Archives par mot-clé : Juridique

Accessibilité numérique : éditeurs numériques et acteurs du e-commerce sous l’œil de la DGCCRF

Publié le par

Sites web, applications mobiles, livres numériques, vidéo à la demande, services télécoms, e-commerce, … Hormis les microentreprises, ils sont tous tenus depuis l’été 2025 de rendre leurs sites web et applications mobiles accessibles aux personnes en situation de handicap. Gare à la DGCCRF.

Par Prudence Cadio, avocate associée*, et Lobna Boudiaf, avocate*, cabinet LPA Law

L’exigence d’accessibilité numérique a connu une nouvelle évolution avec l’entrée en application, le 28 juin 2025, de la directive européenne « Accessibilité » de 2019, fixant des « exigences en matière d’accessibilité applicables à certains produits et services ». Appelée aussi « European Accessibility Act » (EAA), cette directive s’applique immédiatement à l’ensemble des produits et services qu’elle énumère, mis sur le marché depuis cette date : ordinateurs et systèmes d’exploitation, terminaux de paiement, guichets de banque automatiques, liseuses numériques, services de communications électroniques et de e-commerce, accès à des services de médias audiovisuels, sites web, applications mobiles, livres numériques, etc (1).

Définition et champ d’application
Les produits et services relevant de ce champ et mis sur le marché avant cette date du 28 juin 2025, marquant l’entrée en application de la directive EAA, peuvent continuer à être exploités, eux, jusqu’au 28 juin 2030, même s’ils ne satisfont pas aux exigences prévues par cette directive, sous réserve qu’aucune modification substantielle n’y soit apportée. En droit français, la directive EAA a été transposée par la loi du 9 mars 2023 portant diverses dispositions d’adaptation au droit de l’Union européenne dans les domaines de l’économie, de la santé, du travail, des transports et de l’agriculture (2). Ce dispositif a ensuite été précisé par un décret de la même année (3), qui fixe les obligations des professionnels en matière d’accessibilité des produits et services, ainsi que par un arrêté définissant le périmètre et les exigences techniques applicables (4).
L’accessibilité numérique désigne l’ensemble des prescriptions graphiques, fonctionnelles, techniques et rédactionnelles – telles que (suite) l’utilisation de technologies d’assistance, de lecteurs d’écran incluant la synthèse vocale et/ou les plages braille, ou encore l’intégration de sous-titres – visant à garantir que les supports numériques sont accessibles à tous les utilisateurs, et en particulier aux personnes en situation de handicap. La directive EAA s’applique à toute entreprise qui, sous réserve des exemptions notamment pour les « microentreprises », conçoit, commercialise ou distribue sur le territoire de l’Union européenne les produits et services concernés. S’agissant plus spécifiquement du commerce électronique, la directive EAA vise les « services de commerce électronique » fournis aux consommateurs (5). Ces services sont définis comme des « services fournis à distance, via des sites Internet, par voie électronique et à la demande individuelle d’un consommateur, en vue de conclure un contrat de consommation » (6).
La directive EAA prévoit plusieurs cas d’exemption aux obligations en matière d’accessibilité, tenant notamment à la taille de l’entreprise (les entreprises employant moins de 10 salariés avec un chiffre d’affaires annuel ou total de bilan inférieur à 2 millions d’euros), la nature du produit ou service (lorsque la mise en conformité entraînerait une modification fondamentale de sa nature), la charge disproportionnée pour l’opérateur (es critères pour la définir sont précisés par la réglementation). Dans les deux derniers cas, les professionnels concernés devront informer, via la plateforme numérique « Démarches simplifiées » (7) de la DGCCRF (8), l’autorité de surveillance du marché du pays dans lequel le produit ou le service est fourni et en cas de demande des autorités de contrôle, pouvoir présenter un dossier technique justifiant de la validité de ces exemptions. Et ce, avec des éléments permettant de justifier de la modification fondamentale du service, au cas par cas, et en s’appuyant sur une annexe du code de la consommation (9) en cas de demande d’exception pour charge disproportionnée. La direction départementale de la DGCCRF du lieu où se situe le siège de l’entreprise est l’entité en charge de ces échanges. A noter également que le périmètre de l’accessibilité des contenus web et mobiles comporte certaines exclusions limitées et précisément définies (10). Sont notamment exclus : les médias temporels préenregistrés publiés avant le 28 juin 2025 ; les formats de fichiers bureautiques publiés avant cette même date ; les contenus de tiers non financés, non développés, ni contrôlés par l’opérateur économique concerné ; les contenus d’archives qui ne sont plus mis à jour ou modifiés après le 28 juin 2025.

A partir de quatre principes cardinaux
Le cœur des exigences techniques tient aux quatre principes cardinaux de perceptibilité, d’opérabilité, de compréhensibilité et de robustesse. Concrètement, les sites web et les applications mobiles – notamment de e-commerce – doivent permettre une navigation au clavier, offrir des alternatives textuelles aux contenus non textuels, assurer des contrastes suffisants, prévenir les réactions photosensibles, fournir des messages d’erreur explicites et préserver la compatibilité avec les technologies d’assistance. Les règles d’accessibilité en France sont précisées dans le référentiel général d’amélioration de l’accessibilité (RGAA). Sa version 4.1.2 est en vigueur depuis septembre 2021 (11). La version 5 est en cours de rédaction par la Direction interministérielle du numérique (Dinum) et des acteurs concernés, avec une publication prévue fin 2026 (12).

E-commerce et accessibilité : exigences
Le RGAA est la déclinaison opérationnelle française de la norme européenne harmonisée EN 301 549, élaborée conjointement par les organismes européens de normalisation ETSI, CEN et Cenelec, et intitulée « Accessibility requirements for ICT products and services » (13). Elle est elle-même construite selon la norme internationale WCAG (Web Content Accessibility Guidelines) établie par le World Wide Web Consortium (W3C), plus précisément au sein de son initiative Web Accessibility Initiative (WAI). La WCAG actuellement en vigueur est la version 2.1 depuis le mai 2025, tandis que le W3C recommande la WCAG 2.2 en tant que « norme web » depuis octobre 2023 (14). Quant à la prochaine version 3 de WCAG, elle est en cours d’élaboration, avec une ébauche publiée en mars 2026 (15).
La méthode technique du RGAA permet de vérifier qu’une page web, c’est-à-dire tout contenu HTML, est conforme aux 50 critères de succès des niveaux A (le minimum) et AA (le niveau recommandé et souvent obligatoire) de la norme internationale WCAG 2.1, lesquels ont été retenus dans la norme européenne de référence EN 301 549 pour établir le niveau d’exigence légale en matière d’accessibilité numérique. Sans ériger cette norme en obligation générale autonome, le décret français de 2023 prévoit une présomption de satisfaction de certaines obligations lorsqu’un service répond aux exigences techniques correspondantes et constitue la voie la plus sûre pour documenter la conformité et sécuriser les échanges avec l’autorité de contrôle compétente. Les acteurs du commerce électronique doivent organiser leur conformité en intégrant l’accessibilité dans leurs processus de conception, de développement et de recette, corriger les régressions, mettre en œuvre des procédures de suivi et informer l’autorité compétente en cas de doute sérieux sur la conformité. Les obligations applicables aux services de commerce électronique sont détaillées une annexe de la directive EAA (16) et ont été transposées en droit français (17). Ces dispositions, détaillées dans l’arrêté de 2023, oblige les sites de e-commerce à : « a) fournir les informations relatives à l’accessibilité des produits et services mis en vente lorsque ces informations sont fournies par l’opérateur économique responsable ; b) veiller à l’accessibilité des fonctionnalités relatives à l’identification, à la sécurité et au paiement lorsqu’elles sont fournies en tant qu’éléments d’un service plutôt que d’un produit, en les rendant perceptibles, utilisables, compréhensibles et robustes ; c) fournir des méthodes d’identification, des signatures électroniques et des services de paiement perceptibles, utilisables, compréhensibles et robustes » (18). Les prestataires de services de e-commerce, doivent également fournir dans leurs clauses ou conditions générales (ou documents équivalents), et sous des formats accessibles aux personnes handicapées, les informations permettant au public de comprendre le service, son fonctionnement et son respect des exigences d’accessibilité (19). Il sera donc nécessaire de mettre à jour la documentation contractuelle en conséquence. Certains prestataires de services de commerce électronique devront également publier une déclaration d’accessibilité et élaborer un schéma pluriannuel de mise en accessibilité de leurs services de communication au public en ligne, lequel est rendu public et décliné en plans d’actions annuels, et dont la durée ne peut être supérieure à trois ans pour les entreprises. Les obligations des professionnels en matière d’accessibilité des produits et services sont définies de manière exhaustive dans l’arrêté.
La DGCCRF est l’autorité compétente pour contrôler la conformité des produits et des services concernés par la réglementation relative à l’accessibilité, notamment les services de commerce électronique. Selon la nature des services en cause, d’autres autorités administratives seront également compétentes, telles que l’Arcom, l’Arcep, l’ACPR, ou encore l’AMF. Les agents de la DGCCRF sont habilités à enjoindre aux professionnels de procéder à la mise en conformité de leurs produits ou services. Ces injonctions peuvent, le cas échéant, être assorties d’une astreinte ainsi que d’une mesure de publicité. Les sanctions applicables en cas de manquement aux obligations d’accessibilité sont prévues par le code de la consommation (20), qui réprime ces manquements par des contraventions de cinquième classe.

La DGCCRF contrôle depuis l’été 2025
Au-delà des sanctions administratives et financières, le non-respect des obligations d’accessibilité peut également entraîner un risque réputationnel, ainsi qu’un risque contentieux, notamment dans le cadre d’actions engagées par des associations ou par des particuliers invoquant une discrimination fondée sur le handicap. Les contrôles ont débuté dès l’entrée en application de la directive EAA, le 28 juin 2025. Ils peuvent notamment intervenir à la suite de signalements et sont réalisés par les enquêteurs de la DGCCRF au sein des directions départementales. @

* Prudence Cadio et Lobna Boudiaf sont avocates spécialisées
en propriété intellectuelle, technologies de l’information
et données (IP IT Data) au sein du cabinet LPA Law.

La 9ᵉ édition de « Cyberdroit. Le droit à l’épreuve du numérique » (chez Lefebvre Dalloz) s’impose

Publié le par
Sous la direction de Christiane Féral-Schuhl, avocate fondatrice du cabinet Féral, un collectif d’auteurs avocats – dont Anne-Marie Pecoraro, cabinet Fidal – et de magistrats publie chez Lefebvre Dalloz la 9e édition de l’ouvrage de référence « Cyberdroit. Le droit à l’épreuve du numérique ». Par Christiane Féral-Schuhl, avocate fondatrice du cabinet Féral « Cyberdroit », c’est une histoire qui commence en 1998, au moment où les premières affaires liées à l’Internet se heurtaient à un « vide » juridique. Dans un premier temps, mon objectif pour cet ouvrage se limitait à rassembler la matière pour tenter de répondre aux multiples questions émergentes. Plébiscité par les journalistes dès sa parution, « Cyberdroit » a reçu le prix Fnac/Arthur Andersen du Livre d’Entreprise pour l’année 2001 dans la catégorie « Gestion/Droit/Finance », et s’est retrouvé en tête de gondole. Ce fut un grand moment de fierté.

Christiane Féral-Schuhl a été présidente du Conseil national des barreaux (CNB) de 2018 à 2020, et auparavant bâtonnier du Barreau de Paris en 2012 et 2013.

L’audiovisuel et l’IA font leur entrée Jusqu’en 2025, j’étais l’unique auteure de « Cyberdroit » – dont le titre complet était encore « Cyberdroit. Le droit à l’épreuve de l’Internet ». Je l’ai mis à jour au fil des évolutions normatives et jurisprudentielles. Mais à partir de cette 9e édition 2026-2027, cet ouvrage de référence devient collectif, co-écrit sous ma direction par des avocats et des magistrats : Philippe Bazin, Muriel Goldberg Darmon, Guillaume Guérin, Xavier Leonetti, Bathscheba Macé, Jean-François Mary, Nicolas Pottier, Myriam Quéméner, Sophie Soubelet-Caroit, Richard Willemant et Anne-Marie Pecoraro. Son titre devient « Cyberdroit. Le droit à l’épreuve du numérique ». C’est avec émotion que je tourne aujourd’hui cette nouvelle page de « Cyberdroit », en passant la main à une équipe solide et motivée de contributeurs. Il leur appartient désormais de poursuivre cette œuvre pour que cet ouvrage reste et demeure une belle référence chez Lefebvre Dalloz. C’est en 2006 que « Cyberdroit » a été une première fois entièrement restructuré et refondu, sous l’impulsion et avec l’aide de Hani Féghali, alors directeur éditorial chargé des ouvrages professionnels chez Lefebvre Dalloz. Dans une approche transversale, cette 4e édition avait appréhendé le sujet de l’Internet par thèmes classés en sept livres : les données à caractère personnel, le commerce électronique, les droits d’auteur et la propriété intellectuelle, les noms de domaine, la responsabilité des intermédiaires/fournisseurs d’accès et d’hébergement, la publicité et le droit de la concurrence, la sécurité et la cybercriminalité. L’ouvrage a continué à s’enrichir, au fil des mises à jour successives, gagnant significativement en volume, mais sans modification du plan, celui-ci ayant plutôt bien résisté aux évolutions pléthoriques de la réglementation et de la jurisprudence. En 2025, « Cyberdroit » opère de nouveau une profonde mutation, cette fois sous la direction de Didier Gauthier, qui occupe à son tour les fonctions de directeur éditorial. Comme il m’a bien fallu admettre que l’ampleur des mises à jour ne pouvait plus reposer sur ma seule personne, j’ai pris la décision de convertir « Cyberdroit » en une œuvre collective. C’est donc avec le concours de plusieurs professionnels issus du monde juridique et judiciaire que cette 9e édition a vu le jour. Il aura fallu pour cela une année complète depuis le coup d’envoi de ce projet, rythmée par une réunion mensuelle – la visio a pu rendre cela possible ! – et cadencée par les restitutions des contributions écrites souvent à plusieurs mains. L’ouvrage s’enrichit à cette occasion de deux nouveaux livres : l’audiovisuel en ligne et l’intelligence artificielle (IA). J’adresse mes remerciements les plus chaleureux aux contributeurs qui ont permis que l’aventure « Cyberdroit » puisse se poursuivre. Car le numérique lance des défis sans cesse renouvelés à l’ensemble des domaines du droit. Que ce soit le droit des données personnelles, du commerce à distance, de l’audiovisuel ou plus largement de la propriété intellectuelle, du travail ou même pénal, tout s’écrit en fonction de la numérisation croissante des activités sociales et économiques. 9e édition composée de 9 livres Les données personnelles sont-elles mieux protégées depuis l’implémentation du RGPD ? Quelles sont les règles de transparence et de loyauté applicables au commerce en ligne ? Quelles sont les contraintes spécifiques s’agissant des services financiers ? Comment appréhender la création, notamment audiovisuelle, aujourd’hui massivement diffusée en ligne ? Quelles sont les obligations des entreprises en matière de cybersécurité ? Comment lutter plus efficacement contre la cybercriminalité et le cyberterrorisme ? Comment appréhender les défis de l’IA ? Le lecteur trouvera dans cette 9e édition les réponses aux nombreuses questions sans cesse renouvelées dès que le droit est mis à l’épreuve du numérique. @ Par Anne-Marie Pecoraro, avocate associée, cabinet Fidal La vision pionnière de Christiane Féral-Schuhl m’a inspirée pour développer, au sein de son œuvre « Cyberdroit », une approche hybride du droit de la communication et de l’audiovisuel, désormais indissociable du droit du numérique. Depuis les années 1990, le droit du numérique s’est construit en parallèle à l’adaptation permanente du droit de l’audiovisuel et de la communication aux révolutions technologiques successives.

Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle, des médias et des technologies, responsable chez Fidal du pôle « médias et entertainment ».

Bouleversements profonds de l’audiovisuel Le passage du linéaire au non-linéaire a marqué cette transformation, suivi par l’explosion des plateformes de vidéo à la demande par abonnement, sans publicités (SVOD) ou avec (AVOD), l’essor des réseaux sociaux devenus de véritables vecteurs de diffusion et de monétisation des contenus, la convergence accélérée entre médias traditionnels et numériques, et plus récemment l’émergence de formats hybrides : contenus courts sur TikTok, YouTube Shorts ou Reels (Instagram et Facebook), chaînes en streaming avec publicités (FAST), expériences immersives en réalité augmentée ou virtuelle, live shopping intégré aux plateformes, hybridation entre fiction, documentaire et réalité augmentée, essor des personnalités de la télévision et médias traditionnels sur les réseaux sociaux, et exposition des créateurs de contenus à la télévision. Dans cette période de mutations intenses et de bouleversements réglementaires majeurs – règlements sur les services numériques (DSA), sur les marchés numériques (DMA), sur l’intelligence artificielle (AI Act), révision de la chronologie des médias pour la période 2025-2028, renforcement des droits, obligations accrues de transparence algorithmique et de reporting des plateformes, lutte renforcée contre la contrefaçon en ligne et les contenus illicites –, j’ai réaffirmé mon engagement à défendre une conception du droit qui soit à la fois protectrice des créateurs, des artistes-interprètes, des auteurs et des ayants droit, et vecteur concret de développement économique pour l’ensemble des industries culturelles et créatives. La méthodologie retenue pour ce « livre 4 » (sur les 9 de « Cyberdroit ») repose sur plusieurs piliers articulés : Une cartographie hiérarchisée des sources normatives. Le texte présente de manière approfondie les fondements du droit applicable. Au niveau national : la loi du 30 septembre 1986 modifiée sur la liberté de communication, les dispositions du code de la propriété intellectuelle relatives aux droits voisins et à la communication au public, les lois « Toubon » (langue française) et « Evin » (publicités interdites), ainsi que les textes spécifiques au cinéma et à l’audiovisuel. Au niveau européen : la directive centrale révisée dite « SMA » (services de médias audiovisuels), les règlements DSA et DMA, et les initiatives sur la liberté et le pluralisme des médias (ainsi que les normes internationales). L’Arcom au centre de la régulation hybride. Sont détaillés son rôle élargi et désormais stratégique au titre du DSA (gestion opérationnelle des signaleurs de confiance), dans la lutte active contre la contrefaçon audiovisuelle et la diffusion illicite de contenus (retrait rapide des contenus illicites), et ses contributions évidemment déterminantes dans la construction du droit de la communication. L’Arcom incarne aujourd’hui la fusion qui s’épanouit entre la régulation audiovisuelle traditionnelle et la gouvernance des espaces numériques, au premier rang desquels le gigantisme des nouveaux acteurs comme les GAFAM, l’échelon européen ayant l’ambition de se mettre en mesure d’y faire face. Les rapports économiques comme clé de lecture indispensable. Le droit de la communication et de l’audiovisuel ne peut être appréhendé sans une compréhension de ses déterminants économiques – et réciproquement, ces derniers façonnent en retour l’évolution du droit. Nous approfondissons les notions structurantes qui régissent les relations de production, de diffusion et de financement : définition précise et rôle pivot de la production indépendante, chronologie des médias, obligations d’investissement dans la création et le pluralisme inscrites dans les cahiers des charges, encadrement strict de la concentration médiatique et impact persistant du droit de la concurrence sur l’ensemble de la chaîne de valeur, depuis les accords de distribution exclusive jusqu’aux financements, aux partenariats stratégiques entre groupes médias et plateformes numériques, et aux opérations de consolidation sectorielle. Un décryptage pratique des catégories d’œuvres et des nouveaux formats. Face à la prolifération et à l’hybridation accélérée des formes audiovisuelles, le chapitre propose une grille de lecture claire et opérationnelle. Il permet aux professionnels et aux juristes de qualifier précisément chaque œuvre ou contenu, d’identifier le régime juridique applicable (droits voisins des artistes-interprètes et des producteurs, chronologie des médias, quotas d’œuvres européennes, obligations d’investissement dans la création, droits de communication au public, etc.), et d’anticiper les enjeux réglementaires et contractuels spécifiques à chaque format. Avec un « clausier » comme outil de travail Un clausier opérationnel et commenté. Est en outre proposé un ensemble riche de clauses types et de modèles commentés : clauses de cession et de licence de droits patrimoniaux et moraux, garanties de moralité et d’originalité, clauses spécifiques de synchronisation musicale, obligations de transparence et de reporting financier et algorithmique, clauses de reporting des recettes et des investissements, mécanismes d’indexation et de rémunération proportionnelle. Ce « clausier » constitue un véritable outil de travail. @

L’Omnibus numérique controversé de la Commission européenne bute sur les données personnelles

Publié le par

Le Digital Omnibus veut « réviser » des textes européens, dont le RGPD et l’EUDPR, afin de les rendre plus innovation-compatibles. Mais la remise en question de la notion de données à caractère personnel provoque une levée de boucliers des « Cnil » européennes et des défenseurs de la vie privée.

L’avis conjoint du Comité européen de la protection des données (CEPD/EDPB), qui regroupe les « Cnil » européennes, et de son Contrôleur européen de la protection des données (CEPD/EDPS) était très attendu sur la proposition d’Omnibus numérique que la Commission européenne a présentée le 19 novembre 2025. Celle-ci vise à simplifier le cadre réglementaire numérique des Vingt-sept, à réduire la charge administrative et à renforcer la compétitivité des entreprises européennes. L’avis conjoint, lui, a été publié le 11 février 2026 et il n’est pas tendre avec certaines modifications proposées car elles « suscitent d’importantes préoccupations ».

Notion de données personnelles menacée
Le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs » (le Parlement européen et le Conseil de l’Union européenne) à ne pas adopter les modifications proposées – par la Commission européenne – à la définition des données à caractère personnel, « étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD », le règlement général sur la protection des données. L’EDPB et l’EDPS estiment en outre que ces modifications concernant la définition des données à caractère personnel « ne reflètent pas exactement et vont clairement au-delà de la jurisprudence » de la Cour de justice de l’Union européenne (CJUE), et elles « aboutiraient à une réduction significative de la notion de données à caractère personnel ».
Les « Cnil » européennes et l’autorité de supervision distincte considèrent ensemble que « la Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui n’est plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données ». Et la présidente du comité EDPB, Anu Talus (photo de gauche), d’insister (suite) : « Nous demandons instamment aux colégislateurs de ne pas adopter les modifications proposées dans la définition des données à caractère personnel, car elles risquent d’affaiblir considérablement la protection des données individuelles ». Et le président du contrôleur EDPS, Wojciech Wiewiórowski (photo de droite), d’abonder : « Nous devons veiller à ce que toute modification du RGPD et du RPDUE [règlement 23 octobre 2018 pour la protection des données à caractère personnel dans l’Union européenne et leur libre circulation] clarifie réellement les obligations et apporte une sécurité juridique tout en maintenant la confiance et un niveau élevé de protection des droits et libertés individuels ».
La proposition « Digital Omnibus » ajouterait un nouveau paragraphe à l’article 4 du RGPD (1) et à l’article 3 de l’EUDPR (2) pour redéfinir les données personnelles de la façon suivante : « Les informations relatives à une personne physique ne sont pas nécessairement des données personnelles pour toute autre personne ou entité, simplement parce qu’une autre entité peut identifier cette personne physique. Les informations ne sont pas personnelles pour une entité donnée lorsque cette entité ne peut pas identifier la personne physique à laquelle les informations se rapportent, en tenant compte des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne deviennent pas personnelles pour cette entité simplement parce qu’un destinataire ultérieur potentiel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent » (3).Cette modification proposée par la Commission européenne veut « codifier » les interprétations de la CJUE, notamment en ce qui concerne la pseudonymisation des données personnelles, en se référant notamment à l’arrêt « EDPS contre SRB » (4) rendu le 4 septembre 2025. C’est là que le bât blesse aux yeux du comité et du contrôleur de la protection des données : « Les modifications proposées introduisent des changements significatifs dans cette définition qui vont au-delà de l’objectif déclaré d’introduire des amendements “ciblés” ou “techniques” au RGPD et à l’EUDPR. […] Modifier la définition des données personnelles aurait un impact direct sur [leur] champ d’application matériel ».

Respecter jurisprudence et droits fondamentaux
Dans leur avis conjoint d’une cinquantaine de pages (5), l’EDPB et l’EDPS tiennent à rappeler que « la définition des données à caractère personnel est au cœur même de la législation de l’UE en matière de protection des données, notamment l’article 8 de la Charte des droits fondamentaux (6) et l’article 16 du traité sur le fonctionnement de l’UE (7) ». Autrement dit, la Commission européenne doit non seulement respecter la jurisprudence de la CJUE mais aussi se conformer aux textes fondamentaux. L’arrêt « EDPS contre SRB », qui a notamment confirmé la jurisprudence précédente telle que celle issue de l’arrêt « GVA contre Scania » (8) du 9 novembre 2023, a rappelé que « des données impersonnelles peuvent devenir de nature personnelle lorsqu’elles sont mises à la disposition d’un destinataire (tout destinataire) avec des moyens raisonnablement susceptibles d’être utilisés pour identifier un sujet de données ».

Digital Omnibus, risque d’insécurité juridique
La CJUE a confirmé que « dans de tels cas, ces données sont des données à caractère personnel tant pour le destinataire que, indirectement, pour l’entité qui met les données à la disposition de ce dernier ». Et les « Cnil » européennes, avec leur contrôleur des données personnelles, d’enfoncer le clou : « Les modifications proposées auraient pour effet de restreindre considérablement la notion de données à caractère personnel, ce qui porterait atteinte au droit fondamental à la protection des données. De plus, la modification proposée pourrait inciter les responsables du traitement à rechercher des failles dans le régime de protection des données et à tenter de contourner l’application du RGPD ou de l’EUDPR. La proposition néglige en outre des éléments clés du concept de données à caractère personnel au titre du considérant 26 du RGPD, tels que le concept de “singularisation” [singling out dans le texte, ndlr] ».
Il est donc reproché à la Commission européenne de créer de la confusion et d’accroître l’insécurité juridique, d’autant que la définition des données à caractère personnel contenue dans le RGPD est mentionnée ou alignée sur d’autres actes juridiques importants de l’UE, tels que la directive « Police-Justice » (9) du 27 avril 2016. « Modifier la définition des données à caractère personnel dans le RGPD pourrait donc avoir des répercussions imprévues sur d’autres actes juridiques et porter atteinte à la cohérence globale du cadre juridique de l’UE », sans parler « des risques de fragmentation avec d’autres cadres juridiques internationaux – comme en particulier la Convention 108 du Conseil de l’Europe (10) – ou avec des lois nationales dans les pays tiers qui jusqu’à présent sont largement alignées ou équivalentes à la définition actuelle dans le cadre du RGPD ». Pour toutes ces raisons, le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs à ne pas adopter les modifications proposées de la définition des données à caractère personnel ». Par ailleurs, l’avis conjoint des gendarmes des données rappelle que l’EDPB est en train de préparer des orientations actualisées sur la pseudonymisation et d’élaborer un nouvel ensemble de lignes directrices sur l’anonymisation, qui tiendront compte, entre autres, de l’arrêt « EDPS contre SRB ». A ce propos, les « Cnil » européennes et leur contrôleur se disent « préoccupés par le fait que la proposition permettrait de préciser davantage – au moyen d’un acte d’exécution – les moyens et critères qui déterminent si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités ». En effet, la Commission européenne serait habilitée à adopter de tels « actes d’exécution » (11), qui s’appliqueraient également au traitement des données à caractère personnel dans le cadre de l’EUDPR.
Cette modification compléterait la modification proposée à la définition de données personnelles. « La délimitation de ce qui constitue (et de ce qui ne constitue pas) des données à caractère personnel affecte directement le champ d’application du droit de l’UE en matière de protection des données. Un acte d’exécution tel que proposé pourrait de facto affecter le champ d’application matériel de la législation européenne sur la protection des données, redéfinissant effectivement le champ d’application du moment et du destinataire des informations considérées comme des données personnelles », mettent en garde l’EDPB et l’EDPS, lesquels considèrent que « les incidences pratiques de la mise en œuvre des “moyens et critères” énoncés dans les actes d’exécution restent floues et entraînent des difficultés de conformité ». Pour toutes ces raisons encore, l’EDPB et l’EDPS suggèrent donc de « supprimer » la proposition d’acte d’exécution.
L’organisation autrichienne de protection de la vie privée Noyb (nom issu du slogan « None Of Your Business ») s’est aussitôt félicitée de cet avis conjoint : « Les autorités indépendantes ont identifié les changements clés pour ce qu’ils sont : ni “changements techniques” ni “simplification”, mais des limitations du droit à la protection des données pour les résidents de l’UE », a déclaré (12) son dirigeant Max Schrems (photo ci-dessus).

Data et IA : Noyb (Max Schrems) déçu
En outre, du côté de l’entraînement des IA fondé sur « un intérêt légitime » (également traité dans l’avis conjoint du 11 février 2026), Noyb regrette que les « Cnil » européennes et leur contrôleur des données personnelles « ne clarifient pas la question », notamment sur l’utilisation des données à caractère personnel. « De nombreuses autres questions clés concernant l’utilisation des données à caractère personnel dans la formation à l’IA ne seraient pas résolues par la proposition ». @

Charles de Laubier

Les grandes plateformes en Europe doivent filtrer les publicités en ligne contrefaisant des marques

Publié le par

C’est un pavé dans la marre des très grandes plateformes numériques (réseaux sociaux, ecommerce, etc.) qu’a lancé la cour d’appel de Paris avec son arrêt du 28 janvier 2026 à l’encontre du groupe Meta. Elle lui ordonne de filtrer en Europe toute publicité contrefaisant une marque.

La cour d’appel de Paris – dans son arrêt rendu le 28 janvier 2026 – « ordonn[e] à la société Meta Platforms Ireland Limited de mettre en œuvre, par tout moyen efficace, les mesures propres à prévenir la diffusion de publicités sur Facebook, Instagram et Messenger ciblant le public de l’Union européenne dont les contenus présentent les critères cumulatifs suivants : publicités […] assurant la promotion de jeux de hasard et d’argent en ligne et de jeux de casino sociaux en ligne […] : publicités reproduisant dans le texte ou l’image à l’identique les marques [du groupe casinotier Barrière, ndlr] ; publicités diffusées par des annonceurs dont les comptes n’ont pas fait l’objet d’une authentification selon la procédure mise en place par la société Meta […] ».

Filtrage jusqu’en février 2027
Par cette décision (1) à portée européenne, qui concerne potentiellement tous secteurs d’activité et toutes les marques, la cour d’appel de Paris – où Françoise Barutel (photo), conseillère en propriété intellectuelle, était présidente chargée d’instruire l’affaire – confirme ainsi l’ordonnance du 24 avril 2024 « en toutes ses dispositions », prononcée en première instance par le tribunal judiciaire de Paris. Ce filtrage des publicités en ligne contrefaisantes, Meta a l’obligation de le mettre en œuvre « à l’expiration d’un délai de 8 jours à compter de la transmission de la présente décision » – à savoir depuis le 6 février 2026 environ – et maintenu « pour une durée de douze mois », soit jusqu’en février 2027. Quand bien même la filiale européenne de Meta (basée à Dublin en Irlande) se pourvoirait en cassation, cet éventuel recours dans les deux mois après la décision ne serait pas suspensif de l’obligation d’exécuter les mesures de filtrage.
C’est le 20 novembre 2023 que la société Barrière a déposé une plainte pénale pour dénoncer l’utilisation sans son autorisation, sur Facebook et Instagram, de la marque « Barrière » pour promouvoir une activité de casino en ligne – alors que (suite) les casinos en ligne sont prohibés et sanctionnés pénalement en France. Meta affirme avoir été informé en décembre 2023, par l’Autorité nationale des jeux (ANJ), de l’existence de ces publicités et avoir proposé à la société Barrière un outil de protection des droits de la marque pour lui permettre de supprimer les contenus contrefaisants publiés. La société Barrière a fait constater par un commissaire de justice – les 5 et 7 janvier 2024 – la diffusion sur Facebook, Instagram et Messenger d’au moins 2.400 publicités, publiées par plusieurs centaines de profils d’annonceurs différents (2). Car le problème, au-delà du caractère illégal de ces publicités puisque les jeux de casino en ligne ne sont pas autorisés en France, était que ces publicités numériques reproduisaient les marques « Barrière » sans son accord pour faire la promotion d’une application de jeux de casino en ligne, certaines annonces reproduisant même la devanture de ses casinos physiques. « La société Barrière [a] procédé à la signalisation de plus d’une centaine de comptes sur la plateforme de Meta. Elle a mis en demeure la société Meta le 8 janvier 2024 de retirer les publicités estimées illicites diffusées sur Instagram et Facebook, soulignant que les applications de casino en ligne sont prohibées en France, et lui enjoignant de lui communiquer les informations nécessaires à l’identification des éditeurs des annonces et pages litigieuses, et de refuser à l’avenir les publicités sur Facebook, Instagram, Messenger et Audience Network relatives aux jeux de casino ou jeux d’argent ou de hasard, reproduisant les marques Barrière ou les imitant, lorsque l’annonceur n’a pas de compte certifié », énonce l’arrêt de la cour d’appel de Paris. S’instaure alors un dialogue de sourds entre Barrière et Meta :
Le casinotier obtient une ordonnance datée du 11 janvier 2024, rendue sur sa requête présentée le même jour, qui ordonne à Meta de « mettre en œuvre tout moyen de nature à prévenir les publicités illicites sur ses plateformes en filtrant les contenus répondant aux critères définis dans l’ordonnance et de conserver les données concernant les publicités litigieuses et les informations sur leurs annonceurs ».

Première ordonnance contestée par Meta
Deux sociétés sont visées : Hosting Ukraine, un hébergeur web impliqué dans des litiges de contrefaçon, de cybersquatting ou de publicités illicites, et l’américain Namecheap, registrar (bureau d’enregistrement de noms de domaine garantissant la protection WhoisGuard masquant l’identité du titulaire du domaine) et hébergeur web.
La big tech adresse à Barrière un e-mail daté du 25 janvier 2024 pour lui signifier qu’elle ne peut accéder à sa demande « de prévenir la diffusion d’autres publicités dès lors qu’en sa qualité d’hébergeur, elle n’a pas d’obligation de surveillance générale », tout en précisant que « les informations sur les annonceurs pourront être communiquées sur décision de justice ». Puis, le 20 février 2024, Meta fait assigner la société Barrière en référé-rétractation pour contester cette première ordonnance.

E-surveillance générale interdite, sauf…
Le tribunal judiciaire de Paris ne l’entend pas de cette oreille, et, par son ordonnance de référé rétractation du 24 avril 2024, renvoie Meta Platforms Ireland Limited – dirigé par Anne O’Leary (photo ci-contre) – dans ses cordes en rejetant sa demande de caducité et de rétractation de l’ordonnance sur requête du 11 janvier 2024. Le juge la conserve mais en la modifiant légèrement en faveur de Meta. En effet, Meta devait filtrer toute publicité répondant à l’un des critères alternatifs (publicité en lien avec des jeux d’argent/casino en ligne, publicité reproduisant les marques Barrière, publicité émise par un annonceur non authentifié). Ce qui exposait Meta à un risque massif de sur-blocage. Depuis la modification du 24 avril 2024, Meta ne doit plus filtrer que les publicités remplissant simultanément les trois critères cumulatifs. Il faut alors les 3 conditions réunies pour que Meta soit obligée d’agir. C’est un changement majeur dans la mesure où cela réduisait considérablement l’obligation de Meta sur un périmètre de filtrage moins étendu. Cela supprimait le risque de surblocage et de censure excessive, tout en évitant à la maison mère de Facebook, d’Instagram et de Messenger d’être accusée de surveillance généralisée. Surtout, cela rend l’injonction compatible avec le droit européen, que cela soit : avec la directive « E-commerce » de 2000 – transposée en France par la loi « Confiance dans l’économie numérique (LCEN) – prévoyant que la responsabilité des hébergeurs de contenus en ligne n’est pas engagée dès lors que des contenus manifestement illicites leur ont été notifiés et qu’ils ont pas agi promptement pour les retirer ou rendre leur accès impossible (3) ; avec le règlement « DSA » de 2022 renforçant la régulation des grandes plateformes numériques désormais tenues d’instaurer des systèmes de modération et des mécanismes de notification des contenus illicites (4). Le groupe Barrière a fait valoir devant le juge :
que la société Meta n’a jamais contesté sa qualité d’intermédiaire de la contrefaçon mais persiste à entretenir en appel, la confusion entre la notion d’intermédiaire de la contrefaçon au sens de la directive « Propriété intellectuelle » (ou « Enforcement ») du 29 avril 2004 – dite aussi IPRED (5) – et celle de fournisseur de services intermédiaires au sens de la directive « E-commerce » du 8 juin 2000, et du Digital Services Act (DSA) du 19 octobre 2022 ;
qu’à aucun moment la Cour de justice de l’Union européenne (CJUE) ne considère que les deux qualifications (prestataire intermédiaire ayant un rôle actif/intermédiaire de la contrefaçon) seraient incompatibles entre elles, et pour cause puisque la directive « E-commerce » et la directive « Propriété intellectuelle » doivent être appliquées de manière combinée. Meta doit donc être qualifié d’intermédiaire au sens du code de la propriété intellectuelle (6).
La cour d’appel de Paris, elle, rappelle la jurisprudence issue de l’arrêt « Tommy Hilfiger » (7) de la CJUE rendu le 7 juillet 2016 disant que : la directive « Propriété intellectuelle » (IPRED) (8) et la directive européenne « Droit d’auteur et des droits voisins dans la société de l’information » (DADVSI) du 22 mai 2001 (9), auquel elle se réfère, obligent les Etats membres à « garantir que l’intermédiaire dont les services sont utilisés par un tiers pour porter atteinte à un droit de propriété intellectuelle puisse, indépendamment de sa propre responsabilité éventuelle dans les faits litigieux, être contraint de prendre des mesures visant à faire cesser ces atteintes ainsi que des mesures visant à prévenir de nouvelles atteintes » (10).
Meta invoquait la prohibition d’une obligation générale de surveillance prévue par la directive « E-commerce » et par le DSA. Mais parmi les exceptions, il y a justement « les activités de jeux d’argent impliquant des mises ayant une valeur monétaire dans des jeux de hasard, y compris les loteries et les transactions portant sur des paris » (11). Or Meta soutenait que seules sont exclues les activités de jeux d’argent et non pas les publicités de jeux d’argent et de hasard. Distinction que la cour d’appel de Paris n’a pas suivie. Dans l’arrêt du 28 janvier 2026, le juge estime que « la mesure de filtrage ordonnée [à] Meta » n’est « ni disproportionnée ni inéquitable », puisqu’elle est « limitée dans son objet » (publicités de jeux d’argent et de hasard en ligne contenant les marques « Barrière ») et « dans sa durée » (douze mois), « et dans sa portée territoriale » (limitée à l’Union européenne).

Filtrage proportionné, équitable et limité
« Il résulte des développements qui précèdent et de l’ensemble des dispositions ainsi pertinemment rappelées par le premier juge, que ce dernier doit être approuvé […] Par ces motifs, confirme l’ordonnance du 24 avril 2024 en toutes ses dispositions », conclut la cour d’appel de Paris. De son côté, Tim Miller, le président de la Gambling Commission – l’« ANJ » britannique – a reproché à Meta – lors du Salon international des casinos (ICE (12)) à Barcelone en janvier dernier – de ne pas utiliser sa propre fonction de mots-clés (13) pour empêcher la publicité des jeux illégaux, et autres publicités illicites. Environ 10 % du chiffre d’affaires de Meta en 2024, soit 16 milliards de dollars selon Reuters (14), ont été générés par des publicités interdites ou frauduleuses. @

Charles de Laubier

Devant la justice française, Apple remporte une manche qui lui permet de poursuivre son dispositif ATT

Publié le par

Le Tribunal judiciaire de Paris a estimé, dans son ordonnance du 20 janvier 2026, qu’il n’y avait pas lieu de suspendre le dispositif App Tracking Transparency (ATT) mis en œuvre par Apple. L’Alliance Digitale, le Geste, le SRI et l’Udecam, qui l’avaient saisi en référé, pourraient ne pas en rester là.

La coalition française formée par l’Alliance Digitale, le Groupement des éditeurs de services en ligne (Geste), le Syndicat des régies Internet (SRI) et l’Union des entreprises de conseil et d’achat médias (Udecam) est mobilisée depuis 2020 contre l’« ATT » d’Apple, comprenez l’App Tracking Transparency – le mécanisme de la Pomme imposant aux éditeurs le consentement de leurs utilisateurs si ces premiers – éditeurs, régies, annonceurs et partenaires technologiques – veulent accéder à l’identifiant publicitaire (IDFA) du fabricant des iPhone et des iPad, pour suivre les seconds.

Les petits éditeurs sont les plus touchés
Pour eux, ATT est « artificiellement complexe au détriment de l’ensemble des acteurs de l’écosystème, de manière asymétrique, discriminatoire et non proportionnée aux objectifs prétendus de protection des données des utilisateurs ». L’Autorité de la concurrence leur avait donné raison dans sa décision du 31 mars 2025, en sanctionnant le groupe Apple – dirigé par Tim Cook (photo) – d’une amende de 150 millions d’euros (que la Pomme a payé depuis) pour les « modalités de mise en œuvre » de ce dispositif ATT qui « ne sont ni nécessaires ni proportionnées à l’objectif, affiché par Apple, de protection des données personnelles » (1).
Le gendarme de la concurrence avait reproché à ce mécanisme contesté d’engendrer une multiplication de fenêtres de recueil de consentement, « compliquant excessivement le parcours des utilisateurs d’applications tierces au sein de l’environnement iOS ». De plus, ces différentes fenêtres affichées à l’écran de l’utilisateur « portent atteinte à la neutralité du dispositif, causant un préjudice économique certain aux éditeurs d’applications et aux fournisseurs de services publicitaires », et en particulier aux plus petits éditeurs qui dépendent en grande partie de la collecte de données tierces pour financer leur activité dans l’écosystème mobile, contrairement aux principales plateformes verticalement intégrées. Deux asymétries ont ainsi été dénoncées par (suite) l’Autorité de la concurrence (ADLC) il y a près d’un an maintenant : « Si le refus d’une opération de traçage publicitaire ne doit être effectué qu’une fois, l’acceptation d’une telle opération doit, quant à elle, toujours être confirmée une seconde fois par l’utilisateur. L’asymétrie en résultant empêche le recueil d’un consentement éclairé que l’ATT est pourtant censé favoriser », tout en constatant en outre « une asymétrie de traitement entre celui qu’Apple se réservait [une fenêtre unique de consentement pour de la publicité personnalisée, ndlr] et celui qu’elle appliquait aux éditeurs [double consentement pour la collecte de données tierces réalisées par les éditeurs, ndlr] » (voir graphique ci-dessous). Apple a fait appel de la décision de l’ADLC devant la Cour d’appel de Paris (saisie au fond) et, d’après les quatre organisations professionnelles, a multiplié « les manœuvres dilatoires pour tenter d’en neutraliser les effets en France ».
Après une audience qui s’était tenue le 9 décembre 2025, le Tribunal judiciaire de Paris a rendu le 20 janvier 2026 une ordonnance décidant de ne pas suspendre ATT. « Apple assume n’avoir rien modifié à ATT mais semble considérer que le seul paiement de l’amende de 150 millions d’euros suffit », ont regretté les quatre organisations de la coalisation française, laquelle avait saisi le tribunal en référé pour obtenir la suspension d’ATT sous astreinte en France (2). Mais le président du tribunal a décidé de ne pas ordonner de mesures conservatoires, « en retenant qu’il n’était pas suffisamment établi qu’ATT persiste ». Pour l’Alliance Digitale, le Geste, le SRI et l’Udecam, qui pourraient faire appel de cette décision (ils ont jusqu’autour du 4 février pour le faire), ce premier jugement vient réduire significativement la portée de la décision de l’Autorité de la concurrence : « C’est une occasion manquée de suspendre temporairement l’impact préjudiciable d’ATT sur l’écosystème dans l’attente que la décision de l’[ADLC] soit définitive, et ce alors que l’autorité italienne de concurrence vient de condamner ATT pour les mêmes motifs ».

Après la France, l’Italie a sanctionné Apple
Car la France n’est pas le seul pays européen à accuser le fabriquant des iPhone et iPad d’abus de position dominante et de violation de la directive européenne « ePrivacy ». Ainsi, le 22 décembre 2025, l’autorité de la concurrence italienne (AGCM) a condamné Apple à une amende de 98,6 millions d’euros pour les mêmes pratiques et « abus de position super-dominante ». « Puisque les données des utilisateurs sont une entrée clé pour la publicité en ligne personnalisée, justifie l’AGCM, la demande de double consentement – qui découle inévitablement de la politique ATT telle qu’elle est mise en œuvre – limite la collecte, le lien et l’utilisation de ces données. En conséquence, cette exigence de double consentement nuit aux promoteurs, dont le modèle économique repose sur la vente d’espaces publicitaires, ainsi qu’aux annonceurs et aux plateformes d’intermédiation publicitaire » (3).

Plusieurs enquêtes en Europe, et au Brésil
D’autres procédures contre l’ATT d’Apple sont en cours dans d’autres Etats membres de l’Union européenne, toutes sous la coordination de la Commission européenne (4).
En Allemagne, l’Office fédéral des cartels (Bundeskartellamt) – qui avait remis le 13 février 2025 à Apple sa première évaluation juridique de son dispositif ATT controversé – finalise actuellement avec la Pomme un « test de marché » pour examiner les solutions sur lesquelles s’est engagé Apple. Or le président du gendarme de la concurrence allemand, Andreas Mundt, tique encore sur un point : « Apple n’a proposé aucun changement dans sa manière de mesurer le succès publicitaire (attribution), ayant l’intention de poursuivre sa pratique de ces mesures sans obtenir le consentement préalable des utilisateurs » (5).
En Roumanie, le Conseil de la concurrence (Consiliul Concurentei) – qui a lancé son enquête sur l’ATT le 19 octobre 2023 – estime aussi qu’Apple – via ATT – a limité l’accès des autres applications au profil publicitaire de l’IDFA (Identifier for Advertisers), ce qui a conduit à une restriction de la concurrence sur le marché publicitaire pour les applications tierces sur les appareils mobiles iOS (6). Verdict sur ce qu’il considère aussi comme un abus de position dominante : courant 2026.
En Pologne, l’Office de la concurrence et de la protection des consommateurs (UOKiK) a aussi Apple et son ATT dans son collimateur. Dès le 13 décembre 2021, cette autorité a lancé son enquête (7), aussitôt après que la firme de Cupertino a modifié – en avril 2021 – sa politique de confidentialité et de traitement des données personnelles sur tous ses appareils Apple fonctionnant sous iOS 14.5, iPadOS 14.5, tvOS 14.5 et versions ultérieures. Le 25 novembre 2025, le président de l’UOKiK, Tomasz Chróstny, a engagé « une procédure antitrust » contre trois entreprises de la firme de Cupertino, « accusant Apple, Apple Operations International et Apple Distribution International d’abuser de leur position dominante » (8). Ces actions coordonnées à l’encontre d’Apple, quand bien même cela pourrait aussi déplaire à Donald Trump déjà très remonté contre la règlementation et la régulation de l’Union européenne, pourraient faire tache d’huile partout dans le reste du monde – à commencer par le Brésil.
Au Brésil, le Conselho Administrativo de Defesa Econômica (Cade, pour Conseil administratif de défense économique) a la Pomme dans son collimateur depuis bien avant le lancement de son enquête en décembre 2022, à la suite d’une plainte déposée par le groupe Mercado Livre, qui a dénoncé un possible abus de position dominante sur le marché de la distribution d’applications pour les appareils fonctionnant sous iOS – même si l’App Tracking Transparency n’est pas évoquée dans cette affaire. Pour éviter une amende jusqu’à 150 millions de réals brésiliens (24 millions d’euros), Apple a demandé en juillet 2025 à négocier avec le tribunal du Cade, ce qui a abouti à un accord d’obligations signé le 23 décembre 2025 et annoncé le 5 janvier 2026 (9). Mais selon le quotidien brésilien Brazil Journal il y a un an (daté du 27 janvier 2025), le gendarme de la concurrence brésilien a ouvert une enquête contre Apple Brésil afin d’examiner le fonctionnement de l’ATT (10), à la suite d’une plainte de Meta Platforms – propriétaire de Facebook, Instagram et WhatsApp. @

Charles de Laubier