qui est fondé sur un décret présidentiel peut être défait par un autre décret (16). Qu’adviendrait-il si Donald Trump – multipliant les « Executive Order » – ou une future administration américaine décidait d’assouplir les contraintes imposées aux agences de renseignement ?
Le risque est d’autant plus grand que la jurisprudence de la CJUE en matière de transferts est constante : elle exige des garanties effectives et durables, pas de simples promesses politiques. « Il est clair que le tribunal de première instance s’écarte ici massivement de la jurisprudence de la CJUE. Nous sommes très surpris de ce résultat. Il se peut que le [TUE] n’ait pas disposé de suffisamment de preuves – ou qu’il veuille s’écarter de la CJUE », a commenté Max Schrems, à l’origine des affaires « Schrems I » et « Schrems II ». Le Tribunal de l’UE a choisi une lecture pragmatique, mais la CJUE, en cas de pourvoi, pourrait se montrer plus sévère.
Pour les particuliers, tout du moins pour les 450 millions d’Européens, la question n’est pas théorique. Chaque jour, leurs données (photos, e-mails, dossiers médicaux ou financiers) traversent l’Atlantique. Le DPF prétend leur offrir un recours effectif en cas d’abus, via la DPRC. Mais combien d’Européens saisiront effectivement cette juridiction américaine spécialisée ? Combien même en auront connaissance ? Le paradoxe est là : juridiquement, un mécanisme existe ; sociologiquement, il restera probablement invisible pour la grande majorité des citoyens. Ce décalage entre le droit sur le papier et la protection vécue nourrit la méfiance des associations de défense des consommateurs et des droits numériques. L’histoire nous a appris à la prudence. Chaque accord validé par la Commission européenne a fini devant la CJUE, et chaque fois, celle-ci a tranché en faveur d’une protection stricte des droits fondamentaux. Le DPF fera-t-il exception ? Rien n’est moins sûr. Un pourvoi est possible et, si la CJUE reprend la main, la bataille judiciaire pourrait durer encore plusieurs années. Selon les règles de procédure de l’UE, le délai pour introduire un pourvoi devant la CJUE est de deux mois à compter de la notification de l’arrêt du Tribunal. L’arrêt ayant été rendu le 3 septembre 2025, le citoyen français Philippe Latombe a donc jusqu’au 4 novembre 2025 pour faire appel. Et un éventuel arrêt « Schrems III » pourrait tomber entre fin 2026 et mi-2027.
En attendant, les entreprises disposent d’une fenêtre de stabilité, mais une stabilité conditionnée : l’obligation de la Commission européenne de surveiller en continu l’application du DPF est une épée de Damoclès. Les juristes d’entreprise et les avocats savent qu’il faut rester vigilants, intégrer des clauses de sauvegarde et anticiper l’hypothèse d’un retour à l’insécurité juridique. Le jugement du 3 septembre 2025 ne règle donc pas définitivement la question des transferts transatlantiques, mais il offre un répit. Ce répit est précieux pour l’économie numérique européenne, qui repose sur la fluidité des données, et un répit stratégique pour la Commission européenne, qui peut désormais surveiller la mise en œuvre américaine. « La décision rendue par le TUE confirmant la décision d’adéquation sous-jacente à ce cadre [DPF] est une victoire pour les plus de 3.400 entreprises américaines qui dépendent des flux de données transatlantiques pour mener à bien leurs activités », a déclaré William Kimmitt, sous-secrétaire américain au Commerce international (ITA), le 3 septembre 2025 (17), auprès de l’Association internationale des professionnels de la protection de la vie privée (IAPP). Quant à la Business Software Alliance (BSA), elle s’est aussi félicitée : « Ce résultat apporte stabilité et assurance aux entreprises et aux consommateurs des deux côtés de l’Atlantique » (18).

Incertitude : vers un « Schrems III » ?
Reste une interrogation : s’agit-il d’une victoire durable, marquant enfin la fin de la saga des Safe Harbor et Privacy Shield, ou d’un simple sursis avant un nouvel épisode Schrems III ?
Une chose est certaine : le droit des données personnelles n’est pas une matière figée. Il évolue au gré des rapports de force politiques, des révélations technologiques et des arbitrages judiciaires. L’arrêt du TUE rappelle que l’équilibre entre protection des droits et circulation des données reste fragile. Pour les avocats, il confirme surtout une leçon : dans le domaine des transferts internationaux, la seule constante est l’incertitude. @

* Anne-Marie Pecoraro est avocate spécialisée
en droit de la propriété intellectuelle,
des médias et des technologies.

Donald Trump, qui aime être appelé « président de l’Europe », s’en prend aux lois numériques de l’UE

Publié le par

A peine la présidente de la Commission européenne Ursula von der Leyen avait-elle signé le 21 août un accord commercial et douanier avec le président des Etats-Unis Donald Trump que celui-ci lançait une charge contre la législation numérique des Vingt-sept. Comme tétanisé, Bruxelles ne lui a pas répondu.

(Au moment où nous publiions le 5 septembre cet article dans EM@, la Commission européenne infligeait à Google 2,95 milliards d’euros d’amende, fâchant encore Trump)

Cinq jours à peine après avoir signé tout sourire avec Ursula von der Leyen (photo de droite) les conclusions d’un accord commercial sur les droits de douane entre les Etats-Unis et l’Union européenne (1), Donald Trump (photo de gauche) lançait, le 26 août, une charge virulente – avec menaces de représailles douanières – contre la législation numérique des Vingt-sept : « En tant que président des Etats-Unis, je m’opposerai aux pays qui attaquent nos incroyables entreprises technologiques américaines. Les taxes numériques, la législation sur les services numériques et la réglementation des marchés numériques sont toutes conçues pour nuire à la technologie américaine ou la discriminer. Ils donnent aussi, outrageusement, un laissez-passer complet aux plus grandes entreprises technologiques chinoises. Cela doit cesser, et se terminer MAINTENANT ! », a lancé ce jour-là le 47e président des Etats-Unis sur son réseau social (2). Depuis cette offensive, aucune réplique n’est intervenue de la part de la Commission européenne, que cela soit de sa présidente Ursula von der Leyen ou de sa vice-présidente chargée du numérique Henna Virkkunen. Pourtant, Donald Trump visait explicitement les taxes sur les services numérique (TSN), le Digital Services Act (DSA) ou encore le Digital Markets Act (DMA).

Von der Leyen reste sans voix face à Trump
Le locataire de la Maison-Blanche a même menacé l’Europe – sans la nommer tant la cible est claire – de représailles douanières si ces réglementations – qu’il a qualifiées de « discriminatoires » – n’étaient pas abolies. Dans ce post menaçant l’Union européenne comme le reste du monde, Donald Trump a brandi son arme douanière favorite : « Avec cette VÉRITÉ [sic], j’avertis tous les pays ayant des taxes, des lois, des règles ou des réglementations numériques qu’à moins que ces actions discriminatoires ne soient supprimées, moi, en tant que président des Etats-Unis, j’imposerai des droits de douane supplémentaires substantiels sur les exportations de ce pays vers les Etats-Unis et instituerai des restrictions à l’exportation sur notre technologie et nos puces hautement protégées. L’Amérique et les entreprises technologiques américaines ne sont (suite) plus ni la “tirelire” ni le “paillasson” du monde ». Cette attaque a laissé sans voix la présidente Ursula von der Leyen (« UVDL ») qui, après la « déclaration commune » du 21 août, pensait en avoir fini avec l’instabilité et l’imprévisibilité dans les échanges et les investissements entre l’UE et les EtatsUnis. Que nenni.

Henna Virkkunen s’adresse à Jim Jordan
L’eurodéputée allemande Alexandra Geese et son homologue française Stéphanie Yon-Courtin ont été parmi ceux qui ont pointé l’absence de réponse à Donald Trump de la part de la Commission européenne. D’autant que ce dernier n’en était pas à sa première remise en cause de la législation numérique européenne. Le même jour que la déclaration commune Trump-UVDL, le président de la Federal Trade Commission (FTC), Andrew Ferguson, écrivait, lui, une lettre (3) à treize patrons de Big Tech américaines pour dire tout le mal qu’il pensait du DSA qui « incite les entreprises technologiques à censurer le discours, y compris le discours en dehors de l’Europe ». Dans cette missive à charge, celui qui fut nommé par Donald Trump en janvier 2025 se dit « préoccupé par le fait que ces actions de puissances étrangères visant à imposer la censure et à affaiblir le chiffrement de bout en bout éroderont les libertés des Américains et les exposeront à une multitude de préjudices, tels que la surveillance par des gouvernements étrangers et un risque accru d’usurpation d’identité et de fraude ».
Apple, Google, Meta, Microsoft, Amazon, X, Signal ou encore Slack ont été parmi les destinataires. « La FTC Trump-Vance ne tolérera pas un nouveau régime de surveillance et de censure conçu dans les capitales étrangères. […] La FTC Trump-Vance veillera à ce que les entreprises respectent les lois de notre pays, et non les caprices de technocrates étrangers », a insisté Andrew Ferguson dans un post sur X (4). Selon Reuters, le secrétaire d’Etat américain Marco Rubio avait lancé les hostilités en demandant par écrit le 4 août aux diplomates américains en Europe de lancer une campagne de lobbying contre le DSA (5). Les critiques de l’agence fédérale du commerce américain à l’encontre du DSA sont, elles, intervenues à la suite d’un rapport publié le 25 juillet par les républicains de la commission judiciaire, présidée par le trumpiste Jim Jordan, à la Chambre des représentants. Son titre : « La menace de la censure étrangère : comment la loi sur les services numériques de l’Union européenne impose une censure mondiale et enfreint la liberté d’expression américaine » (6). Ce rapport à charge a servi de base pour une audition qui s’est tenue le 3 septembre à Washington à la Chambre des représentants sous le thème explicite « La menace de l’Europe pour la parole et l’innovation américaines », où il a aussi été question du Digital Markets Act (DMA) qui « cible les entreprises américaines et nuisent à l’innovation » (7).
Non conviée à cette audition, contrairement à l’ancien commissaire européen Thierry Breton qui a finalement décliné l’invitation (8), Henna Virkkunen a mis les points sur les « i » en adressant le 1er septembre une lettre (9) à Jim Jordan qu’elle avait reçu à Bruxelles le 28 juillet pour un « échange franc » : « Il [le DSA] n’a aucune compétence extraterritoriale aux Etats-Unis ni dans aucun autre pays non-membre de l’UE [et il] respecte pleinement et soutient les droits fondamentaux, y compris la liberté d’expression. [Il] offre également certaines des garanties les plus complètes au monde pour la liberté d’expression en ligne : obligations de transparence étendues, droits d’information des utilisateurs, mécanismes solides de recours et de réintégration, ainsi que des garanties de procédure régulière visant à assurer que toutes les décisions de modération de contenu soient transparentes et contestables ». Le ton est diplomatique, alors que le 28 août un porte-parole de la Commission européenne, Thomas Regnier (photo ci-contre) avait été plus sévère : « Les récentes allégations de censure contre notre législation technologique sont complètement absurdes. Totalement infondé. Complètement faux. […] Précisément parce que la DSA leur donne [aux utilisateurs] les moyens de lutter contre les suppressions injustifiées », avait-il répliqué, en citant les 16 millions de décisions de suppression de contenu prises par les plateformes TikTok et Meta mais contestées par des utilisateurs de l’UE. Résultat, grâce au DSA : « 35 % de ces décisions de modération de contenu prises par TikTok et Meta étaient en effet injustifiées et le contenu a été restauré. C’est le contraire de la censure. C’est la protection de la liberté d’expression » (10).

Donald Trump, « président de l’Europe »
Pendant cette campagne anti-DSA/DMA et anti-UE, Donald Trump – installé dans le Bureau ovale – a révélé le 25 août à quelques journalistes qu’il aimait être appelé « président de l’Europe » par… des dirigeants européens ! « C’est un honneur, j’aime ces gens, ce sont des gens bien, de grands dirigeants », a déclaré le président américain, après avoir justement reçu à la Maison-Blanche le 18 août, entre autres, le Français Emmanuel Macron, l’Allemand Friedrich Merz, l’Italienne Giorgia Meloni, le Finlandais Alexander Stubb et la présidente de la Commission européenne Ursula von der Leyen. @

Charles de Laubier